Ki̇şi̇sel Veri̇leri̇n Korunması Ve İşlenmesi̇ Poli̇ti̇kası
GİRİŞ
Bu Politika ile kişisel verilerin korunması ve işlenmesi konusunda Mazhar Zorlu Holding A.Ş. tarafından benimsenen ve uygulanan ilkeler açıklanmaktadır.
Politika, kişisel verilerin korunması ve işlenmesi konusunda 6698 Sayılı Kişisel Verilerin Korunması (“KVK”) Kanunu’na uyum sağlamak amacıyla yürütülecek uyum faaliyetlerinin çerçevesini belirlemeyi ve koordinasyonu sağlamayı hedeflemektedir. Bu kapsamda amaç, Şirketin kuruluşundan itibaren benimsenen, faaliyetlerin hukuka uygunluk, dürüstlük ve şeffaflık ilkelerine uygun olarak yürütülmesinin sürdürülmesidir.
Mazhar Zorlu Holding A.Ş.,bu amaç ve hedefe uygun olarak, KVK Kanunu’na uyum konusunda gerekli yapıyı, prosedür ve süreçleri oluşturacak; çalışanlarında ve iş ortaklarında farkındalığın yaratılması için gerekli mekanizmaları hayata geçirecektir.
TANIM ve KISALTMALAR
Politika metninde yer alan; özel terim, deyimler, kavramlar ve kısaltmalar aşağıda yer alan anlam ve tanımlarıyla kullanılmaktadır.
Şirket: Mazhar Zorlu Holding A.Ş.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan: Şirket personeli.
Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
KVK Kurulu: Kişisel Verileri Koruma Kurulu.
KVK Kurumu: Kişisel Verileri Koruma Kurumu.
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu.
Politika: İş bu Kişisel Verilerin Korunması ve İşlenmesi Politikası.
Şirket faaliyetlerimiz kapsamında aşağıda yer alan verilerinizi toplamaktayız:
- Kişisel Veriler
- Özel Nitelikli Kişisel Veriler
- Diğer Veriler
| Veri Kategorisi | Kişisel Veriler |
| Açıklama | İsim, soy isim, T.C. kimlik numarası, nüfus cüzdanı fotokopisi, imza, IP adresi gibi kişinin kimliğinin belirlenmesine ilişkin veriler ile elektronik posta adresi, ikametgâh adresi, cep telefonu numarası, faks numarası gibi kişi ile iletişim kurulmasını sağlayan veriler ile banka hesap bilgileri, kredi kartı bilgileri, fatura bilgileri gibi verilerdir. |
| Verinin toplanma amacı |
Müşterilerimizin kişisel verilerini, sunacağımız ürün ve hizmetlere ilişkin sözleşmesel ilişkinin kurulması ve buna ilişkin hizmetin ifa edilebilmesi; kampanya ve fiyat avantajlarından müşterilerin haberdar edilmesi ve bu imkanlardan faydalanmalarının sağlanması amacıyla toplamaktayız. Tedarikçi, alt yüklenici ve benzeri iş ilişkisi içerisinde bulunduğumuz kişilerin kişisel verilerini ticari gereklilik ve kanunlardan doğan yükümlülüklerimiz ile varsa sözleşmelerdeki yükümlülüklerimizi yerine getirmek için toplamaktayız. Platform kullanıcılarımızın kişisel verilerini, internet sitemiz üzerinden ürün ve hizmetlerimize ilişkin bilgilere ulaşabilmelerini sağlama; insan kaynaklarımıza online başvuru yapabilmelerini sağlama; ürün ve hizmetlerimize ilişkin soru, görüş, talep ve önerilerini bizlere iletebilmelerini sağlama; ürün ve hizmetlerimizden faydalanmak isteyenlerin keşif taleplerini bizlere iletebilmelerini sağlama amacıyla toplamaktayız. Ayrıca müşteri, tedarikçi, alt yüklenici ve benzeri iş ilişkisi içerisinde bulunduğumuz kişilerin kişisel verilerini gerek sunmuş olduğumuz gerekse de almış olduğumuz ürün ve hizmetlere ilişkin ödemelerin gerçekleştirilmesi amacıyla toplamaktayız. |
| Veri Kategorisi | Özel Nitelikli Kişisel Veriler |
| Açıklama | Adli Sicil Kaydı, Dini, Nüfus cüzdanı Fotokopisi, Kan Gurubu, Fotoğraf, Algoritmik Parmak izi, Sağlık verileri, |
| Verinin toplanma amacı | Platform üzerinden yapılan iş başvuruları (CV) olası istihdam değerlendirmesi için toplanmaktadır. Çalışanlarımızın iş güvenliğinin sağlanması amacı ve mevzuat gereği özel nitelikli veriler toplanmaktadır. |
