Kişisel Verileri Koruma Kanunu
I. VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1. İşbu Kişisel Verilerin Korunması Politikası
(“Politika”), (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu
başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya
yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Şirket
içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
1.2. Şirket, kendi bünyesinde bulunan Kişisel Veriler
bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere
uygun davranmayı taahhüt eder.
II.POLİTİKANIN AMACI
İşbu Politikanın temel amacı, Şirket tarafından Kişisel
Verilerin işlenmesine ve korunmasına yönelik yöntem ve süreçlere ilişkin
esasları belirlemektir.
III. POLİTİKANIN KAPSAMI
3.1. İşbu Politika, Şirketin işlemekte olduğu Kişisel
Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
3.2. İşbu Politika, Kişisel Veri niteliği taşımayan verilere
uygulanmaz.
3.3. İşbu Politika, KVKK Düzenlemelerinin gerektirmesi
halinde yahut [Şirketin Veri Sorumlusu Temsilcisi’nin ve/veya Komite’nin]
gerekli gördüğü hallerde zaman zaman yönetim kurulu onayı ile değiştirilebilir.
KVKK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVKK
Düzenlemeleri esas alınır.
IV. TANIMLAR
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva
eder;
“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi
sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Öznesine KVKK Madde
10 kapsamında bilgi vermesine ilişki yükümlülüğünü ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel
Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel
Verileri de kapsayacaktır).
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü
işlemi ifade eder.
[“Komite” İşbu Politikanın ve Politikaya bağlı olarak
uygulanacak KVKK Prosedürlerinin yerine getirilmesinden sorumlu komiteyi ifade
eder.]
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu
ifade eder.
“KVKK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması
Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı,
düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar
tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri,
talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası
anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVKK Prosedürleri” Şirketin, çalışanların, [Komitenin
ve/veya Veri Sorumlusu Temsilcisinin] işbu Politika kapsamında uyması gereken
yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade
eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri
Sorumlusu adına Kişisel Verileri İşleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket
adına işlenen tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel Verilerin İşleme amaçları ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu İrtibat Kişisi”, Kurum ile kurulacak
iletişim için Veri Sorumlusu tarafından sicile kayıt esnasında bildirilen
gerçek kişiyi ifade eder.
[“Veri Sorumlusu Temsilcisi” Komite içerisinden seçilen ve
Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile
atanan Şirket çalışanını ifade eder.]
“Yok Etme” Kişisel Verilerin, hiç kimse tarafından hiçbir
şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
işlemini ifade eder.
V. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına
Uygunluk Olarak İşlenmesi
Şirket, Kişisel Verileri, hukuka ve dürüstlük kurallarına
uygun ve ölçülülük esasına dayalı olarak işler.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması
için Gerekli Önlemlerin Alınması
Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması
için her türlü gerekli önlemleri alır ve Veri Öznesinin KVKK Düzenlemeleri
kapsamında Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili
Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar
Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından
Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Öznesi
KVKK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları
alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı,
Sınırlı ve Ölçülü Olması
Şirket, Kişisel Verileri yalnızca KVKK Düzenlemeleri
kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden
alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2)
ve ölçülülük esasına uygun olarak işler. Veri Sorumlusu, Kişisel Verileri
belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve
amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel
Verileri işlemekten kaçınır.
5.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya
İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
5.5.1. Şirket, Kişisel Verileri amaca uygun olarak gerektiği
kadar muhafaza eder. Şirketin, KVKK Düzenlemelerinde öngörülen veya Kişisel
Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel
Verileri muhafaza etmek istemesi halinde, Şirket KVKK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona
erdikten sonra Kişisel Veriler Silinir veya Anonim Hale Getirilir. İşbu halde,
Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri
Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin
işletilmesinden [Veri Sorumlusu Temsilcisi ve/veya Komite] sorumludur. Bu
kapsamda gerekli prosedür [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından
oluşturulur.
VI. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen
usul ve esaslar kapsamında işlenebilir.
6.1. Açık Rıza
6.1.1. Kişisel Veriler, Veri Öznelerine Aydınlatma
Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası
ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza
alınmadan önce Veri Öznelerine hakları bildirilir.
