Ercument ARI – Ercüment ARI

15 Kasım 201815 Kasım 2018

Kişisel Verileri Koruma – İlgili Kişi Erişim Taleplerinin Karşılanması ve Aydınlatma Yükümlülüğü

Merhabalar;

Bu paylaşımımda KVK Kanunu’nun 10. maddesi ve 11.maddesi ile ilişkili olan “İlgili Kişi Erişim Taleplerinin Karşılanması”nda ICO (UK) yaklaşımını ve sitesinde yer alan bilgilerin iş akış diyagramına dönüştürdüğüm halini bulabilirsiniz. Yine son günlerde cep telefonlarınıza SMS olarak gelen veya karşılaştığınız web sitelerinde pop up veya kutucuklar ile sürekli olarak size farkındalık yaratmaya çalışan aydınlatma bildirimlerinin de alttaki süreçler ile ilgili olduğunu belirtebiliriz.

Öncelikle KVKK’da yer alan ve organizasyonların belirli şartlar altında uymakla mükellef olduğu ilgili maddeleri refere edelim:

Kanunumuzun 10.maddesi: Veri Sorumlusunun Aydınlatma Yükümlülüğü

Kanunumuzun 11.maddesi: İlgili Kişinin Hakları

Kanun kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere ilgili verileri konusunda belirli çerçevede bilgi vermekle yükümlüdür. Yine aynı bağlamda herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verileri dahilinde öğrenme, bilgi edinme, itiraz etme, düzeltim isteği, silinme, üçüncü taraflara bildirim yapılması, belirli şartlarda zararın giderilmesi gibi taleplerde bulunma haklarına sahiptir. Bu kapsamda verisi işlenen ilgili kişinin bir talebi geldiğinde ne yapılması gerektiğine dair yol haritası aşağıdaki metodoloji ile iyi pratik olarak benimsenmiştir.

KVKK kapsamında; organizasyonunuzun yapılandırdığı yanıt kanalına bir talep geldiğinde, ne yapmanız gerektiğine dair bu güzel süreç ile ilgili daha ayrıntılı bilgiyi sonraki postlarımızda yazabiliriz diyerek şimdilik topu taca atalım ve “Bir resim (diagram), bin sözcüğe bedeldir” mottosu ile, beğendiğim bu süreci iş akış diagram formuna çevirip, süreçlerimizde daha etkin fayda sağlayacağını düşünerek paylaşalım.

Not: Diagramı incelediğinizde bazı minör kısımların şimdilik bizim kanunumuzda henüz belirtilmeyen ama karşılaşabileceğimiz karar mekanizmalarına da yer verdiğini görebileceksiniz. Örneğin ilgili kişinin bilgiye erişim talebi; organizasyonlar açısından database samanlıklarımızda bir record iğnesini bulmak kadar meşakkatli olabileceğinden bazı erişim talepleri için ücret ödenmesi gerekliliğinden dem vurmakta. Düşündüğümüzde gayet mantıklı zira elin adamı;

“bu çark su ile dönmüyor“, “ben de bu bilgiyi başka partilerden (sorgu başına ücret ödenen özel veya devlet kurumları vb) ücret mukabilinde alıp/teyit edip sana sunacağım” veya her önüne gelen bi öğlen kahvesi içtikten sonra “dur bakim ben bu alışveriş sitesini bi yoklayayım, bakim benim bilgilerimi nereye koymuş“

gibi gerekçeler nedeni ile bu kontrolü almış olabiliyor.

Ilgili kisi bilgi talebi (Referans: @ICO’dan yararlanılmıştır.)

Ercüment ARI

Data Privacy Officer & Information Security Director, KVKK Consultant, Part-Time Lecturer

CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT

01 Haziran 201820 Şubat 2019

GDPR, KVKK – Kişisel Veri İşleme ve İlkeleri (KVKK, GDPR ve OECD İlkeleri)

Bu yazımızda; veri işleme ve KVKK, OECD ile GDPR veri işleme prensiplerine değineceğiz.

