Çaycuma Belediyesi KVKK Uyumluluğu

Genel Aydınlatma Metni

T.C. ÇAYCUMA BELEDİYESİ
Kişisel Verilerin İşlenmesi Aydınlatma Metni

Kişisel verilerin Korunması Kanunu Kapsamında sizleri bilgilendirmek istiyoruz. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) uyarınca, kimliğinizi belirli veya belirlenebilir kılan her türlü bilginiz ve özel nitelikli kişisel verileriniz dâhil kişisel verileriniz, veri sorumlusu olarak Çaycuma Belediyesi (“Kurum”) tarafından işlenebilecektir.

Kişisel verilerin işlenmesi ise kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, sınıflandırılması, ya da kullanılmasının engellenmesi gibi verileri üzerinden gerçekleştirilen her türlü işlemi ifade etmektedir. Kişisel verilerinizin korunması bizim için hayati öneme sahiptir. Bu konuda gereken tüm önlemleri alacağımıza ve son derece şeffaf olmaya devam edeceğimizi bildirmek istiyoruz. Kişisel Verilerin İşlenme Amaçları
Hizmetlerimizi gerçekleştirmek, Ses ve arama kayıtları çağrı merkezlerimizle iletişim sağlanması halinde iletişimin tespiti ve içeriğin belirlenebilmesi amacıyla, Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek, Çalışanlarımızın, misafirlerimizin ve belediyemize ait binaların güvenliğinin, kamera kaydı ve sair güvenlik önlemleri ile sağlanabilmesi, İlgi kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Belediyemizin meşru menfaatlerinin korunması amacıyla, İnsan kaynakları politikalarının yürütülmesinin temini, 5393 Sayılı Belediye Kanunu ve diğer ilgili mevzuatlardan doğan yükümlülüklerimizi yerine getirmek, İç denetim süreçlerinin yürütülmesi, İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, İlgili/yetkili kamu kuruluşlarına bildirim yükümlülüğünün yerine getirilmesi (Mahkemeler, Çevre ve Şehircilik Bakanlığı, Maliye Bakanlığı, Sosyal Güvenlik Kurumu, İçişleri Bakanlığı vb.), Bilgi ve fiziksel güvenlik süreçlerinin yürütülmesi, Belediyemiz ve belediyemizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini, Taleplerinizin karşılanması ve talep durumu ve sonucu hakkında sizleri bilgilendirmek,
Çağrı merkezi üzerinden yapılan bildirimlerde kişiyi tespit ve talep ile ilgili gerekli bilgileri kaydetmek, Hizmetlerimiz ile ilgili şikayet, istek ve önerilerini değerlendirebilmek, Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek amaçlarıyla işlenebilecektir.

Kişisel Verilerinizin Aktarılması

Kanuni yükümlülüklerimizi yerine getirmek hukuki sebebiyle yetki kamu kuruluşlarına, Ürün ve hizmetlerin sağlanabilmesi amacıyla sınırlı olarak tedarikçilerimize, alt yüklenicilerimize, bağlı iştiraklerimize, iş birliği halinde olduğumuz kurum ve kuruluşlara Acil tıbbi müdahaleler ve iş sağlığı ve güvenliği yükümlülüklerini yerine getirmek amacıyla hastaneler ve sağlık kuruluşlarıyla, İlgili mevzuatlar ve hukuki yükümlülüklerimiz gereğince resmî kurumlarla aktarılabilmektedir.

Kişisel Verilerinizin Toplanma Yöntemi

Kişisel verileriniz tarafınızdan talep edilen belge, form, sözlü ve otomatik yollar vasıtasıyla toplanmaktadır. KVK Kanunu’nun 11. maddesinde Sayılan Haklarınız Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi, işbu Aydınlatma Metninde aşağıda düzenlenen yöntemlerle Kurum’umuza iletmeniz durumunda Kurumumuz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, Kurumumuz tarafından belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veriniz ile ilgili
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
e) KVK Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
g)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.

Çaycuma Belediyesi Bünyesinde yer Alan Güvenlik Kameraları Hakkında

Kurumumuza ait binalar parklar ve yine kuruma ait alanlarda kamera ile görüntü kaydı yapılmakta ve kayıt işlemi Bilgi İşlem Müdürlüğü tarafından denetlenmektedir. Söz konusu kişisel veri, Kanunun 5.maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması “ve“ ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” hukuki sebebine dayanarak otomatik yolla işlenmekte ve 2 Ay kadar saklanmaktadır.

Çaycuma Belediyesi Telefonlarda yer alan Ses kaydı Hakkında

Kurumumuza ait telefonlarımızda ses kaydı yapılmakta ve kayıt işlemi Bilgi İşlem müdürlüğü tarafından denetlenmektedir. Söz konusu kişisel veri, Kanunun 5.maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması “ve“ ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” hukuki sebebine dayanarak otomatik yolla işlenmekte ve 6 Ay kadar saklanmaktadır.

Veri Sorumlusu ve İlgili Kişi Bilgi Talep Yöntemleri

KVK Kanunu gereği yukarıda belirtilen haklarınızı kullanmak ile ilgili talebinizi, yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle ve aşağıda belirtilen kanallar ile Kurum’umuza iletebilirsiniz. İlgili kişi olarak hak taleplerinizi, yazılı olarak kimliğinizi tespit edici gerekli belgelerin de sağlayarak Kurumumuza iletmeniz gerekmektedir. Bu çerçevede, Kurumumuza KVK Kanunu’nun 11. maddesi kapsamında yapacağınız başvuruların sağlıklı ve hızlı şekilde yönetilmesi için, talebinize göre istenebilecek belge/bilgileri ve kimliğinizi tespit edici gerekli belgelerin de sağlanarak bizzat elden ya da posta yolu ile yapmanız gerekmektedir.
Ayrıca, ilgili kişi bilgi talebini ……….. adresine güvenli elektronik imzalı olarak ya da Kurum’umuzda kayıtlı olan mail adresiniz üzerinden yine bizlere talebinizi iletebilirsiniz. Daha detaylı bilgi için ilgili kişi bilgi talep formunu inceleyebilirsiniz.

Kamera Aydınlatma Metni

T.C. ÇAYCUMA BELEDİYESİ
KAMERA KAYDI YOLUYLA VERİ İŞLENMESİNE DAİR
AYDINLATMA METNİ

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10. Maddesi ile Aydınlatma yükümlülüğünün yerine getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla T.C. Çaycuma Belediyesi tarafından hazırlanmıştır.

Ofis girişlerinde yer alan kameralar ile görüntü kaydı yapılmakta ve kayıt işlemi Bilgi İşlem birimi tarafından denetlenmektedir. Söz konusu kişisel veri, 6698 Sayılı Kanun’un 5.maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması “ ve “ ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” hukuki sebebine dayanarak, güvenlik amacıyla otomatik yolla işlenmekte ve iki yıla kadar saklanmaktadır.

Söz konusu kişisel veriler hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği talep halinde adli makamlar veya ilgili kolluk kuvvetlerine aktarılacaktır. Kanunun ilgili kişinin haklarını düzenleyen 11. Maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e Göre T.C. Çaycuma Belediyesi’nin ‘Yeni Mahalle, Uğur Mumcu Cd. No : 29, 67900 Çaycuma/Zonguldak’’ adresine Başvuru Formunu yazılı olarak (elden bizzat teslim ederek yahut iadeli taahhütlü posta ya da noter kanalıyla ihtar çekmek suretiyle) iletebilirsiniz.

Halk Masası ve Basın Yayın Aydınlatma Metni

T.C. ÇAYCUMA BELEDİYESİ
KİŞİSEL VERİLERİN KORUNMASI HAKKINDA AYDINLATMA METNİ

Bizimle paylaşmış olduğunuz kişisel verilerinizin güvenliğinin sağlanması konusunda, T.C. Çaycuma Belediyesi tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, veri sorumlusu olarak 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 10 uncu maddesi uyarınca hazırladığımız aşağıdaki Aydınlatma Metni, kişisel verilerinizin toplanma yöntemleri, işlenme amaçları ve hukuki sebepleri, aktarılacağı kişiler ile ilgili kişi olarak haklarınız bilginize sunulmuştur. Kişisel verilerinizin işlenmesine ilişkin detaylı bilgiler için T.C. Çaycuma Belediyesi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı inceleyebilirsiniz. Veri Kategorisi Kişisel Veri İşleme Amacı

1- Kimlik

Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

2- İletişim

Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Kişisel Verilerin Toplanma Yöntemi:
Kişisel verileriniz, Belediyemize yapmış olduğunuz fiziki başvurular, Belediye tesislerimize ziyaretiniz sırasında kamera sistemleri vasıtasıyla, elektronik ortamda e-mailler, Belediyemizin faaliyetlerine özgü yazılımlar, web sitemiz, sosyal medya hesapları, bilgi formları, iletişim bilgi formları, diğer belgeler, ödeme bilgileri, yazılı veya elektronik ortamda olmak kaydıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan, , işbirliği yaptığımız program ortağı kurum ve kuruluşlar, resmi kurumlar, diğer 3.kişiler de dahil olmak üzere Belediye dışından da elde edilebilecek şekilde çeşitli yöntemlerle toplamaktadır.

