İçindekiler

1. Giriş 3
2. Amaç, Kapsam ve Yürürlük. 4

2.1.     Amaç. 4

2.2.     Kapsam.. 4

3. Tanım ve Kısaltmalar 4
4. Sorumlular ve İlgi Grupları 6

4.1.     Sorumlular 6

4.2.     İlgili Kişi Grupları 6

5. Sınırlar 6

5.1.     Lokasyon Sınırları 6

5.2.     Sistem Sınırları 7

6. İşlenen Kişisel Veri Kategorileri 8
7. Kişisel Verilerin İşlenmesinde Genel İlkeler 8

7.1.     Hukuka ve Dürüstlük Kurallarına Uygun Olması 8

7.2.     Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama. 8

7.3.     Belirli, Açık ve Meşru Amaçlarla İşleme. 9

7.4.     İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma. 9

7.5.     İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme. 9

8. Kişisel Verilerin İşlenme Kuralları 9

8.1.     Kişisel Verilerin İşlenmesi Kuralları 9

8.2.     Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları 10

9. Aydınlatma Yükümlülüğü ve İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması 11

9.1.     Aydınlatma Yükümlülüğü. 11

9.2.     İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması 12

10. Kişisel Verilerin Aktarılması 14

10.1.       Kişisel Verilerin Aktarılması 14

10.2.       Özel Nitelikli Kişisel Verilerin Aktarılması 14

10.3.       Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması 15

10.4.       Veri Paylaşım Tablosu. 16

11. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları ve Amaçları 16

11.1.       Kişisel Verilerin İşlenmesinin Hukuki Dayanakları 16

11.1.1.    Genel İlkeler 16

11.1.2.    Hukuka Uygunluk Sebepleri 16

11.1.3.    Saklamayı Gerektiren Hukuki Sebepler 18

11.2.       Kişisel Verilerin Toplanma Yöntemleri 18

11.3.       Kişisel Verilerin İşlenme Amaçları 19

12. Kişisel Verilerin Saklanması ve Korunması Yönelik Alınan Tedbirler 21

12.1.       Kişisel Verilerin Saklanması 21

12.2.       Kişisel Veri Kayıt Ortamları 22

12.3.       Teknik Tedbirler 23

12.4.       İdari Tedbirler 23

12.5.       Kişisel Verilere Erişim Yetkilerinin Düzenlenmesi 24

13. Kişisel Verilerin İmhası 24

13.1.       Kişisel Verilerin Silinmesi ve Yok Edilmesi 24

13.2.       Kişisel Verilerin Anonim Hale Getirilmesi 24

13.3.       Periyodik İmha Süreleri 25

14. Politikanın Sürdürülebilirliğinin Sağlanması, Denetimi ve Eğitim Faaliyetleri 25

14.1.       Sürekli İyileştirme ve Denetim Faaliyetleri 25

14.2.       Eğitim Faaliyetleri 26

1. Giriş

Kişisel verilerin korunması bir anayasal hak olup, Belediye olarak kişisel verilerin güvenliğine azami hassasiyet gösterilmektedir. Bu amaçla, Belediyede devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulup, Kalite Yönetim Sistemimize dahil edilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 28.10.2017 tarih ile Resmî Gazete ’de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 01.01.2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili yönetmelikler, Kişisel Verilerin Korunması Kurumu tarafından hazırlanmış kılavuzlara uygun olmak sureti ile Veri Sorumlusu sıfatıyla Belediyede kişisel veriler işlenmekte ve muhafaza edilmektedir.

2. Amaç, Kapsam ve Yürürlük

2.1. Amaç

Belediye tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme ve muhafaza faaliyetleri için esasları ortaya koymak ve izlenecek yöntemleri belirleyerek, kişileri aydınlatmak ve bilgilendirmek sureti ile şeffaflığı sağlamak amaçlanmaktadır.

2.2. Kapsam

Bu politika, Belediye olarak Vatandaşlarımız, Belediye Meclis ve Encümen Üyelerimiz, Çalışanlarımız, Aday Çalışanlarımız, Eski Çalışanlarımız, Tedarikçi / Alt İşveren Çalışanları ve Yetkilileri, Ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler başlıkları altında ilgi grupları olarak nitelendirdiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir.

• Yürürlük

Belediye tarafından hazırlanan işbu Politika [●] tarihinde yürürlüğe girecektir. İşbu Politika’da değişiklik olması durumunda, Politika yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.

