KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

Bahadır Aynur > Sözleşmeler > Kişisel Verilerin İşlenmesi ve Korunması Politikası > KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

A- Amaç ve Kavram

İş bu verilerin işlenmesi ve korunması politikası acentelik ve alanında faaliyet gösteren şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması  ve saklanması  ya da  imhasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.

B- Tanımlar

İş bu Politika’da kullanılan büyük harfle başlayan ve Politika içerisinde tanımlanmış olmayan terimler kendilerine aşağıda atfedilen anlamları haiz olacaklardır.

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza demektir.
Anonim hale getirme Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İkincil Mevzuat Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.
İlgili Kullanıcılar Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
Kanun 6698 Sayılı Kişisel Verilen Korunması Kanun.
Kişisel Veriler Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin işlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri  Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri Sorumluları Sicil Bilgi Sistemi Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.
Silme Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde ulaşılamaz  ve tekrar kullanılamaz hale getirilmesini ifade eder.
Silme ve İmha Politikası Şirket’in, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, silme ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.
Şirket                                                                   Taft Bireysel Emeklilik Aracılığı Bahadır Aynur’u ifade eder.
Veri İşleyen Veri Sorumlusu’nun verdiği yetkiye dayanarak veri sorumlusu  adına Kişisel Veriler’i işleyen gerçek veya tüzel kişi.
Veri Koruma Komisyonu Şirket’in Kişisel Verilerin Korunması Komisyonu
Veri Sahibi Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen kişi. Veri Sahipleri, müşterileri, internet kullanıcılarını, posta ve pazarlama ,iletişim, elektronik veri tabanı listelerindeki kişileri , çalışanları, sözleşmenin taraflarını  ve tedarikçileri de kapsar.
Veri Sorumlusu Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumluları Sicili Hakkında Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliktir
İhma  Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

 

C- Kapsam

Şirket, Kanun kapsamında mevcut Kişisel Veriler’in gizliliği ve güvenliği gereklerine uymayı taahhüt eder, bu nedenle Şirket Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.

Bu Politika, Şirket’in, Şirket’in topladığı ve işlediği Kişisel Veriler’e erişimi olan, Şirket’e bilgi sağlayan veya Şirket’ten Kişisel Veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, Şirket’in Bağlı Şirket’lerinin çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara uygulanır. Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Kanun’a ve İkincil Mevzuat’a tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır.

 

D- Esaslar

 

D.1 Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler 

 

D.1.1 Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmektedir.

Şirket, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket edilmelidir. Bu kapsamda, Şirket, Kanun ile getirilen hükümlere  uygun olarak Kişisel Veriler’i işlemektedir. Ayrıca Şirket Kurul tarafından yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri de takip etmekte ve uygulamalarında bu hukuki düzenlemeler çerçevesinde gerekli olması halinde yeniden düzeltme  ve iyileştirmeler yapmaktadır.

 

D.1.2 Kişisel Veriler, Doğru Ve Güncel Olmalıdır.

Şirket; işlediği Kişisel Veriler’in doğru ve güncel olmasını sağlamak için gerekli ilgileri  almaktadır.

 

D.1.3 Kişisel Veriler Belirli Amaçlar İçin İşlenmelidir.

 

Şirket veri işleme amacını açık ve net olarak belirlemekte Kişisel Veri işlemektedir. Bundan mütevellit, Şirket’in işlediği verilerin, yapmış olduğu iş ya da  sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olmasıdır.

Şirket , Verileri kullanılan kişilerin  Kişisel Verilerinin elde edilmesinden önce kendilerine bu amaçları açıkça bildirilmektedir.

Şirket Kişisel Veri işleme nedenlerinin  değişmesi halinde, gerekli olduğu ölçüde, iş bu Politika güncellenecektir. Ayrıca veri işleme amaçlarındaki değişikliklerin değişik  kanallardan Veri Sahipleri’ne duyurulması için çaba gösterilecektir.

 

D.1.4 Kişisel Veriler, İlgili Mevzuatta Öngörülen ya da  İşlendikleri Amaç İçin Gerekli Görülen Süre Kadar Muhafaza Edilmelidir.

