SED-CEM TURİZM EĞİTİM SAĞLIK İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİ HAKKINDA KURUMSAL POLİTİKA BİLDİRGESİ

İÇİNDEKİLER

GİRİŞ
Madde 1 - Kapsam
Madde 2 - Dayanak
Madde 3 - Kısaltmalar ve Tanımlar 

BİRİNCİ BÖLÜM
Ayırımcı Koruma Politikasının Sebebi ve Özel Nitelikli Kişisel Veriler
Madde 4- Ayırımcı Koruma Politikasının Sebebi
Madde 5 - Özel Nitelikli Kişisel Veriler

İKİNCİ BÖLÜM
Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politikasına İlişkin Esaslar ve Kapsamı
Madde 6 - Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politikasına İlişkin Esaslar
Madde 7 - Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politikasının Kapsamı

ÜÇÜNCÜ BÖLÜM
İlkeler ve Veri Sorumlusu Tarafından Alınması Gereken Önlemler
Madde 8 - İlkeler
Madde 9 - Veri Sorumlusu Tarafından Alınması Gereken Önlemler

DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Madde 10 - Özel Nitelikte Kişisel Verileri İşleme, Saklama ve Erişilme  Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev TanımlarıSed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketinden; 
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİ HAKKINDA KURUMSAL  POLİTİKA BİLDİRGESİ

 GİRİŞ

 Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketi Müdürler Kurulu’nun 02.09.2019 tarih ve 11 sayılı Kararıyla, bu “Kişisel Veri Güvenliği Kurumsal Politika Bildirgesi” kabul edilerek ilan edilmiştir

Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirket’i Müdürler Kurulu;

Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketi’nin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak için özel nitelikli kişisel verilerin güvenliğine ilişkin sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir kurumsal politikasını belirleyen bu  Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında Kurumsal  Politika Bildirgesi’ni ilan eder.

Kapsam

Madde 1 – (1) Bu Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında Kurumsal  PolitikaBildirge hükümleri, Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketi  ve çalışanları ile alıcı grupları hakkında uygulanır.

Dayanak

Madde 2 – (1) Bu Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında Kurumsal  PolitikaBildirge hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesi ve Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarih ve 2018/10 sayılı “Yeterli Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu Kararının (1) numaralı maddesi    hükümlerine dayanılarak hazırlanmıştır.

Kısaltmalar ve Tanımlar

Madde 3 – (1) Bu Bildirge’nin uygulanmasında;

– Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

– Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

– Başkan: Kişisel Verileri Koruma Kurumu Başkanı’nı,

-Bildirge: Bu Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında Kurumsal  Politika Bildirge’sini ,

– Güvenlik İç Yönergesi : Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirketi Müdürler Kurulunun 19.08.2019 tarihli ve 8 sayılı Kararı ile kabul edilen Özel Nitelikli Kişisel Verilerin Güvenliği Hakkında  İç Yönerge’yi,

– İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

-İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

-İrtibat kişisi: Türkiye’de yerleşik olan Şirket’in ve veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişiyi,

-Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

– Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

– Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

– Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

– Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

– Kişisel veri işleme envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kurul : Kişisel Verileri Koruma Kurulunu,

– Kurul Kararı : Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarih ve 2018/10 sayılı “Yeterli Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu Kararı’nı,

– Kurum : Kişisel Verileri Koruma Kurumunu,

– KVG Rehberi :Kişisel Veri Güvenliği Rehberi – Teknik ve İdari Tedbirler: (KVKK Yayınları ISBN: 978 – 975 – 19 – 6834 – 0, Ocak 2018 Ankara),

Sicil : Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’ni,

– Şirket :Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirket’ini,

Veri işleyen: Şirket’in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

-Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,

– Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

– Veri konusu kişi grubu: Şirket’in kişisel verilerini işledikleri ilgili kişi kategorisini,

– Veri sicil bilgi sistemi (VERBİS): Şirket’in Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,

– Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Sed-Cem Turizm Eğitim Sağlık İnşaat Sanayi Ticaret Limited Şirket’i,

ifade eder.

BİRİNCİ BÖLÜM

Ayırımcı Koruma Politikasının Sebebi ve Özel Nitelikli Kişisel Veriler

 

Ayırımcı Koruma Politikasının Sebebi

Madde 4 – (1) Özel nitelikli kişisel veriler,öğrenilmesi halinde ilgili kişi hakkında ayırımcılık yapılmasına veya mağduriyete neden olabilecek nitelikte verileri olup, diğer kişisel verilere nazaran korunmasının ayrı bir kurumsal politikanın uygulanmasını zorunlu kılmaktadır.

Özel Nitelikli Kişisel Veriler

Madde 5 – (1)KVK’nın 6 ncı maddesinde belirtilen özel nitelikli kişisel veriler, kişinin mutlak olmayan sınırlı sayıda hak ve özgürlüklerindendir.