Veri işleme kuralları ve düzenlemelerinin kapsamını aktarmak için öncelikle ‘veri işleme’ terimi iyi anlaşılmalıdır. Veri işleme, sadece kişisel verileri toplamaktan çok daha fazlasını içerir. GDPR’nin 4 (2). Maddesi, işlemeyi, veri üzerinde gerçekleştirilen ‘herhangi bir işlem’ olarak tanımlamaktadır ve veri yaşam döngüsündeki birçok olası eylemi içermektedir. Örneklerle verinin işlenme yolculuğuna çıkacak olursak, her gün aslında veri işlemenin birçok çeşit ve yüzeyine temas ettiğimizi görürüz:

Bir müşteri hizmetleri temsilcisi ile yaptığınız görüşme, belirli yükümlülükler çerçevesinde kaydedilir. Temsilci ilgili kişinin bilgilerine erişmek için yetkilendirme kriterlerine dair ad, soyad ve doğum tarihi sorar, herhangi bir yanlış cevapta bilgilere erişemiyorsa veriye erişim kullanımı engellenmiş olur yani kısıtlanmıştır. Görüşme sırasında temsilci bir harf hatası nedeni ile erişilemediğini fark eder, hatayı düzeltip hesap bilgilerine erişirse kişisel veriyi değiştirir ve yeniden düzenlemiş olur. Görüşmenin ilerleyen safhalarında arayanın bulunduğu bölgede bir servis sağlayıcısını kendisine önermek için lokasyonunu danışabilir.

Benzer olarak, bir ürün geliştirme ekibi, bir ticari fuardaki müşteri memnuniyeti anketlerinden elde edilen sonuçları toplar. Anket sonuçları demografik bilgilere göre kategoriler halinde düzenlenebilir. Anketlerin elle doldurulmuş kağıt kopyaları bilgisayar ortamına veri girişi yapılarak depolanırken formu, ortamı ve yapısı değiştirilmiş olur. Anketlerden elde edilen birleştirilmiş veriler, önceki anketlerden sağlanan sonuçlarla karşılaştıran bir grafikte gösterildiğinde başka bir form şeklinde yapılandırılmış olur. Ekip yeni bir ürün adına bir pazarlama planı oluşturmak için anket sonuçlarını kullanır.

Başka bir örnekte ise İK müdürü, ekibiyle açık bir iş pozisyonu için aday listesini paylaşarak veriyi açıklamış ve aktarmış olur. İstihdam için gerekli başvurular ve diğer ilgili belgeler ihtiyaç duyulmadığında imha edilir. İK departmanı, yeni işe alınan çalışanın iş başvurusunu, performans yorumlarını ve fayda bilgilerini içeren bir dosyayı saklar, depolar. Çalışanın altı aylık performans incelemelerinin birleştirilmesi yıllık incelemesini geri bildirimi için kullanılır.

VERİ İŞLEME İLKELERİ

7 Nisan 2016 tarihinde devreye giren KVKK’mize göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

Hukuka ve dürüstlük kurallarına uygun olma.
Doğru ve gerektiğinde güncel olma.
Belirli, açık ve meşru amaçlar için işlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Şimdi 1980’lere kadar uzanıp bu ilkelerin nereden geldiğine dair köklere dokunalım:

OECD Veri İşleme İlkeleri

Kişisel Verilerin ve Sınır Ötesi Veri Akışlarının Korunmasına İlişkin Ekonomik İşbirliği ve Kalkınma Kılavuzları Örgütü (OECD Kılavuzları), belki de kayda değer uygulamalar içinde en yaygın kabul gören çerçevedir. 1980 de oluşturulmuş bu ilkelere değinecek olursak:

