1. AMAÇ

Bu dokümanın amacı, Kurum tarafından yürütülen tüm faaliyetlerde işlenen kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ilgili ikincil mevzuat ve ISO/IEC 27001 ile ISO/IEC 27701 standartları çerçevesinde gizlilik, bütünlük ve erişilebilirlik esaslarına uygun olarak işlenmesini sağlamaktır.

Bu amaç doğrultusunda doküman;

  • Kurumun kişisel verilerin korunmasına ilişkin benimsediği temel ilkeleri tanımlar,
  • Veri sorumlusu ve veri işleyen konumundaki birimlerin rol ve sorumluluklarını belirler,
  • İlgili kişi gruplarını (çalışanlar, adaylar, tedarikçiler, müşteriler, ziyaretçiler vb.) hakları konusunda bilgilendirir,
  • Kişisel veri yönetiminin Kurum’un bilgi güvenliği yönetim sistemi ile entegre biçimde yürütülmesini garanti eder.
  1. KAPSAM

Bu politika, Kurum bünyesinde işlenen tüm kişisel verileri kapsar.

Kapsam dahilinde;

İlgili kişi grupları: Çalışanlar, çalışan adayları, müşteriler, potansiyel müşteriler, tedarikçiler, iş ortakları, ziyaretçiler ve Kurum ile doğrudan veya dolaylı etkileşime giren tüm gerçek kişiler,

Veri işleme faaliyetleri: Toplama, kaydetme, depolama, değiştirme, aktarma, imha etme dahil tüm kişisel veri işleme operasyonları,

Fiziksel ve dijital ortamlar: Kurumun sahip olduğu, kullandığı veya üçüncü taraf hizmet sağlayıcılar üzerinden yönetilen tüm sistemler ve veri işleme ortamları,

Coğrafi kapsam: Türkiye’de yürütülen tüm faaliyetler ve gerekli hallerde yurt dışına yapılan veri aktarımı süreçleri değerlendirilir.

 

Bu kapsam yalnızca yasal uyumu değil, aynı zamanda Kurum’un bilgi güvenliği, risk yönetimi ve sürdürülebilir iş süreçleri hedefleriyle doğrudan bağlantılıdır.

 

  1. SORUMLULAR

Rol / Birim

Sorumluluklar

Üst Yönetim

- Kişisel veri koruma politikasını onaylamak ve kurum genelinde uygulanmasını sağlamak- Gerekli kaynakların (insan, teknoloji, finans) tahsisini yapmak- KVKK ve ISO standartlarına uyumun sürekliliğini gözetmek

Veri Sorumlusu (Kurum)

- Kişisel veri işleme faaliyetlerinin KVKK ve ISO/IEC 27701 gerekliliklerine uygunluğunu sağlamak- İlgili kişi başvurularını mevzuat süresi içinde cevaplamak- Yurt içi/yurt dışı veri aktarımlarını mevzuata uygun yürütmek

BGYS/ KVYS Komitesi

- Politikanın uygulanmasını ve güncelliğini takip etmek- İhlal ve risk durumlarında değerlendirme ve aksiyon almak- Farkındalık eğitimlerini planlamak ve gerçekleştirmek

Kalite Birimi

- Kişisel veri yönetim süreçlerinin kurumun kalite yönetim sistemi ile entegrasyonunu sağlamak- İç denetimler kapsamında kişisel veri işleme faaliyetlerinin uyumluluğunu kontrol etmek- Uygunsuzluk durumlarında düzeltici/önleyici faaliyetleri koordine etmek

Bilgi Teknolojileri Birimi

- Kişisel verilerin işlendiği bilgi sistemlerinin güvenliğini sağlamak- Erişim yetkilendirme, şifreleme, yedekleme ve loglama gibi teknik tedbirleri uygulamak- Sistemsel açıkları tespit ederek gerekli önlemleri almak

Tüm Çalışanlar

- Kişisel veri işleme faaliyetlerinde politikaya ve prosedürlere uymak- Gizlilik yükümlülüğüne riayet etmek- Fark ettikleri veri ihlallerini derhal ilgili birimlere bildirmek

 

  1. TANIMLAR

Veri Sorumlusu: Kurum veya kuruluşun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen ve sorumluluğunu taşıyan kişi veya kuruluş.

Veri İşleyen: Veri sorumlusunun adına kişisel verileri işleyen gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi ya da bu kişilerin temsilcisi olan kişi. İlgili kişi, verisi işlenen kişisel verilerle ilgili olarak 6698 sayılı KVKK kapsamında belirtilen haklara sahiptir ve bu hakları kullanabilir.

Kişisel Veri: Belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhebi veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel yaşam, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler gibi özel nitelikli kişisel veriler.

