İBB VE İŞTİRAK ŞİRKETLERİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1. TAKDİM ve KAPSAM
İstanbul Büyükşehir Belediyesi (İBB) ve İştirak Şirketleri için oluşturulan bu politika, gerek 6698 sayılı Kanun ve ek mevzuatı çerçevesinde gerekse kişisel verilerin korunması hukukunda uluslararası yeknesaklığın tesisinde baz alınabilir bir metin olarak Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde İBB ve İştirak Şirketleri’nin kişisel veri işleme faaliyetlerinde uygulayacakları ilkeleri ve prosedürleri düzenler. Kişisel verilerin işlenmesi ve korunması uygulamalarında ulusal mevzuatla uluslararası mevzuatın çelişmesi durumunda ulusal mevzuat öncelikli olarak uygulanır.
Politikanın amacı, İBB ve İştirak Şirketleri’nin işleyişinde kişisel verilerin işlenmesi ve korunması süreçlerinde kurumsal kültürün oluşturulması ile İBB ve İştirak Şirketleri ile İlgili Kişilerin hakları gözetilerek kişisel verilerin korunması mevzuatına uyumluluğun teminidir. Politika oluşturulurken İlgili Kişilerin hakları konusunda azami hassasiyet gösterilmiştir.
2. İBB ve İŞTİRAK ŞİRKETLERİ İRTİBAT KİŞİLERİ KOMİTESİ
İBB ve her İştirak Şirketi kişisel verilerin korunması hukuku çerçevesinde birer irtibat kişisi atar. İBB ve İştirak Şirketlerinin irtibat kişileri arasından beş kişilik bir Komite oluşturulur. Komite’ye İBB irtibat kişisi başkanlık eder. İrtibat kişileri, sorumlu oldukları Şirket’te tutulan kişisel verileri yasal şartlar oluşmadığı sürece birbirlerine açıklamazlar ve aktarmazlar.
İrtibat kişileri, idari ve teknik tedbirler konusunda İrtibat Kişileri Komitesi’nin görüş ve tavsiyeleriyle hareket eder. İdari ve teknik tedbirler konusunda Kişisel Verileri Koruma Kurumu’nca belirlenen ilkeler dikkate alınır. İrtibat kişileri sorumlu oldukları Şirket’in kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder. İrtibat kişisi, kişisel verilerin korunması hukuku kapsamında sorumlu olduğu Şirket birimlerini denetler. Bu denetimler sonucunda gerekli durumlarda ilgili birimleri uyarır ve üst yönetimi durumdan haberdar eder.
İrtibat kişisi, sorumlu olduğu Şirket çalışanlarından ya da bu Şirket’le muhatap olan kişilerden gelen bildirimler, kendi gözlem ve denetimleri doğrultusunda ortaya çıkan idari ve teknik risk ve tehditleri kayıt altında tutar ve bunların giderilmesi konusunda İrtibat Kişileri Komitesi’nin de katkılarıyla planlama yapar.
İrtibat kişileri sorumlu oldukları Şirket’e yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılması konusunda koordinasyonu sağlar, gerekirse bilfiil cevaplandırmayı yapar. İrtibat kişileri, sorumlu oldukları Şirket’in, Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.
3. KİŞİSEL VERİ İŞLEME ENVANTERİ
İBB ve İştirak Şirketlerinin her birimi güncel birer kişisel veri işleme envanteri tutar ve talep halinde bunu irtibat kişisiyle paylaşır. Birim yöneticisi bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde irtibat kişisine ibrazından sorumludur. Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel Şirket politikasının uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler konusunda irtibat kişisi, İrtibat Kişileri Komitesi’yle ortak eğitim planı çıkararak bunu uygulamaya koyar.
4. KİŞİSEL VERİ İŞLEME VE AKTARMAYA İLİŞKİN GENEL İLKELER
İBB ve İştirak Şirketleri, bu politikanın uygulanmasının temini için gerekli idari ve teknik tedbirleri alır ve bunların güncel tutulmasını sağlar. İBB ve İştirak Şirketleri, Politikanın uygulanması amacıyla çalışanlarını eğitir, veri işleyen statüsündeki çözüm ortaklarından gerekli taahhütleri alır. İBB ve İştirak Şirketleri çalışanları, kişisel veri işleme faaliyetlerinde bu politikada yer alan ilke ve ölçütlere riayet ederler.
Mevzuata uygun olarak İBB ve İştirak Şirketleri kişisel veri işleme ve aktarma faaliyetlerinin aşağıdaki ölçütlere uygun olmasını sağlar:
1.Hukuka ve dürüstlük kurallarına uygun olma,
2.Doğru ve gerektiğinde güncel olma,
3.Belirli, açık ve meşru amaçlar için işlenme,
4.İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu ilkesi),
5.İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
5. KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA ŞARTLARI
İBB ve İştirak Şirketleri, kişisel veri işleme faaliyetlerinin 6698 sayılı Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından biri ya da birkaçına dayalı olarak gerçekleşmesini sağlar.