Veri Toplama Sınırlaması: Kişisel verilerin toplanmasına sınırlama getirilmeli ve bu tür verilerin yasal ve adil yollarla ve gerektiğinde, ilgili kişinin bilgisi veya rızasıyla elde edilmesi gerekir.
Veri Kalitesi: Kişisel veriler, kullanılacakları amaçlarla ilgili olmalı ve bu amaçlar için gerekli olduğu ölçüde, doğru, eksiksiz ve güncel tutulmalıdır.
Amacın Belirtilmesi: Kişisel verilerin toplanma amacı ve söz konusu verilerin kullanımı, bu amaçların ya da bu amaçlarla uyumsuz olmayan diğer amaçların yerine getirilmesiyle sınırlı olmak kaydıyla, verilerin toplandığı tarihten daha geç olmamak kaydıyla belirlenmeli ve her türlü amaç değişikliği belirtilmelidir.
Kullanım sınırlaması: ‘Kişisel veriler; a) ilgili kişinin rızası b) kanun yetkisi istisnaları dışında açıklanmamalı, kullanıma sunulmamalı veya belirtilenler dışında başka amaçlar için kullanılmamalıdır (amacın belirtilmesi ilkesi)
Güvenlik önlemleri: Kişisel veriler; kayıp veya yetkisiz erişim, imha, kullanım, değiştirilme veya verilerin ifşası gibi risklere karşı makul güvenlik önlemleri ile korunmalıdır.
Açıklık: Kişisel verilerle ilgili gelişmeler, uygulamalar ve politikalar konusunda genel bir açıklık politikası olmalıdır. Kaynaklar; kişisel verilerin mevcudiyetini, mahiyetini ve bunların kullanımının ana amaçlarının yanı sıra veri sorumlusunun kimliği ve olağan ikametgahını saptanmasına yönelik kolayca erişilebilir olmalıdır.
Bireysel katılım: Bir birey şu haklara sahip olmalıdır: a) bir veri sorumlusundan bilgi temini veya diğer bir deyişle, veri sorumlusunun kendisine ait verilere sahip olup olmadığının teyidi; b) kendisiyle ilgili verilerin kendisine, makul bir süre içinde ve varsa aşırı olmayan bir ücret karşılığında, makul bir şekilde ve halihazırda okunabilir bir biçimde bildirilerek bilgilendirilmesi, c) (a) ve (b) şıklarında belirtilen taleplerin reddedilmesi halinde sebeplerin belirtilmiş olması ve bu redde itirazda bulunulabilmesi; ve d) kendisiyle ilgili verilere itiraz etmek ve eğer itiraz başarıya ulaşmış ise verilerinin silinmesi, düzeltilmesi, eksikliklerin tamamlanması veya değiştirilme hakkına sahip olması.
Yükümlülük (hesap verilebilirlik): Bir veri sorumlusu, yukarıda belirtilen ilkelere etki eden tedbirlere uymaktan sorumlu olmalıdır.

GDPR Veri İşleme İlkeleri

GDPR’nin 5. maddede belirtilen işleme esasları, OECD Kılavuzları da dahil olmak üzere önceki yasa ve yönetmeliklerden süregelmektedir. Geniş çapta yorumlanabilmelerine rağmen, bu ilkelerin ihlalleri, GDPR altında geniş idari para cezalarına yol açabilir. Veri işleme ilkeleri şunlardır: hukuka uygunluk, dürüstlük ve veri işlemede şeffaflık; amaç sınırlaması; veri minimizasyonu; veri kalitesi ve doğruluğu; veri saklama sınırlaması; bütünlük ve gizlilik; ve yükümlülük (hesap verilebilirlik)

Hukuka Uygunluk; Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.
Şeffaflık; veri sorumlusu ve ilgili taraflar arasında her türlü iletişim özlü, şeffaf ve anlaşılabilir olmalıdır. Veri sorumluları, bir bireyin verilerini nasıl, neden toplandığı ve işlendiği hakkında net ve açık bilgi sağlamalıdır. Veri sorumluları, veri koruma görevlisi, veri sorumlusu ve ilgili kişinin sahip olduğu belirli haklar da dahil olmak üzere kuruluştaki bireyler hakkında proaktif olarak bilgi sağlama yükümlülüğüne sahiptir. Tüm ilgili kişiler, kendi verilerine dair silme, düzeltme, itiraz etme, bilgilendirilme, taşıma, kısıtlama, profil oluşturulmasına itiraz, haklarına sahiptir.
Amaç sınırlaması; yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.
Veri minimizasyonu ve orantılılık ilkesi, yalnızca amaç için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.
Veri kalitesi ve doğruluğu, eksiksiz ve güncel kişisel verilerin işlenmesini içerir.
Veri saklama sınırlaması, yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.
Gizlilik ve bütünlük, kişisel verilerin güvende olmasını gerektirir.
Yükümlülük (hesap verebilirlik), kişisel verileri sorumlu bir şekilde işlemek ve AB ve üye devlet veri koruma yasalarına uygunluğu kanıtlanması anlamına gelir.