(2) Özel nitelikli kişisel veriler, kişilerin; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

 

İKİNCİ BÖLÜM

Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politikasına İlişkin Esaslar ve Kapsamı

 

Özel Nitelikli Kişisel Veri Kurumsal Politikasına İlişkin Esaslar

Madde 6 – (1)KVK’nın 12 nci maddesi ve Kişisel Veri  Güvenliği Rehberinin 2.3 maddesi ile Kurul Kararı gereğince, özel nitelikteki kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar ister elektronik ortam ister fiziksel ortam olsun, kişisel veri işleme envanterine uygun olarak bu Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politika Bildirgesi hazırlanmış bulunmaktadır.

(2) Özel Nitelikli Kişisel Veri Güvenliği Kurumsal Politika Bildirgesinin hazırlanmış olması; özel nitelikli kişisel verilerin KVK, KVG Rehberi ve Kurul Kararına uygun biçimde güvenliğinin sağlandığına yönelik bir kurumsal politikanın uygulandığı anlamına gelmez.

Özel Nitelikli Kişisel Verilerin Güvenliği Kurumsal  Politikasının Kapsamı

Madde 7 – (1) Özel nitelikli kişisel verilerin güvenliği kurumsal politikası asgari olarak;

a) Özel nitelikli kişisel veri işleme, saklama ve/veya erişilme politikasının hazırlanma amacına,

b) Özel nitelikli kişisel veri işleme, saklama ve erişilme politikası ile düzenlenen kayıt ortamlarına,

c) Özel nitelikli kişisel verileri işleme, saklama ve erişilme politikasında yer verilen hukuki, teknik ve idari terimlerin tanımlarına,

ç) Özel nitelikli kişisel verilerin işlenmesini, saklanmasını ve erişilmesini gerektiren hukuki, teknik, idari ya da diğer sebeplere ilişkin açıklamaya,

d) Özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini ve muhafazasını sağlamak amacıyla güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlere,

e) Özel nitelikli kişisel verileri işleme, saklama ve erişilme süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,

f) Özel nitelikli kişisel verileri saklama ve imha sürelerini gösteren tabloya,

g) Özel nitelikli kişisel verilerin periyodik imha sürelerine,

ğ) Mevcut özel nitelikli kişisel veri işleme, saklama ve erişilme politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.

ÜÇÜNCÜ BÖLÜM

İlkeler ve Alınması Gereken Önlemler

 

İlkeler

Madde 8 – (1) Veri Sorumlusu; özel nitelikli kişisel veri güvenliğine ilişkin iyi bir politikanın hazırlanması ve uygulanması için aşağıda belirtilen ilkelere uyar:

A.Genel ilkeler

Veri Sorumlusu, özel nitelikli kişisel verilerin güvenliğine ilişkin olarak aşağıda belirtilen genel ilkelere uyar (KVK m.4):

a) Hukuka ve dürüstlük kurallarına uygun olma.

Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir sistem olmalı.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

B.Özel ilkeler

Veri Sorumlusu, özel nitelikli kişisel verilerin güvenliğine ilişkin olarak aşağıda belirtilen özel ilkelere uyar :

a) Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir sistem olmalı.

b) Özel nitelikli kişisel verilerin güvenliğine yönelik kurallar ayrı olarak net bir şekilde belli olmalı.

c) Özel nitelikli kişisel verilerin güvenliği arı şekilde yönetilebilir olmalı.

ç) Özel nitelikli kişisel verilerin güvenliği ayrı şekilde sürdürülebilir olmalı.

Veri Sorumlusu Tarafından Alınması Gereken Önlemler

Madde 9 – (1)Özel nitelikli kişisel veri işleyen Veri Sorumlusu tarafından, kişisel veri güvenliğine ilişkin olarak aşağıdaki konularda önlemlerin alınması sağlanır:

a) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

b) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam olursa,

c) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam olursa,

ç) Özel nitelikli kişisel veriler aktarılacaksa,

d) Özel nitelikli kişisel verilerin düzenli kontrollerin yapılması, belgelenmesi, geliştirilmesi, güncellenmesi,

e) Özel nitelikli kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

 

 

Özel Nitelikli Kişisel Verileri İşleme, Saklama ve Erişilme Süreçlerinde Yer             Alanların Unvanları, Birimleri ve Görev Tanımları

 

Madde 10 – (1) Veri Sorumlusu’nda  kişisel verilerin; işleme araçları ve vasıtalarının belirlenmesi,veri kayıt sisteminin kurulması, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması, kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kapsamında, göreviyle sınırlı illiyet bağı kurulan aşağıdaki birimlerin müdürleri, ve/veya şefleri ile yardımcıları sorumludurlar:

a)      Genel Müdürlük

b)     Muhasebe ve Satın Alma

c)      İnsan Kaynakları,

d)     Bilgi İşlem,

e)      Satış Pazarlama

f)       Ön Büro ve Rezervasyon

g)      Mutfak

h)     Kat Hizmetleri

i)       Yiyecek & İçecek Servis

j)       Teknik Servis

 

(2) Kişisel verileri saklama ve imha süreçlerinde yer alan üstte (1) inci fıkrada belirtilen birimlerde çalışan unvanlara sahip kişilerin; görev tanımları Yönetim İç Yönergesi’nde yer almaktadır.