Kişisel Verilerinizin İşlendiği Hukuki Sebepler:
Kişisel verilerinizi, açık rızanıza dayalı olarak veya (i) veri işlemenin kanunlarda açıkça öngörüldüğü, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla veri işlemenin gerekli olduğu, (iii) hukuki bir yükümlülüğümüzün yerine getirilebilmesi için veri işlemenin zorunlu olduğu, (iv) verinin sizin tarafınızdan alenileştirilmiş olduğu, (v) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu veya (vi) temel hak ve özgürlüklerinize zarar vermemek kaydıyla meşru menfaatlerimiz için veri işlemenin zorunlu olduğu hallerde, açık rızanız olmaksızın işlemekteyiz.

Kişisel Verilerin Aktarımı:
Kişisel verilerinizi, KVKK’nın 4’üncü maddesinde sayılan genel ilkelere ve 8 ve 9’uncu maddelerinde öngörülen şartlara uymak ve gerekli güvenlik önlemlerini almak, belediye operasyon ve faaliyetlerinin yerine getirilmesi kapsamında mal ve hizmet sunulması veya mal ve hizmet temini, belediyenin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi, yetkili kurum ve kuruluşlarının taleplerinin karşılanması, hukuki süreçlerin planlanması, savunma hakkının kullanılması, kurumsal iletişim, yönetim, yetkili kurum ve kuruluşlar, özel hukuk tüzel kişileri, ürün ve hizmet alan kişi, temsilcisi veya çalışanına aktarabilmekteyiz. Kişisel verilerinizi, gerekli güvenlik önlemlerini almak kaydıyla yurt içinde veya dışında bulunan sunucularda veya diğer elektronik ortamlarda işleyip saklayabiliriz.

Kişisel Verilerin Güvenliğine İlişkin Alınan Tedbirler:
Kişisel verilerinizin hukuka aykırı olarak işlenmemesini, bu verilere hukuka aykırı olarak erişilmemesini ve kişisel verilerinizin güvenli şekilde saklanmasını sağlamak amacıyla, gerekli tüm fiziki, idari ve teknolojik tedbirler alınmakta ve periyodik olarak güncellenmektedir. KVKK Kapsamında Veri Sahibi Olarak Haklarınız: KVKK ve yürürlükte bulunan diğer mevzuat çerçevesinde, Kişisel Verilerinizin işlenip işlenmediğini öğrenme, Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme, Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme, Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme, Yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.

Haklarınız Kapsamında Belediye’ye Başvuru Yolları:
Yukarıda belirtilen haklarınızı kullanmakla ilgili talebinizi aşağıdaki yöntemlerle ve İlgili Kişi sıfatıyla Belediyemize iletebilirsiniz;

Belediyemize başvuru tarihinden önce ilgili kişi tarafından bildirilmiş olan mail adresinden yapacağınız başvuruyla,
Islak imzalı bir başvuru dilekçesini bizzat elden, noter aracılığı ile yahut iadeli taahhütlü posta ile “Yeni Mahalle Uğur Mumcu Caddesi No:29 Çaycuma/ZONGULDAK” adresine yapacağınız başvuru ile.

Belediyemiz başvurunuzu 30 gün içinde neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Talepleriniz kural olarak ücretsiz sonuçlandırılacak olmakla birlikte, talebinizin cevaplandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde,
ilgili mevzuat çerçevesinde belirlenen tutarlarda ücret talep edilebilecektir.

Veri Sorumlusu Unvanı:
T.C. Çaycuma Belediyesi
Adres:
Yeni Mahalle Uğur Mumcu Caddesi No:29 Çaycuma/ZONGULDAK
Web Adresi:
https://www.caycuma.bel.tr

Veri Aktarım Politikası

VERİ AKTARIM/ PAYLAŞIM POLİTİKASI

Amaç

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 8. ve 9. maddeleri gereği kişisel verilerin ‘verilerin aktarılması/ paylaşılması’’ süreci amaçlanmaktadır.

Kapsam

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 8. Ve 9. maddeleri gereği muhafaza edilen bilgilerin kaybedilmesi, yetkisiz bir şekilde ifşa edilmesi, değiştirilmesi veya kaldırılması riskini en aza indirme amacıyla kişisel verilerin paylaşılması durumunda Çaycuma Belediyesi (Birlikte “Kurum” olarak anılacaktır) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

Hedef Grup

Müdürlükler / Departmanlar
Yürürlük Alanı
Çaycuma Belediyesi çalışanları, tüm iş birimleri

İÇERİK
1. Giriş ve Politikanın Amacı
2. Politikanın Kapsamı
3. Kısaltmalar ve Tanımlar
4. Sorumluluklar
5. Açıklamalar
6. Yurtdışına Aktarım
7. Kişisel Verilerin İşlenmesinde Genel İlkeler
8. Yürütme
9. Dış Referans Kısayolları
10. Önceki Versiyondaki Değişiklikler

1. Giriş ve Politikanın Amacı

Çaycuma Belediyesi (Kurum) iş süreçleri, personeller arasında, personel ve tedarikçi/ziyaretçi arasında veya personel ile (harici) üçüncü taraflar arasında bilgi paylaşımını gerektirir. Bu politika, Kurum tarafından muhafaza edilen bilgilerin kaybedilmesi, yetkisiz bir şekilde ifşa edilmesi, değiştirilmesi veya kaldırılması riskini en aza indirmeyi amaçlamaktadır.

2. Politikanın Kapsamı

Bu politika, bilgi paylaşımını, bu verileri paylaşmak için kullanılan yöntemleri ve fiziksel veya elektronik formatta bulunan her türlü bilgiyi kapsar. Bu politika, Veri İşleyenleri veya müşterek Veri Sorumlularının bilgi paylaşımını kapsamaktadır, bilgiler, iş birliği içinde olduğumuz araştırma şirketleri, sistem sağlayıcıları, hizmet sağlayıcıları, diğer iştiraklerimiz ve benzer kuruluşlar dahil ancak bunlarla sınırlı olmamak üzere pek çok üçüncü tarafla paylaşılmakta ve işlenmektedir.

3. Kısaltmalar ve Tanımlar

KVKK: Kişisel Verilerin Korunması Kanunu
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını, araçlarını ve Veri İşleyen için yasal olarak bağlayıcı bir sözleşmenin yürürlükte olmasını sağlamak için gereklilikleri belirler. ‘Veri Sorumlusu’, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan gerçek veya tüzel kişi, kamu makamı veya diğer organizasyonlar anlamına gelir.
Veri İşleyen: Veri İşleyen, bir Veri Sorumlusu adına kişisel verilerin işlenmesinden ve kişisel veriler ile ilgili işlem aktivitelerinin kayıtlarının tutulmasından sorumludur. Kendilerinden kaynaklı bir veri ihlali yaşanması halinde yasal sorumlulukları olacaktır. ‘Veri İşleyen’, gerçek veya tüzel kişi, kamu idaresi, başka bir kurum anlamına gelir.
Müşterek Veri Sorumluları: Her iki tarafın veri işleme hakkında karar vermesi gerektiğinde Müşterek Veri Sorumluluğu doğar; Bu sorumluluk, uygun bir sözleşme / anlaşmada açıkça belirtilmeli ve kararlaştırılmalıdır.

4. Sorumluluklar

Çaycuma Belediyesi “Veri Sorumlusu” dur. Kurum kamu tüzel kişiliği mevcut olup veri koruma mevzuatına uyum için nihai sorumluluğa sahiptir.

4.1 Bilgi Kullanıcıları

Kurum’un tüm çalışanları, tüm ilgili veri koruma yasa, mevzuat, tebliğ ve bu politikaya uymaktan sorumludur. Bilgilerin ilgili bireyler veya üçüncü kişilerle paylaşılması kararının alındığı durumlarda, alıcının bilginin gizliliğini ve mahremiyetini anlaması ve herhangi bir bilgi paylaşım sözleşmesinin hükümlerine uyması bilginin aktarıldığı tarafın sorumluluğundadır.

4.2 Yöneticiler ve Denetleyici Rolleri

Yöneticiler ve denetleyici rolleri olan tüm çalışanlar, bilginin yalnızca ilgili kişilerle paylaşılmasını ve veri paylaşım anlaşmasının yürürlükte olduğunu, bu koşulların yerine getirildiğini sağlamaktan sorumludur.

4.3 Sistem Sahipleri

Sistem sahipleri / yöneticileri, bilgi sahibi olan sistemlerin, yalnızca ilgili kişiler tarafından onaylanan bilgilerin veya yalnızca sorumlu kişilerce, 3.kişi veya kurumlarla paylaşılmasından sorumludur.

4.4 Yasal Hizmetler / Hukuk Birimi

Hukuk İşleri Müdürlüğü, sözleşmeler ve veri paylaşımı konularında hukuki danışmanlık sağlamaktan sorumludur ve kişisel verilerin paylaşılmasını gerektiren durumlarda sözleşmeler üzerinde Veri Koruma Görevlisi / KVKK Ekip Lideri ile yakın bir şekilde çalışacaktır.