3. Tanım ve Kısaltmalar

Belediye: GÜZELYURT Belediyesi

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlar.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grupları ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Kurum: Kişisel Verileri Koruma Kurumu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı.

İmha: Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’ sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Veri Saklama ve İmha Politikası.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaç ve yöntemlerini belirleyen, ilgili kanuna uygun olarak veriyi işleyen ve muhafaza eden gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

 VERBİS: Veri Sorumluları Sicili Bilgi Sistemi.

 Yönetmelik: 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. Sorumlular ve İlgi Grupları

4.1. Sorumlular

Belediye Başkanı, Başkan Yardımcısı, Encümen Üyeleri, Meclis Üyeleri, tüm personeller, hizmet alımı yoluyla çalışan personeller, hizmet ve mal sağlayıcı firmalar (Politika’ya uyum ve imzalanan ek protokol kapsamında) sorumludur.

İlgili Kanun kapsamında Belediye, veri sorumlusu sıfatına haiz olacak olup, VERBİS sistemine kaydolacaktır. Yönetmelik’in 11’inci maddesinin 1’inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuata göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir.” Şeklinde düzenleme yapılmıştır. Bu kapsamda Belediye’nin, Kişisel Verilerin Korunması Kurumu ile iletişim, koordinasyon ve Belediye içinde gerekli düzenleme ve kontrol işlemlerini gerçekleştirebilmesi için ………………… görevlendirilmiştir. ………………….. ifa edeceği görevlerde yardım ihtiyacı hasıl olması durumunda ek görevlendirmeler ile başka personellerde süreç içerisine dahil edilecektir.

4.2. İlgili Kişi Grupları

Vatandaşlarımız, Belediye Meclis ve Encümen Üyelerimiz, Çalışanlarımız, Aday Çalışanlarımız, Eski Çalışanlarımız, Tedarikçi / Alt İşveren Çalışanları ve Yetkilileri, Ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler

5. Sınırlar

5.1. Lokasyon Sınırları

Belediye Hizmet Binası

5.2. Sistem Sınırları

Belediye Web Sitesi, EBYS Programı, İç İşleri Bakanlığı Otomasyon Sistemi, Excel Dokümanlar, Fiziksel Dokümanlar

6. İşlenen Kişisel Veri Kategorileri

İşbu Politika’da yer alan işlenme amaçları doğrultusunda ve ilgili mevzuatın düzenlediği sınırlamalar çerçevesinde Belediye tarafından, detayları Kişisel Veri İşleme Envanteri’nde bulunan ve aşağıda sayılan kişisel veri kategorileri kapsamında yer alan kişisel veriler işlenmektedir:

• Kimlik
• İletişim
• Lokasyon
• Özlük
• Hukuki İşlem
• Müşteri İşlem
• Fiziksel Mekân Güvenliği
• İşlem Güvenliği
• Risk Yönetimi
• Finans
• Mesleki Deneyim
• Görsel ve İşitsel Kayıtlar
• Sendika Üyeliği
• Sağlık Bilgileri
• Ceza Mahkumiyeti ve Güvenlik Tedbirleri
• Diğer Bilgiler (İmza, Fotoğraf, Vize bilgileri)
• Diğer Bilgiler (Tapu Bilgileri)

7. Kişisel Verilerin İşlenmesinde Genel İlkeler

Belediye olarak, Kanun’un 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

7.1. Hukuka ve Dürüstlük Kurallarına Uygun Olması

Veri sorumlusu sıfatı ile Anayasa ve Kanun başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

7.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Belediye, kişisel verilerin işlenmesi faaliyetlerinde, bilişim teknolojileri ve insan gücünün elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile Belediye’ye bildireceği talepler ve Belediye’nin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Belediye tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

7.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Belediye tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

7.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Belediye tarafından kişisel veriler, işlenme amaçları ile bağlantılı ve sınırlı olmak kaydıyla ve bu amacın gerçekleşmesi için gerektiği ölçüde veri işleme faaliyetlerini ifa etmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

7.5. İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Belediye tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınmıştır.

8. Kişisel Verilerin İşlenme Kuralları

8.1. Kişisel Verilerin İşlenmesi Kuralları

Kanun’da sayılan istisnalar dışında, Belediye ancak ilgili kişilerin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, ilgili kişinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin

Taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş̧ olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kaydıyla kişisel veriler herhangi bir açık rıza aranmaksızın işlenebilmektedir.

