T.K.S. Teknik Kumaş San. Tic. Ltd. Şti.
Kişisel Verilerin Korunması Kanunu Politikası
İÇİNDEKİLER
1-AMAÇ VE KAPSAM 3 2-TANIMLAR 3 3-KISALTMALAR 4 4-UYGULAMA 5
4.1-Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi 5 4.2-Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması 5 4.3-Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi 5 4.4-Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması 5 4.5-Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan
Süre Kadar Muhafaza Edilmesi
4.6- Kişisel Verilerin İşlenmesi Açık Rıza
4.7-Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi 4.8-Özel Nitelikli Kişisel Veriler
4.9-Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi 4.10-Özel Nitelikli Kişisel Veriler
4.11-Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi 4.12-Kuruluşun Aydınlatma Yükümlülüğü
4.13-Veri Öznelerinin Hakları
4.14-Veri Yönetim Güvenliği
4.15-Eğitim
4.16-Denetim
4.17-İhlaller
4.18-Politikada Yapılacak Değişiklikler 4.19-Politikanın Yürürlülük Tarihi
Sayfa 2 / 13
1 AMAÇ VE KAPSAM
İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası, T.K.S. Teknik Kumaş San. Tic. Ltd. Şti. (Kuruluş) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Kuruluş içerisinde ve/veya Kuruluş tarafından uyulması gereken esasları belirlemektedir.
Kuruluş, kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
İşbu Politika, Kuruluşun işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
İşbu Politika, Kuruluş çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kuruluşun sahip olduğu ya da Kuruluş’ ça yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
İşbu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz
2 TANIMLAR
“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızayı ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Öznesine KVKK Madde 10 kapsamında bilgi vermesine ilişki yükümlülüğünü ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Verileri de kapsayacaktır).
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü işlemi ifade eder.
“Komite” İşbu Politikanın ve Politikaya bağlı olarak uygulanacak KVKK Prosedürlerinin yerine getirilmesinden sorumlu komiteyi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder. “Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
Sayfa 3 / 13
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Kuruluşun, çalışanların, Komitenin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri İşleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Kuruluş tarafından veya Kuruluş adına işlenen tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel Verilerin İşleme amaçları ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu bulunan gerçek veya tüzel kişiyi ifade eder.
“Yok Etme” Kişisel Verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
3 KISALTMALAR Tanım
BG BGYS KVKK
Açıklama
Bilgi Güvenliği
Bilgi Güvenliği Yönetim Sistemi Kişisel Veri Koruma Kanunu
Sayfa 4 / 13
4 UYGULAMA
4.1 Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Kuruluş, Kişisel Verileri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler.
4.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması
Kuruluş, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır ve Veri Öznesinin KVKK Düzenlemeleri kapsamında Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
4.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Kuruluş tarafından Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
4.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Kuruluş, Kişisel Verileri yalnızca KVKK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler. Veri Sorumlusu, Kişisel Verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verileri işlemekten kaçınır.
4.5 Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
Kuruluş, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Kuruluşun, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Kuruluş KVKK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.
Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir veya Anonim Hale Getirilir. İşbu halde, Kuruluşun Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.
Sayfa 5 / 13
4.6 Kişisel Verilen İşlenmesi Acık Rıza
Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine hakları bildirilir.
Veri Öznesinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Kuruluş tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve alınan Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Komite’nin talimatlarına, işbu Politika ’ya ve bu Politika ’nın eki olan KVKK Prosedürlerine uymakla yükümlüdür.
4.7 Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2), Kuruluş Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Kuruluş KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri İşler.
Bu kapsamda:
- Kanunlarda açıkça öngörülmesi halinde Kişisel Veriler Kuruluş tarafından Açık Rıza olmaksızın işlenebilir.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin kendisinin ya da Veri Öznesi dışındaki bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Kuruluş tarafından Açık Rıza olmaksızın işlenebilir.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması halinde Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Kuruluş tarafından işlenebilir.
- Kişisel Verilerin İşlenmesi Kuruluşun hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Kuruluş tarafından işlenebilir.
- Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Kuruluş tarafından işlenebilir.
- Kişisel Verilerin İşlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise Kişisel Veriler Açık Rıza alınmaksızın Kuruluş tarafından işlenebilir.
- Veri Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kuruluşun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Kuruluş tarafından Açık Rıza olmaksızın işlenebilir.
Sayfa 6 / 13
4.8 Özel Nitelikli Kişisel Veriler
Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Kuruluş hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızın işlenebilir.
Özel Nitelikli Kişisel Veriler İşlenirken, Kuruluş tarafından belirlenen önlemler alınır. Kuruluş, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- KVK Düzenlemeleri ile Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak eğitimler verecektir.
- Gizlilik sözleşmeleri yapacaktır.
- Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve
sürelerini net olarak tanımlayacaktır.
- Periyodik olarak yetki kontrollerini gerçekleştirecektir.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal geri alacaktır.
Özel Nitelikli elektronik ortamlara aktarılması durumunda, Özel Nitelikli Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar ile ilgili olarak Kuruluş:
- Özel Nitelikli Kişisel Verileri şifreli yöntemler kullanarak muhafaza edecektir.
- Şifre anahtarları güvenli ve farklı ortamlarda tutacaktır.
- Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak kayıt altına alacaktır.
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip edecek, gerekli güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
- Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapacak, bu yazılımların güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
- Özel Nitelikli Kişisel Verilere uzaktan erişim olması halinde en az iki kademeli kimlik doğrulama sistemi sağlayacaktır.
Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Kuruluş:
Sayfa 7 / 13
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.
- Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engelleyecektir. Özel Kişisel Verilerin aktarılması halinde, Veri Sorumlusu:
- Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (“KEP”) hesabı kullanacaktır.
- Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarımın gerekli olması halinde kriptografik yöntemlerle şifreleme yapar ve kriptografik anahtarı farklı ortamda tutacaktır.
- Özel Nitelikli Kişisel Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa, sunucular arasında VPN kurarak veya SFTP yöntemiyle aktarımı gerçekleştirecektir.
- Özel Nitelikli Kişisel Verilerin kağıt ortamı ile aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri alır ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.
- Yukarıdaki düzenlemelere ek olarak, Kuruluş, Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.
4.9 Kişisel Verilen Saklanma Süresi, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Komite bilgilendirilir.
Kişisel Veriler, Kuruluş bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika ’da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca Kuruluş tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale Getirilmesi gereken durumlar Komite tarafından takip edilir.
Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.
Kuruluş, Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
Kuruluş’ un Kişisel Veriler üzerinde uygulayacağı tüm Silme, Yok Etme ve Anonim Hale Getirme faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’ nda belirtilen esaslara uygun olarak gerçekleştirilecektir.
Sayfa 8 / 13
4.10Kişisel Verilerin Aktarılması ve Kişisel Verilerin Üçüncü Kişiler Tarafından İşlenmesi
Kuruluş, Kişisel Veri İşleme amaçları doğrultusunda gerekli önlemleri alarak Kişisel Verileri yurtiçinde ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVK Düzenlemelerine uygun şekilde aktarabilir. Bu durumda Kuruluş, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politikaya uymasını sağlar.
Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Komite’ den temin edilir.
Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’ da yer alan süreci kat etmekle yükümlüdür. Komite tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Komite’ ye bildirir.
4.11 Türkiye’de ve Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
Kişisel Veriler, KVKK Madde 5.2’de ve yeterli önlemler alınmak kaydıyla Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Kuruluş tarafından aktarılabilir.
Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Kuruluş çalışanları ve Kuruluş müteselsilen sorumludur.
Kişisel Veriler, KVKK Madde 5.2 ve Madde 6.3’ de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt dışında bulunan üçüncü kişilere, Kuruluş tarafından aktarılabilir.
Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
- Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip ediniz),
- Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Kuruluşun ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Kuruluş çalışanları ve Kuruluş müteselsilen sorumludur.
4.12 Kuruluşun Aydınlatma Yükümlülüğü
Kuruluş, KVKK’ nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır. Bu kapsamda Kuruluş, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:
Sayfa 9 / 13
- Veri Sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel Verilerin hangi amaçla işleneceği,
- İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
- Veri Öznelerinin KVKK Madde 11’de sayılan hakları.
Kuruluş, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’ nın 11. Maddesine uygun olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
Veri Özneleri tarafından KVKK Düzenlemelerine uygun olarak talep edilmesi halinde Kuruluş, Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.
Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Kuruluş müteselsilen sorumludur. Bu kapsamda her bir yeni veri işleme sürecinin Komite’ ye raporlanması amacı ile gerekli KVK Prosedürü Komite tarafından oluşturulur.
Veri İşleyenin Kuruluş haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Kuruluşa Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Komiteden temin edilir. Her bir çalışan, Kuruluşa üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika da yer alan süreci kat etmekle yükümlüdür. Komite tarafından iletilen maddede Kişisel Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Komiteye bildirir.
4.13 Veri Öznelerinin Hakları
Kuruluş Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:
- Kuruluş tarafından Kişisel Veri İşlenip İşlenmediği öğrenme,
- Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
- Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
- Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerin Kuruluş tarafından eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme,
- Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin
İşlenmesini gerektiren sebeplerin ortadan kalkması halinde Kuruluş tarafından Kişisel
Verilerin Silmesini veya yok edilmesini isteme,
- Kuruluş tarafından Kişisel Verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu
işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz
etme,
- Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara
uğraması hâlinde zararın giderilmesini talep etme.
Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel Verileri işlerken Kuruluşun işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Kuruluş internet sitesinde
Sayfa 10 / 13
yer alan formu doldurarak veya kendi taleplerini Kişisel Verileri Koruma Kurumu tarafından belirlenen şartları taşıyacak şekilde oluşturarak aşağıdaki iletişim adresleri üzerinden ıslak imzalı bir dilekçe ile elden, noter veya iadeli taahhütlü mektup aracılığıyla veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da daha önce tarafımıza bildirilen ve sistemimizde kayıtlı olan e-posta adresinizi kullanmak suretiyle Kuruluşumuza iletebilirsiniz.
Lütfen güncel başvuru yöntemlerini başvuru öncesinde mevzuattan teyit ediniz.
Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Kuruluşa iletmeleri durumunda Kuruluş talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.
4.14 Veri Yönetimi ve Güvenliği
Kuruluş, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Komite oluşturur. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur. Kuruluş tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.
Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir. Kuruluş çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir. Kuruluş’ ta Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur.
Kuruluş çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir. Kuruluş çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Komite’ye bildirir. Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü Komite tarafından oluşturulur. Kendisine Kuruluş cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
Her Kuruluş çalışanı veya Kuruluş bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur. KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
Kuruluş’ ta Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
Kuruluş’ ta Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
Kuruluş’ ta Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunması için gerekli önlemler alınacaktır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde
Sayfa 11 / 13
saklanmayacaktır. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmayacak, Kuruluş bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamayacak, Kuruluş dışına çıkartılamayacaktır.
Komite, ilgili birim yönetiminin katılımı ile birlikte Kuruluş içerisinde bulunan tüm Kişisel Verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Kuruluş içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite, ilgili birim yöneticilerinin onayı ile çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
Kuruluş içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Komite tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilecek ve ilgili departman Komite talimatlarına uygun hareket edecektir. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilecek ve bunların listesi ve takibi Komite tarafından yapılacaktır.
Kuruluş içerisinde işlenen Kişisel Verilerin tamamı Kuruluş tarafından “Gizli Bilgi” olarak kabul edilir.
Kuruluş çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Kuruluş çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
4.15 Eğitim
Kuruluş, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir. Kuruluş çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Kuruluş ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
4.16 Denetim
Kuruluş, işbu Politika ve KVK Düzenlemelerine Kuruluşun tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’ sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite bu denetimlere dair KVK Prosedürü oluşturur, ilgili birim yöneticilerinin onayına sunar ve anılan prosedürün uygulanmasını sağlar.
4.17 İhlaller
Kuruluşun her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komite’ ye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.
Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya Kurum’a yapılacak bildirimi hazırlar. Bu durumda Veri Sorumlusu İrtibat Kişisi Kurum ile yapılan yazışma ve iletişimi yürütür.
Sayfa 12 / 13
4.18 Politikada Yapılacak Değişiklikler
Kuruluş tarafından işbu Politika Yönetim Kurulu Başkanı onayı ile değiştirilebilir. Kuruluş, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e- posta yolu ile çalışanlarıyla paylaşır veya web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.
4.19 Politikanın Yürürlülük Tarihi
Politika’nın işbu versiyonu 21.10.2020 tarihinde Kuruluş Yönetim Kurulu Başkanı tarafından onaylanarak yürürlüğe girmiştir.
Sayfa 13 / 13