5. Açıklamalar

5.1 Kurum bir Veri Sorumlusudur: Veri işlemenin amaçlarını, yöntemini ve ilgili mevzuata uyulmasını sağlamaktan ve ilgili kararları almaktan
sorumludur. Veri Sorumlusu olarak,

5.2 Kurum, aynı zamanda bir Veri İşleyen olarak da hareket edebilir, böyle durumlarda her bir tarafın sorumluluklarını ve yükümlülüklerini tanımlamak Veri Sorumlusunun görev sorumluluğundadır. Çalışan personel, bu anlaşmaları imzalamadan önce Kurum’un tüm gereklilikleri yerine getireceğinden ve uygun sorumluluk düzeyini kabul edebileceğinden emin olmalıdır.

5.3 Kurum kendi adına kişisel verileri işlemek için bir Veri İşleyen kullandığı zaman, tüm personellerin her bir tarafın sorumluluklarını ve yükümlülüklerini ortaya koyan yazılı bir sözleşme imzalandığından emin olmalıdır.

5.3.1 Sözleşmeler, veri işleme güvenliğini sağlamak için, Veri İşleyenlerin uygun önlemleri almasını ve ilgili kişilerin KVKK kapsamı altındaki hakları ile ilgili maddeler içermelidir.

5.3.2 Herhangi bir kişisel veri paylaşılacağı durumlarda sözleşmeler KVKK gerekliliklerini karşılamalıdır.

5.3.3 Veri Sorumluları, Veri konusu kişi grubunun (İlgili Kişilerin) haklarının ve verilerinin KVKK kapsamında karşılandığı ve işlendiği konusunda Veri İşleyene gerekli garantiyi sağlamalıdır.

5.3.4 Veri İşleyenler, bir Veri Sorumlusunun sadece yazılı talimatları ile hareket etmelidir. KVKK kapsamında bazı doğrudan sorumluluklara sahip olacaklardır ve uymadıkları takdirde cezalara veya diğer yaptırımlara tabi olabilirler.

5.3.5 Veri İşleyenlerle açık ve kapsamlı sözleşmeler yapmak, herkesin veri koruma yükümlülüklerini anladığından emin olunmasına yardımcı olur.

5.4 Tüm personel, verilerin yurtdışına aktarımı konularında bu politikanın

6. Bölümünde tanımlanan uygun yöntemlere göre hareket ettiklerinden emin olmalıdır.

7 Yurtdışına Aktarım

7.1 KVKK, kişisel verilerin Kişisel Verileri Koruma Kurulu’nun güvenli ülke kategorisi dışındaki üçüncü şahıslara veya uluslararası kuruluşlara kişisel verilerin aktarılması ile ilgili kısıtlamalar getirmektedir.

7.2 Bu kısıtlamalar, KVKK tarafından kişilerin korunma düzeyinin zarar görmemesini sağlamak için yürürlüktedir.

7.3 Kişisel veriler, Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.

7.4 Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;

İlgili kişinin açık rızasının bulunması,
Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler) durumlarında gerçekleşebilir.

7.5 Kişisel verilerin aktarıldığı kurumun yeterli koruma sağladığı durumlarda kişisel verilerinizi transfer edebilirsiniz. Bireylerin KVKK’da tanımlanan haklarını kullanabilme konularında zorluk yaşamamaları sağlanmalıdır.

7.6 Aşağıdakiler için yeterli güvenceler sağlanabilir:

Kamu makamları veya yetkili kurumlar arasında yasal olarak bağlayıcı bir anlaşma;
Kişisel Verileri Koruma Kurumu tarafından kabul edilen aktarım hükümleri ve standart veri koruma maddeleri;
KVK Kurumu tarafından onaylanmış rehber/tebliğ/mevzuat/prosedür:
Kişisel verilerin korunması ya da veri güvenliği konularında sertifikalandırma;
KVKK tarafından onaylanmış sözleşme hükümleri

8 Kişisel Verilerin İşlenmesi Genel ilkeler

6698 Sayılı Kişisel Verilerin Korunması Kanunu Md. 4

Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

Hukuka ve dürüstlük kurallarına uygun olma.
Doğru ve gerektiğinde güncel olma.
Belirli, açık ve meşru amaçlar için işlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

9 Yürütme
Bu politika, bunlarla sınırlı olmamakla birlikte, ilgili diğer Kurum politikaları ve dokümanları ile birlikte kullanılmalıdır:

Kişisel Verilerin Korunması ve İşlenmesi Politikası
Var ise Bilgi Güvenliği Politikası (IS0 27001)

10 Dış Referans Kısa Yolları

Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar.

11 Önceki Versiyondaki Değişiklikler

Veri Saklama ve İmha Politikası

KİŞİSEL VERİ SAKLAMA VE İHMA POLİTİKASI

Amaç
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 7. maddesi gereği Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Çaycuma Belediyesi (“Kurum”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kapsam

Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup kurumun sahip olduğu ya da kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

Hedef Grup
Müdürlükler
Yürürlük Alanı
Tüm Müdürlük Çalışanları, Tüm Müdürlükler, Çalışan Adayları, Hizmet
Sağlayıcıları, Ziyaretçiler ve Diğer 3. kişiler

İÇİNDEKİLER
1.Giriş ve Politikanın Amacı
2. Politikanın Kapsamı
3. Kısaltmalar ve Tanımlar
4. Sorumluluk ve Görev Dağılımları
5. Kayıt Ortamları
6. Saklama ve İmhaya İlişkin Açıklamalar
6.1 Saklamaya İlişkin Açıklamalar
6.1.1 Saklamayı Gerektiren Hukuki Sebepler
6.1.2 Saklamayı Gerektiren İşleme Amaçları
6.2 İmhayı Gerektiren Sebepler
7. Teknik ve İdari Tedbirler
7.1 Teknik Tedbirler
7.2 İdari Tedbirler
8. Kişisel Verileri İmha Teknikleri
8.1 Kişisel Verilerin Silinmesi
8.2 Kişisel Verilerin Yok Edilmesi
8.3 Kişisel Verilerin Anonim Hale Getirilmesi
9. Saklama ve İmha Süreleri
10. Periyodik İmha Süresi
11. Politika’nın Yayınlanması ve Saklanması
12.Politika’nın Güncellenme Periyodu
13.Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
14. Dış Referans Kısayolları
15. Önceki Versiyondaki Değişiklikler

1. Giriş ve Politikanın Amacı
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Çaycuma Belediyesi (“Kurum”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Kurum; Stratejik Planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Kurum tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2. Politikanın Kapsamı
Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup kurumun sahip olduğu ya da kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

3. Kısaltmalar ve Tanımlar
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesi.
Çalışan : Çaycuma Belediyesinin Personeli
EBYS : Elektronik Belge Yönetim Sistemi
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı : Çaycuma Belediyesi ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri Sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul : Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika : Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Bilgi Sistemi
Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. Sorumluluk Ve Görev Dağılımları
Kurumun tüm Müdürlükleri ve çalışanları, sorumlu Müdürlüklerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
Ünvan Birim Görev
[Kvkk Sorumlusu] Çalışanların politikaya uygun hareket etmesinden sorumludur.
[Kvkk Sorumlusu] Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
[Tüm Müdürlükler yazacak]
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

5. Kayıt Ortamları
Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar Elektronik Olmayan
Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
✔ Yazılımlar (ofis yazılımları, portal,EBYS, VERBİS.)
✔ Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
✔ Kişisel bilgisayarlar (Masaüstü, dizüstü)
✔ Mobil cihazlar (telefon, tablet vb.)
✔ Optik diskler (CD, DVD vb.)
✔ Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
✔ Yazıcı, tarayıcı, fotokopi makinesi
✔ Kağıt
✔ Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
✔ Yazılı, basılı,
görsel ortamlar

1. Saklama Ve İmhaya İlişkin Açıklamalar
Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumun veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

6.1 Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

6.1.1 Saklamayı Gerektiren Hukuki Sebepler

Kurumumuzda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 sayılı Kamu Mali Yönetimi Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu
Arşiv Hizmetleri Hakkında Yönetmelik
5393 Sayılı Belediye Kanunu

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

6.1.2 Saklamayı Gerektiren İşleme Amaçları
Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

İnsan kaynakları süreçlerini yürütmek.
Kurumsal iletişimi sağlamak.
Kurum güvenliğini sağlamak,
İstatistiksel çalışmalar yapabilmek.
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
Yasal süreçleri yürütmek.
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

6.2 İmhayı Gerektiren Sebepler

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

1. Teknik Ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Kurum tarafından teknik ve idari tedbirler alınır.

7.1 Teknik Tedbirler
Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

7.2 İdari Tedbirler
Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

2. Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

8.1 Kişisel Verilerin Silinmesi
Tablo 3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/ silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece
sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

8.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Kurum tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan

Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

3. Saklama Ve İmha Süreleri
Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Proje Kurulu Tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Birim Daire Müdürleri tarafından yerine getirilir.

Tablo 5: Süreç bazında saklama ve imha süreleri tablosu

Periyodik İmha Süresi; Yönetmeliğin 11 inci maddesi gereğince Kurum, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl [Ocak ] ve [Haziran] aylarında periyodik imha işlemi gerçekleştirilir.
Politikanın Yayınlanması ve Saklanması
Politika’nın Güncellenme Periyodu; Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
Politikanın Yürürlüğü Ve Yürürlükten Kaldırılması
Dış Referans Kısayolları; Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar
Önceki Versiyondaki Değişiklikler

Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç
Hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetimin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.