Şirket, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği ya da  işlendikleri amaç için gerekli olan süre kadar muhafaza ederler. Bu bağlamda , Şirket öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre belirtmişse , bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.

Ancak Şirketler zaman zaman   farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması  gerekebileceği özellikle dava zaman aşımı süreleri de dikkate alınarak, Şirket, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin saklanması  için belirlediği azami saklama  süreleri esas alır . Mevzuatta bir süre yoksa  ya da  verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep yoksa , Şirket Kişisel Verileri kendi tespit ettiği üzere işlendikleri amaç için gerekli olan azami süre kadar muhafaza etmektedir.

Bunlara ek olarak, Firma  Şirket İmha Politikası’nda verilerin saklamasına  dair öngörülen kural ve prosedürlere de uymaktadır.

D.2 İşleme Şartları

 

D.2.1 Kişisel Veriler’in İşlenmesi

Şirket tarafından Kişisel Veriler, Kanun’da bildirilen  Kişisel Veriler’in hukuka uygun işleme şartlarından bir ya da  birkaçına dayalı olarak işlenmektedir. Şirketimiz Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak yapılmaktadır..

Bu bağlamda :

D 2.2.    Kişisel Veriler, Veri Sahibi’nin Açık Rıza’sı ile işlenebilir.

D.2.3.    Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Açık Rıza’sı olmadan da  Kişisel Verileri’nin işlenmesi doğaldır.

* Kanunlarda açıkça belirtilmesi;                     

*  Fiilin açıklanamacağı durumlarda  veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için                                                                                   zorunlu olması;

    Bir sözleşmenin hazırlanması  veya ifasıyla doğrudan doğruya ilgili olması şartı ile , sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;

*       Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesinin zorunlu olması ;

*       Veri Sahibi’nin alenileştirilmiş olması;

*       Bir hakkın tesisi, kullanılması veya korunması için veri  girişinin  zorunlu olması;

*       Veri Sahibi’nin temel hak ve özgürlüklerine zarar gelmemesi şartıyla , Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    D.3.1. Veri Koruma Komisyonu

 

  • Şirket’ten Kişisel Veri transfer edilen üçüncü tarafların, Şirket’in elde ettiği ve işlediği Kişisel Veriler’e erişimi olanların ve Şirket’e veri sağlayanların bu Politika’ya uyum sağlaması için gerekli prosedürleri ve standart sözleşme  hükümlerini  belirlemek,
  • Bu Politika’ya uyum sağlamak için düzenli denetim mekanizmalarını, uygulanan prosedürleri ve geçerli kuralları belirlemek,
  • Veri Sahibi’nin Kanun’dan doğan haklarını kullanırken Şirket’e yönelteceği taleplerine çabuk ve doğru cevap verilmesini sağlayacak altyapıyı  belirlemek, sürdürmek ve yürütmek,
  • Şirket’in uyum programının güncel ve güvenilir olmasını sağlamak,
  • Şirket’e ya da çalışanlarına karşı yürürlükteki mevzuatın ihlal edilmesi, potansiyel kurumsal ve bireysel, idari veya cezai yükümlülükler hakkında Şirket’in idarecilerini üst düzey yöneticilerini, ve müdürlerini bilgilendirmek ve gerekli işlemleri yapmak,
  • Şirket’in Kurum, Kurul ve Sicil ile olan ilişkilerini yürütmek
  • Sicil’e ilgili mevzuat ve Kurul kararları uyarınca tüm gerekli kayıtların yapılmasını denetlemek ,sağlamak ve sicil kayıt işlemlerini denetlemek, sağlamak ,
  • Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,

  D.4 . Özel Nitelikli Kişisel Veriler’in İşlenmesi 

Şirket tarafından Kişisel Veriler, Kanun’da bildirilen şartlara uygun olarak yapılmaktadır. Ayrıca  Özel Nitelikli Kişisel Verilerin işlenmesi için Kurul tarafından özel önlemler getirilebilir. İş bu Politika’nın yayınlandığı tarihinden sonra herhangi bir zamanda Kurul tarafından önlemler  ve düzeltmeler getirilmesi halinde, Şirket bu önlemlere uymak için gerekli düzenlemeleri yapacaktır.