8.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları

İlgili kişiler açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesine ise Belediye tarafından hassasiyet gösterilmektedir. Bu kapsamda, Kişisel Verilerin Korunması Kurumu tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, ilgili kişilerin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın da işlenebilmektedir. (İş Sağlığı ve Güvenliği Kanunu vb.) Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi. (Özel Sağlık Poliçelerinin belirlenmesi vb.)

9. Aydınlatma Yükümlülüğü ve İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması

9.1. Aydınlatma Yükümlülüğü

Belediye, Kanun’un 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir ve Belediye, ilgili kişilerin haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

Kanun’un 10. maddesi kapsamında, ilgili kişilerin, kişisel verilerin elde edilmesinden önce yahut en geç̧ elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde ilgili kişilere iletilmesi gereken bilgiler şunlardır:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği,

2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5. Kanun’un 11. maddesinde sayılan diğer haklar.

Belediye, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen Kanun hükmü kapsamında ilgili kişilere sunulmak üzere aydınlatma beyanları hazırlamıştır.

Öte yandan, Kanun’un 28 (1) maddesi c, ç, d bentlerinde sayılan durumlarda Belediye’nin aydınlatma yükümlülüğü bulunmamaktadır.

9.2. İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması

İlgili kişiler aşağıda yer alan haklara sahiptirler:

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili kişiler, Kanun’un 28.maddesi gereğince aşağıda belirtilen haller kapsamında yukarıda belirtilen haklarını ileri süremezler:

1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç, 9.2. başlığı altında sayılan diğer haklarını ileri süremezler:

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. İlgili kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İlgili kişiler 9.2. başlığı altında sıralanan haklarına ilişkin taleplerini, kimliklerini tespit edecek bilgi ve belgelerle Belediye Hizmet Binasına posta veya kargo yolu ile ya da kvkk@guzelyurt.bel.tr e-posta adresine göndermek sureti ile kullanabilirler. Belediye 30 gün içerisinde herhangi bir ücret talep etmeksizin, ilgili kişiye dönüş yapmak ile yükümlüdür. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Belediye tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır.

Belediye, başvuruda bulunan kişinin, ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. İlgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir.

Belediye’nin, Kanun’un 28.maddesi kapsamında sayılan hallerde gelen başvuruları reddetme hakkı saklıdır.

İlgili kişi Kanun’un 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Belediye’nin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

10. Kişisel Verilerin Aktarılması

10.1 Kişisel Verilerin Aktarılması

Belediye, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarmaktadır:

Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak veya

1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
2. İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
4. Belediye’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
5. Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,
6. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
7. Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Belediye’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.

Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima kişisel verilerin işlenmesinde genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

10.2. Özel Nitelikli Kişisel Verilerin Aktarılması

Belediye gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurum tarafından öngörülen yeterli önlemleri sağlamak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarmaktadır:

İlgili kişinin açık rızası var ise buna dayalı olarak veya ilgili kişinin açık rızası yok ise;

1. İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
2. İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (İş Yeri Hekimi) veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima kişisel verilerin işlenmesinde genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

10.3. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtiçi veya Yurtdışına Aktarılması

Belediye, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin açık rızası var ise veya kişisel verisi işlenen ilgili kişinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri yurtiçinde aktarmaktadır (Yurtdışına veri aktarımı yoktur):

1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
2. Kişisel verisi işlenen ilgili kişinin veya başkasının hayatı, beden bütünlüğünün korunması için zorunlu ise ve kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
4. Belediye’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
5. Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş̧ ise,
6. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
8. Belediye’nin, meşru menfaatleri için kişisel veri aktarımı zorunlu ise,
9. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Belediye’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise yurtdışına veri aktarımı yapılabilmektedir.

10.4. Veri Paylaşım Tablosu

11. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları ve Amaçları

11.1. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları

11.1.1. Genel İlkeler

Belediye tarafından her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak hareket edilmektedir. Buna göre;

1. Hukuka ve dürüstlük kurallarına uygun olma,
2. Doğru ve gerektiğinde güncel olma,
3. Belirli, açık ve meşru amaçlar için işlenme,
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.

11.1.2. Hukuka Uygunluk Sebepleri

1. A) İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

1. B) Kanunlarda Açıkça Öngörülmesi

İlgili kişinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak islenebilecektir.

1. C) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, baygınlık geçiren bir çalışanın kan grubu bilgisinin hekim ile paylaşılması.

1. D) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması vb.

1. E) Belediye’nin Hukuki Yükümlülüğünü Yerine Getirmesi

Belediye’nin, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, Aile Yardım Ödeneğinden Çalışanı yararlandırmak için, aile bilgisinin işlenmesi vb.