Kapsam

Bu politika Kurum bünyesinde yapılan faaliyetlere ve bu işlemlere ilişkin Müdürlüklerin faaliyetlerinden elde edilen elektronik bilgi varlıkların korunması, Kurum bünyesinde tutulan kişisel verilerin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için kullandığı bilgi güvenliği süreçlerini kapsamaktadır.

Hedef Grup
Müdürlükler
Yürürlük Alanı
Çaycuma Belediyesi çalışanları, tüm kurum müdürlükleri

İÇERİK
1. Giriş ve Politikanın Amacı
2. Politikanın Kapsamı
3. Kısaltmalar ve Tanımlar
4. Erişim Kontrol Politikası
5. Temiz Masa Politikası
6. Güvenli Geliştirme Politikası
7. Bilgi Güvenliği
8. Bilgi Güvenliği Hedefleri ve Amaçları
9. Bilgi Güvenliği Organizasyonu
10. Politikanın Genel Esasları
10.1.Temel BT Prensipleri
10.2. Uyulması Gereken BT Güvenliği
11. Yaptırım
12. Yönetim Sorumluluğu
13. Yönetimin Gözden Geçirmesi
14. Üçüncü Şahısların Bilgiye Erişimi
15. Dış Kaynak Sağlanması
16. Politikanın Güncellenmesi ve Gözden Geçirilmesi
17. Yürütme
18. Dış Referans Kısayolları
19. Önceki Versiyondaki Değişiklikler

