Scroll Top
444 58 82

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış olan Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

KVKK, büyük ölçüde Avrupa Birliği’nin 95/46/EC sayılı direktifi ile aynı yönde düzenlemeler ihtiva etmekte  olup,  KVKK’nın yürürlüğe  girmesi  ile  birlikte  bireylerin  kişisel  verilerinin  bütüncül  bir düzenleme içerisinde korunması yasal düzenleme altına alınmıştır.

Tüzel kişilerin verileri yürürlükte olan ilgili kanunlar ile halihazırda korunmakta olduğundan, KVKK ile Avrupa Birliği düzenlemeleri ile aynı doğrultuda, kişisel veri kavramı yalnızca gerçek kişiler yönünden bir koruma sağlayacak biçimde düzenlenmiştir.

KVKK ile kişinin kişisel verilerinin korunması ve Kanun’un 11. maddesinde belirtilen haklarını da kullanması  ile  ilgili  düzenleme  yapılmış  olup  içerik  olarak  kişisel  verilerin  tanımlanması  ve sınıflandırılması, kişisel verilerin işlenmesi, aydınlatma yükümlülüğü, açık rıza ve istisnalar, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi, Kişisel Verileri Koruma Kurumu’nun kurulması, şikayet başvuru usulleri ve yaptırımlar gibi hususları düzenlemektedir.

PAKET  LOJİSTİK  VE  TEKNOLOJİ  ANONİM  ŞİRKETİ  (Bundan  sonra  “Şirket”  olarak anılacaktır) olarak benimsenen üstün hizmet kalitesi, bireylerin haklarına saygı, şeffaflık ve dürüstlük ilkeleri çerçevesinde, KVKK ile öngörülen yeni düzenlemeler doğrultusunda Şirketimiz iç işleyişinin KVKK,  ikincil  düzenlemeler,  Kişisel  Verileri  Koruma  Kurulu’nun  kararları  ve  düzenlemeleri, kesinleşmiş mahkeme kararları ve sair ilgili mevzuat kapsamında düzenlenmesi şirketimizin öncelikli konuları arasında yer almaktadır.

Bu nedenle KVKK’nın getirdiği haklardan ilgili kişileri faydalandırmak ve Kanun’a uyum sürecini sağlamak için işbu Politika düzenlenerek yürürlüğe sokulmuştur.

2. AMAÇ VE KAPSAM

2.1. Politika ile Şirket tarafından KVKK’ya uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin Şirket bünyesinde, Şirketimiz çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.

2.2. Politika ile öngörülen temel düzenlemeler doğrultusunda Şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından yürürlükteki mevzuat ile getirilmiş olan idari ve teknik tedbirler alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için KVKK kapsamında gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları ile teknolojik altyapı, idari ve hukuki sistem kurulacaktır.

2.3. Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için Şirketimizin yükümlü olduğu hususları düzenlenmektedir. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile Şirketimizin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. Şirketimizin tüm çalışanları görevlerini yerine  getirirken  işbu  Politika  ile  getirilen  düzenlemeler  ile  KVKK  ve  ilgili  tüm  diğer  mevzuat hükümlerine uygun hareket etmekle yükümlüdür.

2.4. Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, Şirket içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.

3. TANIMLAR

3.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İlgili kişinin bilgilendirildiğinin ve aydınlatıldığının ispat yükü veri sorumlusu üzerinde olacağından ilgili  kişinin  açık  rızasının  ve  bilgilendirme  kayıtlarının  saklanması  ve  korunması   şirket  iç prosedürlerine göre yapılacaktır.

3.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Kişisel verilerin, çeşitli; ancak KVKK ve ilgili kişi tarafından verilen Açık Rıza’nın kapsamını ihlal etmeyen amaçlar ve yöntemlerle anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için şirket içerisinde gerekli önlemler alınacaktır.

