Kişisel Verilerin Korunması ve İşlenmesi Politikası
THY Teknik
2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır.
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ile kişisel verileri işlenen gerçek kişilerin Anayasa tarafından da korunan özel hayatın gizliliği de dahil olmak üzere kişisel veri mahremiyetine yönelik hak ve özgürlükleri detaylandırılmıştır.
KVK Kanunu ile bu haklara istinaden Veri sorumlularının (Kişisel verileri işleyen gerçek ve tüzel kişilerin) yükümlülükleri ile tabi olacakları usul ve esaslar belirlenmektedir.
1.1 AMAÇ
THY Teknik için;
- Müşterilerinin,
- Potansiyel müşterilerinin,
- Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb),
- Çalışan adaylarının,
- Tedarikçi kurum temsilcilerinin,
- Müşteri kurum temsilcilerinin,
- Stajyerlerin ve stajyer adaylarının,
- İş ortaklarının,
- Hissedarlarının,
- Ziyaretçilerin,
- İnternet siteleri ziyaretçilerinin,
- İş başvurusu yapanların,
- İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri,
- Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel verilerinin gizliliği ve güvenliği büyük önem taşımaktadır.
- Bu politika ile yukarıda sıralanan gerçek kişilerin THY Teknik’in iş süreçleri ve kayıt ortamlarındaki kişisel verilerine dair hakları ile ilgili bir çerçeve çizilmekte ve gerekli şeffaflığın sağlanması arzu edilmektedir.
THY Teknik bu bağlamda ilgili kişisel verilerin;
- Korunması konusunda alınacak tedbirlerin belirlenmesini,
- Hukuka ve dürüstlük kurallarına uygunluğunun sağlanmasını,
- Doğruluk ve güncelliğinin sağlanmasını,
- Belirli, açık ve meşru işleme amaçları ile ilişkilendirilmesini,
- İlgili kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülülüğünün sağlanmasını,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini amaçlamaktadır.
1.2 KAPSAM
İş bu Kişisel Verilerin Korunması ve İşlenmesi Politikası ile THY Teknik tarafından kişisel verilerin korunması ve işlenmesinde benimsenen ve uygulamada dikkate alınan ilkeler ortaya konulmaktadır.
Politika ile ayrıca, THY Teknik’in kişisel verileri hangi amaçlarla işlediği, kişisel veri toplama yöntemi, bunun hukuki amacı, verilerin kimlere hangi amaçlarla aktarılabileceği, ilgili verilerin ne zaman silineceği / anonimleştirileceğine ve ilgililerin haklarına ilişkin bilgi verilmektedir.
1.3 TANIMLAR
a. Açık Rıza:
Kanunun 3. Maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Ayrıca Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir.
b. Anonim Hale Getirme (Anonimleştirme):
Kanunda veriyi silmeye eşdeğer bir uygulamadır. Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır. Anonim veri başından itibaren belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak sonradan artık bağlantısı kalmamış veridir.
c. Aydınlatma:
Kanuna göre kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanınmakta ve bu hususlar, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele alınmaktadır.
d. İlgili Kişi:
Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmektedir. Bu nedenle Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.
e. Kanun:
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlan 6698 sayılı Kişisel Verilerin Korunması Kanunu
f. Kişisel Veri:
Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
g. Kişisel Verilerin İşlenmesi:
Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. Aslında kişisel veriler söz konusu olduğunda verinin nasıl tutulduğu ve kullanıldığı en az verinin kendisi kadar önemlidir.
h. Özel Nitelikli Kişisel Veri:
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
i. Veri Sorumlusu:
THY Teknik Tüzel Kişiliği
j. THY Teknik:
Türk Hava Yolları Teknik Anonim Şirketi
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki durumlardan en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür.
- a. İlgili kişinin açık rızasının varlığı
- b. Kanunlarda açıkça öngörülmesi
- c. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- d. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- e. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- f. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- g. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- h. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- THY Teknik, yukarıda belirtilen “b,c,d,e,f,g,h” durumlarından herhangi birinin olmaması halinde “a” da belirtildiği üzere ilgili kişinin açık rızasını alarak kişisel verileri işlemektedir.
2.3 THY TEKNİK AYDINLATMA YÜKÜMLÜLÜĞÜ
Kanuna göre kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanınmakta ve bu hususlar, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele alınmaktadır.
