ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI
1.GİRİŞ
1.1.Amaç
Özel Nitelikli Kişisel Veri Güvenliği Politikası (“
Politika”)
GURUDAN TURİZM DANIŞMANLIK ORGANİZASYON REKLAM SANAYİ VE TİCARET ANONİM ŞİRKETİ (“
Şirket”)’nin veri kayıt ortamlarında yer alan özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket çalışanlarına ve çalışan adaylarına ait özel nitelikli kişisel verilerin, T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“
Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı doğrultusunda özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilmektedir.
1.2.Kapsam
Şirket, yalnızca kanunlarda açıkça öngörülen ve hukuki yükümlülüğünü doğuran hallerde aydınlatma yükümlülüğünü yerine getirerek, gerekmesi halinde, açık rıza teminiyle çalışanlarına ve çalışan adaylarına ve müşterileri ile potansiyel müşterilerine dair özel nitelikli kişisel verileri işlemektedir. Şirket tarafından yönetilen özel nitelikli kişisel verilerin işlendiği tüm veri kayıt ortamları ve özel nitelikli kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanmaktadır.
1.3.Tanımlar
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Veri Kayıt Ortamı |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
|
Sağlık Bilgileri |
Kişilerin hastalık ve engel durumlarını gösterir her tür bilgi
|
2.SORUMLULUK, KAYIT ORTAMI VE KULLANIM KURALLARI
Özel nitelikli kişisel verilerin güvenliği, sorumlu birim ya da veri işleyen(ler) tarafından sağlanmaktadır:
Veri Kategorisi |
İlgili Kişi |
Sorumlu Birim/Kişi |
Kayıt Ortamı |
Süreç ve Açıklama |
Sağlık Bilgileri |
Müşteri |
Şirket Ortağı/Yöneticisi |
Arkman Yazılım Programı |
Müşteri sağlık bilgileri kanuni zorunluluk hallerinde, sözleşmesel yükümlülüklerden kaynaklı olarak (Oteller ve havayolu/karayolu şirketleri rezervasyon işlemlerinin tamamlanabilmesi için kişinin bazı sağlık verilerini talep edebilmektedir) ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla işlenir ve aktarılır.
Şuur kaybı gibi fiili imkânsızlık hallerinde bu bilgiler özel hayata saygı ilkesi gözetilerek müşteri yakınına ve yetkili resmi makamlara aktarılır. |
3.VERİLERİN KORUNMASI VE AKTARIM KURALLARI
Veri güvenliğine ilişkin tedbirler işbu Politikayla ve haricen Şirket Ortağı/Yöneticisi tarafından belirlenmektedir. Özel nitelikli kişisel verilere sorumlu birim dışında Şirket yönetimi dâhil üçüncü kişiler tarafından erişim sağlanamamaktadır.
Özel durumlarda talepte bulunan birim ve/veya kişilere, gerekli görülmesi halinde, sorumlu birim tarafından özel nitelikli kişisel verilere ilişkin “uygundur/uygun değildir” şeklinde genel bir açıklama yapılabilmektedir.
Özel nitelikli kişisel verilerin bulunduğu veri kayıt ortamları, yine özel durumlarda sorumlu birimin refakatinde incelenebilmekte olup; bu verileri ihtiva eden belge ve kayıtların çoğaltılması, bu incelemelerde temin edilen özel nitelikli kişisel verilerin başkaca kayıt ortamlarında kullanılamamaktadır.
Resmi kurum veya kuruluşlara kanuni zorunluluk nedeniyle yapılacak aktarımlar dışında, özel nitelikli kişisel veriler üçüncü kişi/kurumlara doğrudan ilgili kişinin talebi ya da onayı olmaksızın aktarılamamaktadır.
Kişisel veri aktarımları:
- Resmi kurum veya kuruluşun elektronik sistemi üzerinden,
- Elektronik ortamda tercihen SFTP yöntemiyle veya ikincil bir yöntem olarak kurumsal e-posta adresinden kurumsal e-posta adresine e-posta içeriğinde özel nitelikli kişisel veri bulunmayacak şekilde e-posta ekinde ilgili belgenin şifrelenmesi yöntemiyle,
- Şirket tarafından kullanılan çevrimiçi yazılım içerisinde erişim yetki kısıtlamaları ile yalnızca ilgili bulunan yetkili tarafından görülecek şekilde şifrelenmesi yöntemiyle,
- Kâğıt ortamında gerçekleşen aktarımlarda posta/kargo zarfına konulmadan önce üzerinde gizlidir ibaresiyle ayrı bir kâğıt zarf içerisinde ilgili evrakın sigortalanması suretiyle iadeli taahhütlü olarak yapılacaktır.
4. POLİTİKA’NIN SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda hazırlanır. Elektronik ortamda hazırlanan Politika Şirket birimlerinin yöneticilerine bildirilir. Basılı kâğıt nüshası İnsan Kaynakları tarafından saklanır.
5.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
6.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, imza tarihinde yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları İnsan Kaynakları tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Şirket Ortağı/Yöneticisi tarafından Arşivde bulunan kilitli dolaplarda saklanır.