KİŞİSEL VERİLERİN KORUNMASI VE BİLGİ GÜVENLİĞİ / KVKK Politikası

ESKİŞEHİR BÜYÜKŞEHİR BELEDİYESİ ESKİ GENEL MÜDÜRLÜĞÜ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

GİRİŞ

Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilerin işlenmesi ve korunması hususunda Eskişehir Büyükşehir Belediyesi Su ve Kanalizasyon İdaresi Genel Müdürlüğü (“İdare”) tarafından benimsenecek ve uygulamada dikkate alınacak ilkeleri ortaya koymaktadır.

AMAÇ ve KAPSAM

İdaremiz, işlenen kişisel veriler ile ilgili bilgilendirme yaparak gerekli şeffaflığı sağlamak ve İdare bünyesindeki faaliyetleri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuatlara uyumlu hale getirmek amacıyla bu politikayı oluşturmuş ve ilgili kişilerin bilgisine sunmuştur.

İş bu politika, İdare tarafından yürütülmekte olan tüm kişisel veri işleme faaliyetlerini kapsar ve söz konusu faaliyetlerde uygulanır.

TANIMLAR

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hale Getirme  : Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Kişisel Veri  : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Veri Sahibi / İlgili Kişi : Kişisel verisi İdare tarafından işlenen kişileri,
İdare / Veri Sorumlusu : Eskişehir Büyükşehir Belediyesi Su ve Kanalizasyon İdaresi Genel Müdürlüğünü
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanununu,
KVK Kurulu / Kurul : Kişisel Verileri Koruma Kurulunu,
Özel Nitelikli Kişisel Veri  : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri, ifade eder.

 

KİŞİSEL VERİLERİN İŞLENMESİ

Genel İlkeler

İdare;

Kişisel verilerin hukuk ve dürüstlük kuralları gözetilerek işlenmesi için gerekli önlemleri alır.

İşlenen kişisel verilerin doğru ve güncel olmasını sağlar.

Kişisel verilerin işlenme amacını belirler, aydınlatmayı yapar ve gereken durumlarda açık rıza alır.

Kişisel verileri sadece Kanun kapsamında veya ilgili kişinin verdiği açık rıza kapsamında belirtilen amaç doğrultusunda ölçülülük esasına uygun olarak işler.

Kişisel verileri ilgili mevzuatta öngörülen süre kadar veya işlendikleri amaca uygun olarak gerektiği kadar muhafaza eder.

İşlenme Şartları

 İdare;

 Kişisel verileri ilgili kişiye aydınlatma yükümlülüğünü yerine getirdikten sonra Kanun’a uygun şekilde açık rıza alarak işler.

 Kanun kapsamında açık rıza almadan kişisel verilerin işlenmesinin öngörüldüğü hallerde, ilgili kişinin  açık rızasını almaksızın kişisel veriyi işleyebilir. 

 Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda olan kişinin ya da başka bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olan durumlarda ilgili kişinin açık rızasını almaksızın   kişisel  veriyi işleyebilir.

 Bir sözleşmenin kurulması veya ifası için işlemenin gerekli olduğu durumlarda, sözleşme taraflarına ait kişisel rerileri ilgili kişinin açık rızasını almaksızın işleyebilir.

 Veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmek için ilgili kişinin açık rızasını almaksızın kişisel verileri işleyebilir.

 İlgili kişinin kendisi tarafından alenileştirilmiş olan kişisel verileri açık rıza almaksızın işleyebilir.

 Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu durumlarda ilgili kişinin  açık rızasını almaksızın kişisel verileri işleyebilir.

 Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu durumlarda, İlgili kişinin temel hak ve özgürlükleri gözetilmek şartıyla kişisel verileri açık rıza almaksızın işleyebilir.

 Özel nitelikli kişisel veriler, kanunlarda açıkça öngörülen haller dışında, ilgili kişinin açık rızası olmaksızın işlemez.