1. Giriş ve Politikanın Amacı
Kurumumuzun sahip olduğu tüm fiziksel ve elektronik bilgi varlıklarının gizliliğinin ve bütünlüğünün korumasını taahhüt etmektedir.
2. Politikanın Kapsamı
Kurumumuz bilgi güvenliğinin sağlanması amacıyla gerekli olan alt yapısını oluşturmak ve sürekliliğini sağlamak için finansmanı, yeterli donanımı ve altyapıyı bulunduracaktır.
Bilgi güvenliği sistemi faaliyetlerimiz, acil durum planları, veri yedekleme prosedürleri, virüslerden ve bilgisayar korsanlarından sakınma, erişim kontrol sistemleri ve bilgi
güvenliği ihlal bildirimi gibi konulardan oluşmaktadır. Risk değerlendirmeleri sonucunda ihtiyaçları belirleyip bu amaçların başarılması için gerekli olan kaynaklar ve şartlar sağlanacaktır. Yapılan risk değerlendirmeleri sonucunda sistemde tespit edilen açıklar ve tehditler bertaraf edilerek personellerimiz ve hizmet sağladığımız müşterilerimizin bilgilerinin bilgi güvenliği politikamız gereği korunması sağlanacaktır. Personelimizin, Bilgi Güvenliği politikamızı yerine getirmek için Bilgi Güvenliği
Yönetim Sistemi şartlarını çalışma biçimi haline getirmeleri sağlanacaktır. Tüm personel ve üçüncü tarafların Bilgi Güvenliği Yönetim Sistemi ile ilgili uygun eğitimleri
alması sağlanacaktır. Bilgi güvenliği ile ilgili uygulanabilir şartlar ve bu şartların getirdiği fırsatlar ve gereklilikler yerine getirilecek ve bu şartlar sürekli iyileştirilecektir.
Personelimizin (Sözleşmeli çalışanlar dahil) ve tüm ilgili tarafların bu sisteme adaptasyonu sağlanacaktır.
3. Kısaltmalar ve Tanımlar
Kurum: Çaycuma Belediyesini ifade eder.
Personel: Çaycuma Çalışanını ve Sözleşmeli Çalışanı ifade eder.
BT: Bilgi Teknolojisi
4. Erişim Kontrol Politikası
Kurumumuzun iç taleplerine zamanında ve doğru çözümler bulabilmemiz için yasal mevzuata uygun şekilde verinin bütünlüğünün sağlanması için:
• Oryantasyon aşamasında personele gerekli bilgiler aktarılmış,
• Gerekli altyapı ve donanım belirlenmiş,
• Gerekli altyapı ve donanımın kesintisiz olarak sağlanması için, gerekli kaynaklar ayrılmış,
• Kurumumuzun, bilgilerinin korunması açısından yapılması gerekenler personelimize eğitimlerle aktarılmış, Kurum çalışanlarımıza “iş sözleşmeleri” ile sorumlulukları yazılı hale getirilmiş,
• Tüm verilerin yedeklenmesi amacıyla gerekli alt yapı belirlenip, sorumlular tanımlanmış,
• Network üzerinde gerekli erişim işlemleri sınırlandırılmış,
• Bilgi güvenliği konusundaki temel prensiplerimiz gizlilik, bütünlük ve yetkililerce erişilebilirlik olarak belirlenmiştir.
5. Temiz Masa Politikası
Temiz Masa Politikamızın amacı, normal çalışma saatleri süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı risklerini azaltmak amacıyla kâğıtlar ve kaldırılabilir depolama ortamları ve kişisel bilgisayarlar için gerekli şartları tanımlamaktır.
Personelin aşağıdaki şartlara uygun davranmaları gerekmektedir.
Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde bırakılmalıdır.
Çalışma saatleri içerisinde başından ayrıldığında mutlaka bilgisayar kilitli bırakılmalıdır. (Ekran koruyucu 5-10 dk arasında devreye girmelidir ve şifre koruması
olmalıdır.)
Yazıcıların üzerinde kişisel bilgileri ve gizli bilgileri içeren dokümanlar bırakılmamalıdır.
Yazıcı ile işlem tamamlandığından yazıcı kilit ekranına alınmalıdır.
Yazıcı şifreleri personel dışındakilerle paylaşılmamalıdır.
Mesai bitiminde çalışma masası üzerinde kurum veya kişisel bilgileri içeren bir evrak bırakılmamalıdır.
Kuruma ait dokümante edilmiş gizli bilgiler kilitli ortamda tutulmalıdır.
Gizlilik dereceli evraklar, işlevini tamamladıktan sonra imha edilmelidir.
Kuruma ait antetli kağıtlar kilitli dolaplarda tutulmalıdır.
Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlenir.
Bilgisayarların masaüstlerinde kuruma ait özel bilgiler içeren dokümanlar bulundurulmamalıdır.
Bilgisayarlara ait olan şifreler kesinlikle kâğıt ortamlara yazılı bir şekilde bırakılmamalıdır.
6. Güvenli Geliştirme Politikası
Güvenli geliştirme, güvenli hizmet için bir gerekliliktir. Bunun için öncelikle güvenli geliştirme ortamları kullanılacaktır. Yazılım geliştirme hizmetlerimizin yaşam döngüsü
dâhilinde, tasarım aşamasında güvenlik gereksinimleri belirlenerek, bu güvenlik gereksinimlerinin uygulanması sağlanacaktır. Yazılım geliştirme hizmetlerimizde güvenlik kontrol noktaları oluşturularak yapılan testlerde bu güvenlik kontrollerine uyulması sağlanacaktır. Tüm geliştiriciler açıklıklardan kaçınma, açıklıkları bulma ve düzeltme konusunda kendilerini geliştireceklerdir.
7. Bilgi Güvenliği
Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği iş sürekliliğini sağlamak, kayıpları en aza indirmek için tehlike ve tehdit alanlarından korur. Bilgi güvenliği, bu politikada aşağıdaki bilgi niteliklerinin korunması olarak
tanımlanır:
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek,
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek,
Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek. Bilgi güvenliği politikası
dokümanı, yukardaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin
belirtildiği dokümandır.
8. Bilgi Güvenliği Hedefleri ve Amaçları
Bilgi Güvenliği Politikası, personelin, Kurum güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini artırmak ve bu şekilde Kurumda oluşabilecek riskleri minimuma indirmek, Kurumun güvenilirliğini ve imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş
uygunluğu sağlamak, teknik güvenlik kontrollerini uygulamak, Kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak amacıyla
Kurumun tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını korumayı hedefler.
9. Politikanın Genel Esasları
Kurum, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BT prosedürleri ile düzenlenir. Belediye çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 “Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim
Sistemleri Gereksinimler (Information Security Management Systems Requirements)” standardını temel alarak yapılandırılır ve işletilir. BT’ nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla, İnsan Kaynakları Müdürlüğü yürütür. BT dokümanlarının gerektiği zamanlarda güncellenmesi Bilgi İşlem Müdürlüğü sorumluluğundadır. Ek, form, talimat gibi dokümanların güncellenmesi ise ilgili müdürlüklerin sorumluluğundadır. Kurum tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça Kuruma aittir. Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanır. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut Kurum çalışanlarına ve yeni işe başlayan çalışanlara
verilir. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.
9.1. Temel BT Prensipleri
Gerekli durumlarda çalışanlar ve üçüncü taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır. Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir. Bilgi varlıklarının envanteri bilgi
güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır. Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım
kuralları belirlenir. İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır. Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır. Kuruma ait bilgi varlıkları için Kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere
karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır. Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır. Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır. Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir. Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici önleyici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır. Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
9.2. Uyulması Gereken BT Kuralları
Uyulması Gereken Kabul Edilebilir Kullanım Kuralları, çalışanlar ve 3. taraflar için kurum iş süreçlerinde ve ilgili çalışmalarında bilgi depolama, iletim ve kullanım
biçimleri ile ilgili uyulması gereken kuralları belirler. Aşağıda yer alan davranışlar; aksi yönde açık ve net bir iş tanımı, talimat veya prosedür bulunmadıkça Bilgi Güvenliği Politikası’nın ihlali olarak değerlendirilir. Kurum tarafından sağlanan bilgi işlem sistemleri ve uygulamalar iş amaçlı olarak kullanılır. İş süreçlerini engellemeyecek düzeyde ve Bilgi Güvenliği Politikası’nı ve BT prosedürlerini ihlal etmeyen kişisel kullanımlar kabul edilebilir kapsamda değerlendirilir. Çalışma alanlarında, “Temiz Masa ve Temiz Ekran” prensiplerine uygun olarak, Genel özellikteki bilgiler dışında bilgilerin başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınmalıdır;
Genel olmayan belgeler, masalarda bırakılmamalıdır.
Genel olmayan dosyalar üzerinde çalışılırken bilgisayar ekranları herkesin görebileceği konumda bırakılmamalıdır.
Genel olmayan dokümanlar diğer kişilerce görülmesini engellemek amacıyla, kullanılmadığı zamanlarda masa üstlerinden kaldırılıp gerekli korumaları alınmış çekmece ve dolaplarda saklanmalıdır.
Genel olmayan belgeler dışında doğrudan işle ilgili olarak kendisine ulaştırılmayan ya da teslim edilmeyen Kurum belgelerini incelememeli, değiştirmemeli, saklamamalı,
kopyalamamalı, silmemeli ve paylaşmamalıdır.
Kurum tarafından açıkça belirtilen durum ve yöntemler dışında 3. taraflar ile kurum bilgilerini paylaşmamalı, satmamalı, aktarmamalı, yayınlamamalı ve internet
ortamında paylaşmamalıdır.
Birim çalışanları çalıştıkları ortamdaki masa ve dolap çekmecelerini kilitli tutmalı ve anahtarları sorumlu kişiler haricinde kimseyle paylaşmamalıdır.
Bilgisayarlar, aktif kullanım dışında iken şifreli ekran koruyucular devreye alınmalıdır.
Mesai zamanları dışında bilgisayar sistemleri kapalı tutulmalıdır.
Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve şifreleri sadece kendileri kullanmalıdır.
Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve parola bilgilerini yetkilendirilmemiş kişilerin ele geçirmesine imkân verecek şekilde söylememeli, yazmamalı, kaydetmemeli ve elektronik ortamda depolamamalıdır.
Kurumun, bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları vb.) Kurum
işlerinin yürütülmesi için kullanılmalıdır. Bu sistemler yasadışı, Kurumun diğer politika, standart ve rehberlerine aykırı veya Kuruma zarar verecek herhangi bir şekilde
kullanılmamalıdır.
Kuruma ait bilgi sistemleri üzerindeki kaynaklara erişecek tüm bilgisayarlar etki alanına dahil edilerek kullanılmalıdır.
Gerekmedikçe bilgisayar kaynaklarını paylaşıma açılmamalıdır. Kaynakların paylaşıma açılması halinde sadece ilgili kişilere yetki verilmelidir.
Gizli ve hassas bilgiler elektronik ortamda Belediye içine ve özellikle Belediye dışına gönderilmeden önce şifrelenmelidir.
Gizlilik dereceli bilgiler içeren belgeleri, elektronik ortamları ve bilgi işlem sistemlerini korumak için gerekli fiziksel önlemleri uygun şekilde yerine getirmemelidir.
Kuruma ait bilgi işlem sistemlerini, veri tabanlarını, dosyaları, ağ topolojilerini, cihaz konfigürasyonlarını ve benzeri kaynakları, Kurum tarafından açıkça yetkilendirilmedikçe 3.taraflar ile paylaşmamalıdır.
Kurum çalışanları, çalıştıkları sürece veya Belediyeden ayrılmaları (emeklilik, istifa, vs.) durumunda Kurum bilgilerini gizlilik prensibine uygun olarak korumaktan
sorumludur
Taşınabilir sistemlerin kullanıcıları, bu sistemlerin güvenliğini sağlamak üzere kendilerini sorumlu görmelidirler. Başta kullanıcı bilgisayarları ve sunucular olmak
üzere mümkün olan tüm sistemler, zararlı yazılımlara karşı korunması için Virüslü ve Zararlı Yazılımdan Korunmak adına dikkatli davranmalıdırlar.
Gizlilik dereceli bilgilerin posta, faks, telefon, e-posta ve benzeri elektronik yöntemlerle iletiminde Bilgi İşlem Hizmetleri Prosedürü “ne uygun davranılmalıdır.
Herkese açık bilgiler dışındaki bilgileri internet üzerinde, haber gruplarında, posta listelerinde ve forumlarda paylaşmamalıdır.
Yeni bilgi sistemlerinin devreye alınması ve geliştirilmesi Bilgi İşlem Hizmetleri Prosedürü “ne uygun yapılmalıdır.
Sosyal medya ortam kullanımı Sosyal Medya Kullanım Prosedürü” kurallarına uygun olmalıdır.
Çalışanlara ve gerekli görülen durumlarda 3. taraflara tahsis edilen e-posta hesapları, E-posta Kullanım Prosedürü “ne uygun şekilde kullanılmalıdır. Bilgi işlem
sistemlerinin teknik güvenlik gereksinimlerine uygun durumda bulunup bulunmadığı, Bilgi İşleme Prosedürü “ne uygun şekilde kontrol edilmelidir.
Kuruma ait bilgi işlem sistemlerini izinsiz olarak kullanım dışı bırakılmamalı, yeri değiştirilmemeli ve Kurum dışına çıkartılmamalıdır.
Kullanım gerekliliği Kurum tarafından yazılı olarak belirtilen güvenlik yazılımlarını (örn. Anti virüs, kişisel güvenlik duvarı, vb.) bilgi işlem sistemlerden kaldırmamalı veya devre dışı bırakmamalıdır.
İstemciden istemciye dosya paylaşım programlarını kurum bilgisayarlarına yüklememeli ve kullanmamalıdır.
Kuruma ait bilgisayarlara, Kurumun yasakladığı yazılımları yüklememeli ve çalıştırmamalıdır. Kurum tarafından lisanslanmış yazılımları çoğaltmamalı, paylaşıma açmamalı ve Kurum dışına çıkarmamalıdır.
Etki alanına dahil olmayan sistemler ile etki alanına dahil olan sistemler arasında bilgi aktarımı yapılmamalıdır.
3. Taraflar ile gizlilik sözleşmesi imzalanmadan ve yetkili Kurum çalışanınca nezaret edilmeden kurum bilgi işlem sistemlerine ve donanımlarına bağlanmamalı ve
çalışmalarına izin verilmemelidir.
Sunucu sistemleri üzerinde, kişisel bilgisayar uygulamalarını (örn; e-posta programları, ofis uygulamaları, yazılım geliştirme araçları, network test araçları, vb.)
kurulmamalı ve kullanılmamalıdır.
İş süreçleri için gerekmeyen ve kullanılmasına izin verilmeyen sunucu hizmetlerini bilgi işlem sistemleri üzerinde çalıştırılmamalıdır. Kurum tarafından sağlanan ve
kullanım amaç ve biçimleri yazılı olarak bildirilen kurum ağ bağlantı yöntemleri dışında bir yöntemle internete veya başka ağlara bağlanmak için kullanılmamalıdır.
Çalışanlar, Kurum içi ya da Kurum dışı bilgi sistemlerine yetkisi olmadığı halde zorla girmeye çalışmamalıdır.
Kuruma ait bilgi işlem sistemlerine şifreleme ve parola mekanizmalarını kırmaya yönelik program ve araçlarını yüklenmemeli ve kullanılmamalıdır.
Kuruma ait bilgi sistemleri üzerinde, Kurumun bilgisi ve izni olmadan değişiklik, yükseltme, genişletme yapılmamalıdır.
İşle ilgili olmayan veya telif hakları ile korunan dosyaları Kurum bilgisayarlarına ve bilgi sistemlerine indirilmemeli, depolanmamalı, çoğaltılmamalı ve paylaşıma
açılmamalıdır.
Kurum bilgi işlem sistemlerini iş dışında, eğlence amaçlı (oyun vb.) kullanılmamalıdır.
Kurum e-posta hesabı ile zincirleme e-posta gönderilmemelidir.
10. Yaptırım
Kurum politika ve prosedürlerine uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan ya da 3. taraf için geçerli olan usul, esas ve sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır.
11. Yönetim Sorumluluğu
Yönetim Taahhüdü
Belediye belirlediği hedef ve politikalarını gerçekleştirmek için Bilgi Güvenliği Yönetim Sistemini ISO/IEC 27001’de belirtilen gereksinimleri yerine getirecek şekilde
kurarak yürütür. Bu taahhüdün sonucu olarak, Kurum genelinde bilgi güvenliği farkındalık programları düzenler ve alt yapı yatırımlarını sürdürür. BT kurulurken üst yönetim tarafından BT Yönetim Temsilcisi ve BT Yöneticisi, atama yazısı ile atanır. BT Yönetim Temsilcisi ve BT Yöneticisi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılır. BT Yöneticisini belirlemek ve değiştirmek üst yönetimin yetkisindedir. Yönetim kademelerindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, Kurumun en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden Kurumdaki yöneticilerin, gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları konusunda güvenlik ile ilgili çalışmalarda bulunan personele destek olurlar. Kurum üst yönetimi, bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
12. Yönetim Gözden Geçirmesi
Yönetim Gözden geçirme toplantıları BT Yürütme ve Yönetim Komitesi tarafından yapılır. Bu komite BT Yönetim temsilcisi katılımında yılda en az bir kez veya ihtiyaç
duyulduğunda Bilgi Güvenliği Yönetim Sisteminin uygunluğunun ve etkinliğinin periyodik olarak değerlendirmesi için toplanır. Toplantılar Yönetimin Gözden Geçirmesi Prosedürü ’ne uygun olarak yapılır.
13. Üçüncü Şahısların Bilgiye Erişimi
Kurum çalışanı olmayan 3. tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (ör: Belediye dışı bakım onarım çalışanları) BT Yöneticisi, bu kişilerin Kurum ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde üçüncü taraf personelinin politikaya uyması için süre tahsis edilmelidir.
14. Dış Kaynak Sağlanması
Bilgi ağı ve/veya kullanıcı bilgisayarı ortamlarının yönetimi dış kaynaklara verilirken, bilgi güvenliği ihtiyaçları ve şartları her iki taraf arasında kabul edilmiş bir sözleşmede açıkça yer almalıdır.
15. Politikanın Güncellenmesi ve Gözden Geçirilmesi
Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BT Yöneticisi sorumludur. Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir.
Bilgi Güvenliği Politikası Dokümanı, en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa versiyon değişimi olarak kayıt altına alınmalı ve her versiyon üst yönetime onaylatılmalıdır. Her versiyon değişikliği tüm kullanıcılara e-mail, sunucu üzerinden ya da yazılı olarak yayımlanmalıdır.
Gözden geçirmelerde;
Politikanın etkinliği, kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla gözlemlenmelidir. Politikanın güncelliği teknolojik değişimlerin etkisi vasıtasıyla gözlemlenmelidir. Politika, sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra gözden geçirilmelidir.
16. Yürütme
Bu politikayı ihlal ettiği tespit edilen herhangi bir çalışan, işten çıkarma da dahil olmak üzere disiplin yönetmeliğindeki disiplin cezalarına tabi olabilir.
17. Dış Referans Yolları
Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar,
18. Önceki Versiyondaki Değişiklik
Yok