Veri İşleme: Kişisel verilerin toplanması, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasına yönelik her türlü işlem.

Yetkisiz Erişim: Kişisel verilere yetkisi olmayan kişilerin, izinsiz olarak bu verilere erişmesi.

Veri Güvenliği: Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere yetkisiz erişimi engellemek ve verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için alınan tedbirlerin tümü.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

  • : Kişisel Verileri Koruma Kurulu.

6698 sayılı KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.

BGYS : Bilgi Güvenliği Yönetim Sistemi
KVYS  : Kişisel Veri Yönetim Sistemi.

 

  1. İLGİLİ DOKÜMANLAR
  • Bilgi ve Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler Tablosu
  • SRY.BT.KV.FRM.0002 İlgili Kişi Başvuru Takip Formu
  • SRY.BT.KV.PRO.0001 İlgili Kişi Başvuru Yönetim Prosedürü
  • SRY.BT.KV.FRM.0001 İlgili Kişi Başvuru Formu

 

  1. UYGULAMA
    1. 1. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

Kurum tarafından Veri Sorumlusu sıfatı ile aşağıdaki ilkeler çerçevesinde kişisel verileri işlenmektedir. Ayrıca İşleme şartlarının her biri için veri envanteri kayıtları tutulur ve işleme faaliyetleri, ilgili şart ile eşleştirilerek izlenebilir hale getirilir. Kurum, işleme şartlarını belirlerken risk değerlendirmesi yapar ve işleme faaliyetlerini minimum veri işleme ilkesi doğrultusunda sınırlandırır.

6.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkelere ve dürüstlük kuralına uygun hareket edilmektedir. Bu ilke uyarınca özellikle, özellikle kişisel veri işleme amaçlarına ulaşmaya çalışırken ilgili kişinin çıkarları ve makul beklentileri de dikkate alınmakta, kurum hakları kötüye kullanılmamakta ve veri işleme faaliyetlerinde şeffaflık prensibine uygun hareket edilmektedir.

6.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke doğrultusunda ilgili kişinin meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Kurum bünyesinde oluşturulmaktadır. Ayrıca, kişisel verilerin toplandığı kaynakların doğruluğu kontrol edilmekte ve bu hususa ilişkin talepler göz önünde bulundurulmaktadır.

6.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Bu bağlamda, kişisel veri işleme faaliyetlerinin, ilgili kişilerce açık bir şekilde anlaşılabilir olması sağlanmaktadır.

6.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler, öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

6.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza  Etme

Kişisel veriler ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu konuda Kurum, ilgili idari ve teknik tedbirleri almakta ve uygulamaktadır. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılarak, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. İlgili süreçlerin gerekliliğinin ortadan kalkması halinde kişisel verilere ilgisiz departmanlar tarafından erişilmesi 6698 sayılı KVKK’da belirtilen silme eylemi kapsamında engellenmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması ve daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler kişisel verilerin korunması mevzuatına uygun şekilde yok edilmekte veya anonim hale getirilmektedir.

 

  1. 2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

 

Kişisel veriler ve Özel Nitelikli Kişisel Veriler, 6698 sayılı KVKK kapsamında aşağıda öngörülen şartlar çerçevesinde işlenmektedir.

 

6.2.1 Kanunlarda Açıkça Öngörülmesi

Temel kural kişisel verilerin ilgili kişilerin açık rızası olmadan işlenememesi olup, bu istisnaya göre kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, kişisel veriler açık rıza aranmaksızın işlenebilmektedir.

6.2.2 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişisel veriler açık rıza aranmaksızın işlenebilmektedir.

6.2.3 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel veriler açık rıza aranmaksızın işlenebilmektedir.

6.2.4 Kurum’un Hukuki Yükümlülüğünü Yerine Getirmesi

Kurum’un bağlı bulunduğu ve sorumlu olduğu mevzuat, sözleşme ve benzeri hukuki yükümlülüklerini yerine getirmek için işlemenin zorunlu olması halinde kişisel veriler açık rıza aranmaksızın işlenebilmektedir.

6.2.5 Kişisel Verilerin Alenileştirilmesi

Kişisel veriler ilgili kişi tarafınca alenileştirilmiş, yani ilgili kişi tarafından kamuoyu ile paylaşılmış olması halinde, alenileştirmenin amacıyla bağlantılı ve ölçülü olarak açık rıza aranmaksızın işlenebilmektedir.

6.2.6 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Kurum’un sahip olduğu hukuki ve ticari haklara ilişkin süreçlerin yürütülmesi ve yönetilmesi kapsamında söz konusu hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veriler açık rıza aranmaksızın işlenebilmektedir.