Kişisel Verilerin Silinmesi,Yok Edilmesi ve Anonimleştirilmesi

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde; re’sen, İdare kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda İdaremiz ilgili yükümlülüğünü yerine getirmek adına, İdare içerisinde gerekli teknik ve idari tedbirleri alarak; bu yükümlüklerine uygun davranmak üzere ilgili birimlerini eğitmekte, görevlendirme ve farkındalıklarını sağlamaktadır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemleri, 28.10.2017 tarihli 30224 sayılı "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik "hükümleri dâhilinde gerçekleştirilir. İlgili Yönetmelikte;

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

şeklinde açıklanır.

KVK Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler, araştırma, planlama ve istatistik gibi amaçlarla işlenebilecektir.

Kişisel Verilerin Saklanma Süreleri

İdare, Kişisel verileri ilgili mevzuatta belirtilen süreyle sınırlı olmak üzere, muhafaza etmektedir. Bu kapsamda, İdaremiz ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

Kişisel Verilerin Aktarılması

İdare bünyesinde bulunan kişisel veriler; bağlı bulunduğumuz kanun,ve sair mevzuat hükümlerinin zorunlu kıldığı/izin verdiği kişi, kurum ve/veya kuruluşlarla; vatandaşlara sunulmakta olan hizmetlerin yürütülmesi saikıyla, Eskişehir Büyükşehir Belediyesi, ilçe belediyeleri, bağlı bulunulan kanunlar kapsamında kamu kurumları ve İdare faaliyetlerimizi yürütmek üzere hizmet aldığımız üçüncü kişi ve kurumlara, yasal sınırlamalar dâhilinde aktarılabilmektedir.

Kişisel Verilerin Korunması

İdaremiz, Kanuna uygun olarak işlemekte olduğu kişisel verilerin, hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almaktadır. Bu tedbirler aşağıda belirtilmiştir;

a) Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

b) İdari Tedbirler

  • İdare tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere ek olarak; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin, gizlilik sözleşmesi imzalanmaktadır.
  • Birim bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için, ilgili birimin özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; ilgili hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler hayata geçirilmektedir.
  • Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
  • Kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak; İdare içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • İdarenin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm birimlerin özelinde analiz edilerek, ilgili analiz neticesinde; ilgili birimlerin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.

Kişisel Verilerin Sınıflandırılması

İdaremizin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’da düzenlenen tüm yükümlülüklere uyularak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun uyarınca ve ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin, işbu politika kapsamında düzenlenen hangi ilgili kişiyle ilişkili olduğu da, "Kişisel Veri Sınıfı" başlığı altında düzenleme altına alınmıştır. Buna göre;

Kişisel Veri Sınıfı:

Kimlik Bilgisi  :  Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası bilgileri v.b.

İletişim Bilgisi : Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler vb.

Lokasyon Verisi: İdare tarafından yürütülen hizmetler çerçevesinde veya işbirliği içinde olduğumuz kurumların verdiği hizmetler neticesinde;  kişisel veri sahibinin bulunduğu yerin konumunu tespit eden bilgiler;  GPS lokasyonu, adres bilgileri vb.

Vatandaş Verileri: İdaremizin verdiği ve sağladığı hizmet kapsamında ilgili kişi hakkında elde ettiği ve ürettiği bilgi vb.

Aile Bireyleri ve Akraba/Yakın Bilgisi: İdaremizin verdiği hizmetlerle ilgili veya kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk) ve yakınları hakkındaki bilgiler, velayet bilgileri, acil durumda ulaşılacak kişi bilgileri vb.

Fiziksel Mekan Güvenlik Bilgisi: Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar vb.

Finansal Bilgi  : İdarenin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan, her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, gelir bilgisi vb.

Görsel/İşitsel Bilgi: Fotoğraf ve kamera kayıtları ("Fiziksel Mekan Güvenlik Bilgisi "kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler vb.

Özlük Bilgisi: İdare çalışanı özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri vb.

Özel Nitelikli Kişisel Veri: KVK Kanunu’nun 6. maddesinde belirtilen veriler vb.(örn. kan grubu da dâhil sağlık verileri)

İşlem Güvenliği Bilgisi: İdaremizin, sağlamakla yükümlü olduğu kamu hizmetine ilişkin faaliyetlerini yürütürken; teknik, idari ve hukuki güvenliği sağlamak adına işlediği kişisel veriler vb.

