Disiplin Maddeleri
Şirketlerin mevcut disiplin yönetmeliğine, takdiri tarafınıza ait olmak üzere, aşağıda yer alan KVKK uyarınca uyulması gereken davranışlar eklenebilecektir:
- Çalışan, işleyebileceği her türlü kişisel veri ile ilgili olarak her zaman kişisel verilerin korunmasına ilişkin mevzuatına (KVKK), şirketin kişisel verilerin korunması politika ve prosedürlerine, İş Sözleşmesi’nde yer alan kişisel verilerin korunması ve gizliliğe ilişkin yükümlülüklerine ve bu kapsamda işveren talimatlarına uygun davranacaktır.
- Şirketin ve çalışanların görev aldıkları şirketin işleriyle ilgili olarak çalışan her ne surette olursa olsun edindiği ve oluşturduğu tüm kişisel verilerin sadece iş sözleşmesi kapsamındaki işinin ifası için zorunlu olduğu ölçüde kullanacaktır. Bunun haricindeki bir amaçla hiçbir şekilde kullanmayacak, işlemeyecek, ifşa etmeyecek ve/veya hiç kimseye aktarmayacak ve/veya açıklamayacaktır.
- Kişisel verilerin korunmasına ilişkin mevzuata aykırı hareketleri sebebiyle işvereni cezai veya hukuki yaptırım veya repütasyon kaybı ile karşı karşıya bırakmayacaktır.
- Çalışan, kişisel verilerin korunmasına ilişkin mevzuata ilişkin herhangi bir ihlalde bulunması veya ihlalde bulunulduğundan herhangi bir surette haberdar olması halinde bu durumu derhal işverene bildirecektir.
- Şirket tarafından verilen kişisel verilerin korunması ve bilgi güvenliği dahil ilgili eğitimlere katılacaktır.
- Şirket tarafından tahsis edilen şirket telefonu ve/veya bilgisayarını şahsi amaçlar için kullanmayacaktır.
KVKK Farkındalık Eğitimi, Bilgilendirme, Mevzuat Haberleri ve Çalışmaları
Şirketlerin KVKK farkındalık çalışması kapsamında çeşitli yaklaşımları olmakla birlikte bugüne kadar gerçekleştirdiğimiz KVKK projelerinde öneri ve değerlendirmelerimize istinaden en çok aşağıdaki uygulamaların yerine getirildiği gözlemlenmiştir:
- İşe yeni başlamış çalışanlara verilen oryantasyon eğitimlerinde KVKK uyarınca da dikkate alınması gereken hususlara ilişkin bilgi verilmesi,
- Çalışanlara çeşitli dönemlerde KVKK’ya ilişkin bilgilendirme e-maillerinin atılması (KVK kurulu tarafından yayımlanan karar özetlerinden şirkete uyarlanabilir olanlara ilişkin duyuruların yapılması gibi)
- www.kvkk.gov.tr adresinde yer alan videoların çalışanlarla çeşitli dönemlerde paylaşılarak farkındalık düzeyinin artırılması (örn. Temiz masa uygulaması ve uymayanlara yaptırım uygulanması gibi) (bazı firmaların ajanslar ile çalışarak görsel açıdan da çalışanların dikkatini çekebilecek çalışmalar yaptığı gözlemlenmiştir.)
- KVKK ile ilgili her yıl çalışanlara test uygulanması (örneğin şirket çalışanlarının her yıl almasının zorunlu olduğu İSG eğitimi gibi)
- Çalışanların ekran koruyucuları ile KVKK uyarınca bilgilendirme yapılması,
- KVKK’ya ilişkin ödüllü yarışmaların yapılması,
- Çalışanların hem şirkete ait bilgileri hem de müşteri bilgilerini dışarı çıkarmaması/ekran görüntüsü almaması (kişisel e-posta, harici disk vb. araçlar ile şirket dışına kişisel veri çıkartılamaması),
- Müşterilere ait bilgilerin gerekmemesi halinde üçüncü kişiler ile paylaşılmaması, resmi dairelerden gelen taleplerin KVKK md.28 öngörülen şartları sağlaması halinde paylaşım yapılması (gereğinden fazla veri paylaşılmaması – amaçla ölçülülük ve sınırlılık ilkesi uyarınca)
- Gereksiz çıktı alınmaması (Müşteri bilgilerinin bulunduğu dokümanların iş amaçları dışında çıktısının alınmaması üçüncü kişilerin eline geçmemesi açısından önem arz etmektedir.),
- Özel nitelikli kişisel veri işleyen çalışanlara yönelik periyodik olarak ayrıca “özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan” çalışanlara düzenli bir şekilde eğitimlerin düzenlenmesi (KVK Kurulu’nun yayınladığı idari tedbirler rehberinde de yer almaktadır.),
- Şirket tarafından tahsis edilen cihaz ve uygulamaların (cep telefonu, şirket hattı, email vs.) sadece iş amacıyla kullanılması gerektiği ve işveren olarak söz konusu cihazların denetlenebileceği ve kişisel verilerinin kesinlikle iş bilgisayarlarında tutulmaması hususlarının çalışanlara bildirilmesi ve bildirimin yapıldığının kanıtlanabiliyor olması,
- Şirket içi paylaşımda gerekli olmayabilecek bilgi/belgelerin diğer çalışanlarla paylaşılmaması,
- Gönderilen e-maillerin içeriğinin ve alıcı bilgilerinin kontrol edilmesi.
