Kişisel Verilerin Korunması 19 Ekim 2021, 15:48
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
- Amaç
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Bodrum Belediyesi (‘’Belediye’’)’nin kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunmasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.
- Tanımlar
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hale getirme Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Bilgi Güvenliği Politikası Bilgi İşlem Müdürlüğünün yayınladığı Bilgi ve Sistem Güvenliği Politikaları Yönergesi
Envanter Belediye nezdinde oluşturulan Kişisel Veri İşleme Envanteri’ni ifade eder.
Hukuka Uygunluk Sebepleri Normal Nitelikli Kişisel Veriler için;
- Açık Rıza
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç)Veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için
zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Veriler için;
- Açık Rıza
- Sağlık ve cinsel hayat dışındaki özel nitelikli veriler kanunlarda öngörülen sebeplerle
- Sağlık ve cinsel hayata ilişkin veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
İkincil Mevzuat Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.
İlgili Kullanıcılar Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
Kanun 6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder.
Kişisel Veri/ler Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin işlenmesi Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul Kişisel Verileri Koruma Kurulu’nu ifade
eder.
Kurum Kişisel Verileri Koruma Kurumu’nu ifade
eder.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Sicil/VERBİS Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.
Silme Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Saklama ve İmha Politikası Belediye’nin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, saklama ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.
Belediye Bodrum Belediyesi’ni ifade eder.
Veri İşleyen Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Koruma Komisyonu Belediye’nin Veri Koruma Komisyonu’nu
ifade eder.
Veri Sahibi Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, çalışanları, çalışan adaylarını, vatandaşları, sözleşme taraflarını ve tedarikçileri de kapsar.
Veri Sorumlusu Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili Hakkında Yönetmelik
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı, Kanun’un 16. Maddesi uyarınca hazırlanmıştır.
Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
- Kapsam
Belediye bünyesindeki kişisel veriler, Veri Sorumlusu olan Belediye’nin koruması altındadır. Belediye, Kanun çerçevesinde Kişisel Veriler’in hukuka uygun olarak işlenmesini ve güvenli şekilde muhafazasını sağlamak için teknolojik ve alt yapısal imkânlarını kullanarak, gerekli teknik ve idari tedbirleri almaktadır. Belediye Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.
- Esaslar
- Kişisel Veriler’in İşlenmesinde Uyulacak Genel İlkeler
- Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak
İşlenmektedir.
Belediye, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda, Belediye, Kanun ile getirilen kurallara uygun olarak Kişisel Veriler’i işlemektedir. Ayrıca Belediye Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenleme ve kararları takip etmekte ve uyum sağlamaktadır.
- Kişisel Veriler, Doğru ve Gerektiğinde Güncel Olmalıdır.
Belediye; işlediği Kişisel Veriler’in doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Belediye, Kişisel Veriler’in doğru ve güncel tutulabilmesini teminen; Kişisel Veriler’in elde edildiği kaynakları belirlemekte, kişisel verilerin toplandığı kaynağın doğruluğunu test etmekte, Kişisel Veriler’in doğru olmamasından kaynaklı talepleri göz önünde bulundurmakta ve bu kapsamda makul önlemleri almaktadır.
- Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.
Belediye veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Belediye’nin işlediği Kişisel Veriler mevzuat ve verdiği hizmet kapsamı ile bağlantılı ve gereklidir.
- Kişisel Veriler, İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.
Belediye, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Belediye öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.
Ancak Belediye farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceği özellikle dava zamanaşımı süreleri de dikkate alınarak, Belediye, çalışanlarının ve vatandaşların hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için azami muhafaza süreleri esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Belediye Kişisel Verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Bunlara ek olarak, Belediye Saklama ve İmha Politikası’nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.
- Aydınlatma
Veri Sahibi’nin Kişisel Veriler’inin işlendiği her anda veya işlendiği anı takip eden ilk fırsatta Veri Sahibi’ne veri işleme faaliyetine ilişkin Aydınlatma yapılır. Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,
- Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
- İşlenen verinin türü
- Veri toplama yöntemi ve hukuki sebebi,
- Veri işleme amaçları,
- Veri aktarımının amacı ve kimlere veri aktarılacağı,
- Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
Veri Sahibi’ne açıklanacaktır.