6.2.7 Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi

  • meşru menfaatleri için veri işlemenin gerekli olması halinde kişisel veriler açık rıza aranmaksızın işlenebilmektedir. Kurum tarafından söz konusu işleme şartına bağlı olarak veri işlenmesi gerekmesi durumunda ilgili kişinin temel hak ve özgürlüklerini de gözeterek değerlendirme yapılmakta ve değerlendirme sonucuna göre karar verilmektedir.

6.2.8 Açık Rızaya Dayalı Olarak İşlenmesi

Kişisel verilerin açık rızaya dayanılarak işlenmesi asıl kural olmakla birlikte, işbu maddede belirtilen diğer şartların varlığı halinde ilgili kişilerin açık rızasına dayanılmamaktadır. Aksi halde, hakkın kötüye kullanılmasından bahsedilebilecektir. Bu bağlamda kişisel veriler, işbu Politika’da belirtilen şartlardan herhangi birine dayalı olarak işlenmediği durumlarda, ilgili kişinin açık rızasına dayalı olarak işlenmektedir.

6.2.9 Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler 6698 sayılı KVKK 6. Maddesi uyarınca açık rızaya dayalı olarak işlenmektedir. Yine aynı maddede belirtilen kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hallerinde özel nitelikli kişisel veriler açık rızaya dayanmaksızın işlenebilmektedir.

 

  1. 3. KİŞİSEL VERİLERİN AKTARIMI

Kişisel ve özel nitelikli veriler; işbu Politika’nın 2. maddesi kapsamında yurt içindeki iş ortaklarımıza, kamu kurum ve kuruluşlarına ve benzerlerine aktarılabilmektedir. Söz konusu aktarımlar gerçekleştirilirken 6698 sayılı KVKK 8. maddesine uyumluluk gözetilmektedir. Gerekli olması durumunda açık rıza alınmakta ve aktarım bu çerçevede sağlanmaktadır.

Yurtdışına aktarımın gerekli olması halinde 6698 sayılı KVKK 9. Maddesi uyarınca Kurum tarafından Standart Sözleşme’nin imzalandığı kurumlara aktarım gerçekleştirilmektedir.

Yurt içi ve yurt dışı aktarım faaliyetleri, Veri Aktarım Kayıtları ile izlenmekte ve her aktarım için aktarımın amacı, yöntemi ve hukuki dayanağı belgelenmektedir.

Aktarımlar öncesinde, üçüncü taraflarla yapılan sözleşmelerde gizlilik ve bilgi güvenliği hükümleri ISO/IEC 27001 ve 27701 kontrolleri ile uyumlu şekilde yer almaktadır.

Yurtdışına aktarım süreçlerinde risk analizi yapılmakta, aktarımın güvenliği için gerekli teknik ve idari tedbirler (şifreleme, kısıtlı erişim, güvenli bağlantı protokolleri vb.) uygulanmaktadır.

 

  1. 4. KİŞİSEL VERİLERİN GÜVENLİĞİ

Kurum, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almak amacıyla; KVKK, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO/IEC 27701 Gizlilik Yönetim Sistemi standartlarının gereklilikleri doğrultusunda gerekli tüm idari, teknik ve fiziki tedbirleri uygular.

Bu kapsamda:

  • Kişisel verilerin yetkisiz erişim, hukuka aykırı işleme, kazara veya kasti silinme, değiştirilme ya da zarar görme risklerine karşı risk bazlı güvenlik önlemleri alınır.
  • Erişim yetkilendirme sistemi, “en az ayrıcalık” ve “görevler ayrılığı” prensipleri çerçevesinde yapılandırılır; kişilerin ve sistemlerin gereğinden fazla kişisel veriye erişiminin önüne geçilir.
  • Kişisel verilerin işlendiği tüm ortamlar için güvenlik kontrolleri (ağ güvenliği, uygulama güvenliği, şifreleme, loglama, yedekleme, antivirüs, saldırı tespit/önleme sistemleri) düzenli olarak uygulanır ve gözden geçirilir.
  • İdari tedbirler kapsamında; gizlilik taahhütnameleri, disiplin süreçleri, çalışan farkındalık eğitimleri ve görev değişikliği/işten ayrılma halinde erişim yetkilerinin derhal kaldırılması sağlanır.
  • Denetim ve kontrol mekanizmaları aracılığıyla, kişisel veri işleme faaliyetleri ve güvenlik önlemleri düzenli olarak izlenir, iç ve dış denetimlerle etkinliği test edilir.
  • Kişisel veri güvenliğini ihlal eden olaylara karşı Kişisel Veri İhlal Müdahale Prosedürü uygulanır. Bu prosedür kapsamında, tespit edilen ihlallerin etkisi analiz edilir, gerekli aksiyonlar alınır ve KVKK madde 12/5 gereği Kişisel Verileri Koruma Kurulu ile ilgili kişiler bilgilendirilir.
  • Tüm bu süreçlerde alınan tedbirler ve yapılan kontroller, kayıt altına alınır, raporlanır ve sürekli iyileştirme prensibi çerçevesinde güncellenir.