İnsan Kaynakları Çalışan Veri Koruma Politikası

İNSAN KAYNAKLARI ÇALIŞAN VERİ KORUMA POLİTİKASI

Amaç
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 4. 5. 8. ve 11. maddeleri gereği kişisel verilerin işlenmesi, paylaşılması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ve ilgili kişinin haklarına ilişkin “İnsan Kaynakları Müdürlüğünün Çalışan Veri Koruma” süreci amaçlanmaktadır.

Kapsam
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 4. 5. 8. ve 11. maddeleri gereği İnsan Kaynakları Müdürlüğünün veri koruma politikası kapsamında kişisel verilerin işlenmesi, paylaşılması, belirli süre saklanması ve ilgili kişinin haklarını kullanmasını sağlamak amacıyla Çaycuma Belediyesi (Birlikte “Kurum” olarak anılacaktır) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

Hedef Grup
İnsan Kaynakları ve Eğitim Müdürü
Yürürlük Alanı
İnsan Kaynakları ve Eğitim Müdürlüğü Çalışanları

İÇERİK
1. Giriş ve Politikanın amacı
2. Politikanın Kapsamı
3. Kısaltmalar ve Tanımlar
4. Kişisel Verilerin İşlenmesi
5. Kişisel Verilerin Kullanılması
6. Kişisel Verilerin Paylaşılması
7. Kişisel Verilerin Saklanması
8. Kişisel Veri Sahibinin Hakları
9. Yürütme
10. Dış Referans Kısayolları
11. Önceki Versiyondaki Değişiklikler

1. Giriş ve Politikanın Amacı
Kurum olarak çalışanlarımızın kişisel verilerinin gizliliğini korumayı taahhüt etmekteyiz. İnsan Kaynakları Çalışan Veri Koruma Politikası ile işinizle bağlantılı olarak topladığımız ve işlediğimiz kişisel veriler hakkında sizi bilgilendirmek amacıyla belirlediğimiz usul ve esaslar düzenlenmektedir.
2. Politikanın Kapsamı
Bu politika mevcut çalışanlarımızın kişisel verilerinin işlenmesi, işlemenin hukuki sebepleri, kişisel verilerin saklanma süreleri, kişisel verilerin paylaşılması ve ilgili kişi olarak sahip olduğunuz hakları öğrenme ve talep etme faaliyetleri düzenlenmektedir. Bu politika ilgili herhangi bir sorunuz varsa, Veri Koruma Yetkilisi ile iletişime
geçebilirsiniz.
3. Kısaltmalar ve Tanımlar
İK: İnsan Kaynakları
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Kişisel Veri Koruma Yetkilisi: Kişisel verilerin korunması kanununa uyum sağlanmasına yardımcı sorumlu Kurum çalışanı
4. Kişisel Verilerin İşlenmesi
Kurum olarak, normal istihdam ve İK yönetim süreçlerini yürütmek amaçları için, yasal yükümlülüklerimize uymak, iş sözleşmenizi yönetmek ve gerektiğinde meşru iş alanlarımızı korumak için sizinle ilgili belirli bilgileri işlemek ve saklamaktayız. İşe alım sürecinde, iş ilişkimiz sırasında ve iş ilişkimizin sona ermesini takiben sizden bilgi toplamakta ve bu bilgileri işlemekteyiz. Kişisel veriler doğrudan sizden alınır. Bununla birlikte, önceki yöneticilerinizden ya da referanslarınızdan bilgi talep etme gibi belirli durumlarda 3.kişilerden size ait kişisel veri elde etmek gerekli olabilecektir. İşlediğimiz kişisel verilerin kategorileri ve işlemenin yasal dayanakları bu bildirimin ekinde daha ayrıntılı olarak belirtilmektedir.
Bazı durumlarda, bize kişisel verilerinizi vermeyi reddedebilirsiniz. Ancak, iş ilişkimizi etkili ve doğru bir şekilde yönetebilmek için gerekli bilgilere ihtiyacımız olduğundan, bu kişisel verilerinizin işlenmesini reddederseniz iş ilişkimize devam edemeyebiliriz. Bilgilerin güncel tutulmasını sağlamak için, kişisel bilgilerinizdeki herhangi bir değişikliğin (İK Müdürlüğü) bildirimini sağlamak sizin sorumluluğunuzdur, Örn. adres değişikliği.
5. Kişisel Verilerin Kullanılması
Tuttuğumuz ve işlediğimiz kişisel veriler yönetim ve idari amaçlar için kullanılmaktadır. İşimizi ve iş ilişkimizi etkin, yasal ve uygun bir şekilde yürütmemize ve yönetmemize, çalışanların haklarını ve çıkarlarını korumamıza olanak sağlamak için çalışanlarımızın kişisel verilerini kullanmaktayız. Bu süreç, iş sözleşmelerini yönetmemize, yasal yükümlülüklere uymamıza, meşru menfaatlerimizi takip etmemize ve Kurum aleyhine yasal işlem yapılması durumunda yasal pozisyonumuzu korumamıza yardımcı olmak için bilgilerinizi kullanmamızı içermektedir. Kişisel verilerinizin her bir kategorisinde yaptığımız kullanımlar, bu kullanımlara bağlı olduğumuz yasal dayanaklar ile birlikte, bu bildirimin ekinde daha ayrıntılı olarak belirtilmiştir.
6. Kişisel Verilerin Paylaşılması
Bilgileriniz, yasal olarak zorunlu olduğumuz veya iş sözleşmemizin gerektirdiği veya izin verdiği durumlarda üçüncü taraflara açıklanmaktadır.
7. Kişisel Verilerin Saklanması
Sizinle ilgili işlenen kişisel verileri ne kadar süreyle sakladığımız hakkında daha fazla bilgi, veri saklama politikamızda belirtilmiştir.
8. Kişisel Veri Sahibinin Hakları
Bu hakları kullanma yetkiniz belirli koşullara tabi olabilse de, Kişisel Verilerin Korunması Kanunu kapsamında aşağıda belirtilen hakları kullanabilmektesiniz;
 Kişisel veri işlenip işlenmediğini öğrenme,
 Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
 Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
 Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
 Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
 Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesi veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
 İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
 Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
Bu bildirimle ilgili herhangi bir sorunuz varsa, lütfen Veri Koruma Yetkili ile iletişime geçin: İnsan Kaynakları Müdürlüğü
9. Yürütme
Bu politikayı ihlal ettiği tespit edilen herhangi bir çalışan, işten çıkarma da dahil olmak üzere disiplin cezasına tabi olabilir.
10. Dış Referans Kısayolları
Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar
11. Önceki Versiyondaki Değişiklikler
Yok

KVK ve Gizlilik Politikası

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanun (“KVKK”) ve ilgili tüm düzenleme, karar ile ilgili olarak Çaycuma Belediyesi’nin (“Kurum”) https://www.caycuma.bel.tr (“Site”) ve faaliyet alanı çerçevesindeki hizmetlerini sunarken ve site aracılığı ile işlenen, site ziyaretçilerimizin, çalışan adaylarımızın, vatandaşlarımızın, kişisel verilerine ilişkin politikamızı içermektedir. Kişisel Verilerin Korunması ve Gizlilik Politikasının Amacı Kişisel Verilerin Korunması ve Gizlilik Politikası; Çaycuma Belediyesi’nin ne tür kişisel veriler işlediğini, işlediği kişisel verilerin işleme amacını, bu kişisel verilerin nasıl kullanıldığını,
Çaycuma Belediyesi’nin işlediği kişisel verileriniz üzerindeki haklarınızın neler olduğunu ve bu hakları nasıl kullanabileceğinizi açıklamaktadır.