| Veri Kategorisi | Diğer Veriler |
| Açıklama | Platform erişim kayıtları, güvenlik amacıyla toplanan veriler ve sunduğumuz ürün ve hizmetlere kapsamında toplanan diğer verilerdir. |
| Verinin toplanma amacı | Platform kullanıcılarımız, müşterilerimiz tedarikçi, alt yüklenici ve benzeri iş ilişkisi içerisinde bulunduğumuz kişilerin söz konusu verilerini, sözleşmesel ilişkinin kurulabilmesi; Şirket’e ait ofis ve şubelerimizde kurulu sistemler vasıtasıyla güvenliğin sağlanması; internet sitemiz üzerinden sizlere daha kaliteli bir hizmet sunabilmek; Şirketimiz tarafından sunulan ürün ve hizmetlerin kullanım alışkanlıkları ve ihtiyaçlara göre özelleştirilerek müşterilere önerilebilmesi; Şirketimizin ve Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; amacıyla işlemekteyiz. |
I. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASININ KULLANIM AMACI
Politika ile Mazhar Zorlu Holding A.Ş. tarafından KVK Kanunu’na uyum için önem taşıyan düzenlemelerin şirket bünyesinde benimsenmesinin sağlanması amaçlanmaktadır. Bu kapsamda, Politika, Şirket’in KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır.
Şirket bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yapacak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaklardır.
Şirket bünyesinde Politika’da düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından gerekli her türlü idari ve teknik tedbir alınacak, çalışanların farkındalığının sağlanması için iç sistemler kurulacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek, iş ortaklarına konuya ilişkin gerekli bildirimler ve uyarılar yapılacaktır.
II. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Şirket bakımından öncelikle önem arz eden hususlardan biri, kişisel verilerin işlenmesinde mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, Şirket ve çalışanları, Anayasa ve KVK Kanunu’na uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmelidirler.
2.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmalıdır.
Bu kapsamda , kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almalı ve kişisel verileri amacın gerektirdiği dışında kullanmamalıdır.
2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel veri sahiplerinin, temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamalı; bu doğrultuda gerekli tedbirleri alarak bunları sağlamaya yönelik sistemleri kurmalıdır.
2.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler meşru ve hukuka uygun sebeplerle işlenmelidir. Şirket kişisel verileri yürütmekte olduğu faaliyetlerle bağlantılı olarak ve gerekli olduğu ölçüde işlemelidir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan belirlenmelidir.
2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemelidir.
2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirket Türk Ceza Kanunu’nun 138. Mad. ve KVK Kanunu’nun 4. ve 7. maddelerine uygun olarak; işledikleri kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmelidirler.
Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için belirli bir süre öngörülüp öngörülmediğini tespit etmeli, herhangi bir süre belirlenmişse bu süreye uygun davranmalı, süre belirlenmemişse kişisel verileri işleme amacının gerçekleşmesi için gerekli olan süre kadar saklamalıdır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel
veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
2.6. Kişisel Veri İşleme Faaliyetlerinin Kanunun 5.i Maddesinde Belirtilen Kişisel Veri İşleme Şartlarından Bir veya Birkaçına Dayalı Olarak Kanunun 4. Maddedeki Temel İlkelerin Tümüne Uygun Şekilde Yürütülmesi.
Kişisel veriler kural olarak, KVK Kanunu’nun 5. maddesinde belirtilen şartlardan bir veya bir kaçına uygun olarak işlenmelidir. Şirket iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetlerinin bu şartlardan bir veya bir kaçına dayalı olarak yürütülüp yürütülmediği tespit edilmeli, bu şartlardan bir veya bir kaçını sağlamayan kişisel veri işleme faaliyetleri süreçlerde yer almamalıdır.
Kişisel veri işleme faaliyetlerinin kişisel veri işleme şartlarından bir veya bir kaçına dayalı olarak yürütülmesinin sağlanmasının yanı sıra tüm kişisel veri işleme faaliyetlerinde KVK Kanunu’nun 4. maddesinde belirtilen ve Politikanın 2.1 ila 2.5 bölümlerinde belirtilen tüm ilkelere uygun hareket edilmesi ve söz konusu ilkeleri içinde barındırması sağlanmalıdır.
Özel nitelikteki kişisel verilerin işlenmesi, üçüncü kişilere ve yurtdışına aktarılması konusunda KVK Kanunu’nda öngörülen özel hükümler de dikkate alınarak kişisel veri işleme faaliyetleri yerine getirilmeli; yukarıda belirtilen hususların yanında bu durumlarda kanunun aradığı özel gereklilikler de yerine getirilerek kişisel veri işleme faaliyetleri gerçekleştirilmelidir.
Bu çerçevede, KVK Kanunu’ndaki düzenlemelere uyum için gerekli süreçler oluşturulacaktır.
2.7. Kişisel Verilerin Aktarımında Uyulması Gerekenler
Kişisel verilerin, özel nitelikli kişisel veriler dahil, aktarılması bakımından aşağıda yer verilen kurallara uygun davranılmalıdır.
2.7.1. Yurtiçinde Kişisel Verilerin Aktarımı
Veri sahibinin kişisel verilerini, kişisel veri işleme amaçlarına uygun olarak ve gerekli güvenlik önlemlerini alarak (Bkz. Bölüm III/Başlık 3.3) üçüncü kişilere aktarmalıdır. Bu doğrultuda şirket bünyesinde KVK Kanunu’nun 8’inci maddesinde öngörülen şartlara uygun hareket etmeye yönelik gerekli süreçler tasarlanmalıdır.
2.7.2. Yurtdışına Kişisel Verilerin Aktarılması
Kişisel verilerin yurtdışına aktarılmasında, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır. (Bkz. Bölüm III/Başlık 3.3)
Kişisel veriler sadece KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.
Bu doğrultuda KVK Kanunu’nun 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli süreçler tasarlanmalıdır.
III. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN
YÜKÜMLÜLÜKLER
3.1. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Veri işlemeye başlamadan önce KVK Kurulu tarafından belirlenerek ilan edilecek süre içinde Veri Sorumluları Sicili’ne kayıt olmalıdır.
Veri Sorumluları Sicili'ne kayıt başvurusunda aşağıdaki bilgiler sunulmalıdır:
(1) Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri.
(2) Kişisel verilerin hangi amaçla işleneceği.
(3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
(4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
(5) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
(6) Kişisel veri güvenliğine ilişkin alınan tedbirler.
(7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
3.2. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında, kişisel veri sahibini, aşağıda yer alan konularda aydınlatmalıdır:
(1) Veri sorumlusu olarak Şirket ve varsa temsilcisinin kimliği,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
(5) Kişisel veri sahibinin sahip olduğu haklar;
* Kişisel verilerin işlenip işlenmediğini öğrenmek,
* İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
* Kişisel verilerin aktarıldığı kişileri bilmek,
* Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesi,
* İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
*Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
Bu kapsamda, Şirket tarafından aydınlatma yükümlülüğünün yerine getirilmesine yönelik olarak kişisel veri toplama kanalları tespit edilmeli; bu toplama faaliyetleri özelinde KVK Kanunu’nda aranan kapsam ve şartlara haiz aydınlatma noktaları ve metinleri ile veri sahibi aydınlatılmalı; buna uygun süreçler tasarlanmalıdır.