Bu bağlamda

D.4.1.Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile alınır.

D.4.2. Veri Sahibi’nin cinsel hayatı  ve sağlığı dışındaki Özel Nitelikli Kişisel Verileri (siyasi düşünce, felsefi inanç, etnik, Irk, köken din, mezhep veya diğer inançlar, kılık ve kıyafet, sendika üyeliği  ,dernek, vakıf , ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile genetik  ve biyometrik ve verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı olmadan  alınabilir.

D.4.3.. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak koruyucu hekimlik , tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, kamu sağlığının korunması, , tıbbî teşhis, sağlık hizmetleri ile finansmanının planlanması, tedavi ve bakım hizmetlerinin yürütülmesi, ve yönetimi amacıyla, sır saklamak zorunda kalan  kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın alınabilir.

D.4.4. Özel nitelikli kişisel verilerin alınmasının  gerekli olmadığı; fakat işlenmesi gereken bir kişisel veriye bağlı olduğu durumlarda (T.C. üzerinde yer alan özel nitelikli kişisel veriler vs.), özel nitelikli kişisel veriler maskeleme gibi  işlenmesi gereken kişisel veriden çıkartılabilir.

D.4.5. Şirket’in kayıtladığı  telefon görüşmeleri esnasında görüşmenin sağlandığı diğer tarafın bir özel nitelikli kişisel veri paylaştığının anlaşıldığı anda o kişiye derhal paylaştığı kişisel verinin özel nitelikli bir kişisel veri olduğu ve paylaştığı verinin kaydedilmesine rızasının olup olmadığı  sorulur. Kişinin rızası olmaz iste kaydedilmez, kaydedildiyse silinir veya arşivlenmez.

D.5. Rıza

 

D.5.1.  Rızanın geçerli olması için bilgilendirilmeye dayanması, açıklanması  ve özgür iradeyle açıklanmış olması gerekmektedir.

D.5.2. Veri Sahibi’nin, işlemeyle alakalı bütün konularda açıklayıcı şekilde bilgilendirilmesi gerekir. Verilen bilgiler herkesin  anlayabileceği bir dilde anlatılmalı ve kolayca erişibilmelidir.

D.5.3. Açık Rıza, kuşkuya yer bırakmayacak açıklıkta ve sadece yapılan işlemle sınırlı olarak verilen onay beyanı şeklinde anlatılmalıdır. Açık uçlu bir rıza, Rıza olarak kabul edilemez. Veri Sorumlusu’nun, yapacağı  farklı işlemler için kural olarak Veri Sahibi’nin Açık Rıza’sının bir defa alınması yeterlidir.

D.5.4.Açık Rıza,  baskı altında kalmadan verilmelidir , ancak Veri Sahibi’nin gerçek bir tercih ortaya koyabildiğinde geçerlidir.

D.5.5. Bu koşullar sağlandığı sürece rızanın alınma şekli belirlenebilir. Bunlar, iş sözleşmelerine konulan hükümler, başvuru ve ya   satın alma formlarında yer alan onaylama ve Kişisel Veriler’in girildiği çevrimiçi formlarda yer alan kutuları onaylama  şeklinde olabilir.

D.5.6.Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin ve anlaşılacak  şekilde yapılması gerekir.

D.5.7. Rıza, Veri Sahibi tarafından dilediği  zaman geri alınabilir.

D.5.8. Veri Koruma Komisyonu, konu ile ilgili departmanlar ile birlikte, Veri Sahibi’nin Kişisel Veri işleme ve  Açık Rızasının alınması ve belgelenmesi için sistemler kuracaktır.