Aydınlatma elektronik olarak, sözlü veya yazılı olarak yapılabilir.
Belediye Veri Sahipleri’ne karşı aydınlatma yükümlülüğünü, Kişisel Veriler’inin elde edilme yöntemlerine uygun şekillerde yerine getirmektedir. İlgili Kullanıcı’lar bu konuda bilgilendirilmiştir.
Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.
- İşleme Şartları
- Kişisel Veriler’in İşlenmesi
Belediye tarafından Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in Hukuka Uygunluk Sebeplerinden bir veya birkaçına dayalı olarak işlenmektedir. Belediye Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak işlemektedir.
Bu kapsamda:
- Kişisel Veriler, Veri Sahibi’nin Açık Rıza’sı ile işlenebilir.
- Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Açık Rıza’sı
aranmaksızın da Kişisel Verileri’nin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi;
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;
- Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
- Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması;
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
- Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri
Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Envanter üzerinde Belediye tarafından verisi işlenen tüm veri grupları için Hukuka Uygunluk Sebepleri belirlenmiştir.
- Özel Nitelikli Kişisel Veriler’in İşlenmesi
Kanun, Özel Nitelikli Kişisel Veriler’in işlenmesi için Normal Nitelikli Kişisel Veriler’den farklı koşullar belirlemiştir.
Bu kapsamda:
- Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile işlenebilir.
- Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı aranmaksızın işlenebilir.
- Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.
Açık Rıza alınması gereken durumlar Belediye tarafından belirlenmiş ve İlgili Kullanıcılar Açık Rıza alma usul ve esasları hakkında bilgilendirilmiştir.
Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen ek önlemlerin alınması gerekir. Belediye, “Veri Güvenliği Denetim Listesi” ile kendini düzenli olarak denetlemektedir.
- Rıza
- Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür
iradeyle açıklanmış olması gerekmektedir.
- Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilmesi gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır.
- Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı
olarak verilmelidir.
- Açık Rıza yazılı olarak alınabileceği gibi elektronik ortamda da alınabilir.
- Rıza, Veri Sahibi tarafından her zaman geri alınabilir.
Belediye Açık Rıza aldığı durumlarda mevzuata uygun hareket etmektedir.
- Kişisel Veriler’in Aktarılması
- Kişisel Veriler’in Yurt içinde Üçüncü Kişilere Aktarılması
Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:
- Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,
- Aktarımın kanunlarda açıkça öngörülmesi,
- Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,
- Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
- Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.
- Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın işlenebilir.
Belediye’nin yurt içinde veri aktardığı taraflar, aktarım amaçları ve Hukuka Uygunluk Sebepleri aşağıdaki tabloda yer almaktadır. Belediye’ye Uyum Projesi kapsamında hazırlanan Aydınlatma ve Açık Rıza Metinleri bu tablo doğrultusunda hazırlanmıştır.