6.1.3. Veri Öznesinin Açık Rızası, KVKK Düzenlemelerine
uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından
KVKK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
6.1.4. [Veri Sorumlusu Temsilcisi ve/veya Komite], tüm
Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine
getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve alınan Açık Rıza’nın
muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman
çalışanları [Veri Sorumlusu Temsilcisi ve/veya Komitenin] talimatlarına, işbu
Politika’ya ve bu Politika’nın eki olan KVKK Prosedürlerine uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1. KVKK Düzenlemeleri kapsamında Açık Rıza alınmaksızın
Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2), Şirket
Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel
Verilerin bu şekilde işlenmesi durumunda Şirket KVKK Düzenlemelerinin çizdiği
sınırlar çerçevesinde Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Kanunlarda açıkça öngörülmesi halinde Kişisel
Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri
Öznesinin kendisinin ya da Veri Öznesi dışındaki bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Şirket
tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin
işlenmesinin gerekli olması halinde Kişisel Veriler Veri Öznelerinin Açık
Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.4. Kişisel Verilerin İşlenmesi Şirketin hukuki
yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri
Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.5. Veri Öznesi tarafından alenileştirilmiş olan
Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.6. Kişisel Verilerin İşlenmesi bir hakkın tesisi,
kullanılması veya korunması için zorunlu ise Kişisel Veriler Açık Rıza
alınmaksızın Şirket tarafından işlenebilir.
6.2.1.7. Veri Öznesinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu
olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın
işlenebilir.
VII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin
Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri
dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin
zorunlu tutulması halinde işlenebilir.
7.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Şirket
hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızın
işlenebilir.
7.3. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul
tarafından belirlenen önlemler alınır.
7.4. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi
süreçlerinde yer alan çalışanlara yönelik,
7.4.1. KVKK Düzenlemeleri ile Özel Nitelikli Kişisel
Verilerin güvenliği konularında düzenli olarak eğitimler verecektir.
7.4.2. Gizlilik sözleşmeleri yapacaktır.
7.4.3. Özel Nitelikli Kişisel Verilere erişim yetkisine
sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak
tanımlayacaktır.
7.4.4. Periyodik olarak yetki kontrollerini
gerçekleştirecektir.
7.4.5. Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis
edilen envanteri derhal geri alacaktır.
7.5. Özel Nitelikli elektronik ortamlara aktarılması
durumunda, Özel Nitelikli Verilerin işlendiği, muhafaza edildiği ve/veya
erişildiği elektronik ortamlar ile ilgili olarak Şirket:
7.5.1. Özel Nitelikli Kişisel Verileri kriptografik
yöntemler kullanarak muhafaza edecektir.
7.5.2. Kriptografik anahtarları güvenli ve farklı ortamlarda
tutacaktır.
7.5.3. Özel Nitelikli Kişisel Veriler üzerinde
gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak
loglayacaktır.
7.5.4. Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara
ait güvenlik güncellemelerini sürekli takip edecek, gerekli güvenlik testlerini
düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
7.5.5. Özel Nitelikli Kişisel Verilere bir yazılım
aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini
yapacak, bu yazılımların güvenlik testlerini düzenli olarak yapacak/yaptıracak,
test sonuçlarını kayıt altına alacaktır.
7.5.6. Özel Nitelikli Kişisel Verilere uzaktan erişim olması
halinde en az iki kademeli kimlik doğrulama sistemi sağlayacaktır.
7.6. Özel Nitelikli Kişisel Verilerin fiziksel ortamda
işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamlar ile ilgili olarak Şirket:
7.6.1. Özel Nitelikli Kişisel Verilerin bulunduğu ortamın
niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su
baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.
7.6.2. Bu ortamların fiziksel güvenliğini sağlayarak
yetkisiz giriş çıkışları engelleyecektir.
7.7. Özel Kişisel Verilerin aktarılması halinde, Veri
Sorumlusu:
7.7.1. Özel Nitelikli Kişisel Verilerin e-posta yoluyla
aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı
Elektronik Posta (“KEP”) hesabı kullanacaktır.
7.7.2. Özel Nitelikli Kişisel Verilerin taşınabilir bellek,
CD, DVD gibi ortamlar yoluyla aktarımın gerekli olması halinde kriptografik
yöntemlerle şifreleme yapar ve kriptografik anahtarı farklı ortamda tutacaktır.
7.7.3. Özel Nitelikli Kişisel Verilerin farklı fiziksel
ortamlardaki sunucular arasında aktarılması gerekiyorsa, sunucular arasında VPN
kurarak veya SFTP yöntemiyle aktarımı gerçekleştirecektir.
7.7.4. Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla
aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da
yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri
alır ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.
7.8. Yukarıdaki düzenlemelere ek olarak, Şirket, Özel
Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin
Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere
KVKK Düzenlemelerine uygun hareket edecektir.
7.9. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren
her durumda, ilgili çalışan tarafından [Veri Sorumlusu Temsilcisi ve/veya
Komite] bilgilendirilir.
7.10. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı
anlaşılabilir değil ise ilgili departman tarafından [Veri Sorumlusu Temsilcisi
ve/veya Komite’den] görüş alınır.