Hukuki İşlem ve Uyum Bilgisi: Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve İdarenin politikalarına uyum kapsamında işlenen kişisel veriler vb.

Hizmet Bilgisi: Hizmetlerimizin kişisel veri sahibinin hizmet alma alışkanlıkları, beğenisi ve ihtiyaçlarına yönelik işlenen kişisel veriler ve ilgili işleme sonuçlarına göre yaratılan rapor ve değerlendirmeler vb.

Talep/Şikâyet Yönetimi Bilgisi: İdareye yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler ve bu işleme sonuçlarına göre yaratılan rapor ve değerlendirmeler vb.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Kanun’un 10.maddesine göre;

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

İdare, Kanun’un 10. maddesi kapsamında, kişisel veriyi işlemeden önce ilgili kişinin talebine bakılmaksızın gerekli bilgilendirmeyi yaparak aydınlatma yükümlülüğünü yerine getirir. İdare bu amaçla "Genel Aydınlatma Metni’ni " hazırlamış ve yayınlamıştır.

BİNA, TESİS GİRİŞLERİ VE İÇERİSİNDE VERİ İŞLEME FAALİYETLERİ

İdaremiz tarafından güvenliğin sağlanması amacıyla, İdaremize ait binalarda ve tesislerde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik olmak üzere;  kişisel veri işleme faaliyetinde bulunulmaktadır. İlgili faaliyetler güvenlik kameraları kullanılması, kimlik alınması ve misafir giriş çıkışlarının kayıt altına alınması şeklinde gerçekleştirilmektedir.

İdaremiz tarafından yürütülen kamera ile izleme ve kayıt tutulması işlemi," Özel Güvenlik Hizmetlerine Dair Kanuna" ve ilgili mevzuata uygun olarak gerçekleştirilmektedir.

İdaremiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak;  kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin, güvenliğinin sağlanması adına gerekli teknik ve idari tedbirler alınmaktadır.

WEB SİTESİ ve UYGULAMA ZİYARETÇİLERİ

İdaremiz sahibi olduğu internet siteleri ve uygulamalarda; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini, ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek amacıyla kaydetmektedir.

İdaremizin WEB sitelerinde ve uygulamalarında yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin işlenmesi ve korunmasına ilişkin detaylı açıklamalar, WEB sitemizde, "Web Sitesi ve Uygulamalar Gizlilik Politikasında " yer almaktadır.

İLGİLİ KİŞİ TALEP YÖNETİMİ

Kişisel veri sahipleri, haklarına ilişkin taleplerini www.eskisehir-eski.gov.tr kurumsal web sitesinde “Kişisel Verilerin Korunması ve Bilgi Güvenliği” başlığı altında bulunan başvuru yöntemleri ile başvurduğu takdirde; talepler, İdaremiz tarafından, talebin niteliğine göre en kısa sürede ve talebin tarafımıza ulaştığı tarihten itibaren en geç otuz gün içerisinde ücretsiz olarak sonuçlandırmaktadır.

İlgili kişi, haklarını kullanmak için kimliğini tespit edici gerekli bilgiler ile açıklamaları içeren talebini; www.eskisehir-eski.gov.tr adresindeki başvuru formunu doldurarak, imzalı bir nüshasını Eskişehir Büyükşehir Belediyesi Su ve Kanalizasyon İdaresi Genel Müdürlüğü Orhangazi Mahallesi Ömür Mevkii İçme Suyu Arıtma Tesisleri Odunpazarı/ESKİŞEHİR adresine kimliğini tespit edici belgeler ile bizzat elden iletebilir, noter kanalıyla gönderebilir veya ilgili formu kep adresine güvenli elektronik imzalı olarak iletebilir.

POLİTİKA’NIN UYGULANMASI

Yürürlükte bulunan Kanun ve ilgili mevzuatlar çerçevesinde oluşturulan politika idaremiz internet sitesinde yayınlanarak ilgili kişilere duyurulur ve İdare tarafından yürütülmekte olan tüm kişisel veri işleme faaliyetlerinde uygulanır.

Politika, yürürlükte bulunan Kanun ve ilgili mevzuatlar takip edilerek olası uyuşmazlık durumunda tekrar düzenlenerek güncellenir.


GERİ DÖN