D.6. Kişisel Veriler’in Aktarılması

D.6.1. Kişisel Veriler’in Üçüncü Kişilere Aktarılması

D.6.2.  Kişisel Veriler, gerekli olan veri koruma seviyesi için  uygun önlemler alınmadan başka bir  kişiye ,kuruma, ülkeye veya bölgeye aktarılmamalıdır.

D.6.3.  Kişisel Veriler, üçüncü kişilere yanlızca  elde edilme amaçlarıyla tutarlı nedenlerle ya da  Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.

D.6.4  Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemleri alınmak zorundadır veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişim sağlanmamalıdır.

D.6.5. Kişisel Veriler’in üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Şirket, Veri Koruma Komisyonu ile birlikte bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.

D.6.6. Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

  1. a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,
  2. b) Aktarımın kanunlarda açıkça ön görülmesi,
  3. c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  4. d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin zorunlu olması ,
  5. e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için şart olması ,
  6. f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
  7. g) Aktarımın bir hakkın tesisi, kullanılması veya korunması ve saklanması için zorunlu olması,
  8. h) Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermeyecek şekilde , Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.
  9. i) Yeterli önlemler alınmak şartıyla , sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı alınmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın işlenebilir.

D.7. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

D.7.1.  Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin uygun şekilde aydınlatılması zorunludur. Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,

  • Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
  • Veri işlemenin amacı(amaçları)
  • Veri aktarımının amacı ve kimlere veri aktarılacağı,
  • Veri toplama yöntemi ve hukuki sebebi,
  • Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
  • İşlenen verinin türü veri Sahibi’ne açıklanacaktır.

D.7.2.  Yukarıdaki aydınlatma yükümlülükleri, yürürlükteki yasaların aydınlatma için öngördüğü yükümlülüklere istisna getirdiği hallerde uygulanmayacaktır.

  1. a) Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için zorunlu olması.
  2. b) Veri Sahibi’nin kendisi tarafından alenileştirilmiş Kişisel Veriler’in işlenmesi.
  3. c) Kişisel Veri işlemenin Kanun’un verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. d) Kişisel Veri işlemenin vergi , bütçe, ve mali konulara ilişkin olarak devletin mali ve ekonomik çıkarlarının korunması için gerekli olması.

D.7.3.  Aydınlatma mümkünse en kısa sürede  Veri Sahibi’yle ilk temas anında gerçekleştirilmelidir. Personeller söz konusu olduğunda, aydınlatma ayrıca yapılmalıdır.İş başvuru formlarında ya da  çalışan el kitapçıkları ile işyeri yönetmeliklerinde de gerekli  açıklamalar yapılmalıdır. Açıklamalar, ilgililerin dikkatini çekecek şekilde yapılmalıdır.

D.7.4. Aydınlatma sözlü, elektronik olarak,  yazılı  ya da sözlü  olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan personelin  Şirket ya da  Veri Koruma Komisyonu tarafından önceden hazırlanmış onaylı  uygun bir yazılı metin veya form kullanması gerekmektedir. Onay belgesi veya form açıklamanın metodunu, içeriğini, tarihini ve olayı anlatan  eşzamanlı bir kayıt ile birlikte saklanmalıdır.

D.7.5.  Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir .Kayıt altına alınır.

D.8. Kanuna Uyumlu Olmayan  Faaliyetlerden Kaçınma

Kural olarak, Şirket tarafından Veri Koruma Komisyonu’nun onayı alınmadan yeni ya da  genişletilmiş Kişisel ve ya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir. İlgili departman ve yöneticileri ile, Veri Koruma Komisyonu ve diğer departmanlarla uyum içinde çalışmaya gayret edecekler, Kanun’a uyumlu olmayan yeni faaliyetlerden kaçınacaklardır.

D.9. Veri Sahibi’nin Hakları

D.9.1 Şirket, Veri Koruma Komisyonu aracılığıyla Veri Sahibi’nin Kanun’un 11. maddesinde sayılan haklarını kullanmasını sağlamak, bunu kolaylaştırmak ve Kişisel Veriler’in uygunsuz ifşası halinde buna dair ilgililere bilgi vermek adına, kendi politika ve uygulamalarıyla uyumlu bir sistem kuracaktır.