3.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Şirketimizin   gerçek   veya   tüzel   kişi   müşterilerinin,   tüzel   kişi   iş   ortaklarının   hissedarlarının, yöneticilerinin   veya   çalışanlarının,   şirket   danışmanlarının,   müşavirlerinin,   çözüm   ortaklarının, misafirlerinin ve şirketimiz çalışanlarının kişisel veri ve özel nitelikli kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında Şirketimizce ele alınacaktır.

3.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad- soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere  örnek  olarak  verilebilir.  Şirketimiz  içinde  bu  veriler  sınıflandırmaya  tabi  tutulmuş,  ayrı kategorilerde yer alan farklı kişisel verilerin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar Kişisel Veri İşleme Envanteri ile düzenlenmiştir.

3.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,  muhafaza  edilmesi,  değiştirilmesi,  yeniden  düzenlenmesi,  açıklanması,  aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

3.6. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

3.7. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında belirlenmiştir.

3.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

4. POLİTİKA’NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR

4.1. Şirket, Veri Sorumlusu sıfatı ile işbu Politika’nın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.

4.2.  İşbu  Politika  doğrultusunda  hazırlanacak  yönetmelik,  prosedür,  kılavuz,  standart  ve  eğitim faaliyetlerinin Şirket bünyesinde uygulanması için Şirket tarafından bir yönetişim modeli tesis edilerek hayata geçirilecektir.

4.3. Şirket genelinde tüm çalışanlar, iş ortakları, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya uyum ile  birlikte  ilgili  mevzuat  hükümleri  doğrultusunda  doğacak  hukuki  sorumlulukların,  risklerin  ve tehlikelerin önlenmesinde Şirket ile iş birliği yapmakla yükümlüdür.

4.4. Şirket’in tüm departmanları ve organları ile ilgili tüm personeli Politika’ya uygun hareket etmekle ve Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.

4.5. İşbu Politika, Şirket içinde duyurulacak ve ayrıca ortak bilgi işlem sistemlerine de yüklenerek her zaman  erişilebilir  olacaktır.  Ayrıca  işbu  Politika  Şirket  internet  sitesinde  yayınlanır.  Politika’da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede ilgili kişilerin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır.

4.6. Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde Şirket, Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını kabul etmektedir.

5. KİŞİSEL VERİ İŞLEME İLKELERİ

5.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirket, KVKK’nın 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

5.1.1. Hukuka ve dürüstlük kuralına uygunluk

Şirket, Veri Sorumlusu sıfatı ile Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Türk Medeni Kanunu’nun 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

5.1.2. Doğruluk ve güncellik

Şirket, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için KVKK kapsamında gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu  sıfatı  ile  Şirket’e  bildireceği  talepler  ve  Şirket’in  bizzat  gerekli  göreceği  durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirket tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

5.1.3. Belirli, açık ve meşru amaçlarla işleme

Şirket tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

Şirket  tarafından  kişisel  veriler  işlenme  amaçları  ile  bağlantılı  ve  sınırlı  olarak  ve  bu  amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

5.1.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK’nın 5. maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. Şirket tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

6.1. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesinde ana kural, diğer veri işleme şartlarının bulunmaması durumunda ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. Şirket, ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.

6.2. Kanuni Gereklilikler Nedeniyle Verilerin İşlenmesi

KVKK  gereği  ilgili  kişilerin  açık  rızası  olmasa  dahi  kişisel  verilerin  mevzuat  hükümleri  gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir.

6.3. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayan veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin veya Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması

KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. Şirket, anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.

6.4. Bir Sözleşmenin Kurulması ve İfası ile Doğrudan İlgili Olmak Kaydı ile Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler Şirket tarafından işlenecektir.

6.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

KVKK gereği Veri Sorumlusu sıfatına haiz Şirketin mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, Şirket tarafından kişisel veriler işlenecektir.

6.6. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, Şirket tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.

6.7.  Bir  Hakkın  Tesisi,  Kullanılması  veya  Korunması  İçin  Zorunlu  Olan  Verilerin İşlenmesi

Kişisel veriler,  bir hakkın tesisi,  kullanılması veya korunması için  zorunlu olduğu  ölçüde  Şirket tarafından işlenecektir.

6.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz Şirket’in  meşru  menfaatleri  doğrultusunda  kişisel  veriler  işlenebilecektir.  Ancak  Şirket’in  meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

KVKK’nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler, kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Şirket içindeki tüm iş süreçleri incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılarak kişisel veri envanterine aktarılmıştır. Şirket tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

7.1. İlgili Kişinin Açık Rızası ile Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirket tarafından özel  nitelikli  kişisel  verilerin işlenebilmesi için  ilgili  kişilerin  açık rızası  temin edilecektir.  Özel  nitelikli  kişisel  verilerin  işlenmesine  ilişkin  ilgili  kişinin  rızasının  kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir.

7.2. İlgili Kişinin Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri ile Öngörülmesi Sebebiyle İşlenmesi

Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin  sağlık  ve  cinsel  hayatı  dışındaki  özel  nitelikli  kişisel  verileri,  KVKK  madde  6/3  hükmü doğrultusunda işlenebilecektir. Bu durumda Şirket tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.

7.3. Sağlık ve Cinsel Hayat ile İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî  Teşhis,  Tedavi  ve  Bakım  Hizmetlerinin  Yürütülmesi,  Sağlık  Hizmetleri  ile Finansmanının Planlanması ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı ile İşlenmesi

KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi koruyucu  hekimlik,  tıbbî teşhis,  tedavi  ve  bakım  hizmetlerinin  yürütülmesi, sağlık  hizmetleri  ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz  konusu  kişisel  verilerin  işlenebileceği  düzenlenmiştir.  Şirket  tarafından,  mevzuat  hükümleri doğrultusunda  sır  saklama  yükümlülüğü  altında  bulunulan  kişiler  yukarıda  sayılmış  olan  ilgili durumlarda, bu mevzuat hükümlerinin gerektirdiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.

7.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler

Özel  nitelikli  kişisel  verilerin  işlenebilmesi  için  KVKK  gereği  Kişisel  Verileri  Koruma  Kurulu tarafından belirlenen önlemlerin alınması zorunludur. Şirket, Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir.

8. KİŞİSEL VERİLERİN AKTARILMASI

KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılmasını düzenlenmiştir. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte  olan  veya  yürürlüğe  girecek  olan  mevzuat  hükümlerine  göre  uyarlanması  Şirket’in sorumluluğundadır.

8.1. Kişisel Verilerin Yurt İçinde Aktarılması

8.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması

KVKK’nın 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. İlgili kişinin kişisel verileri Şirket tarafından ilgili kişinin hangi kişisel verilerinin yurt içindeki üçüncü şahıslara aktarılmasına rıza verdiği ve ilgili kişinin kişisel verilerinin aktarılacağı kişi grupları özenle tespit edilerek ve veri envanterine işlenerek aktarılacaktır.

8.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.

8.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması ilgili kişinin yapılacak olan işleme faaliyetine açık rızası bulunmadığı hallerde dahi, kişisel verilerin işlenmesinin

mevzuatta, mevzuat hükümlerinde belirtilen şekilde işlenebileceğinin öngörülmüş olması sebebiyle mümkündür. Bu durumda Şirket, işbu Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, Şirket tarafından bu önlemler alınacaktır.

8.2. Kişisel Verilerin Yurt Dışına Aktarılması

KVKK’nın   9.  maddesi  uyarınca  kişisel   verilerin  yurt  dışına  aktarımında  aşamalı   bir  rejim uygulanmaktadır.  Yurt  dışına  aktarım  ancak;  aktarım  yapılacak  ülkenin  Kurul  tarafından  yeterli korumanın  bulunduğu  ülke  olarak  ilan  edilmiş  olması  halinde,  yeterli  korumanın  bulunmaması durumunda  Kanunda  düzenlenmiş  uygun  güvencelerin  sağlanması   halinde,  yeterli  korumanın bulunmaması  ve  Kanunda  düzenlenecek  uygun  güvencelerin  sağlanmaması  durumunda  Kanuna eklenecek bir maddede sınırlı sayıda belirlenmiş istisnai hallerden birinin varlığı halinde yurt dışına aktarılabilir.