İBB ve İştirak Şirketleri özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nun aldığı kararlar doğrultusunda gerekli önlemleri alır.
Kişisel veri işleme amacı ortadan kalktığında ya da veri minimizasyonu ilkesi doğrultusunda ilgili faaliyet için gerekli verilerden daha fazla kişisel veri işlendiği tespit edildiğinde bu veriler hukuka uygun şekilde imha edilir.
İBB ve İştirak Şirketlerinin faaliyetleri kapsamında kişisel verilerin aktarılması, mevzuatta öngörülen veri aktarım şartlarına tabidir. İBB ve İştirak Şirketleri kişisel verilerin aktarılmasında 6698 sayılı Kanun’un 8’inci ve 9’uncu maddelerine riayet eder. Aktarılan kişilerden veri güvenliğine, verilerin aktarım amacıyla bağlantılı, sınırlı ve ölçülü işlendiğine, aktarım amacı ortadan kalktığında usule uygun şekilde imha edileceğine ve gizliliğine ilişkin olarak taahhüt alınır. İBB ve İştirak Şirketlerinin, veri aktarımı gerçekleştirdiği üçüncü kişilerle olan ilişkilerinde sektördeki teamüller de gözetilir.
6. İBB VE İŞTİRAK ŞİRKETLERİNİN YÜKÜMLÜLÜKLERİ
1.İlgili kişiyi aydınlatma yükümlülüğü
İrtibat Kişileri Komitesi, İBB ve İştirak Şirketleri’nin faaliyetleri kapsamında kişisel verileri işlenen İlgili Kişilerin aşağıdaki bilgiler hakkında aydınlatılması için gerekli yöntem ve uygulamaları belirler:
- Veri Sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel Veri işlemenin amacı,
- Kişisel Verilerin kimlere ve hangi amaçlarla aktarılabileceği,
- Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
- Veri sahibinin hakları.
2.İlgili kişi başvurularını cevaplandırma yükümlülüğü
Veri sorumlusu İBB ve İştirak Şirketleri, yapılan İlgili Kişi başvurularında İlgili Kişinin aşağıdaki hakları olduğunu bilinciyle hareket eder:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Veri işleme şartlarının bulunmadığı ya da ortadan kalktığı durumlarda hukuka uygun olarak kişisel verilerinin silinmesini veya yok edilmesini isteme,
- Düzeltme veya imha işlemlerinin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İlgili kişiler, İBB ve İştirak Şirketleri’ne aydınlatma metinlerinde belirlenen usulde yukarıda sayılan hakları konusunda başvuruda bulunabilirler. İrtibat kişisi belirlenen usule aykırı başvurularda, başvurunun bu yönü hakkında İlgili Kişiyi bilgilendirir, çözüm konusunda iyi niyet ve dürüstlük kuralları çerçevesinde İlgili Kişiyi yönlendirir.
7. Kişisel veri güvenliğine ilişkin idari ve teknik tedbirleri alma yükümlülüğü
İBB ve İştirak Şirketleri, kişisel verilerin korunması mevzuatına uyumluluk için gereken çabayı sarf eder. İBB ve İştirak Şirketleri, bu konuda öncelikli olarak çalışanlarının kişisel verilerin korunması konusunda eğitilmesini sağlar.
İBB ve İştirak Şirketleri kullandıkları bilgi sistemlerinde güvenlik duvarı ve ağ geçidi kullanır. Buna ek olarak antivirüs ve antispam ürünlerinden istifade eder. Gerekli sistem yazılımlarının güncelliğini sağlar. Yazılımlarda yer alan güvenlik açıklarıyla ilgili geribildirimleri dikkate alır ve düzeltir.
İBB ve İştirak Şirketleri kullandıkları yazılımlar aracılığıyla gerçekleştirilen veri işleme faaliyetlerine yetki kısıtlaması getirir.
8. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
İBB ve İştirak Şirketleri bünyesinde işlenen kişisel veriler, kamu hizmetlerinin sunulması, ticari faaliyetlerinin kesintisiz olarak sürdürülmesi, hukuki yükümlülüklerinin yerine getirilmesi, vatandaş ve müşteri ilişkilerinin yürütülmesi, çalışan haklarının planlanması ve yerine getirilmesi amacıyla; Kanun’da yer alan veri işleme sebepleriyle elektronik ya da fiziki ortamlarda güvenli ve hassas bir şekilde saklanır. Anılan sebeplerin ortadan kalkması ve yasal sürelerin geçmesi halinde resen veya ilgili kişinin talebi üzerine bu kişisel veriler niteliğine göre silinir, yok edilir veya anonim hale getirilir.