VIII. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
Kişisel Veriler, Şirket bünyesinde ilgili yasal saklama
süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin
ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli
süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi
sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca Şirket
tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
IX. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE
GETİRİLMESİ
9.1. Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan
kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim Hale
Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale
Getirilmesi gereken durumlar [Veri Sorumlusu Temsilcisi ve/veya Komite]
tarafından takip edilir.
9.2. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin
işletilmesinden [Veri Sorumlusu Temsilcisi ve/veya Komite] sorumludur. Bu
kapsamda gerekli prosedür [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından
oluşturulur.
9.3. Şirket, Kişisel Verileri gelecekte kullanma ihtimalini
göz önünde bulundurarak saklamaz.
9.4. Şirket’in Kişisel Veriler üzerinde uygulayacağı tüm
Silme, Yok Etme ve Anonim Hale Getirme faaliyetleri Kişisel Veri Saklama, İmha
ve Anonimleştirme Politikası’nda belirtilen esaslara uygun olarak
gerçekleştirilecektir.
X. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ
KİŞİLER TARAFINDAN İŞLENMESİ
Şirket, Kişisel Veri İşleme amaçları doğrultusunda gerekli
önlemleri alarak Kişisel Verileri yurtiçinde ve/veya yurtdışında bulunan üçüncü
bir gerçek ya da tüzel kişiye KVKK Düzenlemelerine uygun şekilde aktarabilir.
Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya
uymasını sağlar.
Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli
koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü
kişilerle akdedilen sözleşmelere eklenecek madde ise [Veri Sorumlusu Temsilcisi
ve/veya Komite’den] temin edilir.
Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda
işbu Politika’da yer alan süreci kat etmekle yükümlüdür. [Veri Sorumlusu
Temsilcisi ve/veya Komite] tarafından iletilen maddede Kişisel Verilerin
aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan
tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] bildirilir.
10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri
Aktarımı
10.1.1. Kişisel Veriler, KVKK Madde 5.2’de ve yeterli
önlemler alınmak kaydıyla Madde 6.3’de belirlenen istisnai hallerde Açık Rıza
olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile
(KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket
tarafından aktarılabilir.
10.1.2. Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere
aktarımının KVKK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları
ve [Veri Sorumlusu Temsilcisi veya Şirket] müteselsilen sorumludur.
10.2. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri
Aktarımı
10.2.1. Kişisel Veriler, KVKK Madde 5.2 ve Madde 6.3’de
belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri
Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt
dışında bulunan üçüncü kişilere, Şirket tarafından aktarılabilir.
10.2.2. Kişisel Verilerin KVKK Düzenlemelerine uygun olarak
Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke
bakımından aşağıdaki koşullardan birinin varlığı gerekir:
10.2.2.1. Kişisel Verilerin aktarıldığı yabancı ülkenin
Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste
için lütfen Kurul’un güncel listesini takip ediniz),
10.2.2.2. Aktarımın gerçekleşecek olduğu yabancı ülkenin
Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili
ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin Kurul’un
belirlediği esaslara uygun şekilde yazılı taahhütte bulunarak Kuruldan izin
alması.
10.2.3. Kişisel Verilerin yurt dışında üçüncü kişilere
aktarımının KVKK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları
ve [Veri Sorumlusu Temsilcisi veya Şirket] müteselsilen sorumludur.
XI. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel
Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır. Bu kapsamda Şirket,
Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine
getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan
bildirim sırasıyla şu unsurları içerir:
11.1.1. Veri Sorumlusunun ve varsa temsilcisinin kimliği,
11.1.2. Kişisel Verilerin hangi amaçla işleneceği,
11.1.3. İşlenen Kişisel Verilerin kimlere ve hangi amaçla
aktarılabileceği,
11.1.4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
11.1.5. Veri Öznelerinin KVKK Madde 11’de sayılan hakları.
11.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve
KVKK’nın 11. Maddesine uygun olarak Veri Öznesinin bilgi talep etmesi halinde
gerekli bilgilendirmeyi yapar.
11.3. Veri Özneleri tarafından KVKK Düzenlemelerine uygun
olarak talep edilmesi halinde Şirket, Veri Öznesinin işlediği Kişisel
Verilerini Veri Öznesine bildirir.
11.4. Kişisel Verilerin İşlenmesinden önce gerekli
Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip
eden çalışan ve [Veri Sorumlusu Temsilcisi veya Şirket] müteselsilen
sorumludur. Bu kapsamda her bir yeni veri işleme sürecinin [Veri Sorumlusu
Temsilcisi ve/veya Komite’ye] raporlanması amacı ile gerekli KVKK Prosedürü
[Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından oluşturulur.