Verbis Kayıt Hükümlülüğü ve Güncellenmesi
Özlük Dosyalarının Güvenliliği Sağlanması
Çalışan yakınları verilerinin işlendikten sonra imhası ve çalışan yakınlarının bilgisinin 2. amaçlarla kullanılabileceğinin aydınlatılması GENEL AYDINLATMA METNİNİN İNTERNET SİTELERİNDE YAYINLANMASI
- Şirketin AGİ gibi yükümlülüklerini yerine getirmesi KVKK uyarınca veri sorumlusunun hukuki yükümlülüğü kapsamında değerlendirilmektedir. Ancak bazı durumlarda çalışanların eşlerine/çocukları ile çıktıkları yurt içi/yurt dışı seyahat gibi süreçlerin de işveren tarafından yerine getirilebildiği gözlemlenmektedir. Bu itibarla söz konusu değerlendirme eklenmiştir. Böyle bir durumda, çalışan yakınlarına ait kişisel veriler şirkete aktarılırken çalışanlardan ilgili kişilere gerekli bilgilendirmeyi yaptığına ilişkin bir taahhüt (ıslak imzalı metin ya da e-mail) alınabilecektir. Önemine binaen, böyle bir sürecin yerine getirilmesinin akabinde çalışan yakınlarına ilişkin kişisel verilerin şirketin sisteminden silinmesi/yok edilmesi/anonimleştirilmesi gerektiğini belirtmek isteriz.
- Çalışanlar için hazırlamış olduğumuz aydınlatma ve açık rıza metinlerinde yakınlarına ilişkin verilerin de işlenebileceği belirtilmiştir. Bu itibarla çalışanlar için bu metin yeterli olacaktır. Diğer taraftan çalışan yakınlarına ilişkin süreçlerin yer aldığı Cengiz Şirketlerine ait envanterlere istinaden çalışan yakınlarının da verisinin işlendiğine ilişkin hususlara genel aydınlatma metninin içerisinde yer verilmiştir. Sizinle ayrıca paylaşılacaktır.
18 Yaşından Küçük Stajyer Çalışanlarının Veli/Vasi’den Aydınlatma Metni Alınması
Yetki Maddesi Hazırlaması
- KVK kurumu tarafında yayınlanmış metinlerden de anlaşılacağı üzere yetki matrisi yazılımlar için (kullanıcı adı ve şifre dediği için) istenmektedir ancak fiziksel güvenliğin sağlanması da yine kurum beklentileri arasındadır.
- Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır. Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
- Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması önemlidir.
- Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, cd, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.
- Veri maskelemesi, anonimleştirme ile ilgili teknikler arasında yer almaktdır. Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 ** ** 0006) kurum içerisinde hangi imha yönteminin kullanılacağına karar verildikten sonra maskeleme tercih edilirse ana kural, maskelenmiş verilerden kişilerin belirlenemez hale gelmiş olmasıdır.
Veri Kaybı Önleme Yazılımlarının Kurulması ve Yedekleme Çalışmalarının Yapılması
Güvenlik Duvarı ve Anti Virüs Sistemlerinin Kurulması, Mahtar Yönetimi Uygulaması
Çağrı Merkezi KVKK Anonsu
Sistem/Uygulama/Platform Korumayla İlgili Yazılı Taahhüt Alınması
Kurum İçi Periyodik ve Rastgele Denetim Yapılması → KVKK KOMİTE
- Bu konuda şu ana kadar yayınlanmış ISO benzeri bir denetim ya da rapor şablonu bulunmamaktadır.