Bu bağlamda THY Teknik, kişisel verilerinin işlenme şartları oluşmuş ilgili kişilere aşağıdakiler hakkında bilgilendirme yapmaktadır:
- • THY Teknik ve varsa temsilcisinin kimliği,
- • Kişisel verilerin hangi amaçla işleneceği,
- • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- • Kanunun 11. maddesinde sayılan diğer hakları…
2.4 VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
a. THY Teknik tarafından sürdürülen idari tedbirler
- • Kişisel verilerin hukuka aykırı olarak erişilmesini ve hukuka aykırı olarak işlenmesini önlemek üzere performans göstergeleri ve hedefler belirlemiştir
- • Veri işleme süreçlerini gözden geçirmekte, denetlemektedir
- • Mevcut risk ve tehditleri belirleyecek çalışmalar ve etki analizleri yapmaktadır
- • Kişisel veri içeren kayıt/saklama ortamlarına erişmekte olan çalışanların erişim yetkilerini düzenlemektedir
- • Çalışanları eğitmek ve farkındalıklarını arttırmak üzere çalışmalar yapmaktadır
- • Kişisel veri güvenliği sağlamak üzere iş süreçleri oluşturmakta, politika ve prosedürlerini belirlemektedir
- • Kişisel verileri mümkün olduğunca azaltmaktan yana değerlendirmeler yapmaktadır
- • Veri işleyenler ile kişisel veri koruma ihtiyaçlarını karşılamaya matuf sözleşmeler yapmakta, sürdürülebilir iş pratikleri oluşturmaktadır
b. THY Teknik tarafından sürdürülen teknik tedbirler
- • Bilgi Güvenliği Yönetim Sistemi uygulamaktadır
- • Siber Güvenliği Sağlamak üzere periyodik Sızma Testleri ve Sosyal Mühendislik çalışmaları yürütmektedir
- • Kişisel Veri Güvenliğini Takip etmek üzere sistemler ve yazılımlar kullanmaktadır
- • Kişisel Veri İçeren Ortamların Güvenliğini Sağlamak üzere sürdürülebilir bir alt yapı kurmuş, yönetmektedir
- • İş sürekliliğini sağlamak üzere teknik çalışmalar yapmaktadır
- • Bilgi Teknolojileri Sistemleri Tedarik etmekte, periyodik testlerle teknik altyapıyı sıkılaştırmaktadır
- • Kişisel Verileri Yedeklemektedir
2.5 ŞİRKET İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
THY Teknik, (Gerçek kişi olmak üzere) aşağıdaki veri öznelerinden kişisel veri almaktadır:
- Çalışanlar (aktif, işten ayrılmış, emekli olmuş vb),
- Çalışan adayları,
- Tedarikçi kurum temsilcileri,
- Müşteri kurum temsilcileri,
- Potansiyel müşterilerle irtibatlı gerçek kişiler,
- Ziyaretçiler,
- Gerçek kişi Hissedarlar,
- İnternet siteleri ziyaretçileri,
- İş başvurusu yapanlar,
- İlişkide olunan tüzel kişilerin gerçek kişi temsilcileri,
- Stajyerler ve stajyer adayları…
- İş bu veri öznelerinden alınan kişisel veriler ilgili mevzuatın şart koştuğu/izin verdiği çerçevede bu politika dokümanı madde 2.2 de belirtilen şartlar altında işlenmektedir.
2.6 THY TEKNİK YURT İÇİ KİŞİSEL VERİ AKTARMA FAALİYETLERİ
KVK Kanununa göre, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
- a. İlgili kişinin açık rızasının alınması,
- b. Kanunlarda açıkça öngörülmesi,
- c. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- d. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- e. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- f. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- g. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- h. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
- Bu bağlamda THY Teknik bu maddenin b, d, e, g fıkraları kapsamında ilgili kurum ve kuruluşlara veri aktarımı yapmaktadır.
2.7 THY TEKNİK YURT DIŞI KİŞİSEL VERİ AKTARMA FAALİYETLERİ
THY Teknik, aşağıdaki veri öznelerinden alınan kişisel verilerin yurt dışına veri aktarımını yapmamaktadır:
- Çalışan adayları,
- Tedarikçi kurum temsilcileri,
- Müşteri kurum temsilcileri,
- Potansiyel müşterilerle irtibatlı gerçek kişiler,
- Ziyaretçiler,
- İnternet siteleri ziyaretçileri,
- İş başvurusu yapanlar,
- İlişkide olunan tüzel kişilerin gerçek kişi temsilcileri,
- Stajyerler ve stajyer adayları…
2.8 İNTERNET SİTESİ ÜZERİNDE YAPILAN VERİ İŞLEME FAALİYETLERİ
- THY Teknik’e ait internet sitelerini ziyaret eden kişilerin her bir sayfa, bilgi formu ve uygulamada ne kadar süre harcadığı gibi genel bilgiler otomatik yollarla kaydedilmekte ve aşağıda belirtilen amaçlarla tutulmaktadır.
- Sitelerimizi ve sistemlerimizi yönetmek, güvenliğini sağlamak iş sürekliliğini sağlamak ve geliştirmek,
- Ziyaretçilerimizin tercihlerini daha iyi anlamak,
- Sunucular ve diğer sistemlerimizdeki muhtemel sorunları teşhis/tesbit etmek,
- Site kullanımına ilişkin toplanan istatistikleri derlemek,
- Sitemize ilişkin bireysel deneyiminizi kişiselleştirmenize yardımcı olmak.
2.9 ŞİRKETİ ZİYARET EDEN MÜŞTERİ GİRİŞ – ÇIKIŞLARI
- THY Teknik ziyaretçilerinin;
- Kimlik bilgileri,
- Ziyaret edecekleri iç birim bilgileri,
- Giriş çıkış süre bilgileri,
- Kurum içi lokasyon verileri gibi kişisel verileri güvenlik amaçlı olarak işlenmekte ve ilgili kişisel veriler fiziki ve elektronik ortamda kayıt sistemine kaydedilmektedir.
2.10 THY TEKNİK BİNALARINDA ZİYARETÇİLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
THY Teknik Binalarında, (İçeride kaldığı süre boyunca) talep eden ziyaretçilerine internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya THY Teknik’te gerçekleştirilecek muhtemel iş/dış denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.