1-İşlenen Kişisel Verileriniz, Kişisel Veri İşleme Amacı ve Dayanağı

Çaycuma Belediyesi, sizlere daha iyi hizmet verebilmek, faaliyetlerini devam ettirebilmek amacıyla ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve ilgili ikincil mevzuat, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili ikincil mevzuat, 5237 sayılı Türk Ceza Kanunu (“TCK”) ve KVKK başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülükleri yerine getirebilme başta olmak üzere Site güvenliğini sağlamak, Çaycuma Belediyesi nezdinde yürütülen hizmetlerin yerine getirilmesini sağlamak, sözleşme ilişkilerimizin yürütülmesi ve kamu faaliyetlerin devamlılığını sağlamak amacıyla; söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi ( Ad, Soyad, doğum tarihi, e-posta, telefon numarası, cinsiyet, adres, meslek, eğitim, medeni durum, uygulama üzerindeki gezinme ve tıklama bilgileri, uygulamayı açtığı lokasyon bilgileri) sizlerden talep edilebilmektedir. Bu kişisel veriler açık rızanıza istinaden, işbu Kişisel Verilerin Korunması ve Gizlilik Politikası ile belirlenen amaçlar ve kapsam dışında kullanılmamak kaydı ile bilgi güvenliği tedbirleri de alınarak hukuka ve dürüstlük kuralına uygun olarak işlenip, muhafaza edilmektedir.

2-Kişisel Verilerin Korunmasına İlişkin Önlemler

Kişisel verilerin korunması Çaycuma Belediyesi için önemli bir konudur. Çaycuma Belediyesi, kişisel verilere yetkisiz erişim veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı korumak için gerekli önlemleri almaktadır. Çaycuma Belediyesi kişisel verilerinizi gizli tutmayı, gizliliğin sağlanması ve
güvenliği için gerekli her teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermektedir. Çaycuma Belediyesi’nin gerekli bilgi güvenliği önlemlerini almasına karşın,
web sitesine ve sisteme yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya üçüncü kişilerin eline geçmesi durumunda, Çaycuma Belediyesi bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir.

3-KVKK’nın 11. maddesi gereği haklarınız;

Çaycuma Belediyesi’ne Dilekçe ile başvurabilir, kişisel verileriniz ile ilgili olarak aşağıdaki taleplerde bulunabilirsiniz;
a) işlenip işlenmediğini öğrenme,
b) işlenmişse bilgi talep etme,
c) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) yurt içinde/yurt dışında aktarıldığı 3. kişileri bilme,
d) eksik/yanlış işlenmişse düzeltilmesini isteme
e) 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme,
f) aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
g) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
ğ) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın
giderilmesini talep etme,

Kişisel verilerinizle ilgili 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu madde 11 uyarınca sahip olduğunuz haklarınızı kullanmak için bizimle her zaman merkez adresimize ileterek bizimle irtibata geçebilirsiniz.

4-Kişisel Veri Saklama Süresi

Çaycuma Belediyesi tarafından işlenen kişisel veriler mevzuatta öngörülen süreler ve verinin işlenme amacı için gerekli olan süre boyunca saklanmaktadır. Söz konusu verilerin saklanması için yasal bir süre belirlenmemiş ise Çaycuma Belediyesi iş süreçleri ve hukuki ve ticari teamüller göz önünde bulundurularak bir süre belirlenmektedir. Söz konusu süre geçtikten sonra kişisel verileriniz Çaycuma Belediyesi tarafından veya talebiniz üzerine silinir, yok edilir veya anonim hale getirilir.
5-Kişisel Verilerinizin Doğru ve Güncel Olarak Muhafaza Edilmesi Kullanıcı/Kullanıcılar, hizmet alıcıları, çalışan adayları, ziyaretçiler, vatandaşlar, web sitesi üzerinden veya sair yollarla paylaştıkları bilgilerin doğru olmasının ve güncel bir şekilde muhafaza edilmesinin KVKK anlamında kişisel verileri üzerinde sahip oldukları hakları kullanabilmeleri ve ilgili diğer mevzuat açısından önemli olduğunu bildiklerini ve yanlış bilgi verilmesinden doğacak sorumlulukların tamamen kendilerine ait olacağını kabul ve beyan etmişlerdir.

6-Kişisel Verilerinizin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi

İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası’nda belirtilen amaçlarla işlenmiş olan kişisel verileriniz; KVKK madde 7/f.1’e göre işlenmesi gerektiren amaç ortadan kalktığında ve Türk Ceza Kanunu madde 138’e göre ise kanunların belirlediği süreler geçince tarafımızca anonimleştirilerek kullanılmaya devam edilebilir. Kişisel verilerinizin işlenmesi ve kullanılması ile ilgili olarak her zaman silme ve vermiş olduğunuz onayı geri alma hakkınız bulunmaktadır.

7- Kişisel Verilerin Korunması ve Gizlilik Politikası’nda Yapılacak Değişiklikler

Çaycuma Belediyesi, işbu Kişisel Verilerin Korunması ve Gizlilik Politikası’nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Kişisel Verilerin Korunması ve Gizlilik Politikası’nın Site’ye konulmasıyla birlikte derhal geçerlilik kazanır.

8-Uygulanacak Hukuk, Yetkili Mahkeme Ve İcra Daireleri

İşbu Site Kullanım Şartları ve Kişisel Verilerin Korunması ve Gizlilik Politikası Türkiye Cumhuriyeti Kanunlarına tabidir. Burada yer alan hususlarla ilgili olarak herhangi bir uyuşmazlık veya ihtilaf iddia veya talep olduğu takdirde, Çaycuma Mahkeme ve İcra Dairelerinin yetkili olacaktır.

9.Son Hüküm

Kullanıcı / Kullanıcılar, hizmet alıcıları, ziyaretçiler, çalışan adayları, Site Kullanım Şartları’nı ve e Kişisel Verilerin Korunması ve Gizlilik Politikası’nı okuduklarını, yukarıda belirtilen tüm hususlara uyacaklarını, web sitesinde yer alan içeriklerin ve Çaycuma Belediyesi’ne ait tüm elektronik ortam ve bilgisayar kayıtlarının Hukuk Muhakemeleri Kanunu madde 193 uyarınca kesin delil sayılacağını gayrı kabili rücu olarak kabul, beyan ve taahhüt etmişlerdir.

Özel Nitelikli KVK Politikası

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKASI

Amaç
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 6. maddesi gereği özel nitelikli kişisel verilerin işlenirken korunması amaçlanmaktadır.
Kapsam
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 6.maddesi gereği özel nitelikli kişisel verilerin işlenmesinde Çaycuma Belediyesi (Birlikte “Kurum” olarak anılacaktır) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

Hedef Grup
Müdürlükler
Yürürlük Alanı
Tüm Müdürlük çalışanları, tüm iş birimleri

İÇERİK
1. Giriş ve Politikanın Amacı
2. Politikanın Kapsamı
3. Kısaltmalar ve Tanımlar
4. Özel Nitelikli Kişisel Veriler
5. Özel Nitelikli Kişisel Verilerin İşlenmesi
6. Özel Nitelikli Kişisel Verilerin Aktarılması
7. Özel Nitelikli Kişisel Verileri Yurtdışına Aktarılması
8. Özel Nitelikli Kişisel Verilerin Korunması
9. Özel Nitelikli Kişisel Verilerin İşlenmesinde Yer Alan Çalışanlara Yönelik Tedbirler
10.Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Elektronik Ortamlar İçin
11.Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Fiziksel Ortamlar İçin
12.Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Önlemler
13.Yürütme ve Değişiklik
14.Dış Referans Kısayolları
15.Önceki Versiyondaki Değişikler

Giriş ve Politikanın Amacı
6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan sonra “KANUN” olarak anılacaktır.) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu politika ile Çaycuma Belediyesi (Bundan sonra “KURUM” ya da “[Çaycuma Belediyesi]” olarak anılacaktır.); Kanuna Özel Nitelikli Kişisel Verilerin Korunması Politikası, uyumluluğunun sağlanmasını ve Kurum tarafından özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır.

Politikanın Kapsamı
Politika, özel nitelikli kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Kurum tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu
çerçevede Politika, Kurum tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Kurum’un işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel
verileri kapsamaktadır.

Kısaltmalar ve Tanımlar
KISALTMA TANIM
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kurum: Çaycuma Belediyesi
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
KVKK: Kişisel Verileri Koruma Kanunu’nu,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Özel Nitelikteki Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Özel Nitelikli Kişisel Veriler
Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Kurumumuz tarafından, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanuna uygun bir biçimde Kurumumuz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
Özel Nitelikli Kişisel Verilerin Aktarılması
Kurumumuz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK
Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini
aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
 Kişisel veri sahibinin açık rızası var ise veya
 Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından.
Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Kurumumuz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel
veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
 Kişisel veri sahibinin açık rızası var ise veya
 Kişisel veri sahibinin açık rızası yok ise;

Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenmesi kapsamında.
Özel Nitelikli Kişisel Verilerin Korunması
Kurumumuz tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Kurumumuz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle
uygulanmakta ve Kurumumuz bünyesinde gerekli denetimler sağlanmaktadır. Ayrıca özel nitelikli kişisel veriler bakımından Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler ile, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de alınmaktadır. Kurumumuzun genel prensibi, kanundan kaynaklanan sebepler olmadıkça özel nitelikli kişisel veri işlememektedir. Gerekli olmayan özel nitelikli kişisel veriler silinmekte, karartılmakta ve yok edilmektedir. Buna istinaden, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli kurallar işbu politikada belirlenmiştir;
Özel Nitelikli Kişisel Verilerin İşlenmesinde Yer Alan Çalışanlara Yönelik Tedbirler
 Kanun ve buna bağlı yönetmelikle ile özel nitelikli kişisel veri güvenliği konularında düzenli eğitimler verilmektedir.
 Gizlilik sözleşmeleri imzalanmaktadır.
 Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve yetki süreçleri YETKİ MATRİSİ ile tanımlanmıştır.
 Periyodik olarak yetki kontrolü yapılmaktadır.
 Görev değişikliği olan ya da işten ayrılan çalışanların bu alanlarındaki yetkileri derhal kaldırılmaktadır.
 Çalışana envanter tahsis edilmiş ise derhal geri alınmaktadır.
Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Elektronik Ortamlar İçin
 Elektronik ortama özel veri aktarılmamaktadır.
 Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
 Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.
 Verilere yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmesi yapılmaktadır.
 Gerekli güvenlik testleri yaptırılarak, test sonuçları kayıt alınmaktadır.
 Verilere uzaktan erişim olması halinde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Fiziki Ortamlar İçin
 Özel nitelikli kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
 Özel nitelikli kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Önlemler
 E-posta yolu ile aktarılması halinde kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.
 Taşınır bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde- gerekli durumlarda- kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
 Farklı fiziksel ortamlardaki sunucular arasında aktarma yapılırken, sunucular arasında VPN kurularak veya SFTP yöntemiyle aktarım yapılmaktadır.
 Kâğıt ortamında aktarım yapılırken evrakın çalınması, kaybolması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve belgeler “gizlilik dereceli belgeler” formatında kapalı zarfta gönderilmektedir.
Yürütme ve Değişiklik
Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Kurum, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar.
Dış Referans Yolları
Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar.
Önceki Versiyondaki Değişiklikler
Yok

Temiz Masa Politikası

TEMİZ MASA POLİTİKASI

Amaç
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 12. maddesi
gereği kişisel verilerin güvenliğini sağlamaya ilişkin ‘’temiz masa politikası’’ süreci
amaçlanmaktadır.
Kapsam
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) 12.maddesi
gereği çalışma ortamındaki masalarda pozitif bir görüntü oluşturmak ve bir veri
güvenliği ihlali tehdidini engellemek amacıyla Çaycuma Belediyesi (Birlikte “Kurum”
olarak anılacaktır) genelinde uygulanacak kurallar ile rol ve sorumlulukları
belirlemektir.
Hedef Grup
Müdürlükler
Yürürlük Alanı
Çaycuma Belediyesi çalışanları, tüm iş birimleri
Doküman
Numarası:
Revizyon Numarası:
0.0
Düzenleme Tarihi:
../../..
Yayınlanma Tarihi:
İÇERİK
1. Giriş ve Politikanın amacı ………………………………… 3
2. Politikanın Kapsamı……………………………………………….3
3. Kısaltmalar ve Tanımlar…………………………………………..3
4. Alınması Gereken Tedbirler……………………………………….3
5. Aksiyonlar…………………………………………………………..4
6. Yürütme……………………………………………………………..5
7. Dış Referans Kısayolları…………………………………………..5
8. Önceki Versiyondaki Değişiklikler………………………………..5
Doküman
Numarası:
Revizyon Numarası:
0.0
Düzenleme Tarihi:
../../..
Yayınlanma Tarihi:
1. Giriş ve Politikanın Amacı
Tüm Kurum çalışanlarının katılımını ve desteğini içeren etkili bir temiz masa
çalışması, çalışanlarımız, vatandaşlarımız ve tedarikçilerimiz hakkında hassas bilgiler
içeren fiziksel belgeleri büyük ölçüde koruyabilir.
Bu politikanın amacı, Kurum’un tüm çalışanları için bir güvenlik ve güven kültürü
oluşturmaktır. Tüm çalışanlar kendilerini bu politikanın kurallarına uymak konusunda
sorumlu görmelidir.
2. Politikanın Kapsamı
Temiz masa politikası ile vatandaşlara karşı pozitif bir görüntü oluşturmayı ve veri
güvenliği ihlal tehdidini azaltmayı hedeflemekteyiz. Personelin bu politikada belirtilen
şart ve koşulları yerine getirmesi gerekmektedir. “Çünkü gizli bilgi başıboş olduğunda
kilitlenir.”
3. Kısaltmalar ve Tanımlar
Kurum : Çaycuma Belediyesi’ni ifade eder.
Çalışan : Çaycuma Belediyesi çalışanlarını ifade eder.
4. Alınması Gereken Tedbirler
a. Kişisel verileri içeren belgeler güvenli bir yere koymadan öğle yemeği
molası gibi uzun süre masalardan ayrılmamalıdır.
b. Kişisel veri içeren evraklar masalarda muhakkak ters veya kişisel veriler
görünmeyecek şekilde tutulmalıdır.
c. İş gününün sonunda masalar düzenli bir şekilde toplanmalı ve tüm
belediye evrakları belediyede bırakılmalıdır. Kurum bu evrakların güvenliği
için kilitlenen masalar ve dosya dolapları sağlar.
Doküman
Numarası:
Revizyon Numarası:
0.0
Düzenleme Tarihi:
../../..
Yayınlanma Tarihi:
d. Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde
bırakılmalıdır.
e. Çalışma saatleri içerisinde masalardan ayrılındığında mutlaka bilgisayarlar
kilitli bırakılmalıdır. (Ekran koruyucu 5-10 dk arasında devreye girmelidir ve
şifre koruması olmalıdır.)
f. Yazıcıların üzerinde kişisel bilgiler ve gizli bilgiler içeren dokümanlar
bırakılmamalıdır.
g. Yazıcı ile işlemler tamamlandığında, yazıcı kilit ekranına alınmalıdır. Yazıcı
şifreleri personel dışındakilerle paylaşılmamalıdır.
h. Kuruma ait gizli bilgiler içeren fiziki dosyaları kilitli ortamda tutulmalıdır.
i. Gizlilik dereceli evraklar, işlevi tamamlandıktan sonra imha edilmelidir.
j. Kuruma ait antetli kağıtlar kilitli dolaplarda tutulmalıdır.
k. Hassas ve sınıflandırılmış bilgiler yazıcıdan bastırıldığında yazıcı hemen
temizlenmelidir.
l. Bilgisayarların masaüstlerinde kuruma ait özel bilgiler içeren dokümanlar
bulundurulmamalıdır.
m. Bilgisayarlara ait olan şifreler kesinlikle kâğıt ortamlara yazılı bir şekilde
bırakılmamalıdır.
5. Aksiyonlar
a. Evrakları kaldırmak için takvimde zaman ayırmak,
b. Çalışma alanını her zaman uzun süre beklemeden önce güvenli hale getirmek,
c. Kopyalanan hassas bir dokümantasyonun tutulup tutulmadığı belli değilse veri
saklama planını incelemek,
Doküman
Numarası:
Revizyon Numarası:
0.0
Düzenleme Tarihi:
../../..
Yayınlanma Tarihi:
d. Çalışma alanında kağıt öğelerini taramak ve bunları elektronik olarak
dosyalamak,
e. Kullanılması gerekmeyen hassas belgeler için imha aygıtlarını ve geri
dönüşüm kutularını kullanmak,
f. Ortak Yazıcıları, tarayıcıları veya diğer çevre aygıtlarını şifreli kullanmak,
g. Dizüstü bilgisayarlar veya PDA gibi taşınabilir bilgisayar aygıtlarını kilitlemek
(şifrelemek),
h. USB sürücüler gibi yığın depolama cihazlarını güvenli bir şekilde ve kilitli bir
çekmecede tutmak.
6. Yürütme
Bu politikayı ihlal ettiği tespit edilen herhangi bir çalışan, disiplin cezasına tabi olabilir.
7. Dış Referans Yolları
Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair
mevzuatlar.
8. Önceki Versiyondaki Değişiklikler
Yok