Silme Yok Etme ve Anonim Hale Getirme → Süre Matrisleri Ektedir. → KVKK KOMİTE
Aydınlatma Metinlerinin Güncellenmesi 7 Gün Verbis
- Kişisel veri işleme envanterinde esaslı bir değişiklik olması halinde (örneğin yeni bir süreç eklenmesi ya da envanterde yer alan mevcut sürecin artık uygulanamaz olması ya da bir süreçte işlenmeyen yeni bir verinin artık işleniyor olması gibi) hem verbis kaydının hem de aydınlatma metinlerinin ve hatta gerekmesi halinde açık rıza metinlerinin güncellenmesi gerekecektir. Örneğin selçukgaz şirketinde bireysel müşterilere pazarlamaya yönelik faaliyetlerin yürütülmesi de söz konusu olacak ise buna ilişkin durumun kişisel veri işleme envanterine, verbis’e, aydınlatma metnine ve açık rıza metnine yansıtılması gerekecektir. Bir başka ifadeyle sizinle paylaşmış olduğumuz metinler mevcut durumu göstermekte olup şirket içerisinde meydana gelecek değişikliklerin de bu doğrultuda yerine getirilmesi gerekecektir. Önemine binaen kişisel veri işleme envanterinde meydana gelecek değişikliklerin 7 (yedi) gün içerisinde verbis’e kanun uyarınca kayıt yapılması gerekmektedir.
KVKK Şikayetlerinin Alınması
KVKK Şikayetlerinin Sonuçlandırılması→ KVKK KOMİTE
Aydınlatma Metinlerinin Çalışan, Çalışan Adayı, Stajyer, Tedarikçi, Taşeron Müşterilere İmzalatılması İPC Var→ ilgili bölümler
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ uyarınca veri sorumlusu tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebilmektedir. Veri sorumlusu bu yöntemlerden hangisini kullanacağına kendisinin karar vereceği anılan tebliğ’de belirtilmektedir. KVK kurulu tarafından yayımlanan rehberde aydınlatma yükümlülüğünün yerine getirilmesine ilişkin yöntemlere örnek olarak “veri sorumlusu tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma gibi), yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi), ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması, mobil uygulamalar gibi) verilmiştir. Kurum, bu şekilde ilgili kişilerin okudukları, gördükleri ya da duyduklarında anlayabilecekleri kadar açık, sade, anlaşılabilir ve tereddüde yer bırakmayacak aydınlatmalar yapılabilmesinin mümkün olduğunu belirtmektedir.
Takdiri tarafınıza ait olmak üzere aşağıdaki yöntemlerin yanı sıra yukarıdaki yöntemlerin de değerlendirilmesi uygun olacaktır:
1) Çalışanlar için şirketin internet/portal gibi iç duyurularını gerçekleştirdiği bir platform üzerinden ya da e-mail ile ya da aydınlatma/açık rıza metninin yazılı olarak iletilmesi,
2) Çalışan adayları için e-mail ile görüşme davetiyesine eklenebilir ya da görüşmeye geldiği esnada aydınlatma/açık rıza metninin basılı bir kâğıt ile iletilmesi,
3) Tüzel kişi veya gerçek kişi tacir müşterilerin, tedarikçilerin çalışanları/irtibat kişileri/ortakları/yetkilileri veya hizmetlerinden faydalandığı tüzel kişilerin veya gerçek kişi tacirlerin çalışanları/irtibat kişileri/ortakları/yetkilileri için internet sitesine genel aydınlatma metninin eklenmesi, ek olarak;
- Şirket ile yukarıda belirtilen ticari ilişki çerçevesinde herhangi bir kişisel veri aktarımı söz konusu ise bu sözleşmelere KVKK’ya uygun bir hüküm eklenmesi,
- Sözleşmenin karşı tarafı gerçek kişi tacir ise sözleşmeye ek olarak (ayrı bir sayfada) aydınlatma metnine yer verilmesi
Kamera kayıtları yetkilisinin periyodik olarak gözden geçirilmesi.
Kamera kayıt notu “Bu iş yeri 24 saat güvenlik sebebiyle kamerayla izlenmekte ve kaydedilmektedir.” şeklinde asılacak.
Aydınlatma Metinlerinin Ziyaret Noktaları/Ortak Alan
Her bir kameranın altına kamera ikonu görülebilecek şekilde yapıştırılmalı.
- Takdiri tarafınıza ait olmak üzere her kamera altına görsel eklenebileceği gibi şirketin belirli yerlerinde herkesin görebileceği bir şekilde şirket içerisinde kamera ile izlenme olduğuna ilişkin bilgilendirme de yapılabilecektir.
Ziyaretçi Defterinin Güvenliğinin Sağlanması
- Ziyaretçi defterinin gün içerisinde güvenlik personelinin kontrolünde tutulması, kimse ile paylaşılmaması ve gün sonlarında kilitli bir dolaba kaldırılması şeklinde önlem alınması uygun olacaktır.