3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Şirket bünyesinde, her açıdan güvenliğin sağlanmasının teşkil ettiği önemin bilinciyle, KVK Kanunu’nun 12inci maddesine uygun olarak, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalı, bu kapsamda gerekli denetimleri yapmalı veya yaptırmalıdır.
Bu kapsamda, Şirket tarafından aşağıda sıralanan tedbirlerin alınmasına yönelik gerekli sistemler kurgulanmalı, bu sistemlerin denetimi yapılmalı ve güvenliğin risk teşkil ettiği durumlarda vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.
3.3.1. Hukuka Uygun Veri İşlenmesini Temin İçin Teknik ve İdari Tedbirlerin Alınması
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar dâhilinde, gerekli teknik ve idari tedbirleri almalıdır.
(i) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınması Gereken Teknik Tedbirler
* Şirket bünyesindeki iş birimleri tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin tüm süreçler analiz edilmeli, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır. Şirket iş birimleri tarafından, verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin tümünün hukuka uygunluk denetimi yapılmalıdır.
* Şirketi bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmelidir.
(ii) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınması Gereken İdari Tedbirler
* Şirket, çalışanlarını, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirmeli ve eğitmelidir.
*Şirket ile çalışanları arasındaki hukuki ilişkiyi yöneten sözleşme, belge ve politikalara, KVK Kanunu’ndaki düzenlemelere aykırı biçimde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğü getiren kayıtlar konulmalıdır.
* Kişisel verilere erişim, işleme amacı doğrultusunda ilgili Şirket çalışanı ile sınırlandırılmalı, ayrıca, Şirket bünyesinde tutulan her kişisel veriye, her çalışanın erişim imkanı bulunmamalıdır.
Şirketler’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmeli, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri belirlenmelidir.
*Şirket her bir iş biriminin faaliyetlerinin KVK Kanun’unda belirtilen kişisel veri işleme şartlarına uygunluğunun sağlanmasını ister, bu nedenle kişisel veri ve işleme,saklama, imha süreçleri her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde tespit edilmelidir.
* İş birimleri bazında belirlenen hukuksal uyum gereklerinin sağlanması için Şirket tarafından, ilgili iş birimleri özelinde farkındalık yaratılmalı ve uygulama kuralları belirlenmelidir. Şirket tarafından, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınarak, politika, prosedür ve eğitimler hayata geçirilmelidir.
3.3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması
Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak üçüncü kişilere açıklanmasını, görüntülenmesini, aktarılmasını veya başka şekillerde hukuka aykırı şekilde elde edilmesini önlemek için, korunacak verinin niteliğine ve teknolojik imkânlara göre gerekli teknik ve idari tedbirleri almalıdır.
(i) Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken Teknik Tedbirler
* Teknolojideki gelişmelere uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmeli ve yenilenmelidir.
* İş birimi bazında hukuksal uyum gereklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmalıdır.
* Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmalı, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
* Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
(ii) Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken İdari Tedbirler
(1)Şirket Çalışanları, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmelidir.
(2) İş birimi bazında hukuksal uyum gereklerine uygun olarak Şirketleri tarafından kuruluş bünyesinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmalı ve uygulanmalıdır.
(3) Şirket çalışanlarından, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceğine ilişkin gerekli taahhütler alınmalıdır.
(4) Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler eklenmelidir.
3.3.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmalı ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmelidir.
3.3.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirmekle yükümlüdürler. Bu kapsamda, gerekli iç yapı oluşturulmalıdır.