1. F) İlgili kişinin Kişisel Verisini Alenileştirmesi

İlgili kişinin, kişisel verisini kendisi tarafından alenileştirilmiş̧ olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin; Belediye sosyal medya hesaplarına şikâyet, öneri veya talepte bulunan kişilerin bilgiyi alenileştirmesinden ötürü, ilgili kişiye cevap verebilmek adına kişisel verileri işlenebilir.

1. G) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin; ispat niteliği olan verilerin (sözleşmeler vb.) saklanması ve gerekli olduğu anda kullanılması.

1. H) Belediye’nin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Belediye’nin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin; Güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.

11.1.3. Saklamayı Gerektiren Hukuki Sebepler

• 3194 SAYILI İMAR KANUNU
• 4734 SAYILI KAMU İHALE KANUNU
• 6183 SAYILI AMME ALACAKLARININ TAHSİL USULÜ HAKKINDA KANUN
• 5490 SAYILI NÜFUS HİZMETLERİ KANUNU
• 7201 SAYILI TEBLİGAT KANUNU
• 1319 SAYILI EMLAK VERGİSİ KANUNU
• 2981 SAYILI İMAR AFFI YASASI KAPSAMINDAKİ İMAR UYGULAMALARI
• 2886 SAYILI DEVLET İHALE KANUNU
• 3071 SAYILI DİLEKÇE HAKKININ KULLANILMASINA DAİR KANUN
• 657 SAYILI DEVLET MEMURLARI KANUNU
• 4904 SAYILI TÜRKİYE İŞ KURUMU KANUNU
• 2863 SAYILI KÜLTÜR VE TABİAT VARLIKLARIN KORUMA KANUNU
• 213 SAYILI VERGİ USUL KANUNU
• 3195/3196/3197/3198/3199/3200/3201 SAYILI İMAR KANUNU
• 3308 SAYILI MESLEKİ EĞİTİM KANUNU
• 4483 SAYILI MEMURLAR VE DİĞER KAMU GÖREVLİLERİN YARGILANMASI HAKKINDA KANUN,
• 4708 SAYILI YAPI DENETİM HAKKINDA KANUN
• 9464 SAYILI ENGELLİLER HAKKINDA KANUN
• 4857 SAYILI İŞ KANUNU
• 4982 SAYILI BİLGİ EDİNME KANUNU
• 5393 SAYILI BELEDİYE KANUNU
• 5018 SAYILI KAMU MALİ YÖNETİMİ VE KONTROL KANUNU
• 9207 SAYILI İŞYERİ AÇMA VE ÇALIŞMA RUHSATLARINA İLİŞKİN YÖNETMELİK
• 5651 SAYILI İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN ŞUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN
• 6306 SAYILI AFET RİSKİ ALTINDAKİ ALANLARIN DÖNÜŞTÜRÜLMESİ HAKKINDA KANUN
• 6321 SAYILI RESMİ YAZIŞMALARDA UYGULANACAK USUL VE ESASLAR HAKKINDA YÖNETMELİK
• 6331 SAYILI İŞ SAĞLIĞI VE GÜVENLİĞİ KANUNU
• 5442 SAYILI İL İDARESİ KANUNU
• 4735 SAYILI KAMU İHALE SÖZLEŞMELERİ KANUNU
• 5199 SAYILI HAYVANLARI KORUMA KANUNU
• 7189 SAYILI BİLGİ EDİNME HAKKI KANUNUN UYGULAMASINA İLİŞKİN ESAS VE USULLER HAKKINDA YÖNETMELİK
• 3359 SAYILI SAĞLIK HİZMETLERİ TEMEL KANUNU
• 1593 SAYILI UMUMİ HIFZISSIHHA KANUNU
• 1219 SAYILI TABABET VE ŞUABATI SAN’ATLARININ TARZI İCRASINA DAİR KANUN
• 5326 SAYILI KABAHATLER KANUNU
• SAİR İLGİLİ MEVZUATLAR.

11.2. Kişisel Verilerin Toplanma Yöntemleri

Belediye; bu Politika’nın, Kanun’un ve ilgili sair mevzuatın düzenlemelerine uygun olarak, yazılı, sözlü, elektronik yollardan, görüntü/ses kaydı yoluyla veya fiziksel olarak ilgili kişi ile karşıya gelmek suretiyle kişisel veri toplamakta ve işlemektedir.