Geleneğimizi sürdürelim ve sözü duayene bırakalım:

“Ekipler bir gecede kurulamaz. İşleyebilecek duruma gelmeden önce uzun zamana ihtiyaçları vardır. Ekipler karşılıklı güven ve anlayışa dayanır ve bunu oluşturmak da yıllar alır. Benim deneyimime göre, bunun için en az süre, üç yıldır.”
Peter F. Drucker

12 Mart 201820 Şubat 2019

KVKK Kararı, Kuvözdeki Bebek Ve İlgili Kullanıcılar

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı, peki her organizasyonu ilgilendiren bu önemli kararı SİZ KENDİ KURUMUNUZDA YAYIMLADINIZ MI?

Danışmanlıklarda, derslerde ve eğitimlerde kullandığım metaforlarımdan birine burada yer vererek başlayalım izninizle:

Genel kişisel veriler bize emanet edilen bir “bebek” ise, özel nitelikli kişisel veriler, emanet edilen “kuvözdeki bebektir”. Ekstra kontrole, bakıma, ihtimama ve gözetime ihtiyaç duyar, sorumluluğu ve maliyeti her zaman daha yüksektir ve nihai olarak kaybı durumunda daha fazla can acıtır.

Özel nitelikli kişisel verilere dair; Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı. Toplam 6 maddeden oluşan ve KVKK’nin 6.maddesinin 4. fıkrası ve 22. maddesini refere alan karar aslında yerine ve profiline göre (Ör: Sağlık Sektörü) Pandora’nın Kutusu niteliği taşıyabilecek, zira bazı maddeler var ki ilgili profildeki bazı şirketler için ciddi maliyet ve yönetim kararları anlamına gelecek.

Yayınlaman bu karar ve yorumları Linkedin’de, portallerde defaatle okumuşsunuzdur, bunların yeterince ve hakkıyla işlendiğini düşünüyorum. Bu yazımda değinmek istediğim nokta önemli görülen bu kararı yeterince kurumunuzda duyurup duyurmadığınız ile ilgili… Neden duyurmalısınız? Çünkü:

Politika, prosedürler, resmi deklarasyonlar (mail de dahil), üst yönetimin ve ilgili makamın organizasyondaki çalışanlardan beklentesine ve bazı risklerin yönetimine dairdir. Dolayısı ile yeterince duyur(a)madığınız, bilgilendir(e)mediğiniz kararlar için çalışanlardan rol, sorumluluk ve farkındalık bekleyemezsiniz, beklememelisiniz, daha da ötesi disiplin süreçlerini işletmemelisiniz. Çünkü günün sonunda bu; çalışma süreç ve etiklerine uygun olmadığı gibi, kurum kültüründe tehlikeli ve çoğalarak bölünmeye yol açan kanser hücresi “blame culture”ı tetikler, nihai olarak da herhangi bir adli vakada siz ve kurumunuzun haksız çıkacağı birçok dava dosyası ile sabittir.

Daha fazla uzatmadan bu “kuvözdeki bebeğin” itina ile korunma kararına dair, duyurulması ve/veya beraber çalışılmasında kanaat getirilen ilgili birimlere aşağıdaki tablolarda yer vermeye çalıştım, uygun gördüğünüz durumda duyurmanızdan zarar gelmeyip, fayda geleceği kanaatindeyim. Nihai faydanın ise birimler ile duyuru sonrası toplantılar, atölyelerden çıkacağını öngörüyorum. Tablodaki bilgiler tecrübelere dayanmaktadır ve taşa yazılı kaideler içermiyor, yani eksik veya fazla olabileceği gibi organizasyonların profilleri farklılık gösterebileceğinden kendi iç yapılarına göre düzenlenmesi gerekebilir. (Örnek Veri Koruma Departmanı yerine ilgili görevlendirilmiş birim, kişi gibi)

Her zamanki gibi kapanışımızı Peter F. Drucker yapıyor:

” İnsan öldükten sonra neyle hatırlanmak istediğini kendine sormalı. Hatırlanmaya değer olan, birinin başkalarının yaşamlarında yarattığı olumlu farklardır.”
Peter F. Drucker

(EU’ya selam olsun 🙂 )

15 Ağustos 201712 Şubat 2019

KVKK – Veri Kategorileri

Bu yazımıza; 07 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’un amaç kısmı ile giriş yapalım:

“…kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerintemel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir“

Bu amaç doğrultusunda kanun; kurumlara kişilerin verilerini işlerken şimdiye kadar yaşam döngülerinde alışa gelmedikleri kadar yükümlülükler getirmektedir. Kurumların hayatlarında artık ilgilenmeleri (/daha fazla ilgilenmeleri) gereken nur topu gibi mahremiyet (privacy), bilgi güvenliği, hukuk, uyum ve risk gibi kaçınılmaz global disiplinler arası yaklaşımlar mevcut. Genel olarak organizasyonlarda “biz fazla kişisel veri işlemiyoruz zaten”, “çalışan sayımız az, kanun muhtemelen bizi çok etkilemez”, “hukukçularımız ilgilenir”, “çalışanlara protokol imzalattık, web sayfamıza da bildirimi koyduk, yeterli aydınlatmayı da yaptık mı çoğunu halletmiş oluyoruz” gibi kulağımızın üzerine yatma meylimiz olduğu gibi, bu konuyu çok güzel yürütmeye çalışan, yeri geldiğinde danışmanlık alan, rol ve sorumluluklarını belirleyip, düzenli aralıklar ile proje adımlarını raporlayan yaklaşımlar da görmekteyiz.

Bu girizgahın ardından, kanunda geçen “kişiler” sözcüğünün biraz hafife aldığımızı düşündüğümüzü belirtmek istiyorum. Sadece müşteri ve çalışan odaklı çalışmalar yapmak; puzzle‘da bir süre sonra parçaların yanlış yerleştirildiğini fark etmeyi, resmin bir türlü neden tamamlanamadığına kafa yormayı, eksik parçaların halının altlarında aranması gibi tekrar süreçlerini doğurabilir. Bu bağlamda müşterilerin ve çalışanların yanı sıraçalışan adaylarının, taşeron çalışanların ve tedarikçi, iş ortağı çalışanlarına ait verilerini de yönetmek gerekiyor. Filmin bu aktörlerine ait bileşen kategorilerine bazı örnekleri aşağıda bulabilirsiniz. Altını çizmemiz gereken ise, bu kategorilerin norm olmadığı, aşağıdakiler ile sınırlı kalmayabileceği ve kurum, sektör bünyesine göre eklemeler, çıkarımlar gösterebileceğinin hatırlanmasıdır.

ÇALIŞANLARA AİT KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad soyad, * Tüm kimlik bilgileri, *TC kimlik numarası, *Milliyeti, *Medeni durumu, * Doğum tarihi, *Bazı durumlarda kimlik fotokopisi

İletişim Bilgisi

*Telefon numarası, *Açık adres bilgisi, *e-posta adresi

Finansal Bilgi

*Finansal ve maaş detayları, *Çalışanlara özel kredi risk raporları, *Prim listesi, *İcra takip dosyalarına ilişkin dosya ve borç bilgileri, *Banka bilgileri

Eğitim Bilgisi

* Öğrenim durumu, * Sertifika ve diploma fotokopileri, * Eğitim ve beceriler, * CV