D.9.2 Veri Sahibi, Şirket ve Veri Koruma Komisyonu tarafından belirlenen politika ve prosedürlere uygun olarak yapılmış bir talep ile kendi Kişisel Verileri hakkında:

D.9.2.1 Şirket’in Veri Sahibi hakkında Kişisel Veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,

D.9.2.2 Kişisel Veriler’in işlenme amacını ve amacına uygun kullanılıp kullanılmadığı bilme hakkına sahiptir,

D.9.2.3 Kişisel Veriler’in  yurt dışına  ya da yurt içi  aktarılıp aktarılmadığı ve kimlere aktarıldığını bilme  hakkına sahiptir.

D.9.3 Veri Sahibi’nin, ayrıca Şirket’ten yanlış ve eksik Kişisel Veriler’ini düzeltmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.

D.9.4 Veri Sahibi, Kanun’un 7. maddesi uyarınca, Kişisel Veriler’inin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini ve yok edilmesini Şirket’ten talep edebilir.

D.9.5 Veri Sahibi, özellikle  bir otomatik sistem kullanılarak oluşturulmuş Kişisel Veri analizlerinin sonuçlarına bu sonuçlar çıkarlarına aykırıysa itiraz etme hakkına sahiptir.

D.9.6 Veri Sahibi tarafından yukarıdaki hakların kullanılması için Şirket’e yapılacak olan tüm talepler yazılı olarak info@bahadiraynur.com  adresinde sunulan talep formu doldurularak yapılmalıdır. Başvurular şahsen veya noter vasıtasıyla veya güvenli elektronik imza ile e-posta yoluyla iletilebilir.

Veri Sahibi’ni temsilen hareket edenlerin taleplerinin işleme alınabilmesi için, Kişisel Veriler’i ile ilgili talepler veya eylemlere dair özel hüküm içeren ve Veri Sahibi tarafından çıkarılmış bir vekaletnameyi (noter tasdikli) talepleriyle birlikte Şirket’e sunmaları gerekir. Çocukları veya vasisi oldukları kişiler adına başvuru yapanlardan nüfus cüzdanı ve vesayet kararı istenir.

D.9.7. Kişisel Veriler’e erişim için Veri Sahibi’nden bir talep alan tüm iş birimleri bu talepleri Veri Koruma Komisyonu’na bildirecektir.

D.9.8 Şirket burada söz edilen talepleri alındığı zaman kaydetmek ve cevap veriliş tarihlerini tespit etmek adına bir sistem kuracaktır.

Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Şirket, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Şirket tarafından dikkate alınmayacaktır. Böyle bir durumda Şirket başvuru sahibine, başvurunun işleme konulmamasına ilişkin 30 gün içerisinde bilgi verecektir.

D.9.9 Şirket belirtilen sürede talebe tam olarak cevap veremezse dahi, Veri Koruma Departmanı her halükarda söz konusu 30 günlük süre içinde aşağıdaki bilgileri Veri Sahibi’ne sağlamalıdır:

  • Veri sahibi’nin talebinin alındığına dair bir teyit bilgi ya da belge
  • O zamana kadar, gönderilen talebe dair cevap niteliğinde toplanmış bulunan tüm bilgilere dair açıklama,
  • Veri Sahibi’nin talep ettiği bilgi veya değişikliğe dair Şirket tarafından verilemeyen ya da gerçekleştirilemeyenlere  dair açıklama, Veri Sahibi’nin talebinin red sebebi (sebepleri), ve varsa Şirket içinde karar itiraz prosedürlerine dair açıklama ya da belge
  • Yürürlükteki kanun ve yönetmeliklerin Veri Sahibi’ninin bu konudaki yükümlülüğünü engellemediği sürece Veri Sahibi tarafından, varsa, ödenecek bedelin tebliği veya bedelin ortalama rakamı.

