KİŞİSEL VERİLERİN KORUNMASI
Versiyon 1.1
İlk Yayım Tarihi
Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası Son Güncelleme
Tarihi 14.12.2021
Sayfa No 1/18
ARDANUÇ BELEDİYE BAŞKANLIĞI
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İçindekiler
1. AMAÇ VE KAPSAM ……………………………………………………………...………….…… 3
2. POLİTİKA ESASLARI
....................................................................................................................
4
2.1. GENEL ESASLAR
……………….................................................................................................
4
2.2. POLİTİKA KAPSAMINDAKİ KİŞİ GRUPLARI …………………………………………..… 4
3. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN İLKELER ………...…. 4
3.1. VERİ İŞLEME ŞARTLARINA UYGUNLUK
............................................................................ 4
3.1.1. TEMEL İLKELERE UYGUNLUK
…………...........................................................................
5
3.1.2. KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK
........................................................ 5
3.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK …….............. 6
3.1.4. KİŞİSEL VERİ AKTARIM ŞARTLARINA UYGUNLUK
.................................................... 7
4. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
………................................................... 7
5. KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN
SONUÇLANDIRILMASI........................ 8
5.1. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI
............................................................................. 8
5.2. MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER 9
6. ROLLER VE SORUMLULUKLAR
..............................................................................................
10
6.1. ŞİRKET KİŞİSEL VERİLERİN KORUNMASI (KVK) ÜST KOMİTESİ
........................... 10
6.2. ŞİRKET KVK
KOMİTESİ...........................................................................................................
10
7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
..................... 11
8. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE VERİ İŞLEME FAALİYETİNE KONU OLAN
KİŞİSEL VERİ GRUPLARI 12
8.1. KİŞİSEL VERİ KATEGORİLERİ
………….............................................................................
12
8.2. KİŞİSEL VERİLERİNİN İŞLENME AMAÇLARI
................................................................. 14
8.3. PAYLAŞILAN TARAF KATEGORİLERİ
...............................................................................
15
9. KAPALI DEVRE KAMERA (CCTV)
KULLANIMI.................................................................. 16
10. İNTERNET SİTESİ
KULLANIMI...............................................................................................
16
11. GÖZDEN GEÇİRME
...................................................................................................................
17
12. TANIMLAR
...................................................................................................................................
17
1. Amaç ve Kapsam
Ardanuç Belediye Başkanlığı (“Belediye” olarak anılacaktır.) kişisel verilerin
işlenmesi ve korunmasına ilişkin yürürlükte bulunan tüm mevzuat ile uyumlu
davranmak için azami gayreti göstermektedir.
Ardanuç Belediye Başkanlığı Kişisel Verilerin Korunması ve İşlenmesi Politikası
(“Politika” olarak anılacaktır.) çerçevesinde, Belediye tarafından
gerçekleştirilen kişisel verileri işleme faaliyetlerinin yürütülmesinde
benimsenen ilkeler açıklanmaktadır.
Politika ile, Belediye’nin “Belediye faaliyetlerinin hukuka ve dürüstlük
kurallarına uygun, şeffaflık içinde yürütülmesi ilkesi”nin sürdürülebilirliği
amaçlanmaktadır. Bu kapsamda, Belediye veri işleme faaliyetlerinin 6698 sayılı
Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan düzenlemelere uyumu
bakımından benimsenen temel prensipler belirlenmekte ve Belediye tarafından
yerine getirilen uygulamalar açıklanmaktadır.
Politika, Belediye tarafından otomatik olan veya herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileri
işlenen gerçek kişilere yöneliktir.
2. Politika Esasları
2.1. Genel Esaslar
Politika, kişisel veri sahiplerinin erişimine açık olacak biçimde Belediye’ye
ait internet sitesi (Belediye’nin)’de yayımlanır. Mevzuatta gerçekleştirilecek
değişiklik ve yeniliklere paralel olarak, Politika’da yapılacak değişiklikler,
veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde erişime açılacaktır.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat
ile işbu Politika arasında çelişki bulunması halinde, Belediye yürürlükte
bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
2.2. Politika Kapsamındaki Kişi Grupları
Politika kapsamında olan ve Belediye tarafından kişisel verileri işlenen İlgili
Kişi grupları aşağıdaki gibidir:
• Çalışan Adayları
Belediye ile hizmet akdi kurulmamış ancak kurulma gayesiyle Belediye’ye
başvurmuş kişiler.
