İSTANBUL ROTARY KULÜBÜ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
1. Amaç
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası (“Politika”), İstanbul Adalar Rotary Kulübü Derneği’nin (“İstanbul Adalar Rotary Kulübü”) özel nitelikli kişisel verilerin işlenmesi konusuna olan yaklaşımını belirlemektedir.
İşbu Politika çerçevesinde aşağıdaki tanımlar esas alınacaktır:
1.1. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
1.2. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
1.3. Özel Nitelikli Kişisel Verilerin İşlenmesi: Özel Nitelikli Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
1.4. Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan diğer gerçek veya tüzel kişiyi;
1.5. Veri İşleyen: İstanbul Adalar Rotary Kulübü’nün verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen üçüncü bir gerçek veya tüzel kişiyi;
1.6. Veri Sahibi: Kişisel Verilerin konusu olduğu gerçek kişiyi;
1.7. Veri Kayıt Sistemi: İstanbul Adalar Rotary Kulübü’nün kullandığı Kişisel Verilerin belirli ölçütlere göre yapılandırılarak işlendiği kayıt sistemini;
1.8. Kurul: Kişisel Verileri Koruma Kurulunu;
1.9. Kurum: Kişisel Verileri Koruma Kurumunu;
1.10. Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanmış olan Kişisel Verilerin Korunması Kanunu’nu;
1.11. Karar: Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı, Kanun’un 6 (4) ve 22 (1) maddeleri uyarınca alınan özel nitelikli kişisel verilerin işlenmesinde veri sorumlusu tarafından alınması gereken önlemlere ilişkin kararını ifade etmektedir. Politika, İstanbul Adalar Rotary Kulübü’nün topladığı Özel Nitelikli Kişisel Verilerin işlenmesi sürecinde ilgili verilerin güvenliğine yönelik sistemin belirlenmesini amaçlamaktadır.,
2. İşlenme Sürecinde Çalışanlar Bakımından
İstanbul Adalar Rotary Kulübü’nün içerisinde Özel Nitelikli Kişisel Verilerin işlenmesi sürecinde çalışanlar (“Çalışanlar”) bakımından uygulanacak veri politikası sistemi aşağıdaki gibidir:
2.1. Çalışanlara ilgili mevzuat kapsamında Kişisel Verilerin güvenliği konusunda yılda bir kez ve işe yeni başlayanlar için düzenlenen oryantasyonda bir kez olacak şekilde eğitim verilmesi;
2.2. Çalışanlarla gizlilik sözleşmesi yapılması;
2.3. Çalışanların yetki kapsamlarının net olarak tanımlanması;
2.4. İstanbul Adalar Rotary Kulübü tarafından Çalışanların yetkilerinin periyodik olarak kontrol edilmesi;
2.5. İstanbul Adalar Rotary Kulübü tarafından Çalışanların görev değişikliği ve/veya işten ayrılması durumunda yetkilerinin derhal kaldırılması.
3. Muhafaza Edilen Yer Bakımından
İstanbul Adalar Rotary Kulübü’nün, Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar bakımından uygulanacak veri politikası sistemi aşağıdaki gibidir:
3.1. İlgili verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması;
3.2. İlgili veriler üzerinde gerçekleşen hareketlerin işlem kayıtlarının güvenli olarak loglanması;
3.3. İlgili verilerin bulunduğu ortamların güvenlik güncellemelerinin sürekli takip edilmesi, güvenlik testlerinin yılda bir kez olacak şekilde düzenli olarak yaptırılması ve test sonuçlarının kayıt altına alınması;
3.4. Bir yazılım aracılığıyla erişilen ilgili verilere ait kullanıcı yetkilendirilmelerinin yapılması,
bu yazılımlara ilişkin güvenlik testlerinin yılda bir kez olacak şekilde yapılması ve test
sonuçlarının kayıt altına alınması;
3.5. Uzaktan erişim aracılığıyla erişilen ilgili verilere iki kademeli doğrulama sisteminin
sağlanması.
İstanbul Rotary Kulübü’nün Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya
erişildiği fiziksel ortamlar bakımından uygulanacak veri politikası sistemi aşağıdaki gibidir:
3.6. Fiziksel ortamın niteliğine göre yeterli güvenlik tedbirlerinin alınması;
3.7. Fiziksel ortamın güvenliğinin sağlanması için yetkisiz giriş çıkışların engellenmesi.
3
4. Aktarılması Bakımından
Özel nitelikli Kişisel Verilerin işlenmesi ve aktarımı ancak ilgili kişilerin açık rızası ile mümkün olup
açık rıza yoksa ancak aşağıdaki şartların varlığında gerçekleşecektir:
4.1. Sağlık ve cinsel hayata ilişkin olmayan Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen
hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
4.2. Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin
açık rızası aranmaksızın işlenebilir.
Özel Nitelikli Kişisel Veriler, İstanbul Rotary Kulübü bünyesinde aktarılacaksa uygulanacak veri
politikası sistemi aşağıdaki gibidir:
4.3. İlgili veriler elektronik posta ile aktarılacaksa şifreli olarak kurumsal elektronik posta
adresiyle veya kayıtlı elektronik posta (KEP) hesabı kullanılarak aktarılması;
4.4. İlgili veriler taşınabilir bellek, CD, DVD gibi yollarla aktarılacaksa sunucular arasında VPN
kurularak aktarılması;
4.5. İlgili veriler kağıt ortamı yoluyla aktarılacaksa evrakın çalınması, kaybolması ya da
yetkisiz kişiler tarafından görülmesi risklerine karşı gerekli önlemlerin alınması ve evrakın
“gizli dereceli belgeler” formatı ile gönderilmesi.
5. Kapsam
İşbu Politika, İstanbul Rotary Kulübü tarafından https://www.istanbulrotary.org/ internet
sitesinde yayınlanan İstanbul Rotary Kulübü Kişisel Verilerin Korunması Politikası’nın hüküm ve
koşullarını da kapsamaktadır.