AMAÇ

HİBSAN olarak; faaliyetlerimizi gerçekleştirirken elde ettiğimiz kişisel verilerin azaltılması, işlemek zorunda olduğumuz verilerin korunmasına yönelik kişisel verilerin işlenmesi süreçlerini tanımlamayı, uygulamayı ve sürdürülebilirliğini sağlamayı amaçlamaktayız.

Faaliyetlerimizi sürdürürken elde ettiği kamuya açık olmayan kişisel/özel nitelikli kişisel verilerin gizliliğini muhafaza etmeyi, bu verileri işlerken yürürlükte bulunan mevzuata uyumlu olmayı taahhüt etmekteyiz. Bu taahhüdü gerekli yönetim sistemini kurma, denetim yapma/yaptırma, süreç yönetimi, risk analizi çalışmalarını gerçekleştirmek yoluyla yerine getirmekteyiz.

Kişisel Verilerin Korunması Kanunu (KVK Kanunu) 24.03.2016’da Türkiye Büyük Millet Meclisi’nde kabul edilmiş ve 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Bu kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

KAPSAM

İşbu Prosedür; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; çalışanlar, çalışan adayları, müşteriler, tedarikçiler, ziyaretçiler başta olmak üzere kişisel verileri kuruluşumuz tarafından işlenen diğer üçüncü kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Bu prosedür, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.

TANIMLAR VE KISALTMALAR

Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, ancak kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmektedir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulmaktadır:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bu veriler, İK-FR-18 Kişisel Veri Envanteri aracılığıyla VERBİS üzerinde tanımlanmıştır.

Kişisel Verilerin İşlenme Şartları

Kişisel Verilerin işlenmesi

Kuruluşumuz, KVK Kanunu madde 5/1 uyarınca kural olarak, kişisel verileri, ilgili kişinin açık rızası olmadan işlemez. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu madde 5/2’de detaylandırılmıştır. Kuruluşumuz, kişisel verileri ilgili kanunun koşullara uygun olarak toplamakta ve işlemektedir.

Kişisel veriler, İlgili Kişi verilerinin toplanması ve/veyahut işlenmesine mevzuat ve politikaya uygun olarak bilgilendirildikten sonra ve özgür iradesi ile yazılı yahut elektronik ortamda açık rıza verdikten sonra işlenmektedir. Kişisel sağlık verilerin işlenmesi durumunda açık rıza muhakkak yazılı alınır. Alınan açık rıza beyanları fiziksel ya da elektronik ortamda belgelenip ve saklanmaktadır. Çalışan ve çalışan adayı olmak üzere sistemde iki farklı açık rıza beyanı (İK-FR-06 Çalışan Açık Rıza Beyanı – Kadın, İK-FR-07 Çalışan Açık Rıza Beyanı – Erkek, İK-FR-11 Çalışan Adayı Açık Rıza Beyanı) tanımlanmıştır.

Kişisel veriler KVK Kanunun’da sayılan aşağıdaki hallerin varlığında ilgili kişinin rızası olmaksızın işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Çalışanlara KVV Kanunu kapsamında “İK-FR-08 KVK Kanunu Personel Taahhütnamesi” dokümanı kullanılarak taahhütname imzalatılır.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler yalnızca ilgili kişinin açık rızasının bulunması ya da, sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere, kanunlarda açıkça öngörülen hallerde işlenebilir (örneğin yukarıda madde 5.2.1’de sayılan hallerde). Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde “Kişisel Verileri Koruma Kurulu” kararlarına uygun hareket edilir.

Özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu madde 6/3’te detaylandırılmıştır. Özel nitelikli verileri işleyen kişilere bu kapsamda bilgi verilir ve “İK-FR-09 Özel Nitelikli Verilerin Gizlilik Personel Taahhütnamesi” imzalatılır. Örneğin; İnsan kaynakları süreç çalışanları, proje yöneticileri, SEÇ-K süreç çalışanları, işyeri hekimi, iş güvenliği uzmanı vb.

Kişisel Verilerin Aktarılması

Kişisel veriler yalnızca ilgili kişinin veri aktarımına açık rızasının bulunması veya KVK Kanunu’nda sayılan açık rızasının aranmadığı hallerden birinin varlığı halinde Türkiye’de bulunan üçüncü kişilere aktarılabilir. Bu koşullara ek olarak;

• Kişisel verilerin aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması ya da;
• İlgili yabancı ülkede yeterli korumanın bulunmaması durumunda HİBSAN’ın ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,

şartları bulunmalıdır.