• İş Ortakları Yetkilileri, Çalışanları
Belediye’nin ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri,
hissedarları, çalışanları.
• Belediye Ziyaretçileri
Belediye’nin faaliyet gösterdiği binaları veya Belediye tarafından işletilen
internet sitelerini ziyaret eden gerçek kişiler.
• Çalışanlar
Belediye ile hizmet akdi kurulmuş olan gerçek kişiler.
3. Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin İlkeler
3.1. Veri İşleme Şartlarına Uygunluk
Belediye, kişisel verilerin işlenmesi faaliyetlerini yürütürken, KVKK’nın (i) 4.
maddesinde yer verilen temel ilkelere, (ii) 5. maddesinde yer alan kişisel veri
işleme şartlarına ve (iii) 6. maddesinde yer alan özel nitelikli kişisel veri
işleme şartlarına uygun hareket etmektedir.
3.1.1. Temel İlkelere Uygunluk
(1) Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Belediye, Türkiye Cumhuriyeti Anayasası başta olmak üzere, KVKK ve ilgili
ikincil mevzuata uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve
dürüstlük kuralına uygun olarak yürütür.
(2) İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Belediye tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik
imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya
yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır. Belediye bu
kapsamda, kişisel veri sahiplerinin kişisel verilerinin güncel olmaması ya da
hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik
mekanizmalar kurmuştur.
(3) Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Belediye tarafından, kişisel veriler, veri işleme şartları ile bağlantılı ve bu
hizmetlerin işleme amacının gerçekleştirilmesi için gerektiği kadar
işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme
faaliyetine başlanmadan önce belirlenmekte, ileride kullanılabileceği varsayımı
ile veri işleme faaliyeti yürütülmemektedir.
(4) Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etme
Belediye, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının
gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda
mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel veriler Belediye tarafından
silinmekte, yok edilmekte veya anonim hale getirilmektedir. İleride kullanılma
ihtimaline dayanılarak Belediye tarafından kişisel veriler saklanmamaktadır.
3.1.2. Kişisel Veri İşleme Şartlarına Uygunluk
Belediye kişisel veri işleme faaliyetlerini, KVKK’nın 5. maddesinde ortaya
konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, kişisel
veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının
varlığı halinde gerçekleştirilmektedir:
(1) İlgili Kişi’nin Açık Rızasının Varlığı
İlgili Kişi’nin kendisiyle ilgili veri işlenmesine, belirli bir konuyla ilgili
yeterli bilgi sahibi olarak, özgürce ve tereddüde yer bırakmayacak açıklıkta
onay vermesi halinde, Belediye tarafından kişisel veri işleme faaliyeti
yürütülür.
(2) Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması
Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması
durumunda, Belediye tarafından, ilgili kanuni düzenleme ile sınırlı olarak
kişisel veri işleme faaliyeti yürütülebilecektir.
(3) Fiili İmkânsızlık Nedeniyle İlgili Kişi’nin Açık Rızasının Elde Edilememesi
ve Kişisel Veri İşlemenin Zorunlu Olması
İlgili Kişi’nin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı
hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel
verilerin işlenmesi zorunlu ise, Belediye tarafından bu kapsamda veri işleme
faaliyeti yürütülür.
(4) Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla
Doğrudan Doğruya İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde,
sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise Belediye
tarafından veri işleme faaliyeti yürütülür.
(5) Belediye’nin Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme
Faaliyeti Yürütülmesinin Zorunlu Olması
Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi Belediye politikası
olarak benimsemiş olan Belediye’nin hukuki yükümlülüğünün söz konusu olması
durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme
faaliyeti yürütülür.
(6) İlgili Kişi’nin Kişisel Verisini Alenileştirmesi
Belediye tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi
bir şekilde kamuya açıklanan) kişisel verileri alenileştirilme amacına uygun
olarak işlenir.
(7) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu
Olması
Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması
için zorunlu olması durumunda, Belediye tarafından bu zorunluluk ile paralel
olarak kişisel veri işleme faaliyet yürütülür.
(8) İlgili Kişi’nin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel
Veri İşleme Faaliyetinin Yürütülmesinin Belediye’nin Meşru Menfaatleri için
Zorunlu Olması Belediye’nin meşru menfaatleri için, kişisel veri işlemenin
zorunlu olması durumunda, İlgili Kişi’nin temel hak ve özgürlüklerine zarar
verilmeyecek ise veri işleme faaliyeti yürütülebilecektir. Bu çerçevede, “veri
sorumlusu” sıfatı ile Belediye’nin meşru menfaati ile İlgili Kişi’nin temel hak
ve özgürlükleri arasındaki dengenin varlığı aranacaktır.
3.1.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Belediye tarafından, özel nitelikli kişisel verilerin işlenmesine ayrıca önem
gösterilmektedir. Bu kapsamda, Belediye tarafından özel nitelikli kişisel veri
işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı
tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra
veri işleme faaliyeti yürütülmektedir.
Özel nitelikli kişisel veriler, Belediye tarafından, Kurul tarafından belirlenen
yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
(1) Kişisel Sağlık Verilerinin İşlenmesi
Belediye tarafından kişisel sağlık verileri, (i) Sağlık Bakanlığı tarafından
öngörülecek yeterli önlemleri almak, (ii) genel ilkelere uygun davranmak ve (iii)
sır saklama yükümlülüğü altında bulunmak kaydıyla aşağıda sıralanan şartlardan
birinin varlığı halinde işlenebilmektedir:
– İlgili Kişi’nin yazılı açık rızasının varlığı,
– Kamu sağlığının korunması,
– Koruyucu hekimlik,
– Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
– Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
(2) Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Belediye tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel
veriler; İlgili Kişi’nin açık rıza vermesi veya kanunlarda öngörülen hallerde
işlenebilmektedir.
3.1.4. Kişisel Veri Aktarım Şartlarına Uygunluk
Belediye tarafından gerçekleştirilecek kişisel veri aktarımlarında KVKK’nın 8.
ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak
hareket edilmektedir.
(1) Kişisel Verilerin Yurtiçinde Aktarılması
Belediye tarafından, KVKK’nın 8. maddesi gereğince, yurtiçinde yürütülecek veri
aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. Politika 3.1.) uygun
olarak olarak hareket edilmektedir.
(2) Kişisel Verilerin Yurtdışına Aktarılması Belediye tarafından, KVKK’nın 9.
maddesi gereğince kişisel veriler; (i) kişisel veri işleme şartlarına (Bkz.
Politika 3.1.) uygun olarak ve (ii) aktarım yapılacak ülkenin Kurul tarafından
ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede
yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve
Kurul’un izninin bulunması ile yurtdışına aktarılabilmektedir.
(3) Belediye Tarafından Kişisel Verilerin Aktarıldığı Kişi Grupları
Belediye KVKK’nın 8. ve 9. maddelerine uygun olarak Politika kapsamı dahilinde
olan veri sahiplerinin (Bkz. Politika 2.2.) kişisel verilerini aşağıda sıralanan
kişi gruplarına belirtilen amaçlarla aktarabilir:
(i) Belediye adına kişisel veri işleyen üçüncü kişi hizmet sağlayıcılara,
Belediye faaliyetlerinin yerine getirilmesi amacıyla sınırlı olarak,
(ii) Belediye iş ortaklarına, iş ortaklığının kurulması ve sürdürülmesinin
temini amacıyla sınırlı olarak,
(iii) Belediye tedarikçilerine, Belediye’nin ticari faaliyetlerinin yerine
getirilmesi amacıyla sınırlı olarak,
(iv) Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili
kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,
(v) Üçüncü kişilere, kişisel veri aktarım şartlarına uygun olarak.
4. Kişisel Veri Sahiplerinin Aydınlatılması
Belediye, KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri
yürütmektedir. Bu kapsamda Belediye tarafından veri sahiplerine sunulan
aydınlatma metinlerinde başlıca aşağıda sıralanan bilgiler bulunmaktadır:
(1) Belediye’nin unvanı,
(2) Belediye tarafından veri sahiplerinin kişisel verilerinin hangi amaçla
işleneceği,
(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
(5) İlgili Kişi’nin aşağıda sıralanan hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenme,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
– Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
– KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin
silinmesini veya yok edilmesini isteme ve yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme.
5. Kişisel Veri Sahiplerinin Taleplerinin Sonuçlandırılması
Veri sahiplerinin kişisel verilerine ilişkin taleplerini, kimliklerini tevsik
edici belgeler ve www.ardanuc.bel.tr adresindeki başvuru formunu doldurarak
Belediye’ye yazılı olarak iletmeleri durumunda, Belediye veri sorumlusu
sıfatıyla KVKK’nın 13. maddesine uygun olarak, talebin niteliğine göre en kısa
sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli
süreçleri yürütmektedir.
Belediye, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin
başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla
bilgi talep edebilir. Belediye ayrıca İlgili Kişi’nin başvurusunun talebe uygun
bir biçimde sonuçlandırılmasını sağlamak adına, İlgili Kişi’ye başvurusu ile
ilgili soru yöneltebilir.
İlgili Kişi’nin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme
ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi
olması gibi durumlarda, Belediye tarafından gerekçesi açıklanarak talep
reddedilebilecektir.
5.1. Kişisel Veri Sahiplerinin Hakları
KVKK’nın 11. maddesi uyarınca, Belediye’ye başvurarak aşağıda yer alan konularda
talepte bulunabilirsiniz:
(1) Kişisel verilerinizin işlenip işlenmediğini öğrenme,
(2) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
(4) Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü
kişileri öğrenme,
(5) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel
verilerinizin silinmesini ve yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğramanız hâlinde zararın giderilmesini talep etme.
5.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller
KVKK’nın 28. maddesi gereğince aşağıdaki hallerin KVKK’nın kapsamında olmaması
sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri
sürmeleri mümkün olmayacaktır:
(1) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya
bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
(2) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle
araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi.
(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine
ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın
giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını
ileri sürmeleri mümkün olmayacaktır:
(1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması.
(2) İlgili Kişi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
(3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve
yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin
soruşturma veya kovuşturması için gerekli olması.
(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin
ekonomik ve mali çıkarlarının korunması için gerekli olması.
6. Roller ve Sorumluluklar
6.1. Belediye Kişisel Verilerin Korunması (KVK) Komitesi
Belediye Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın tüm Belediye
genelindeki faaliyet ve süreçlerde uygulanmasından Belediye içinde oluşturulmuş
olan, Belediye KVK Komitesi sorumludur. Belediye KVK Komitesi, bu sorumluluğunu
yerine getirebilmek için Belediye bünyesinde kişisel verilerin korunması
mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Belediye
bünyesinde gerekli koordinasyonu sağlayacak olan Belediye Kişisel Verilerin
Korunması Komitesi’ni kurmuştur. Tüm müdürlüklerden/birimlerden yetkili
kişilerin katılımı ile Kişisel Verilerin Korunması Komitesi, Belediye genelinde
KVKK’na uyum kapsamında gerekli yönetmelik ve rehberleri hazırlayacaktır.
Belediye’nin tüm çalışanları ve birimleri işbu Politika’nın uygulanmasını ve
Politika’ya uyulmasını sağlamakla yükümlüdür.
6.2. Belediye KVK Komitesi
Belediye tarafından, kişisel verilerin korunması mevzuatına uygunluğun
sağlanması, muhafazası ve sürdürülmesi kapsamında Belediye bünyesinde gerekli
koordinasyonu sağlayacak olan “Belediye KVK Komitesi” kurulmuştur. Belediye KVK
Komitesi, Belediye birimleri arasında birlik sağlanması, yürütülen faaliyetlerin
kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan
sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur.