D.9.10 Talepte bulunan ilgili Veri Sahibi’ne bilgi sağlanması başka bir kişinin Kişisel Veriler’ini ifşaya sebebiyet verecekse veya temel hak ve özgürlüklerini ihlal etme riski oluşturuyorsa, talebi yürüten iş birimi veriyi gözden geçirmeli ve bu kişinin haklarını korumak adına gerekli veya uygun olabilecek şekilde veride düzeltmeler yapmalı veya veriyi ifşa etmemelidir.

D.9.11 Şirket, yukarıda belirtilen bilgileri sağlamak için çalışanlardan herhangi bir ücret talep etmeyecektir. Bilgi talebinin Şirket’e ek maliyet dayattığı durumlarda, Şirket, çalışanı olmayan Veri Sahipleri’nden gelen taleplere cevap verebilmek için Kurulca belirlenecek tarifede yer alan ücret talep edebilir. Böyle bir durumda, belirlenecek ücretler Kurul tarafından zaman zaman duyurulacak ücretlerden daha yüksek olamaz.

D.9.12 Şirket ve Veri Koruma Komisyonu, Veri Sahibi tarafından veya onun adına gelen tekrarlayan veya rahatsız edici derecede külfetli talepleri izlemek ve reddetmek için prosedürler oluşturabilir.

D.9.13 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi (Kişisel Veriler’in Saklanması ve İmhası)

Kişisel Veriler’in saklanmasına ve imhasına ilişkin usul ve esaslar, kişisel verilerin saklama süreleri ile birlikte Şirket’in Saklama ve İmha Politikası’nda yer almaktadır.

Şirket, Kanun’da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Veriler’i mevzuatlarda öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir.

Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmediği durumda, her veri işleme amacına özgü olarak saklama süreleri belirlenmektedir. Bu kapsamda saklama süreleri, Şirket’in uygulamaları ve ticari yaşamının teamülleri dikkate alınarak belirlenmektedir.

Kişisel Veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, Kişisel Veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile Şirket’in faaliyetlerine uygulanan mevzuattan kaynaklanan saklama yükümlülükleri, taraf olduğu sözleşmeler ve tabi olduğu uluslararası düzenlemeler, dikkate alınmaktadır.

Şirket, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Şirket resen veya duruma göre, Veri Sahibi’nin talebi üzerine, Kişisel Veriler’i silebilir, yok edebilir veya anonim Hale Getirebilir. Şirket, Veri Koruma Komisyonu aracılığıyla, bu yöntemlerden hangisinin makul olduğuna karar vererek o yöntemi uygular. Veri Sahibi, Şirket’in neden bu yöntemi seçtiği konusunda madde 4.9’de açıklanan haklarını kullanmak suretiyle bilgi talep edebilir.

Kanun’un 28. maddesine uygun olarak; Anonim Hale Getirilmiş olan Kişisel Veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.

D.10 Orantılılık 

İşbu Politika’nın uygulaması açısından Şirket, orantılılık ilkesine dikkat edecektir. Şirket’in veri işleme faaliyetleri ve ilgili Kişisel Veri’nin korunması açısından harcanan masraf ve emeğin verinin korunması amacıyla orantılı olmasına dikkat edilecektir.

  1. Şirket’in İşleme Faaliyetleri İçin Sicil’e Kaydolunması

Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.

  1. Üçüncü Taraf Veri İşleyen Kullanılması

F.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçilecektir.

F.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler

Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapacaktır.

F.3 Üçüncü Taraf Veri İşleyen’in Denetimi

Şirket’in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve, özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirecektir ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapıyı kuracaktır.

G- Veri Güvenliği

G.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri

G.1.1Şirket, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik,  hasar, yetkisiz işlem kayıp veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya doğal çevre  veya fiziki  etkileri tarafından maruz kaldıkları riski de göz önüne  alarak, fiziksel, teknik veya organizasyonel önlemler alınmalıdır.

G.1.2 Alınması gereken güvenlik önlemleri şirketin bilgi güvenliği politikalarina uygun olarak belirlenecek ve yerine getirilecektir.