• Web Sitesi (Cookies), Belediye Uygulamaları, e-posta, işe alım portalları dahil üçüncü şahıslara ait dijital mecralar veya bir yazılım üzerinden,
• Sözleşmeler, başvurular, formlar, çağrı merkezi,
• Veri sahibi ilgili kişi ile yapılan yüz yüze görüşmeler aracılığıyla veri toplama süreci gerçekleşebilmektedir.

11.3. Kişisel Verilerin İşlenme Amaçları

Belediye, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde 4. madde kapsamında genel ilkeler denetimi yapılmakta, yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır. Kişisel verilerin işlenme amaçları ayrıca Kişisel Veri İşleme Envanteri’nde belirtilmektedir.

Belediye birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;

1. 5393 Sayılı Kanun, 2464 Sayılı Kanun ve ilgili sair mevzuat kapsamında Belediye’nin yürüttüğü faaliyetler kapsamında kişisel verileri işlenmektedir.
2. İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için çalışanların kişisel verilerinin işlenmesi gerekmektedir. Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Belediye’nin meşru menfaatleri, kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması durumları göz önünde bulundurularak kişisel veriler işlenmektedir.
3. Belediye’nin çeşitli hukuki yükümlülüklerini yerine getirebilmesi amacıyla veya meşru menfaatleri çerçevesinde, çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suiistimallerin önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir.
4. İşlenmekte olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından Belediye’ye verilen bilgilerden elde edilmektedir. Yine bazı durumlarda, Belediye yöneticileri gibi iç kaynaklardan veya çalışanların referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum ve kuruluşları tarafından tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Belediye’ye gelebilmektedir.
5. İşlenmekte olan çalışanların kişisel verileri, başvuru formları ve çalışanların referansları, iş sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları, performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır.
6. Çalışanların sağlık bilgileri de işlenen kişisel veriler arasında yer almaktadır. Çalışanların sağlık ve cinsel hayatlarına ilişkin bilgiler kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Bu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde bulunmaktadır.
7. Belediye’nin, bilgi iletişim araçları (bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı Kanun ve Belediye’nin meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını oluşturmaktadır.
8. Belediye’nin insan kaynakları politikalarının yürütülmesinin sağlanması amacı doğrultusunda; açık pozisyonlara uygun personel temini, insan kaynakları operasyonlarının yürütülmesi, personel adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır.
9. Tedarikçi / alt işveren çalışanlarının kişisel verileri de Belediye tarafından işlenebilmektedir. Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş̧ bulunmaktadır. Aynı şekilde 4857 sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş̧ ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir.

Kişisel veriler, ayrıca Kişisel Veri İşleme Envanteri’nde detaylı bir şekilde yer alan, aşağıda örneklenen veri işleme amaçları doğrultusunda da işlenmektedir:

1. Bilgi güvenliği süreçlerinin yürütülmesi
2. Denetim/etik faaliyetlerinin yürütülmesi
3. Eğitim faaliyetlerinin yürütülmesi
4. Erişim yetkilerinin yürütülmesi
5. Belediye faaliyetlerinin mevzuatlara uygun yürütülmesi
6. Finans ve muhasebe işlerinin yürütülmesi
7. Fiziksel mekan güvenliğinin temini
8. Hukuk işlerinin takibi ve yürütülmesi
9. İç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi
10. İletişim faaliyetlerinin yürütülmesi
11. Saklama ve arşiv faaliyetlerinin yürütülmesi
12. Sözleşme süreçlerinin yürütülmesi
13. Talep / şikâyetlerin takibi
14. Taşınır mal ve kaynakların güvenliğinin temini
15. Veri sorumlusu operasyonlarının güvenliğinin temini
16. Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
17. Yönetim faaliyetlerinin yürütülmesi
18. Ziyaretçi kayıtlarının oluşturulması ve takibi

12. Kişisel Verilerin Saklanması ve Korunması Yönelik Alınan Tedbirler

12.1. Kişisel Verilerin Saklanması

Belediye, Kişisel Verinin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir. Kişisel veri saklama süreleri, Kişisel Veri İşleme Envanteri’nde detaylı olarak belirtilmiştir.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Belediye’nin o veriyi işlerken sunduğu hizmetlerle bağlı olarak gereken süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş̧, ilgili mevzuat ve Belediye’nin belirlediği saklama sürelerinin sonuna gelinmişse;

Kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Belediye’ye yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Özel nitelikli kişisel verilerin işlenmesi nezdinde aşağıda belirtilen teknik ve idari tedbirlerin yanı sıra, "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda belirtilen veri güvenliği önlemleri de alınmaktadır.