Bu kapsamda, Belediye KVK Komitesi’nin temel görevleri aşağıda belirtilmektedir:
– Belediye içi kişisel verilerinin korunması ve işlenmesi ile ilgili temel
politikaları hazırlamak ve yürürlüğe koymak,
– Belediye içi kişisel verilerinin korunması ve işlenmesine ilişkin
politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar
vermek ve bu çerçevede Belediye içi görevlendirmede bulunmak ve koordinasyonu
sağlamak,
– KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları
tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
– Kişisel verilerin korunması ve işlenmesi konusunda Belediye içinde ve iş
birliği içerisinde olunan kurumlar nezdinde farkındalığı arttırmak,
– Belediye’nin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit
ederek gerekli önlemlerin alınmasını sağlamak; iyileştirme önerilerini sunmak,
– Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler
tasarlamak ve icra edilmesini sağlamak,
– Kişisel veri sahiplerinin başvurularını karara bağlamak,
– Kişisel veri sahiplerinin; Belediye’nin kişisel veri işleme faaliyetleri ve
kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve
eğitim faaliyetlerinin icrasını koordine etmek,
– Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki
değişiklikleri hazırlamak ve yürürlüğe koymak,
– Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip
etmek; bu gelişmelere ve düzenlemelere uygun olarak Belediye operasyonlarında
yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
– Kurum ve Kurul ile olan ilişkileri yönetmek,
7. Kişisel Verilerin Güvenliğinin ve Gizliliğinin Sağlanması
Belediye tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını,
aktarılmasını, bunlara hukuka aykırı olarak erişimini veya başka şekillerde
meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde,
korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda Belediye tarafından gerekli her türlü (i) idari ve (ii) teknik
tedbirler alınmakta, (iii) Belediye bünyesinde denetim sistemi kurulmakta ve
(iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVKK’da
öngörülen tedbirlere uygun olarak hareket edilmektedir.
(1) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere
Hukuka Aykırı Erişilmesini Önlemek için Belediye Tarafından Alınan İdari
Tedbirler
– Belediye, kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını
eğitmekte ve bilinçlendirilmelerini sağlamaktadır.
– Kişisel verilerin aktarıma konu olduğu durumlarda, Belediye tarafından kişisel
verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel
verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri
yerine getireceğine ilişkin kayıtlar eklenmesi temin edilir.
– Belediye tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak
incelenmekte ve periyodik olarak gözden geçirilerek gerektiğinde
güncellenmektedir. Bu kapsamda, KVKK’da öngörülen kişisel veri işleme şartlarına
uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
– Belediye, KVKK’na uyumun sağlanması için yerine getirilmesi gereken
uygulamaları tespit ederek, bu uygulamaları iç politikalar ile düzenler ve
periyodik olarak gözden geçirerek gerektiğinde günceller.
(2) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere
Hukuka Aykırı Erişilmesini Önlemek için Belediye Tarafından Alınan Teknik
Tedbirler
– Belediye tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin
imkân verdiği ölçüde ve makul teknik önlemler alınır ve alınan önlemler
gelişmelere paralel olarak güncellenir ve iyileştirilir.
– Teknik konularda, gerektiği durumda uzman personel istihdam edilir veya uzman
danışmanlardan destek alınır.
– Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
– Güvenliği temin edecek yazılım ve sistemler kurulur.
– Belediye bünyesinde işlenmekte olan kişisel verilere erişim yetkisi,
belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
(3) Belediye Tarafından Kişisel Verilerin Korunmasına İlişkin Denetim
Faaliyetleri Yürütülmesi
Belediye tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması
kapsamında alınan teknik ve idari tedbirlerin işleyişi denetlenmekte ve
işleyişin devamını sağlayacak uygulamalar yürütülmektedir. Bu kapsamda
gerçekleştirilen denetim faaliyetlerinin sonuçları, Belediye bünyesinde Belediye
KVK Komitesi’ne ve ilgili departmana raporlanmaktadır. Denetim sonuçları
doğrultusunda verilerin korunmasına ilişkin alınan tedbirlerinin
geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler yürütülür
(4) Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak
Tedbirler
Belediye tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel
verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edildiğinin
tespit edildiği durumlarda, vakit kaybedilmeksizin durum Kurul’a ve ilgili veri
sahiplerine bildirilecektir.
8. Kişisel Verilerin İşlenme Amaçları ve Veri İşleme Faaliyetine Konu Olan
Kişisel Veri Grupları
8.1. Kişisel Veri Kategorileri
Belediye tarafından, aşağıda belirtilen gruplardaki kişisel veriler kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenmektedir.
KİŞİSEL VERİ KATEGORİLERİ
AÇIKLAMA
Kimlik Bilgisi
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad, T.C.
kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi,
cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler
ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.
İletişim Bilgisi
İletişim bilgileri; telefon numarası, adres, e-posta adresi, faks numarası gibi
kişisel veriler.
Fiziksel Mekân Güvenlik Bilgisi
Fiziksel mekâna girişte, fiziksel mekanın içerisinde kalış sırasında alınan
kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi
kayıtları ve güvenlik noktasında alınan kayıtlar vb.