G.2 Çalışan Gizlilik Sözleşmeleri

Kişisel Veriler’in işlenmesi sürecinin herhangi bir aşamasına dahil olan tüm çalışanlar , açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahüdünde bulunmak ve gizlilik sözleşmesi imzalamak zorundadır ve uyulmayan kurallara karşı yaptırımı kabul eder.

H- İhtilafların Çözümü

H.1 Çalışanlar

H.1.1 Kendi Kişisel Verilerinin işlenmesiyle ilgili şikâyetleri ve soruları olan çalışanlar, bu konuyu öncelikle Veri Koruma Komisyonu ile görüşmelidirler. Veri Sahibi’nin Veri Koruma Komisyonu’na bir soru veya şikâyet iletmek istemediği durumlarda veya Veri Koruma Komisyonu’nun, Veri Sahibi’nin soru veya taleplerine talep tarihinden itibaren 30 gün içerisinde tatminkâr bir yanıt  bulamadığı durumlarda, çalışan bu durumu süre sonunda yazılı olarak Veri Koruma Departmanı’na bildirmelidir.

H.1.2 Sorunun Veri Koruma Komisyonu aracılığıyla çözümlenemediği  hallerde, şirket iç yönetmelik ve düzenlemeleri ile iş sözleşmesi hükümlerine göre ihtilafların çözümlemelidir.

  1. Uyumluluk Denetimi

I.1 Mevcut Uyum Değerlendirmesi

Şirket, Veri Koruma Komisyonu vasıtasıyla  bir program belirlemeli ve tüm iş birimleri için veri koruma uyum denetimi yapmak zorundadır. Şirket, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri  güncelleyerek belirli makul bir zaman  içinde plan ve program üretmelidir.

I.2 Yıllık Veri Koruma Denetimi

Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme aşağıda sayılan hususları kapsamalıdır:

I.2.1 Departmanlar, hangi Kişisel Verilerin  hangi departman tarafından toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin kullanılacağı konu , müşterinin  bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesineve saklanmasına  ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.

I.2.2 İlgili departmanlar, bir veri kayıt sisteminin parçası olmak şartı ile  otomatik olmayan yollarla işlenen Kişisel Verilerin bulunup bulunmadığını tespit edecektir.

I.2.3 İlgili departmanlar kendi hâkimiyeti veya kontrolü altındaki Kişisel Verinin aktarıldığı kişilerin kimliklerini tespit etmelidir.

I.2.4 Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması ve prosedürlerinde güncelleme yapılması , şirket politika  süreçlerin temini için Veri Koruma Komisyonu’na bildirilmelidir.

  1. Uygulama programları

J.1. Yayımlama

Bu politika çalışanlara İnsan Kaynakları Bölümü  tarafından sunulacaktır.

J.2. Yürürlük Tarihi

Bu Politika yayınlandığı anda yürürlüğe girer. Bu uygulama süreci, Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü getirecektir.

J.3. Değişiklikler

Bu Politika’da her zaman  ya da zaman zaman değişiklikler yapılabilir. Önemli değişikliklerin bildirimi çalışanlara, Şirket’nin İnsan Kaynakları Departmanı tarafından ve müşterilere  Veri Koruma Komisyonu tarafından seçilen uygun bir aracı iletilecektir.

K- Koruyucu

Veri Koruma Komisyonu, bu Politika’yı korumakla yükümlüdür. Her departman yöneticisi bu Politika’nın uygulanmasından sorumludur. Bu Politika’nın uygulanmasıyla ilgili olan sorular Veri Koruma Komisyonu’na yönlendirilmelidir.

  1. Bölünebilirlik

Bu politikanın her bir bölümü uygulanacak hukuk çerçevesinde  söz konusu bölümü devam ettirmeye  yönelik olarak algılacaktır , fakat bir hükmün yasaklanması ya da geçersiz sayılması durumunda , bu hükmün geçersizliği hükmün kalan kısmını ya da  bu Politikanın geri kalan diğer hükümlerini etkilemeden , yalnızca o yasak ve geçersizlik açısından söz konusu olacaktır.

❮❮
❯❯

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir