KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

1. Amaç

 

İşbu verilerin işlenmesi ve korunması politikası (“Politika”), Bodrum Belediyesi’nin bir iştiraki olarak kurulmuş olan Bodrum Belediyesi Gıda Enerji Eğitim Turizm İnş. Gıda Enerji San. Ve Ticaret A.Ş. (“Şirket”)’nin kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması ve imhasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.

 

2. Tanımlar

 

 

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hale getirme	Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İkincil Mevzuat	Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.
İlgili Kullanıcılar	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
Kanun	6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder.
Kişisel Veri/ler	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin işlenmesi	Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul	Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum	Kişisel Verileri Koruma Kurumu’nu ifade eder.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Sicil	Veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.
Silme	Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Saklama ve İmha Politikası	Şirket’in, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, saklama ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.
Şirket	Bodrum Belediyesi Gıda Enerji Eğitim Turizm İnş. Gıda Enerji San. Ve Ticaret A.Ş.’yi ifade eder.
VERBİS	Veri Sorumluları Sicil Sistemi
Veri İşleyen	Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Koruma Komisyonu	Şirket’in Kişisel Verilerin Korunması Komisyonu’nu ifade eder.
Veri Sahibi	Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, müşterileri, internet kullanıcılarını, iletişim, elektronik posta ve pazarlama veri tabanı listelerindeki bireyleri, çalışanları, sözleşme taraflarını ve tedarikçileri de kapsar.
Veri Sorumlusu	Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili Hakkında Yönetmelik	Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı, Kanun’un 16. Maddesi uyarınca hazırlanmıştır.
Yok Etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

 

3. Kapsam

 

Şirket bünyesindeki kişisel veriler, Veri Sorumlusu olan Şirket’in koruması altındadır. Şirket, Kanun çerçevesinde Kişisel Veriler’in hukuka uygun olarak işlenmesini ve güvenli şekilde muhafazasını sağlamak için teknolojik ve alt yapısal imkânlarını kullanarak, gerekli teknik ve idari tedbirleri almaktadır. Şirket Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.

 

4. Esaslar

 

• Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler

 

• Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmektedir.

 

Şirket, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda, Şirket, Kanun ile getirilen kurallara uygun olarak Kişisel Veriler’i işlemektedir. Ayrıca Şirket Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenleme ve kararları takip etmekte ve uyum sağlamaktadır.

 

• Kişisel Veriler, Doğru ve Gerektiğinde Güncel Olmalıdır.

 

Şirket; işlediği Kişisel Veriler’in doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Şirket, Kişisel Veriler’in doğru ve güncel tutulabilmesini teminen; Kişisel Veriler’in elde edildiği kaynakları belirlemekte, kişisel verilerin toplandığı kaynağın doğruluğunu test etmekte, Kişisel Veriler’in doğru olmamasından kaynaklı talepleri göz önünde bulundurmakta ve bu kapsamda makul önlemleri almaktadır.

 

• Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.

 

Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir.  Şirket’in işlediği Kişisel Veriler yapmakta olduğu iş ile bağlantılı ve gereklidir.

 

• Kişisel Veriler, İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.

 

Şirket, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.

 

Ancak Şirket farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceği özellikle dava zamanaşımı süreleri de dikkate alınarak, Şirket, hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için azami muhafaza süreleri esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirket Kişisel Verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

 

Bunlara ek olarak, Şirket Şirket Saklama ve İmha Politikası’nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.

 

• İşleme Şartları

 

4.2.1 Kişisel Veriler’in İşlenmesi

 

Şirket tarafından Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in hukuka uygun işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Şirketimiz Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak işlemektedir.

 

Bu kapsamda:

 

• Kişisel Veriler, Veri Sahibi’nin Açık Rıza’sı ile işlenebilir.

 

• Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Açık Rıza’sı aranmaksızın da Kişisel Verileri’nin işlenmesi mümkündür:

 

1. Kanunlarda açıkça öngörülmesi;
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;
4. Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
5. Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması;
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
7. Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Şirket tarafından verisi işlenen tüm veri grupları için hukuka uygunluk sebepleri belirlenmiş, hukuka uygunluk sebeplerinin bulunmadığı iş süreçleri için Açık Rıza metinleri hazırlanmıştır.

 

4.2.2. Özel Nitelikli Kişisel Veriler’in İşlenmesi

 

Kanun, Özel Nitelikli Kişisel Veriler’in işlenmesi için Normal Nitelikli Kişisel Veriler’den farklı koşullar belirlemiştir.

Bu kapsamda:

 

• Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile işlenebilir.

 

• Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı aranmaksızın işlenebilir.

 

• Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.

 

 

4.3 Rıza

 

• Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür iradeyle açıklanmış olması gerekmektedir.

 

• Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilmesi gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır.

 

• Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmelidir.

 

• Açık Rıza yazılı olarak alınabileceği gibi elektronik ortamda da alınabilir.

 

• Rıza, Veri Sahibi tarafından her zaman geri alınabilir.

 

• Açık Rıza alınması gereken durumlar Şirket tarafından belirlenmiştir. Veri Koruma Komisyonu Açık Rıza metinlerinin ilgili departmanlar tarafından düzenli olarak alınmasını ve arşivlenmesini sağlar.

 

4.4 Kişisel Veriler’in Aktarılması

 

4.4.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması

 

Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

 

1. a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,

 

1. b) Aktarımın kanunlarda açıkça öngörülmesi,

 

1. c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

 

1. d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,

 

1. e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

 

1. f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,

 

1. g) Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

 

1. h) Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.

 

1. i) Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın işlenebilir.

 

4.4.2 Kişisel Veriler’in Yurt Dışına Aktarılması

 

Şirketimiz yalnızca hizmet kalitesini artırmak için kullandığı sistemler nedeniyle Kişisel Veriler’i yurt dışına aktarmaktadır. E-posta altyapısı olarak Microsoft Outlook kullanılmaktadır.

 

Sosyal medya kullanılması halinde Kişisel Veriler yurt dışında yer alan sosyal medya platformlarına aktarılmaktadır.

 

4.5. Şirket içi Faaliyetlerinin İzlenmesi

 

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket’e ait işyerlerinde kapalı devre kamerayla izleme faaliyeti ile çalışan, müşteri, ziyaretçi gibi kişilerin kişisel verileri işlenmektedir. Şirket bu kapsamda belirlediği amaçları ilgili kişilere usulünce açıklar.  Şirketi genel hususlara ilişkin olarak yaptığı aydınlatmanın yanı sıra kapalı devre kamera ile izleme faaliyetine ilişkin uygun göreceği farklı yöntemle ile de bildirimde bulunur. Kapalı devre kamera ile izleme faaliyeti kapsamında işlenen kişisel veriler, en fazla 3 ay süreyle muhafaza edilir.

 

Şirket tarafından, Şirket’e ait işyerlerinde ziyaretçi ve müşterilere internet erişimi sağlanabilir. Şirket veri güvenliğini sağlamak için çalışanlara ve ziyaretçi/müşterilere sunduğu internet hizmetini farklı kaynaklardan sağlamaktadır. İnternet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınır; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüklerin yerine getirilmesi amacıyla işlenebilir.

 

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Erişim yetkilendirmesi Veri Koruma Komisyonu tarafından yapılır.

 

4.6. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

 

Veri Sahibi’nin Kişisel Veriler’inin işlendiği her anda veya işlendiği anı takip eden ilk fırsatta Veri Sahibi’ne veri işleme faaliyetine ilişkin Aydınlatma yapılır. Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,

 

• Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
• Veri işlemenin amacı(amaçları)
• Veri aktarımının amacı ve kimlere veri aktarılacağı,
• Veri toplama yöntemi ve hukuki sebebi,
• Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
• İşlenen verinin türü

 

Veri Sahibi’ne açıklanacaktır.

 

Aydınlatma sözlü, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket veya Veri Koruma Komisyonu tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir. Alındı belgesi veya form açıklamanın metodunu, içeriğini, tarihini ve olayı belirleyen eşzamanlı bir kayıt ile birlikte saklanmalıdır.

 

Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.

 

4.7. Kanuna Uyumlu Olmayan Yeni Faaliyetlerden Kaçınma

 

Kural olarak, Şirket tarafından Veri Koruma Komisyonu’nun onayı alınmadan yeni veya genişletilmiş Kişisel ve/veya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir. İlgili tüm departman ve yöneticileri ile, Veri Koruma Komisyonu ve diğer departmanlarla uyum içinde çalışmaya gayret edecekler, Kanun’a uyumlu olmayan yeni faaliyetlerden kaçınacaklardır.

 

4.8 Veri Sahibi’nin Hakları

 

Şirket, Veri Koruma Komisyonu aracılığıyla Veri Sahibi’nin Kanun’un 11. maddesinde sayılan haklarını kullanmasını sağlamak amacıyla bir başvuru formu oluşturmuş ve internet sitesinde yayınlamıştır.