Kişisel Verilerin Toplanması

Kişisel Veriler otomatik yolla veya bir kayıt sisteminin bir parçası olmak kaydı ile otomatik olmayan yolla; kuruluşumuz içinde internete erişiminiz vasıtasıyla, kimlik belgeniz üzerinden, plaka bilgileriniz üzerinden, binalarımız içinde yer alan kameralar aracılığı ile, referans kişisi göstermeniz halinde kuruluşumuzun meşru menfaati gereği bu kişilerden bilgi almak suretiyle, kurumsal e-posta adresi yahut kuruluşumuz çalışanlarının e-postalarına gönderdiğiniz e-postalar ile ve diğer teknik ve sair yöntemlerle internet sitemiz gibi muhtelif yollardan, elektronik, yazılı veya sözlü olarak, tanımlanan amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır. Kişisel veriler kuruluşumuz veya kuruluşumuz tarafından görevlendirilen veri işleyenler tarafından işlenir.

Kişisel Verilerin İmha Edilmesi ve Anonim Hale Getirilmesi 

Kişisel veriler işlenme amaçlarına uygun olarak azami muhafaza süresince saklanır; bu süre mevzuatta belirlenen yükümlülüklere uygun davranmak ya da meşru işletme menfaatlerini korumak amacıyla daha uzun süre tutulabilir.

Hukuki, idari ya da ticari olarak gerekli süreler sona erdikten sonra ihtiyaç duyulmayan kişisel veriler mevzuata ve ilgili prosedüre uygun şekilde silinecek, anonimleştirilecek yahut yok edilecektir. Kişisel verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Kuruluşumuz fiziksel ve elektronik veri kayıt sistemlerinde bulunan kişisel verilere ilişkin olarak bu verilerin toplanma amacının ortadan kalkması ve hukuki saklama sürelerinin sona ermesi halinde tüm verilerin mevzuata uygun şekilde imhasından sorumludur. Kağıt olarak bulunan dokümanlar imha edilirken okunmayacak şekilde parçalanacaktır.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacaktır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanacaktır.

Kişisel Verilerin Korunmasına Yönelik Tedbirlerin Alınması 

Kuruluşumuz, kişisel verilerin hukuka uygun işlenmesini sağlamak için teknik ve idari tedbirler almaktadır. Bu tedbirler, İK-TL-01 Kişisel Veri Güvenliği Sağlama Talimatı ile tanımlanmıştır. Bu tedbirlere uyulup uyulmadığının kontrolü, İK-FR-17 KVK İç Denetim Raporu’nda tanımlı kriterlere göre yapılmaktadır. Bu raporlar üst yönetim değerlendirmesine sunulmaktadır.

Kişisel Verilere erişim için erişim metodu tanımlanıyor ve erişimler uygun onaylar ile veriliyor. Erişimler yılda en az 1 kez ve verinin kritikliğine göre daha sık olmak üzere gözden geçirilmekte ve yetkiler düzenlenmektedir. Yetkili personelin görev değiştirmesi veya görevden alınması durumunda erişimler derhal kaldırılmaktadır. Bu kapsamda İK-FR-18 Yetki Matrisi hazırlanmış ve gerekli durumlarda güncellenmektedir.

Kuruluşumuz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede İlgili Kişiye ve Kişisel Verileri Koruma Kurulu’na bildirecektir. Kişisel Verileri Koruma Kurulu tarafından gerek görülmesi halinde, bu durum Kişisel Verileri Koruma Kurumu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

İlgili Tarafların Hakları ve Yükümlülükleri

İlgili Kişinin Hakları

Kişisel verisi HİBSAN tarafından toplanan yahut işlenen gerçek kişiler, KVK Kanunu uyarınca veri sorumlusuna başvuru hakkına sahiptir.

Kuruluşumuz, Kanun’un 11.maddesi uyarınca kişisel verileri işlenen İlgili Kişinin hakları aşağıda tanımlanmıştır;

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

İlgili kişi, başvuru hakkını kullanarak aşağıda sayılan talepleri yazılı olarak veya e-posta vasıtasıyla işbu prosedürün son kısmında verilen iletişim bilgileri doğrultusunda HİBSAN veya temsilcilerine yöneltebilir.

İK-FR-19 Veri İlgilisi Başvuru Formu’nda başvuru konuları, başvuru hakkı kapsamı dışında kalan durumlar, başvuru usulü, başvuruya ilişkin kişisel verilerin işlenmesi, başvuruya cevap ve kurula şikayette bulunma hususları tanımlanmıştır.

Veri Sorumlusu’nun Yükümlülükleri 

Aydınlatma Yükümlülüğü 

Kuruluşumuz ilgili kişilere, kişisel verilerin elde edilmesi sırasında kişisel verilerinin işlenmesi süreci ve veri işlemenin amaçları hakkında bilgilendirici, açık ve anlaşılır bir bildirim yapacak; bu kişilerin kişisel verilerine ilişkin hakları konusunda bilgilendirilmesini ve tarafımızca işlenen kişisel verilerine makul ölçüde erişimlerinin olmasını sağlayacaktır.  İlgili kişilere yapılacak bildirim asgari olarak aşağıdaki unsurları içerir:

• Veri sorumlusunun yahut var ise temsilcisinin kimliği,
• Veri işlemenin amacı, yöntemi ve hukuki sebebi,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• İlgili kişilerin kanuni hakları

Bu kapsamda; çalışan, çalışan adayı, tedarikçi, müşteri ve ziyaretçi olmak üzere beş ayrı aydınlatma metni hazırlanmıştır.