12.2. Kişisel Veri Kayıt Ortamları

Belediye tarafından toplanan kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli kayıt ortamlarında tutulabilmektedir. Bu bağlamda Belediye kişisel verileri;

• Kâğıt,
• Yazılım,
• Merkezi Sunucu – Sanal Sunucu,
• Taşınabilir Medya,
• Veri Tabanı,
• Kısıtlı hafızalı Ağ Cihazları,
• Mobil Telefon,
• Kısıtlı hafızalı Yazıcı,

12.3. Teknik Tedbirler

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal prosedürler hazırlanmış ve uygulamaya başlanmıştır. Bu çerçevede, kişisel veri güvenliğinin takibi amacıyla kurulan sistemler kapsamında gerekli iç kontroller yapılmaktadır.
• Güncel anti-virüs sistemi kullanılmaktadır.
• Güvenlik duvarı kullanılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Sızma testi uygulanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve kurumsal posta hesabı kullanılarak gönderilmektedir.

12.4. İdari Tedbirler

• Belediye içinde “gerekli olmadıkça kişisel veriler ile bağlantılı tüm işlemler yasaktır.” prensibinin uygulanması için gerekli önlemleri alır. Saklanan kişisel verilere Belediye içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmemesi için gerekli tedbirler alınır, ilgili kişisel verilerin elde edilmesi hâlinde ise, bu durumu 72 saat içinde veya ihlalin tespitini takiben mümkün olan en kısa sürede ilgilisine ve Kurul’a bildirilir.
• İşlenen kişisel verilerin güncelliği düzenli aralıklarla kontrol edilir, ihtiyaç duyulmayan kişisel veriler ise saklama ve imha politikası kapsamında güvenli bir şekilde imha edilir.

• Çalışanlar için veri güvenliği hükümleri içeren gizlilik sözleşmesi ve taahhütnamesi mevcuttur.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik denetim yaptırılmaktadır.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

12.5. Kişisel Verilere Erişim Yetkilerinin Düzenlenmesi

İşlenen kişisel verilere erişim yetkileri Belediye iç prosedürleri ve yetkilendirme usulleri çerçevesinde belirlenmektedir. Bu çerçevede, işlenen kişisel verilere yalnızca amaç ile bağlantılı ve sınırlı ölçüde yetkilendirilmiş kişiler erişebilmektedir.

Verilere erişim yetkisine sahip kullanıcıları, işbu kullanıcıların yetki kapsamlarını ve yetki süreleri belirlenmiştir. Periyodik olarak yetki kontrolleri gerçekleştirilir ve görev değişikliği veya işten ayrılma gibi hallerde kişiye tanınmış yetkiler derhal kaldırılır.

13. Kişisel Verilerin İmhası

13.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi

Kişisel Verilerin silinmesi veya yok edilmesi, önceden erişim yetkisi bulunan kişiler için hiçbir surette erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Veriler,

• Kâğıt Ortamında bulunanlar için (Optik Disklerde aynı yöntemle silinir.) kâğıt doğrama makinelerinden geçirilmesi sureti,
• Elektronik Ortamda bulunan manyetik disklerin (hdd, sdd, usb bellek vb.) Low Level Formatla silinmesi veya De-Manyetize etme sureti,
• Veritabanı için delete sql sorgusu sureti ile silinmesi yöntemleri kullanılır.

13.2. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel Verilerin anonim hale getirilmesi, Kişisel Veriler başka veriler ile eşleştirilse veya başka bir sistem üzerinden kontrol edilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Belediyemiz, Kişisel Verileri anonim hale getirebilmek için aşağıda belirlenen yöntemlerden bir veya birkaçını kullanabilir;

• Değişken veya Kayıt Çıkarma,
• Alt ve Üst Sınır Kodlama,
• Bölgesel Gizleme,
• Örnekleme,
• Mikro Birleştirme,
• Veri Değiş Tokuşu,
• Gürültü Ekleme,
• K-Anonimlik,
• L-Çeşitlilik,
• T-Yatkınlık yöntemleri uygulanabilir.

13.3. Periyodik İmha Süreleri

Kişisel Veri İşleme Envanteri’nde belirtilen süreler üzerine imha zamanı gelen kişisel verilerin kontrolü 6 ayda bir yapılır ve tutanak altına alınarak imha süreçleri işletilir.

14. Politikanın Sürdürülebilirliğinin Sağlanması,