KVKK’nın 9. maddesinin 6. fıkrasına göre, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin de sağlanamaması durumunda düzenli olmayan, süreklilik göstermeyen ve nadiren gerçekleşen aktarım faaliyetleri bakımından arızi olmak kaydıyla yurt dışına kişisel veri aktarabilir. Bu haller sadece KVKK’nın 9. maddesinin 6. fıkrası sayılan hallerden birinin varlığı halinde mümkündür.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE

GETİRİLMESİ

Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika’ya uygun olarak işlenmiş olsa dahi, verilerin  işlenmesini  gerektiren  sebeplerin  ortadan  kalkması  ile  veya  bizzat  ilgili  kişinin  talebi doğrultusunda Şirket tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Şirket, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.

10. VERİ SORUMLUSU SIFATI İLE ŞİRKET’İN YÜKÜMLÜLÜKLERİ

10.1. Aydınlatma Yükümlülüğü

Şirket, kişisel verilerin elde edilmesi sırasında, ilgili kişiyi, KVKK’nın 10. maddesi doğrultusunda aşağıdaki hususlarda aydınlatmalıdır:

a. Veri sorumlusunun ve varsa temsilcisinin kimliği,

b. Kişisel verilerin hangi amaçla işleneceği,

c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

d. İlgili kişinin sahip olduğu haklar

Şirket’in söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri ve veri toplama kanalları gözden geçirilmiş, tespit edilen hususlar bir sınıflandırmaya tabi tutulup envantere aktarılmış, ilgili kişilerin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de gerekli düzenlemeler yapılmış, iletişim kanalları oluşturulmuştur.

10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü

Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında Şirket, kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere mevzuat ile getirilen teknik ve idari tedbirleri almakla da yükümlüdür.

Bu bağlamda Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş,  bu  sistemlerin  gözetimini  ve  denetimini  yapmak  üzere  ilgili  personeli  belirlemiş  ve prosedürlerini  oluşturmuştur.  Şirket,  gerek  teknik  sebeplerle  gerekse  hukuki  sebeplerle  meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.

10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler

Şirket departmanları tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri İşleme Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmaktadır.

10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler

a.  Şirket,  tüm  personelinin,  kişisel  verilerin  hukuka  ve  KVKK’ya  uygun  işlenmesi  konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracak ve gerekli eğitim faaliyetlerini düzenleyip eğitime katılım belgelerini özlük dosyalarında saklayacaktır.

b. Şirket, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.

c. Şirket, oluşturulacak kişisel veri envanteri ve oluşturulan yetki matrisleri kapsamında kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. Şirket personelinin tümünün Şirket’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, departmanlara göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.

ç.  Şirket’in  tüm  faaliyetleri  analiz  edilerek  departman  özelinde  kişisel  veri  işleme  faaliyetleri belirlenmiştir. Şirket, departmanların işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları  kullanılarak  personele  tebliğ  edilecektir.  Güncellemenin  yayınlanması  ile  birlikte  yeni prosedür ve politikalar yürürlüğe girer; güncellemelerin bağlayıcı olması için, personele tebliğ edilmiş olması şartı aranmaz.

10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü

10.2.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve kişisel verilerin muhafazasını sağlamak için alınacak teknik tedbirler

a. Şirket, teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek ve sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir. Şirket, Kişisel Verileri Koruma Kurulunun bu tür sızma testleri ve sair güvenlik önlemleri ile ilgili düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.

b. Şirket tarafından, departman bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınacak olup bu konuda Kişisel Verileri Koruma Kurulunun yayınladığı  idari  ve  teknik  tedbirler  tablosunda  belirtilen  tedbirlerin  gereklerini  yerine  getirmeyi sağlayacak yazılım ve donanım çözümleri uygulamaya alınacaktır.

c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.