İşlem Güvenliği Bilgisi
Belediye’nin ticari faaliyetlerini yürütürken gerek İlgili Kişi’nin gerekse de
Belediye’nin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için
işlenen kişisel veriler.
Risk Yönetimi Bilgisi
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul
görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan
yöntemler vasıtasıyla işlenen kişisel veriler.
Finansal Bilgi
Belediye ile İlgili Kişi arasındaki hukuki ilişki kapsamında yaratılan her türlü
finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel
veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal
profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler.
Hukuki İşlem ve Uyum Bilgisi
Belediye’nin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası
ile kanuni yükümlülükleri ve Belediye politikalarına uyum kapsamında işlenen
kişisel veriler.
Denetim ve Teftiş Bilgisi
Belediye’nin kanuni yükümlülükleri ve Belediye politikalarına uyumu kapsamında
işlenen kişisel veriler.
Özel Nitelikli Kişisel Veri
KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık
verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
Talep/Şikâyet Yönetimi Bilgisi
Belediye’ye yöneltilmiş olan her türlü talep veya şikâyetin alınması ve
değerlendirilmesine ilişkin kişisel veriler.
İtibar Yönetimi Bilgisi
Kişiyle ilişkilendirilen ve Belediye’nin ticari itibarını korumak maksatlı
toplanan kişisel veriler (örneğin; Belediye ile ilgili yapılan paylaşımlar)
8.2. Kişisel Verilerinin İşlenme Amaçları
Kişisel veriler, veri işleme şartlarına ve ilkelerine uygun olarak aşağıda
sıralanan amaçlarla Belediye tarafından işlenmektedir. Aşağıda yer alan
amaçların varlığı, her bir İlgili Kişi özelinde değişiklik gösterebilmektedir.
Elde edilen kişisel veriler, Belediye tarafından KVKK’nın 5. ve 6. maddelerinde
belirtilen kişisel veri işleme şartları kapsamında ve aşağıda sayılan amaçlar
dahilinde işlenmektedir:
– Belediye İçi Eğitim Faaliyetlerinin Planlanması ve/veya İcrası,
– Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası,
– Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası,
– İnsan Kaynakları Süreçlerinin Planlanması,
– Hukuk İşlerinin Takibi,
– İş Faaliyetlerinin Planlanması ve İcrası,
– Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi,
– Bilgi Güvenliği Süreçlerinin Planlanması,
– Kurumsal İlişkiler ve İletişim Faaliyetlerinin Planlanması ve İcrası,
– İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin
Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası,
– Verilerin Doğru ve Güncel Olmasının Sağlanması,
– İşe Alım / İstihdam,
– Belediye Yerleşkeleri ve/veya Tesislerinin Güvenliğinin Temini,
– Ziyaretçi Kayıtlarının Oluşturulması ve Takibi,
– Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi,
– İş Sürekliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası,
– Belediye Denetim Faaliyetlerinin Planlanması ve İcrası,
– Belediye Faaliyetlerinin Belediye Prosedürleri ve/veya İlgili Mevzuata Uygun
Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerin Planlanması
ve İcrası,
– Kamu Hukuku’na Dair Gerekli İşlemlerin Gerçekleştirilmesi,
– Belediye Operasyonlarının Güvenliğinin Temini,
– İştiraklerle Olan İlişkilerin Yönetimi ve/veya Denetimi,
– Personel Temin Süreçlerinin Yürütülmesi,
– Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası,
– Stratejik Planlama Faaliyetlerinin İcrası,
– Belediye Dışı Eğitim Faaliyetlerinin Planlanması ve İcrası.
8.3. Paylaşılan Taraf Kategorileri
Belediye, KVKK’da yer alan ilkelere ve özellikle, KVKK’nın 8. ve 9. maddelerine
uygun olarak Politika kapsamı dahilinde olan veri sahiplerinin (Bkz. Bölüm 2.2.)
kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla
aktarılabilir:
– Belediye tedarikçilerine,
– Belediye iş ortaklarına,
– Belediye adına kişisel veri işleyen üçüncü kişilere,
– Yetkili kamu kurum ve kuruluşlar ile yetkili özel hukuk kişilerine,
– Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve olası veri aktarım
amaçları aşağıda belirtilmektedir.