Alınan idari ve teknik tedbirler aşağıdaki gibidir;

  • Ağ Güvenliği ve Uygulama Güvenliği sağlanmaktadır.
  • Ağ Yoluyla Kişisel Veri Aktarımlarında Kapalı Sistem Ağ Kullanılmaktadır.
  • Anahtar Yönetimi Kullanılmaktadır.
  • Bilgi Teknolojileri Sistemleri Tedarik, Geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim Logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere(yangın, sel vb) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Sızma testi uygulanmaktadır.

 

  1. 5. İLGİLİ KİŞİNİN HAKLARI, BAŞVURU USUL VE ESASLARI

İlgili kişinin hakları 6698 sayılı KVKK 11. maddesinde aşağıdaki gibi düzenlenmektedir. Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

ISO/IEC 27701 Kapsamında Ek Hususlar

Başvuru Yönetimi: İlgili kişilerin başvuruları, Kurum bünyesinde oluşturulan Başvuru Yönetim Süreci kapsamında kayıt altına alınır, sınıflandırılır ve en geç 30 gün içinde sonuçlandırılır. Başvuruların işleyişine dair tüm adımlar izlenebilirlik amacıyla dokümante edilir.

Şeffaflık İlkesi: Kurum, ilgili kişilerin haklarını kullanabilmesi için erişilebilir, anlaşılır ve güncel bilgilendirme yöntemleri (web sitesi, başvuru formu, e-posta vb.) sağlar.

Hesap Verebilirlik: Başvurulara ilişkin süreçlerin yönetimi, ISO/IEC 27701’in öngördüğü hesap verebilirlik ilkesi doğrultusunda yürütülür; taleplerin nasıl değerlendirildiği ve verilen yanıtlar denetime elverişli biçimde kayıt altına alınır.

Kimlik Doğrulama: Başvuru süreçlerinde, ilgili kişinin kimliğinin doğrulanması amacıyla makul kontrol mekanizmaları uygulanır.

Sürekli İyileştirme: İlgili kişilerin taleplerine ilişkin raporlar düzenli aralıklarla üst yönetime sunulur; süreçlerin etkinliği gözden geçirilir ve gerekirse iyileştirmeler yapılır.

Ek Haklar (27701 yaklaşımı): Kurum, ilgili kişilere yalnızca KVKK kapsamındaki hakları değil; ayrıca işlenen verilerin saklama süresi, işlenen verilerin kategorileri, veri işleme yöntemleri ve kullanılan güvenlik önlemleri hakkında bilgi alma imkânı da tanır.

 

  1. 6. BAŞVURU USUL VE ESASLARI

İlgili kişilerin KVKK m.11 kapsamındaki talepleri Kurum tarafından İlgili Kişi Başvuru Prosedürü çerçevesinde ele alınır. Başvurular; KEP, güvenli elektronik imza / mobil imza, kayıtlı e-posta, yazılı başvuru veya noter aracılığıyla Kurum’a ulaştırılabilir. Kurum, gelen talepleri SRY.BT.KV.FRM.0002 İlgili Kişi Başvuru Takip Formu’na işler, başvuruyu benzersiz bir referans numarası ile takip eder ve talebin niteliğine göre ilgili birimlere yönlendirir. Başvuruların yanıtlanması için gerekli koordinasyon BGYS & KVYS Komitesi tarafından sağlanır. Cevap süreçleri en geç otuz (30) gün içinde tamamlanır; gerekli hallerde KVKK Kurulu tarafından belirlenen ücret tarifesi uygulanabilir. Süreç, ISO/IEC 27701 çerçevesinde hesap verebilirlik, şeffaflık ve izlenebilirlik ilkelerine uygun olarak yürütülür. Tüm kayıtlar denetim izlerine uygun şekilde saklanır.

Kurum, ilgili kişi başvurularını İlgili Kişi Başvuru Prosedürü kapsamında yönetmektedir. Başvurular, web sitesinde de yayınlanmış olan SRY.BT.KV.FRM.0001 İlgili Kişi Başvuru Formu ile alınmaktadır.

İlgili Kişi Başvuru Formu için tıklayın.


Döküman  No : SRY.BT.KV.POL.0001
Yayın  Tarihi    : 18.08.2025
Revizyon No   : 0