11.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması
halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı
yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi
tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı
durumlarda sözleşmelere eklenecek madde [Veri Sorumlusu Temsilcisi ve/veya
Komite’den] temin edilir. Her bir çalışan, Şirkete üçüncü bir kişi tarafından
Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat
etmekle yükümlüdür. [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından
iletilen maddede Kişisel Verileri aktaran üçüncü kişinin değişiklik talep
etmesi halinde durum derhal çalışan tarafından [Veri Sorumlusu Temsilcisi
ve/veya Komite’ye] bildirir.
XII. VERİ ÖZNELERİNİN HAKLARI
12.1. Şirket Kişisel Verisini elinde bulundurduğu Veri
Öznelerinin aşağıda belirtilen kendileriyle ilgili taleplerine KVKK
Düzenlemelerine uygun şekilde cevap verir:
12.1.1. Şirket tarafından Kişisel Veri İşlenip İşlenmediği
öğrenme,
12.1.2. Kişisel Verilerinin işlenmesi halinde buna ilişkin
bilgi talep etme,
12.1.3. Kişisel Verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme,
12.1.4. Yurt içinde veya yurt dışında Kişisel Verilerin
aktarıldığı üçüncü kişileri bilme,
12.1.5. Kişisel Verilerin Şirket tarafından eksik veya
yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
12.1.6. Amaç, süre ve meşruiyet prensipleri dâhilinde
değerlendirilmek üzere Kişisel Verilerin İşlenmesini gerektiren sebeplerin
ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silmesini veya yok
edilmesini isteme,
12.1.7. Şirket tarafından Kişisel Verilerin düzeltilmesi,
Silinmesi ya da Yok Edilmesi halinde bu işlemlerin Kişisel Verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
12.1.8. İşlenen Kişisel Verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi durumunda Veri Öznesinin aleyhine bir
sonucun ortaya çıkması halinde bu sonuca itiraz etme,
12.1.9. Kişisel Verilerin kanuna aykırı olarak işlenmesi ve
bu sebeple Veri Öznesinin zarara uğraması hâlinde zararın giderilmesini talep
etme.
Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel
Verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini
düşündüğü durumlarda talep ve başvurularını Teknasyon Veri Öznesi Başvuru
Formu'nu doldurarak veya kendi taleplerini Kişisel Verileri Koruma Kurumu
tarafından belirlenen şartları taşıyacak şekilde oluşturarak aşağıdaki iletişim
adresleri üzerinden ıslak imzalı bir dilekçe ile elden, noter veya iadeli
taahhütlü mektup aracılığıyla veya kayıtlı elektronik posta (KEP) adresi, güvenli
elektronik imza, mobil imza ya da daha önce tarafımıza bildirilen ve
sistemimizde kayıtlı olan e-posta adresinizi kullanmak suretiyle şirketimize
iletebilirsiniz. Lütfen güncel başvuru yöntemlerini başvuru öncesinde
mevzuattan teyit ediniz.
Posta adresi:
E- posta adresi: [email protected]
12.2. Veri Öznelerinin yukarıda sıralanan haklarına ilişkin
taleplerini yazılı olarak Şirkete iletmeleri durumunda Şirket talebin
niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir
maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki
ücretler Veri Sorumlusu tarafından talep edilebilir.
XIII. VERİ YÖNETİMİ VE GÜVENLİĞİ
13.1. Şirket, KVKK Düzenlemeleri kapsamındaki
yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli
KVKK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların işleyişine
yönelik önerilerde bulunmak üzere [Veri Sorumlusu Temsilcisi atar ve/veya
Komite oluşturur].
13.2. Kişisel Verilerin işbu Politika ve KVKK Prosedürlerine
uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar
müteselsilen sorumludur.
13.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri
teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle
denetlenmektedir.
13.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik
konularda bilgili personel istihdam edilmektedir.
13.5. Şirket çalışanları, Kişisel Verilerin korunmasına ve
hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve
eğitilmektedir.
13.6. Şirkette Kişisel Verilere erişmesi gereken
çalışanların söz konusu Kişisel Verilere erişimini sağlamak adına gerekli KVKK
Prosedürü oluşturulur.
13.7. Şirket çalışanları, Kişisel Verilere üzerinde yalnızca
kendilerine tanımlanan yetki dâhilinde ve ilgili KVKK Prosedürüne uygun olarak
erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve
işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
13.8. Şirket çalışanın Kişisel Verilerin güvenliğinin
yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını
tespitte bulunması halinde derhal durumu [Veri Sorumlusu Temsilcisi ve/veya
Komite’ye] bildirir.