Veri Aktarılan Taraf |
Veri Konusu Kişi Grubu |
Aktarım Amacı |
Hukuka Uygunluk Sebebi |
Talep eden Kamu Kurumu/ Zorunlu Aktarımlar (İşkur, SGK, Kaymakamlık, Savcılık, Teftiş Başkanlığı, Sayıştay, İl Nüfus Müdürlüğü, CİMER, e-belediye vb.) |
Çalışan Vatandaş Tedarikçi Yetkilisi Belediye Başkanı-Meclis- Encümen Üyeleri |
Faaliyetlerin mevzuata uygun yürütülmesi |
Kanun Madde 5/2-a) Kanunlarda açıkça öngörülmesi, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
Eğitim veren kurum ve kuruluşlar |
Çalışan |
Eğitim faaliyetlerinin yürütülmesi |
Kanun Madde 5/2- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. |
Banka |
Çalışan |
Çalışanlar için iş akdi ve mevzuattan |
Kanun Madde 5/2- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya |
|
|
kaynaklı yükümlülüklerin yerine getirilmesi |
ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması |
Anket Şirketleri |
Vatandaş |
Vatandaş memnuniyetine yönelik |
Kanun Madde 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar |
|
|
aktvitelerin yürütülmesi, istatistiksel çalışmalar |
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. |
- Kişisel Veriler’in Yurt Dışına Aktarılması
Kanun’un 9.maddesi uyarınca
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
- Kişisel veriler, hukuka uygunluk sebeplerinden birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
- Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan
- Kullanılan Yazılım/Program/Uygulama Nedeniyle Yapılan Aktarımlar
Kullanılan Program/Yazılım /Uygulama |
Açıklama |
Veri Tabanı Lokasyonu |
Aktarım Amacı |
Hukuka Uygunluk Sebebi |
E-belediye |
İçişleri bakanlığının çevrimiçi sistemi |
Belediye dışı-Yurt içi |
Zorunlu entegrasyon |
Kanun Madde 5/2-a) Kanunlarda açıkça öngörülmesi, ç) Veri sorumlusunun hukuki |
|
|
|
|
yükümlülüğünü yerine getirebilmesi için zorunlu olması |
Web yönetim paneli |
Güvenlik duvarı ile korunan Belediye’nin web sitesinin yönetim paneli |
Belediye dışı-Yurt içi |
İletişim Faaliyetlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Kanun Madde 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. |
Mobilpark SMS |
Belediye’nin SMS’lerinin atıldığı platform. Online servis olarak kullanılmaktadır. Güvenlik BTK tarafından denetlenmektedir. |
Belediye dışı-Yurt içi |
İletişim Faaliyetlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Kanun Madde 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması |
Ekap |
Kamu İhale Kurumunun servisi |
Belediye dışı-Yurt içi |
Zorunlu entegrasyon |
Kanun Madde 5/2-a) Kanunlarda açıkça öngörülmesi, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması |
AssistCRM |
Whatsapp şikayet hattının kullanıldığı firma |
Belediye dışı-Yurt içi |
İletişim Faaliyetlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Kanun Madde 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması |
- Aktarılan Verilerin Güvenliği
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, aktardığı verilerin hukuka uygun işlenmesi ve güvenliğin sağlanmasına ilişkin tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Bu nedenle veri aktarılan taraf seçilirken Kanun ve ilgili mevzuat çerçevesinde gerekli teknik ve idari tedbirleri alabilecek bir taraf seçilmesine özen gösterilmelidir.
Özellikle veri aktarılan tarafın bir Veri İşleyen olması halinde, Veri İşleyen ile imzalanan sözleşmenin yazılı olması, Veri İşleyenin sadece Veri Sorumlusunun talimatları
doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Saklama ve İmha Politikasına uygun olması önerilmektedir. Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması önem taşımaktadır.
Belediye veri aktardığı taraflarla imzaladığı sözleşmelerde Kanun ve ilgili mevzuat gereği yer alması gereken hükümlerin bulunmasını sağlamaktadır.
- Veri Sahibi’nin Hakları
Belediye, Veri Koruma Komisyonu aracılığıyla Veri Sahibi’nin Kanun’un 11. maddesinde sayılan haklarını kullanmasını sağlamak amacıyla bir başvuru formu oluşturmuş ve internet sitesinde yayınlamıştır.
Veri Sahibi, Belediye ve Veri Koruma Komisyonu tarafından belirlenen politika ve prosedürlere uygun olarak yapılmış bir talep ile kendi Kişisel Verileri hakkında:
- Belediye’nin Veri Sahibi hakkında Kişisel Veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,
- Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek,
- Kişisel Veriler’in yurt içi veya yurt dışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek
hakkına sahiptir.
Veri Sahibi’nin, ayrıca Belediye’den yanlış ve eksik Kişisel Veriler’ini düzeltmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.
Veri Sahibi, Kanun’un 7. maddesi uyarınca, Kişisel Veriler’inin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini ve yok edilmesini Belediye’den talep edebilir. Kişisel verilerinin Kanun’a aykırı olarak işlenmesi sebeiyle zarara uğradığını iddia eden Veri Sahibi, zararının giderilmesi için yetkili yargı merciine talepte bulunabilir.