Görsel ve İşitsel Veri

* Gerçek kişiye ait fotoğraf, *ses kayıtları, *kamera kayıtları

Çalışan Performans ve Kariyer Gelişim Bilgisi

* Eğitim katılım formları, * eğitim saatleri ve süreleri, * (varsa) sınav sonuçları, * iç terfi değerlendirme süreçleri (İngilizce, genel yetenek sınavları, kişilik envanteri), * etik uygunsuzluk raporları, * personel terfi transfer hareketleri dosyası, * dış arama ekibi puantaj ve performans raporları, * toplantı kayıtları, * scorecard bilgileri, * işe giriş tarihi, * haftalık çalışma saatleri (login-logout kayıtları)

Aile, Yakın Bilgisi

* Aile bildirim formları

Özel Nitelikli Kişisel Veri

* Sağlık poliçeleri, * Engeli ile ilgili sağlık raporları, * Sağlık beyan belgesi, * Sağlık raporları, * Hamilelik durumu, hamilelik raporu, * Meslek hastalığı kayıtları, * İşe giriş muayene formu, * Günlük hasta şikâyetleri, * Kullanmakta olduğu ilaçlar, * Klinik geçmişi, * Akciğer grafisi, * İşitme testi, * Göz muayenesi, * Kan grubu bilgisi, * Sabıka kaydı, * Din bilgisi, * Oruç tutanlar listesi

Diğer

* Araç bilgileri, * çalışanların kullandığı iş bilgisayarlarının IP adresleri, * web gezinti hareketleri, * hobileri, * çıkış mülakat raporları, * terhis belgesi, * yıllık izin kullanım defteri / kayıtları, * işten çıkış mülakat formları, * SGK sicil numarası

ÇALIŞAN ADAYLARINA İLİŞKİN KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad-soyad, * TC Kimlik Numarası, * Milliyeti, * Medeni durumu, * Bazı durumlarda kimlik fotokopisi

İletişim Bilgisi

* Kişiyle iletişime geçilmesini sağlayacak herhangi bir iletişim bilgisi (Tel, e-mail, adres, sosyal medya hesabı, vb)

Finansal Bilgi

* Finansal ve maaş detayları, * Adaylara özel kredi risk raporları

Eğitim Bilgisi

* Öğrenim durumu, * Eğitim ve beceriler, * Sertifika ve diplomalara ait detaylar

Görsel Veri

* Vesikalık fotoğraf, * Kamera kaydı

Mevcut İş Bilgisi

* İş ünvanı, * CV, * aday başvuru formları

TAŞERON ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ

Kimlik Bilgisi

* Ad Soyad, * Nüfus cüzdanı fotokopisi, * Ehliyet fotokopisi,

İletişim Bilgisi

*Telefon numarası, *Açık adres bilgisi, *e-posta adresi

Finansal Bilgi

* Aylık maaş dekontları, * sigorta primi ödeme bilgileri

Özel Nitelikli Kişisel Veri

* Sabıka kaydı, * işe giriş periyodik muayene formu, * portör muayene bilgileri (yemek şirketi çalışanlarına özel), * psikoteknik belgesi (raporu)

Diğer

* İş sözleşmeleri, * mesai süreleri, * ruhsat fotokopisi, * serc2 belgesi (Sürücü mesleki yeterlilik), * İSG eğitim belgesi, * SGK tedarikçi firmada işe giriş formu

İŞ ORTAĞI/TEDARİKÇİ ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ*

Kimlik Bilgisi

* Ad Soyad

İletişim Bilgisi

*Telefon numarası, *e-posta adresi

(*) İş ortağı/ Tedarikçi olarak; OSGB personeli (iş yerinde tam zamanlı çalışmayan iş yeri hekimi, iş güvenliği uzmanı, var ise sağlık personeli), yazılım firmalarının bakım-onarım için gönderdiği çalışanlar, elektrik firması çalışanları, teknik onarım firması çalışanları, toplu e-mailing firmaları çalışanları ve gümrük komisyoncularının çalışanları vb sınıflar olabilir.