Çalışanın İşe Uygunluk Tespitinin Taşerona Bırakılması
Aydınlatma Metinlerinin Alınması
- Genel aydınlatma metni içerisinde yer verilmiştir. Sizinle paylaşılacaktır. Aydınlatma yükümlülüğü tek taraflı bir beyanla yerine getirilebilmektedir. Bu itibarla, aydınlatma metni için imza alınmasına gerek olmayıp bu yükümlülüğün yerine getirildiğinin ispat edilmesi yeterli olacaktır. (E-mail ile aydınlatma yükümlülüğünün paylaşılması gibi)
Sağlık Raporu Detaylarının İş Yeri Hekiminde Saklanması ve İletilmesi, Eğer Olmuyorsa Sağlık Verilerinin İK’dan Belirlenen 1 Kişinin Ulaşması
İşten Ayrılan Çalışanın Yetkilerinin İptal Edilmesi
Acenta ve 3. Kişi Şirketlerle Hukuk Maddeleri ile Sözleşmelerinin Rezerve Edilmesi
- KVKK’ya göre sözleşmelere uygun madde eklerken öncelikli olarak sözleşmenin taraflarının hukuki nitelendirmesinin yapılması gerekecektir. İlgili sözleşme uyarınca tarafların veri sorumlusu mu yoksa veri işleyen mi olduklarının ve kişisel veri aktarımının hangi taraftan hangi tarafa aktarıldığının tespitinin gerçekleştirilmesi gerekmektedir. Buna ilişkin örneklerin yer aldığı daha önce paylaştığımız sözleşme raporunu inceleyebilirsiniz.
İş Mahkemeleri Hukuk Tarafından Mahkemelerde İstenecek Kısıtlı ve Sınırlı Ölçütlerin Hazırlanması
Özgeçmişlerdeki E-Mail veya Faks Yoluyla Gelen Kişilere Geri Aydınlatma Metninin İletilmesi
- Takdiri tarafınıza ait olmak üzere, e-mail veya faks yoluyla CV iletilmesi halinde öncelikli olarak örneğin Cengiz Holding’in internet sitesinde yer alan kariyer sayfasına yönlendirme yapılarak başvuruların bu kanal üzerinden alınması önerilmektedir. Tarafınıza e-mail, faks yoluyla iletilen CV’ler için internet sitesine yönlendirme yapılırken ek ile çalışan adayı aydınlatma metnine de yer verilebilecektir.
- Benzer şekilde internet sitesinde kariyer sayfası olmaması halinde e-mail/faks üzerinde gelen özgeçmişlere ilişkin olarak ilgili kişilerin birtakım kişisel verileri işlendiği için aydınlatma yükümlülüğünün yerine getirilmesi gerekecektir. Bu itibarla, çalışan adayının e-mail iletmesi halinde e-mail ile faks üzerinden iletmesi üzerinden faks ile “CV’niz şirket tarafından değerlendirmeye alınmıştır. Başvuru ile ilgili bilgi…….. Ayrıca aydınlatma metnimize ilişikte bulabilirsiniz.” Bu mealde bir dönüş yapılması uygun olacaktır.
Özel Nitelikli Kişisel Verinin Aktarımı CD- DVD Yapılıyorsa Kriptografik Yöntemle Şifrelendirilmesi, Kurumsal E-Posta, Kep Adresi İle Yapılması, Fiziksel Ortamda Gerçekleşmesi Durumunda Vpn- Sftp Yöntemlerinins Kullanılması
İnternet Sitesi İhlalbildirim.Kvkk.Com.Tr, 72 Saat İçinde Bildirim
- Takdiri tarafınıza ait olmak üzere bildirimi yapacak birim için genellikle kurumsal iletişim departmanı veya KVKK komitesine liderlik eden departman (farklı birimlerden gerekli verileri daha kolay topladığı için) seçilmektedir.
Süresi Geçen Kişisel Verilerin İmhası
- Veri imhası işlemini kimin gerçekleştireceği kurumun elinde yer alan merkezi toollara ve organizasyon yapısına bağlı olarak değişiklik göstermektedir. Merkezi bir ürün vasıtasıyla gerçekleştirilecekse bu sorumluluk tek bir bölüme verilebilir ancak aksi takdirde sorumluluğun tüm bölümlere verilmesi ve KVKK komitesi veya komite tarafından seçilen bir bölüm tarafından imha işlemlerinin takibinin yapılması tavsiye edilmektedir.
Özel Nitelikli Kişisel Verilerin Aktarım Denetimi
Kimlik Fotokopilerinin Sadece Ön Yüzlerinin Alınması Uygun mudur?
İrtibat Kişilerinin Atanması
Kişisel Verilerin Silinmesi, Yok Edilmesi Anonim Hale Getirilmesinin Yapılması ve Kayıtlarının Tutulması
- Standart bir form bulunmamaktadır. Süreç kurum tarafından seçilen yönteme bağlı olarak değişiklik göstermektedir. Örneğin softcopyler için verinin yok edilmiş sayılması için üzerine 7 defa random veri yazılıp silinmesi gerekmektedir.
Veri Aktarımı Hukuksal Aktarımların Sorulması Örn: İş Davalarında E-Bildirgelerin Yollanması