 

Veri Sahibi, Şirket ve Veri Koruma Komisyonu tarafından belirlenen politika ve prosedürlere uygun olarak yapılmış bir talep ile kendi Kişisel Verileri hakkında:

 

• Şirket’in Veri Sahibi hakkında Kişisel Veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,

 

• Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek,

 

• Kişisel Veriler’in yurt içi veya yurt dışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek

hakkına sahiptir.

 

Veri Sahibi’nin, ayrıca Şirket’ten yanlış ve eksik Kişisel Veriler’ini düzeltmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.

 

Veri Sahibi, Kanun’un 7. maddesi uyarınca, Kişisel Veriler’inin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini ve yok edilmesini Şirket’ten talep edebilir.

 

Kişisel Veriler’e erişim için Veri Sahibi’nden bir talep alan tüm iş birimleri bu talepleri Veri Koruma Komisyonu’na bildirecektir.

 

Veri Komisyonu burada söz edilen talepleri alındığı zaman kaydetmek ve cevap veriliş tarihlerini tespit etmek adına bir sistem kuracaktır.

 

Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Şirket, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Şirket tarafından dikkate alınmayacaktır. Böyle bir durumda Şirket başvuru sahibine, başvurunun işleme konulmamasına ilişkin 30 gün içerisinde bilgi verecektir.

 

Şirket belirtilen sürede talebe tam olarak cevap veremezse dahi, Veri Koruma Komisyonu herhalükarda söz konusu 30 günlük süre içinde aşağıdaki bilgileri Veri Sahibi’ne sağlamalıdır:

 

• Veri sahibi’nin talebinin alındığına dair bir teyit,
• O zamana kadar, yöneltilen talebe dair cevap niteliğinde toplanmış bulunan tüm bilgilere dair açıklama,
• Veri Sahibi’nin talep ettiği bilgi veya değişikliğe dair Şirket tarafından verilemeyecek ya da gerçekleştirilemeyecek olanlara dair açıklama, Veri Sahibi’nin talebini red sebebi (sebepleri), ve varsa Şirket içinde karar itiraz prosedürlerine dair açıklama

 

4.9 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi ve Anonimleştirilmesi (“Kişisel Veriler’in Saklanması ve İmhası”)

 

Kişisel Veriler’in saklanmasına ve imhasına ilişkin usul ve esaslar, kişisel verilerin saklama süreleri ile birlikte Şirket’in Saklama ve İmha Politikası’nda yer almaktadır.

 

Şirketimiz, Kanun’da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Veriler’i mevzuatlarda öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir.

 

Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmediği durumda, her veri işleme amacına özgü olarak saklama süreleri belirlenmektedir. Bu kapsamda saklama süreleri, Şirketimizin uygulamaları ve ticari yaşamının gereklilikleri dikkate alınarak belirlenmektedir.

 

Kişisel Veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, Kişisel Veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile Şirket’in faaliyetlerine uygulanan mevzuattan kaynaklanan saklama yükümlülükleri, taraf olduğu sözleşmeler ve tabi olduğu uluslararası düzenlemeler, dikkate alınmaktadır.

 

Şirket, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Şirket resen veya duruma göre, Veri Sahibi’nin talebi üzerine, Kişisel Veriler’i silebilir, yok edebilir veya anonim Hale Getirebilir. Şirket, Veri Koruma Komisyonu aracılığıyla, bu yöntemlerden hangisinin makul olduğuna karar vererek o yöntemi uygular. Veri Sahibi, Şirket’in neden bu yöntemi seçtiği konusunda madde 4.8’de açıklanan haklarını kullanmak suretiyle bilgi talep edebilir.

 

Kanun’un 28. maddesine uygun olarak; Anonim Hale Getirilmiş olan Kişisel Veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.

 

5. Şirket’in İşleme Faaliyetleri İçin VERBİS’e Kaydolunması

 

Şirket’in kişi sayısı ve yıllık cirosu göz önüne alındığında VERBİS’e kayıt yükümlülüğü bulunmaktadır. Şirket VERBİS’e kayıt yükümlülüğünü yasal süresi içerisinde yerine getirmiştir. Şirket’in yapmış olduğu bildirimlere ilişkin güncelleme yapması gerekmesi halinde zaman geçirmeden gerekli güncellemeleri yapar.

 

6. Üçüncü Taraf Veri İşleyen Kullanılması

 

6.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

 

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçilecektir.

