2019/6 Kişisel Verilerin Korunması Genelgesi

Kişisel Verilerin Korunması Kanunu 10. maddesinde belirtilen (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

maddesi uyarınca Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni (EK-1) bu genelge kapsamında tüm personele duyurulacaktır.

Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 2709 sayılı Türkiye Cumhuriyeti Anayasası’nın 20. maddesi ve 5237 sayılı Türk Ceza Kanunu’nun 135. madde ve devamı maddeleri uyarınca; kurumumuzda kişisel verilerin işlenmesine ilişkin aşağıdaki düzenlemelerin yapılmasına ihtiyaç duyulmuştur;

1- Kurumumuz Tarafından İşlenen Kişisel Verilerin Kategorizasyonu

Kurumumuz, 6698 Sayılı Kanun’da tanımlandığı şekli ile “Veri Sorumlusu” sıfatına sahiptir.

Kurumumuz ile ilişkili tüm şahıslara ait her türlü kişisel veriler, Kurumumuz teşkilat yapısı, görev ve yetkilerini düzenleyen 4 nolu Cumhurbaşkanlığı Kararnamesi'nin 121. maddesi kapsamında sunulan kamu hizmeti faaliyetleri, insan kaynakları uygulamaları ve güvenlik önlemleri nedenleriyle elde edilmekte ve işlenmektedir. Güvenlik amacıyla bina girişlerinde ziyaretçi kaydı alınıp acık ve kapalı alanlar güvenlik kamerası ile izlenmektedir. Söz konusu kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenmekte ve saklanmaktadır.

Kurumumuzca kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya otomatik olmayan şekilde işlenen veri kategorileri DSİ Kişisel Veri Kategorilerinde (EK-2) belirtilmiştir.

2- Kişisel Verilerin İşlenmesinde Uyulması Gereken Kurallar

a- Veri sorumlusu sıfatı ile kurumumuzda 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlü olup bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

b- Bilişim sistemlerine erişimlerde; bilişim hizmeti satın alınan firma personelinin ve kurum çalışanlarının yetkilendirilmesi ve emeklilik, istifa, işten çıkarılma, açığa alınma gibi nedenler ile ücretsiz izin, askerlik, doğum izni gibi uzun süreli işe ara vermelerde gerek firma personelinin gerekse kurum çalışanlarının sisteme erişim yetkileri -gecikme olmaksızın- ilgili birim amiri tarafından dondurulur veya kaldırılır.

c- Bilişim sistemlerinin kurulması veya işletilmesi nedeniyle bilişim sistemlerine ve bu sistemlerde bulunan verilere ilişkin bilgilere sahip olan bilişim hizmeti alınan firmalarla gizlilik sözleşmesi imzalanacaktır.

d- Kurumsal SOME Kurulum ve Yönetim Rehberi’nde de belirtildiği üzere, bilgi sistemlerinin kurulması ve işletilmesi amacıyla hizmet satın alınan özel ticari işletmelerde çalışan firma personeli ile bilgi sistemleri ve buradaki verilere ilişkin edindikleri bilgilerin gizliliğini koruyacaklarını ve korumamaları durumundaki yükümlülüklerini belirten bir gizlilik sözleşmesi imzalanacaktır.