ç. Şirket, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kuracaktır.

d. Veri güvenliği açısından teknik konularda bilgili personel istihdam edilecektir.

e.  Kişisel  verilere  hukuka  uygun  olarak  erişilmesi  için  departman  bazında  çıkarılacak  kriterler doğrultusunda  erişim  yetkileri  tanımlanmalı,  kişisel  verilere  erişilecek  sistemlere  ilişkin  kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır.

f. Şirket, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin  izlenmesi  için  gerekli  yazılım  ve  donanımların  kurulmasını  sağlayacak,  sızma  testlerini yaptıracak,  veri  kaybının  önlenmesi  adına  yapılacak  yedeklemeler  yönünden  de  aynı  güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu Politika ile getirilen güvenlik önlemlerini almak ve verilerin KVKK’ya uyumlu bir şekilde saklanması için gerekli sözleşmeleri yapacaktır.

10.2.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve kişisel verilerin muhafazası için alınacak idari tedbirler

a. Tüm Şirket personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanacaktır.

b. Şirket, oluşturulacak kişisel veri işleme envanteri doğrultusunda kişisel verilere erişimi, işlenme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır. Şirket personelinin tümünün Şirket’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenmelidir.

c. Şirket, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklenmiştir.

d. Şirket, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.

10.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi

Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında  konu  ile  ilgili  bölüme  raporlanmalı  ve  alınan  tedbirlerin  iyileştirilmesi  için  gerekli faaliyetler yürütülmelidir.

Şirket tarafından; departmanların, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmalı, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların takibi, doğrulama testleri ve denetimleri yapılmalıdır.

Şirket, kişisel verileri aktardığı üçüncü şahısların da işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden  KVKK’nın  12.  maddesi uyarınca sorumludur. Bu  nedenle Şirket,  üçüncü  kişilere  kişisel  veri  aktarılırken  yapılacak  sözleşmeler  ve  kişisel  veri  aktarımı  ile bağlantılı her türlü düzenlemede bu şartları sağlayacak taahhütler almalıdır. Yine Şirket tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.

11. İLGİLİ KİŞİNİN HAKLARI

KVKK’nın 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu sıfatı ile Şirket’e karşı aşağıdaki haklara sahiptir:

a. Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,

b.  İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,

c. Kişisel verilerin aktarıldığı kişileri bilmek,

ç. Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,

d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

e. Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.

İlgili  kişilerin  yukarıda  sıralanan  haklarına  ilişkin  taleplerini  yazılı  olarak  veya  Kurul  tarafından belirlenecek diğer yöntemlerle Şirket’e iletmesi durumunda, KVKK’nın 13. maddesi uyarınca Şirket talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. Talebin ayrıca  bir  maliyeti  gerektirmesi  halinde,  Kurulca  belirlenecek  tarifedeki  ücret  alınabilecektir. Başvurunun Şirket’in hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilir.

Şirket tarafından ilgili başvuru sonuçlandırılırken, ilgili kişinin anlayabileceği bir dil ve formatta bilgi verilmeli ve ilgili kişiye bu bilginin kişinin talebi doğrultusunda veya kişinin bir talebi bulunmuyorsa Şirket’in  seçeceği  yöntem  doğrultusunda  yazılı  olarak  veya  elektronik  ortamda  gönderilmesi sağlanmalıdır.

Şirket, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği Şirket tarafından gecikmeksizin yerine getirilir.

İlgili kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda Şirket içinde tüm personele gerekli uyarılar yapılmalı ve farkındalık sağlanmalıdır.

12. YÜRÜRLÜK VE GÜNCELLEMELER

İşbu Politika, Şirket Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak  değişiklikler  ve  bu  değişikliklerin  yürürlüğe  konması  hususunda  gerekli  çalışmalar oluşturulacak bir yönetişim modeli tarafından yapılacak ve değişiklikler Şirket Genel Müdürü’nün onayı ile yürürlüğe girecektir.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulunun işlemleri ve/veya vereceği kararlar  ile  mahkeme  kararları  doğrultusunda  Şirket  bu  Politika’yı  gözden  geçirme  ve  gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar.

Politika’nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na aittir.