 

6.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler

Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir protokol yapacaktır.

 

6.3 Üçüncü Taraf Veri İşleyen’in Denetimi

 

Şirket’in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirecektir ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapıyı kuracaktır.

 

7. Veri Güvenliği

 

7.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri

 

Şirket, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.

 

Alınması gereken güvenlik önlemleri şirketin bilgi güvenligi politikalarına uygun olarak belirlenecek ve yerine getirilecektir.

 

7.2 Çalışan Gizlilik Sözleşmeleri

 

Kişisel Veriler’in işlenmesi sürecinin herhangi bir aşamasına dahil olan herkes, açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahüdünde bulunmak ve bu doğrultuda ilgili Protokolü imzalamak zorundadır.

 

8. Uyumluluk Denetimi

 

8.1 Veri Koruma Komisyonu

 

Şirket’in uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin Genel Koordinatör, IK Direktörü, Bilgi İşlem Direktörü ve Bilgi İşlem Uzmanı’ndan oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır. Bu kişilerden birinin işten ayrılması halinde yerine yeni bir üye seçilecektir.

 

Veri Koruma Komisyonu’nun görevleri aşağıdaki gibidir:

 

1. a) Bu Rapor’u, Kişisel Veri İşleme ve Saklama Politikasını ve Saklama ve İmha Politikasını okumak, anlamak ve uygulamaya geçilmesi sürecinde destek vermek,

 

1. b) Veri Sahibi’nin “Başvuru Formu” doldurarak Şirket’e ilettiği KVKK’ya ilişkin taleplerini süresi içerisinde yanıtlamak,

 

1. c) Şirket’in işlediği verilerin güncelliğini teyit etmek üzere altı aylık periyodlarda Envanter üzerinden denetim yapmak,

 

1. d) Şirket’in Kurum, Kurul ve Sicil ile olan ilişkilerini yönetmek ve yürütmek,

 

1. e) VERBİS kaydının güncel kalmasını sağlamak,

 

1. f) Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,

 

1. g) Aydınlatma ve açık rıza metinlerinin ilgili departmanlarca düzenli olarak elde edilerek arşivlendiğini kontrol etmek,

 

1. h) Aktarım protokollerinin ilgili taraflarla imzalandığını kontrol etmek,

 

1. i) İmha politikası ve imha sürelerine uyulduğunu düzenli olarak kontrol etmek. İmha süresi gelen verilerin imhasını sağlamak, işlemlerinin loglandığını kontrol etmek,

 

1. j) Veri güvenliği denetim listesi üzerinden periyodik olarak denetimler yapmak.

 

 

8.2 Mevcut Uyum Değerlendirmesi

 

Şirket, Veri Koruma Komisyonu aracılığıyla bir program belirlemeli ve tüm iş birimleri için veri koruma uyum denetimi yapmalıdır. Şirket, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri belirli makul bir süre içinde düzeltmek için bir plan ve program üretmelidir.

 

8.3 Yıllık Veri Koruma Denetimi

 

Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:

 

Departmanlar, hangi Kişisel Veriler’in departman tarafından toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.

 

Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Veri’nin aktarıldığı kişilerin kimliklerini tespit etmelidir. Departman aktarılan kişilerin bulundukları yerleri, aktarımın amaçlarını, en azından mevcut veri güvenliği seviyesini korumak için hangi fiziksel, teknik sistemlerin ve süreçlerin mevcut olduğunu belirlemelidir.

 

Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması, şirket politika ve prosedürlerinde güncelleme yapılması ve uygun süreçlerin temini için Veri Koruma Komisyonu’na bildirilmelidir.

 

Veri Koruma Komisyonu tarafından her yılın bir günü “Temizlik Günü” olarak belirlenir.  Belirlenen Temizlik Günü’nde tüm çalışanların fiziki ve elektronik ortamda yer alan kişisel veri içeren belgelerini gözden geçirip, mükerrer olan veya gereksiz olan verileri tespit ederek imha etmesi gerekmektedir.

 

9. Sair Hükümler

 

 

Bu politika çalışanlara Veri Komisyonu tarafından sunulacaktır.

 

Bu Politika yayınlandığı anda yürürlüğe girer.

 

Tüm departmanlar iş birliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir. Bu uygulama süreci, bu Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü içerecektir.

 

Bu Politika’da her zaman değişiklikler yapılabilir. Yapılan değişikliklerin çalışanlara Veri Komisyonu tarafından bildirilmesi gerekmektedir.