• İK-FR-05 Çalışan Aydınlatma Metni
• İK-FR-10 Çalışan Adayı Aydınlatma Metni
• İK-FR-13 Ziyaretçi Aydınlatma Metni
• İK-FR-14 Tedarikçi Aydınlatma Metni
• İK-FR-15 Müşteri Aydınlatma Metni

Çalışan adaylarının başvuruları olumsuz karşılandığında, taraflarına yapılacak dönüş için bir metin düzenlenmiş ve İK-FR-12 Kişisel Verilerin Korunması Mevzuatı Uyarınca Çalışan Adayı Dönüş Metni olarak kayıt altına alınmıştır.

Veri Güvenliğine İlişkin Yükümlülükler

Kuruluşumuz ilgili mevzuatta belirlenen kapsamda;

• Kişisel verilerin hukuka aykırı olarak işlenmemesine
• Kişisel verilere hukuka aykırı olarak erişilmemesine
• Kişisel verilerin kötüye kullanılmasını, ifşasını, değiştirilmesini ve yok edilmesine karşı muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.

Kuruluşumuz, kişisel veri güvenliğini sağlamak amacıyla gerekli tedbirleri alır. Bu tedbirler İK-TL-01 Kişisel Veri Güvenliği Sağlama Talimatı ile tanımlanmıştır. Detay idari ve teknik tedbirler, İK-FR-17 Kişisel Verilerin Korunması İç Denetim Raporu ile tanımlanmıştır.

Kuruluşumuz faaliyetleri çerçevesinde topladığı ve/veya işlediği kişisel verileri;

• KVK Kanunu hükümlerine ve politikaya uygun olarak gizli tutar,
• İşleme amacı dışında kullanmaz,
• Görevi gereği kişisel verilerin işlenmesi faaliyetine dahil olmayan çalışanının her türlü veri işleme faaliyetini yasaklar,
• Çalışanlarının görevinin sınırlarına uygun kapsamda ölçüde kişisel verilere erişimine imkan tanır.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, kuruluşumuz bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

Bilgilendirme Çalışmaları

KVK Kanunu kapsamında kuruluşumuz ilgili tarafları; prosedür, talimat, aydınlatma metinleri, taahhütname vb. dokümanlarla bilgilendirmektedir. Çalışanlar ayrıca periyodik olarak düzenlenen eğitim faaliyetleri ile bilgilendirilir. Bu bilgilendirme faaliyetleri, İnsan Kaynakları Yönetim Prosedüründe tanımlanan yöntemle kayıt altına alınır.

İlgili bilgilendirmeler e-posta imzası, çağrı merkezi kayıtları, sözleşme ekleri vb. yollarla da yapılmaktadır. Bu kapsamda yapılacak bilgilendirmeler, İK-TL-02 Kişisel Verilerin Korunması Sisteme Eklenecek Hususlar Talimatı ile tanımlanmıştır.

Veri Sorumluları Siciline Kayıt

HİBSAN Veri Sorumluları Sicili Hakkında Yönetmelik’e göre Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulacak veri sorumluları siciline kayıt olarak yönetmelik uyarınca gerçekleştirilmesi gereken ilgili yükümlülüğü yerine getirmektedir. Bu kapsamda aşağıdaki bilgiler kamuoyunun bilgisine sunulacaktır:

• Veri Sorumlusu, varsa Veri Sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,
• Kişisel verilerin hangi amaçlarla işlenebileceği,
• Kişisel veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
• Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Sicile kayıt tarihi ile kaydın sona erdiği tarih,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Verilerin Çoğaltılması ve Dağıtımı

Kişisel verilerin bulunduğu klasörde (elektronik ortam) veya kişisel verilerin aktarımında kullanılan dosyalarda şifreleme yapılacaktır. Taşınabilir bellek, CD, DVD ortamında aktarılan kişisel veriler şifrelenerek aktarılacaktır.

Kişisel bilgilerin bulunduğu oda ve dolaplar kilitli bulundurulacaktır. Bu bilgilere sadece yetkisi olan çalışanlar erişebilecektir.

Denetim

Kişisel Verilerin Korunması Kanunu kapsamında yapılan çalışmalar ve uygulamalar en az altı ayda bir kez ve üst yönetimin talep ettiği sıklıkta gerçekleştirir. Denetimler, üst yönetimin görevlendirdiği taraflarca gerçekleştirir. Sonuçlar, İK-FR-17 Kişisel Verilerin Korunması İç Denetim Raporu ile kayıt altına alınır.