1. KAPSAMI VE TANIMLAR
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KANUN”) 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ÖZEL NİTELİKLİ KİŞİSEL VERİ” olarak belirlenmiştir. Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.
İşbu politika kapsamında;
• “REHAU” REHAU Polimeri Kimya San. A.Ş’ i
• “VERİ SAHİBİ” kişisel verisi işlenen gerçek kişiyi,
• “KURUL” Kişisel Verileri Koruma Kurulu’nu,
• “ÇALIŞAN” REHAU personelini ifade eder.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Veri Sahibi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan Özel Nitelikli Kişisel Veriler’in işlenmesinde, REHAU tarafından özel hassasiyet gösterilmektedir.
Özel Nitelikli Kişisel Veriler, REHAU tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
• Veri Sahibi’nin açık rızası var ise veya
• Veri Sahibi’nin açık rızası yok ise; Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
REHAU, Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan’lara yönelik,- Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
- Gizlilik sözleşmeleri yapılmaktadır,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri iş sözleşmelerinde tanımlanmaktadır,
- Yetki kontrolleri SAP tarafındanyapılan bölüm tanımına bağlı olarak Active Directory vasıtasıyla gerçekleştirilmektedir,
- Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri SAP vasıtasıyla derhal kaldırılmaktadır.
- Kişisel Veriler, REHAU dosya yönetimi ve Active Directory yetkilendirme yöntemleri kullanılarak muhafaza edilmektedir,
- Kişisel Veriler bulunduğu ortamlardaki girişler ve değişiklik logları REHAU merkez tarafından tutulmaktadır,
- Kişisel Veriler’in ve kritik tüm REHAU bilgilerinin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli REHAU merkez tarafından takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
- Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
- Kişisel Veriler’e uzaktan erişim gerekiyorsa yetkilendirilmiş VPN ile sağlanmaktadır.
- Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,
- Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Kişisel Verilerin Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
- Taşınabilir Bellek, kriptografik özelliğe sahip USB bellekler kullanılmaktadır,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilmektedir,
- Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizli ” formatta kapalı zarfta gönderilmektedir.
3.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
REHAU, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi’nin Özel Nitelikli Kişisel Verileri’ni üçüncü kişilere aktarabilmektedir. Bu doğrultuda, REHAU, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
o Veri Sahibi’nin açık rızası var ise,
o Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
o Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
o Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
o REHAU’nun hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
o Özel Nitelikli Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise,
o Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
o Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, REHAU’nun meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
REHAU, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
o Kişisel veri sahibinin açık rızası var ise veya
o Kişisel veri sahibinin açık rızası yok ise;
- Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.