VERİ AKTARIMI YAPILABİLECEK KİŞİLER
TANIMI
VERİ AKTARIM AMACI
İş Ortağı
Belediye’nin, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı
kurduğu taraflar
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak
Tedarikçi
Belediye’nin ticari faaliyetlerinin yürütülmesi kapsamında, Belediye’nin emir ve
talimatlarına uygun ve sözleşme temelli olarak Belediye’ye hizmet sunan taraflar
Belediye’nin tedarikçiden dış kaynaklı olarak temin ettiği ve Belediye’nin
ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Belediye’ye
sunulmasını sağlamak amacıyla sınırlı olarak
İştirakler
Belediye’nin hissedarı olduğu Belediyeler
Belediye’nin iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin
yürütülmesini temin etmekle sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları
İlgili mevzuat hükümlerine göre Belediye’den bilgi ve belge almaya yetkili kamu
kurum ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla
sınırlı olarak
Hukuken Yetkili Özel Hukuk Kişileri
İlgili mevzuat hükümlerine göre Belediye’den bilgi ve belge almaya yetkili özel
hukuk kişileri
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla
sınırlı olarak
9. Kapalı Devre Kamera (CCTV) Kullanımı
Belediye’nin Belediye merkezinin bulunduğu binada, suç teşkil eden davranışların
önlenmesi, bina içinin, çevresinin, araç ve gereçlerin, ziyaretçilerin ve
çalışanların güvenliğinin sağlanması gibi amaçlarla kapalı devre kamera sistemi
aracılığıyla görsel ve işitsel verileriniz elde edilebilecek ve yalnızca bu
sayılan amaçlar için gerekli süre boyunca saklanabilecektir. Kapalı devre kamera
sistemi aracılığıyla elde edilen kişisel verilerin güvenliğinin sağlanması için
gerekli her türlü teknik ve idari tedbir Belediye tarafından alınacaktır.
10. İnternet Sitesi Kullanımı
Belediye’nin sahibi olduğu ve yönettiği internet sitelerinde, bu siteleri
ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir
şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler
sunabilmek, sosyal medya özellikleri sağlamak, ilgili internet sitesini tekrar
ziyaret etmeleri halinde hatırlanmaları suretiyle ziyareti kolaylaştırmak
maksadıyla ziyaretçilerin site içerisindeki internet hareketleri
kaydedilmektedir.
Belediye sahibi olduğu ve yönettiği internet sitelerinde kullandığı çerezleri
kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını
değiştirebilir veya yeni çerezler ekleyebilir.
Belediye, söz konusu çerezler vasıtasıyla elde ettiği kişisel verileri KVKK’na
ve işbu Politika’nın hüküm ve koşullarına uygun olarak işleyecektir.
11. Gözden Geçirme
İşbu Politika, Belediye KVK Komitesi tarafından her yıl en az bir defa gözden
geçirilerek gerekli olması halinde güncellenecektir. İşbu Politika’nın yürürlüğe
girmesi, değiştirilmesi, yürütülmesi ve yürürlükten kaldırılması hususlarında
Belediye KVK Komitesi yetkili ve sorumludur.
12. Tanımlar
Politika’da kullanılan terimlere ait tanımlar aşağıda yer almaktadır:
Açık Rıza :
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Anonim Hale Getirme :
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi.
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik :
20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanan, Kişisel Sağlık
Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik
Kişisel Sağlık Verisi :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık
bilgisi.
Kişisel Veri :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
İlgili Kişi :
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.
Kişisel Verilerin İşlenmesi :
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
KVKK :
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016
tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kurul :
Kişisel Verileri Koruma Kurulu
Kurum :
Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri :
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik
ve genetik veriler.
Politika :
Ardanuç Belediye Başkanlığı Kişisel Verilerin Korunması ve İşlenmesi Politikası
Belediye İş Ortakları : Belediye’nin ticari faaliyetlerini yürütürken çeşitli
amaçlarla iş ortaklığı kurduğu taraflar.
Belediye Tedarikçileri :
Sözleşme temelli olarak Belediye’ye hizmet sunan taraflar.
Türkiye Cumhuriyeti Anayasası :
9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete'de yayımlanan; 7 Kasım 1982
tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
Veri Sorumlusu :
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin
sistematik bir şekilde tutulduğu yeri yöneten kişidir.
Okudum Onayladım