Veri Sahibi talebini Belediye’ye, Belediye internet sitesinde yayınlanan “Başvuru Formu”nu yazdırıp, doldurup posta yoluyla veya veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Belediye’ye daha önceden bildirmiş olduğu ve Belediye sistemlerine kaydedilmiş olan e-posta adresini kullanarak iletebilir. Başka türlü iletilen talepler usule uygun olmayacağı için kabul edilmeyecektir.
Veri Sahibi’nden bir talep alan tüm iş birimleri 24 saat içerisinde bu talepleri Veri
Koruma Komisyonu’na bildirecektir.
Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Belediye, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Belediye tarafından dikkate alınmayacaktır. Böyle bir durumda Belediye başvuru sahibine, başvurunun işleme konulmamasına ilişkin 30 gün içerisinde bilgi verecektir.
Belediye belirtilen sürede talebe tam olarak cevap veremezse dahi, Veri Koruma Komisyonu herhalükarda söz konusu 30 günlük süre içinde aşağıdaki bilgileri Veri Sahibi’ne sağlamalıdır:
- Veri sahibi’nin talebinin alındığına dair bir teyit,
- O zamana kadar, yöneltilen talebe dair cevap niteliğinde toplanmış bulunan tüm bilgilere dair açıklama,
- Veri Sahibi’nin talep ettiği bilgi veya değişikliğe dair Belediye tarafından verilemeyecek ya da gerçekleştirilemeyecek olanlara dair açıklama, Veri Sahibi’nin talebini red sebebi (sebepleri), ve varsa Belediye içinde karar itiraz prosedürlerine dair açıklama
Belediye Veri Sahipleri’nden gelebilecek başvuruların yönetimi için “Veri Sahibi Başvuru Prosedürü”nü onaylamıştır.
- Veri Güvenliği
- İdari Tedbirler
Belediye, kişisel verilerin işlenmesine ilişkin aldığı idari tedbirleri Envanter ve Saklama ve
İmha Politikası üzerinde belirtmiştir.
- Teknik Tedbirler
Belediye, görevi ve konumu nedeniyle sahip olduğu elektronik ortam ve bilgilerinin paylaşımı ve güvenliği konularında bilgi çağı gereklerine uygun olarak tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek, içeriden ve/veya dışarıdan gelebilecek kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak ve yürütülen faaliyetleri etkin, doğru, hızlı ve güvenli olarak gerçekleştirmek amaçlarıyla Bilgi Güvenliği Politikası hazırlamış ve yürürlüğe koymuştur. Kişisel Verilerin saklanmasında alınan teknik tedbirlerde öncelikli olarak Bilgi Güvenliği Politikası’nın ilgili hükümleri dikkate alınmaktadır. Alınan ek tedbirler Saklama ve İmha Politikası’nda yer almaktadır.
- Belediye’nin Kullandığı Programların/Yazılımların Güvenliği
Belediye’nin kullandığı program, yazılım ve uygulamalar ve bunlara ilişkin alınan güvenlik önlemlerine Saklama ve İmha Politikası’nda yer verilmiştir.
- Veri İhlali Prosedürü
İlgili Kullanıcılardan biri veya birkaçının veri ihlalinden şüphelenmesi üzerine derhal Veri Koruma Komisyonu’na bildirim yapılır. Veri Koruma Komisyonu kendi imkanları veya yeterli olmadığında dışarıdan destek alarak ihlale ilişkin gerekli araştırmayı yapar/yaptırır. Belediye Veri Sorumlusu olarak işlediği Kişisel Veriler’in, kanuni olmayan yollarla başkaları tarafından elde edindiğinden emin olduğu anda, 72 saat geçmeden Kurum’un internet sitesi üzerinden usul ve esaslara uygun bir şekilde veri ihlali bildirimi yapar ve verileri geri getirmek ve zararı gidermek için gereken her türlü teknik ve idari tedbiri alır.