3.4. Kişisel Veri Sahibini Bilgilendirme Yükümlülüğü
Kişisel veri sahipleri, gerek duydukları hallerde yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin bilgi talebinde bulunma hakları vardır.
Bu kapsamda, Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13’üncü maddesine uygun olarak gerekli başvuru kanalları, başvuruların değerlendirilmesi, iç işleyiş, Kanun’da öngörülen sürelerde başvuruların cevaplandırılması ve sair idari ve teknik düzenlemelere ilişkin prosedür ve süreçleri oluşturmalı ve uygulamalıdır.
Kişisel veri sahipleri bu kapsamda;
*Kişisel veri işlenip işlenmediğini öğrenme,
*Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
*Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
* Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
* Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
* KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
* İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
* Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmesi durumunda, Şirket talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır.
Şirket tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermelidir.
Şirket, başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir.
Kişisel veri sahibinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde KVK Kurulu’na şikâyet hakkı bulunduğu konusunda Şirket içinde gerekli uyarılar yapılmalı ve farkındalık sağlanmalıdır.
4. Çalışanlarının Kişisel Verilerinin Korunması ve İşlenmesi Konusundaki Temel Esaslar
Şirket tarafından, kişisel veri sahibi çalışanlarına yönelik olarak da KVK Kanunu ve ilgili mevzuata uygun olarak hareket edilmelidir.
Bu kapsamda, Şirket tarafından;
(1 )Şirket çalışanlarına yönelik aydınlatma yükümlülüğü yerine getirilmelidir.
(2) Şirket çalışanlarının kişisel verileri toplanırken, üzerinde işlem yapılırken (erişim, görüntülenme, şirket içi paylaşım dahil), saklanırken KVK Kanunu’nun 4üncü maddesinde düzenlenen ve bu Politikanın 2.1 ila 2.5 bölümlerinde yer alan ilkelerin tümüne uygunluğu sağlanmalı; çalışanların kişisel verilerinin KVK Kanunu’nun 5inci maddesinde düzenlenen ve Politikanın 2.6 bölümünde belirtilen şartlardan bir veya bir kaçına dayalı olarak işlendiği kontrol edilmeli ve uygunluğu sağlanmalıdır.
(3) Şirket çalışanlarının kişisel verilerine ilişkin bilgi talebi başvurularının KVK Kanunu’nda öngörülen süre içinde değerlendirilmesi ve cevaplandırılmasına yönelik süreçler tasarlanmalı ve uygulanmalıdır.
(4) Şirket çalışanlarının kişisel verilerinin güvenliği sağlamalıdır.
(5) Şirket çalışanlarının kişisel verilerinin aktarımına ilişkin olarak KVK Kanunu’nun 8. ve 9. maddelerine uygun davranılmalıdır.
(6) Şirket çalışanlarının kişisel verilerinin KVK Kanunu’nun 7. maddesine uygun olarak silinmesi, yok edilmesi veya anonimleştirilmesi için gerekli süreçler hayata geçirilmelidir.
IV. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
YÖNETİM YAPISI
Şirketler, KVK Kanunu’ndaki yükümlülükleri yerine getirmek ve işbu Politika’nın uygulanmasına yönelik olarak ve aşağıdaki fonksiyonları yerine getirmek üzere gerekli yönetişim yapısını kurmalıdır.
* Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
* Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak,
*Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
* Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş ortakları nezdinde farkındalığı arttırmak,
*Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
*Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve uygulanmasını sağlamak,
* Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
* Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri yönetmek.
Yönetişim yapısı oluşturulurken, bir komite kurulması ön görülüyor ise bu komitenin kimlerden oluşacağı ve görev dağılımı ilgili Şirketin üst yönetimi tarafından belirlenir.
Anayasa : 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
KVK Kurulu : Kişisel Verileri Koruma Kurulu
KVK Kurumu : Kişisel Verileri Koruma Kurumu
KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Politika : Ege Profil A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası
Türk Ceza Kanunu : 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.