Geberıt Özel Nitelikli Kişisel Verilerin Korunması Politikası
1. Amaç ve Kapsam
Özel nitelikli kişisel veriler, 3. kişiler tarafından öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, özel nitelikli kişisel verilerin diğer kişisel verilere göre daha sıkı bir şekilde korunması gerektiğinden yasal düzenlemelerde özel bir önem atfedilmekte ve bu verilerle ilgili farklı bir düzenleme getirilmektedir. Bu sebeple, işbu Özel Nitelikli Kişisel Verilerin Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 01/01/2018 Tarihli ve 2018/10 Sayılı Kararı başta olmak üzere, ulusal veya uluslararası düzenlemelere uyum sağlamak amacı ile Geberit Tesisat Sistemleri Ticaret Limited Şirketi’nin (“Geberit” veya “Şirket”) özel nitelikli kişisel verilerin korunması, gizliliğinin sağlanması ve işlenmesine ilişkin benimsemiş olduğu prensipleri açıklamaktadır.
İşbu Politika, Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nın tamamlayıcı bir parçasıdır.
2. Özel Nitelikli Kişisel Verilerin Kapsamı
Kanun’un 6. maddesi gereği, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak adlandırılmaktadır.
3. Özel Nitelikli Kişisel Verilerin İşlenmesi
3.1 İşleme İlkeleri
Özel nitelikli kişisel veriler, Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nın 6. maddesi kapsamında açıklanan kişisel verilerin işlenmesi ilkelerine uygun olarak işlenecektir. Bu kapsamda Geberit, kişisel verilerin işlenmesinde olduğu gibi özel nitelikli kişisel verilerin işlenmesini gerektiren her işleme sürecinde,
- Özel nitelikli kişisel verilerin hukuka ve dürüstlük kuralına uygun işlendiğini,
- İşlediği özel nitelikli kişisel verilerin doğruluğunu ve güncelliğini gözettiğini,
- Özel nitelikli kişisel verilerin belirli, açık ve meşru amaçlar için işlendiğini,
- Özel nitelikli kişisel verilerin işleme amacı ile bağlantılı, sınırlı ve ölçülü olduğunu,
- Özel nitelikli kişisel verilerin mevzuatta öngörülen veya işleme amacının gerektirdiği süre boyunca sakladığını, temin eder.
3.2 İşleme Şartları
Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler aşağıdaki işleme şartlarının varlığı halinde işlenebilecektir;
- İlgili kişinin açık rızasının bulunması
- İlgili kişinin açık rızası yok ise;
- İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde
- İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
3.3 Aktarılması
3.2.1. Yurt İçinde Aktarılması Kanun’un 9. maddesi uyarınca özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın yurt içinde aktarılamayacaktır. Buna karşılık, aynı maddenin 2. Fıkrası gereği özel nitelikli kişisel veriler, işbu Politika’nın 3.1. maddesinde açıklanan işleme şartlarının varlığı halinde ve yeterli önlemin alınması koşuluyla yurt içinde aktarılabilecektir.
3.2.2. Yurt Dışına Aktarılması
Kanun’un 8. Maddesi uyarınca özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacaktır. Buna karşılık, aynı maddenin 2. Fıkrası gereği özel nitelikli kişisel veriler, işbu Politika’nın 3.1. maddesinde açıklanan işleme şartlarının varlığı halinde,
- Aktarım yapılacak yabancı ülkenin yeterli koruması bulunması, veya
- Yeterli koruma bulunmasa bile veri sorumlusu tarafların aralarında yeterli korumayı taahhüt etmeleri ve Kurul’un söz konusu aktarıma izin vermesi
ihtimalinde özel nitelikli kişisel veriler yurt dışına aktarılabilecektir.
Aktarım yapılan yabancı ülkenin kişisel verilerin korunması kapsamında yeterli korumaya sahip olup olmadığının takdiri Kurul’a aittir. Bu kapsamda, yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
4. Özel Nitelikli Kişisel Verilerin Korunmasına Yönelik Alınan Ek Güvenlik Önlemleri
Geberit Kişisel Verilerinin Korunması ve Gizlilik Politikası’nda belirtilen güvenlik önlemlerine ek olarak Kanun, ikincil mevzuat ve Kurul kararları doğrultusunda aşağıdaki güvenlik tedbirlerini de almaktadır.
4.1. Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik Ek Güvenlik Önlemleri
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir
- Gizlilik sözleşmeleri ve taahhütnameler imzalanmaktadır
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır
- Periyodik olarak yetki kontrollerinin gerçekleştirilmektedir
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmaktadır. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınmaktadır
4.2. Elektronik Ortamlarda Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Ek Güvenlik Önlemleri
- Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmaktadır veya yaptırılmaktadır; test sonuçları kayıt altına alınmaktadır
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır, bu yazılımların güvenlik testleri düzenli olarak yapılmaktadır veya yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır
4.3. Fiziksel Ortamlarda Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Ek Güvenlik Önlemleri
- Özel nitelikli kişisel verilerin bulunduğu ortamların niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenmektedir
4.4. Özel Nitelikli Kişisel Verilerin Aktarılması
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmektedir ve kriptografik anahtarlar farklı ortamda tutulmaktadır
- Farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir
- Verilerin kağıt yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir
Özel nitelikli kişisel verilerin işlenmesine ilişkin veri kategorizayonu, saklama, muhafaza ve genel güvenlik tedbirlerine ilişkin olarak lütfen Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerinin Korunması ve Gizlilik Politikası’ını ve Geberit Kişisel Verilerinin Saklanması ve İmhası Politikası’ını inceleyiniz.