- VERBİS’e Kayıt
Belediye’nin bir kamu kurum ve kuruluşu olarak VERBİS’e kayıt yükümlülüğü bulunmaktadır. Belediye VERBİS’e kayıt yükümlülüğünü yasal süresi içerisinde yerine getirmiştir. Belediye’nin yapmış olduğu bildirimlere ilişkin güncelleme yapması gerekmesi halinde zaman geçirmeden gerekli güncellemeleri yapar.
- Veri Koruma Komisyonu ve Görevleri
Belediye’nin uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin Ummahan YURT Başkan Yardımcısı Komisyon Başkanı Asil, Kürşat KAHVECİ Bilgi İşlem Müdür Vekili Komisyon Üyesi Asil, Naciye Berrak ANTER BALLI Hukuk İşleri Müdür Vekili Komisyon Üyesi Asil, Özlem ACAR Yazı İşleri Müdürü Komisyon Üyesi Asil, Mehmet EROĞLU Özel Kalem Müdür Vekili Komisyon Üyesi Asil, Turgay KAYA Başkan Yardımcısı Komisyon Başkanı Yedek, Serkan AKALAN Yazılım Personeli Komisyon Üyesi Yedek, Pembegül YILDIZ TURAN Şef Komisyon Üyesi Yedek, Mine USLU YAMALI Avukat Komisyon Üyesi Yedek, Murat KURTİNİ Muhtarlık İşleri Müdür Vekili Komisyon Üyesi Yedek’den oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır. Bu kişilerden birinin işten ayrılması halinde yerine yeni bir üye seçilecektir. Veri Koruma Komisyonu üyeleri Belediye’ye duyurulur.
Veri Koruma Komisyonu’nun görevleri aşağıdaki gibidir:
- Bu Politika’yı ve Saklama ve İmha Politikasını okumak, anlamak ve uygulamaya
geçilmesi sürecinde destek vermek,
- Veri Sahibi’nin “Başvuru Formu” doldurarak Belediye’ye ilettiği KVKK’ya ilişkin taleplerini süresi içerisinde, ‘’Veri Sahibi Başvuru Prosedürü’’ doğrultusunda yanıtlamak,
- Belediye’nin işlediği verilerin güncelliğini teyit etmek üzere altı aylık periyodlarda Envanter üzerinden denetim yapmak,
- Belediye’nin Kurum, Kurul ve Sicil ile olan ilişkilerini yönetmek ve yürütmek,
- Envanter’in ve VERBİS kaydının güncel kalmasını sağlamak,
- Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,
- Aydınlatma yükümlülüğünün yerine getirildiğini ve açık rıza metinlerinin ilgili departmanlarca düzenli olarak elde edilerek arşivlendiğini kontrol etmek,
- Aktarım protokollerinin ilgili taraflarla imzalandığını kontrol etmek,
- Saklama ve İmha politikası ve imha sürelerine uyulduğunu düzenli olarak kontrol etmek. İmha süresi gelen verilerin imhasını sağlamak, işlemlerinin loglandığını kontrol etmek,
- Veri güvenliğine ilişkin ‘’Saklama ve İmha Politikası’’nda yer alan teknik tedbirlere uyulduğunu kontrol etmek ve ‘’Veri Güvenliği Denetim Listesi’’ üzerinden düzenli denetimler gerçekleştirmek,
- Veri ihlalinden şüphelenilmesi halinde Politika’nın 4.8.başlığında yer alan Veri İhlali Prosedürünü devreye sokmak,
- Belediye’nin Kanun’a uyumlu olmayan kişisel veri işleme faaliyetlerinden
kaçınmasını sağlamak.
- Sair Hükümler
Bu politika çalışanlara Veri Koruma Komisyonu tarafından sunulacaktır. Bu Politika yayınlandığı anda yürürlüğe girer.
Bu Politika’da her zaman değişiklikler yapılabilir. Yapılan değişikliklerin çalışanlara Veri Koruma Komisyonu tarafından bildirilmesi gerekmektedir.