13.9. Kişisel Verilerin güvenliğine yönelik detaylı KVKK
Prosedürü [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından oluşturulur.
13.10. Kendisine Şirket cihazı tahsis edilen her kişi, kendi
kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
13.11. Her Şirket çalışanı veya Şirket bünyesinde çalışan
kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden
sorumludur.
13.12. KVKK Düzenlemeleri kapsamında Kişisel Verilerin
güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik
önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu
güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
13.13. Şirkette Kişisel Verilerin güvenli ortamlarda
saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve
güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
13.14. Şirkette Kişisel Verilerin kaybolmasını yahut zarar
görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli
düzeyde güvenlik önlemleri alınmaktadır.
13.15. Şirkette Kişisel Verilerin yer aldığı belgeler
kriptolu (şifreli) sistemlerle korunması için gerekli önlemler alınacaktır. Bu
kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmayacaktır.
Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya
ortak klasöre taşınmayacak, Şirket bilgisayarlarındaki bilgiler USB vb. başka
bir aygıta aktarılamayacak, Şirket dışına çıkartılamayacaktır.
13.16. [Veri Sorumlusu Temsilcisi ve/veya Komite], Şirket
içerisinde bulunan tüm Kişisel Verilerin korunmasına yönelik teknik ve idari
önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve
gerekli KVKK Prosedürlerini hazırlayarak Şirket içerisinde duyurmak ve bunlara
uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, [Komite ve/veya
Veri Sorumlusu Temsilcisi] çalışanların farkındalığını artırmak üzere gerekli
eğitimleri düzenler.
13.17. Şirket içerisindeki bir departman Özel Nitelikli
Kişisel Veri İşliyorsa, bu departman, [Komite ve/veya Veri Sorumlusu
Temsilcisi] tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve
gizliliği hakkında bilgilendirilecek ve ilgili departman [Komite ve/veya Veri
Sorumlusu Temsilcisi] talimatlarına uygun hareket edecektir. Özel Nitelikli
Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilecek ve
bunların listesi ve takibi [Komite ve/veya Veri Sorumlusu Temsilcisi]
tarafından yapılacaktır.
13.18. Şirket içerisinde işlenen Kişisel Verilerin tamamı
Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
13.19. Şirket çalışanları, Kişisel Verilerin güvenliğine ve
gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da
devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara
uymaları yönünde taahhüt alınmıştır.
XIV. EĞİTİM
14.1. Şirket, Kişisel Verilerin korunması konusunda
çalışanlarına Politika ve ekinde yer alan KVKK Prosedürleri ile KVKK
Düzenlemeleri kapsamında gerekli eğitimleri verir.
14.2. Eğitimlerde Özel Nitelikli Kişisel Verilerin
tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
14.3. Şirket çalışanı Kişisel Verilere fiziksel olarak veya
bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde
(örneğin erişilen bilgisayar programı) eğitim verir.
XV. DENETİM
Şirket, işbu Politika ve KVKK Düzenlemelerine Şirketin tüm
çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli
olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını
haizdir ve bu kapsamda gerekli rutin denetimleri yapar. [Komite ve/veya Veri
Sorumlusu Temsilcisi] bu denetimlere dair KVKK Prosedürü oluşturur, Yönetim
Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.
XVI. İHLALLER
16.1. Şirketin her bir çalışanı, KVKK Düzenlemelerinde ve
işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü
iş, işlem yahut eylemi [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] raporlar.
Bu kapsamda ilgili ihlale yönelik [Veri Sorumlusu Temsilcisi ve/veya Komite]
işbu Politika ve KVKK Prosedürlerine uygun şekilde eylem planı oluşturur.
16.2. Yapılan bilgilendirmeler sonucunda [Veri Sorumlusu
Temsilcisi ve/veya Komite] KVKK Düzenlemeleri başta olmak üzere konuya ilişkin
yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya
Kurum’a yapılacak bildirimi hazırlar. Bu durumda, Veri Sorumlusu İrtibat Kişisi
Kurum ile yapılan yazışma ve iletişimi yürütür.
XVII. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
17.1. Şirket tarafından işbu Politika zaman zaman Yönetim
Kurulu onayı ile değiştirilebilir.
17.2. Şirket, Politika üzerinde yaptığı değişiklikler
incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile
çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve
Veri Öznelerinin erişimine sunar.
XVIII. POLİTİKANIN YÜRÜRLÜK TARİHİ
Politika’nın işbu versiyonu 22.02.2020 tarihinde yürürlüğe
girmiştir.