SON NOT

BU YAZIMIZI VERBİS YAYINLANMADAN YAKLAŞIK BİR YIL ÖNCE YAZMIŞTIK. Genel normlar kapsamında şirketinizde kullanabileceğiniz veri envanteri için yukarıdakiler good practice’dir. VERBİS’in yayımladığı ve sisteminde istediği Veri Kategorileri ise aşağıdaki gibidir.

1-Kimlik •Ad soyad •Anne – Baba Adı •Anne kızlık soyadı •Doğum tarihi •Doğum yeri •Medeni hali •Nüfus cüzdanı seri sıra No •T.C. Kimlik No. •vb.

2-İletişim •Adres no, •E-posta adresi •İletişim adresi •Kayıtlı e-posta adresi

3-Lokasyon •Bulunduğu yerin konum bilgileri

4-Özlük •Bordro bilgileri •Disiplin soruşturması •İşe giriş-çıkış belgesi kayıtları •Mal bildirimi bilgileri •Özgeçmiş bilgileri •Performans değerlendirme raporları •vb.

5-Hukuki İşlem •Adli makamlarla yazışmalardaki bilgiler •Dava dosyasındaki bilgiler •vb.

6-Müşteri İşlem •Çağrı merkezi kayıtları •Fatura •Senet •Çek bilgileri •Gişe dekontlarındaki bilgiler •Sipariş bilgisi •Talep bilgisi •vb.

7-Fiziksel Mekân Güvenliği •Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri •Kamera kayıtları •vb.

8-İşlem Güvenliği •IP adresi bilgileri •İnternet sitesi giriş çıkış bilgileri •Şifre ve parola bilgileri •vb.

9-Risk Yönetimi •Ticari •Teknik •İdari risklerin yönetilmesi için işlenen bilgiler •vb.

10-Finans •Bilanço bilgileri •Finansal performans bilgileri •Kredi ve risk bilgileri •Malvarlığı bilgileri •vb.

11-Mesleki Deneyim •Diploma bilgileri •Gidilen kurslar •Meslek içi eğitim bilgileri •Sertifikalar •Transkript bilgileri •vb.

12-Pazarlama •Alışveriş geçmişi bilgileri •Anket •Çerez kayıtları •Kampanya çalışmasıyla elde edilen bilgiler

13-Görsel ve İşitsel Kayıtlar •Görsel ve işitsel kayıtlar •vb.

14-Irk ve Etnik Köken •Irk ve etnik kökeni bilgileri •vb.

15-Siyasi Düşünce Bilgileri •Siyasi düşüncesini belirten bilgiler •Siyasi parti üyeliği bilgisi •vb.

16-Felsefi İnanç, Din, Mezhep ve Diğer İnançlar •Dini aidiyetine ilişkin bilgiler •Felsefi inancına ilişkin bilgiler •Mezhep aidiyetine ilişkin bilgiler •Diğer inançlarına ilişkin bilgiler •vb.

17-Kılık ve Kıyafet •Kılık ve kıyafete ilişkin bilgiler

18-Dernek Üyeliği •Dernek üyeliği bilgileri •vb.

19-Vakıf Üyeliği •Vakıf üyeliği bilgileri •vb.

20-Sendika Üyeliği •Sendika üyeliği bilgileri •vb.

21-Sağlık Bilgileri •Engellilik durumuna ait bilgiler •Kan grubu bilgisi •Kişisel sağlık bilgileri •Kullanılan cihaz ve protez bilgileri •vb.

22-Cinsel Hayat •Cinsel hayata ilişkin bilgiler •vb.

23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri •Ceza mahkûmiyetine ilişkin bilgiler •Güvenlik tedbirlerine ilişkin bilgiler •vb.

24-Biyometrik Veri •Avuç içi bilgileri •Parmak izi bilgileri •Retina taraması bilgileri •Yüz tanıma bilgileri •vb.

25-Genetik Veri •Genetik veriler •vb.

26-Diğer Bilgiler •Kullanıcı tarafından belirlenecek veri türleri •vb.