Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni
Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10.maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla SİO Automotive Taşıt Yedek Parça San. Ve Tic. A.Ş. (“Şirket”) tarafından hazırlanmıştır. Şirket olarak, kişisel verilerin korunması, güvenliği ve özel hayatın gizliliği konusuna özel önem göstermekteyiz. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) uyarınca, Şirket ile ilişkili tüm gerçek kişilere ait her türlü kişisel verinin hukuka uygun olarak işlenmesini sağlamak için gereken her türlü teknik ve idari tedbiri almaktayız.
İşbu Aydınlatma Metni ile Şirket tarafından işlenen kişisel verilerin neler olduğu, işlenme amaçları, aktarılabilecekleri kişiler, kişisel verilerin elde edilme yöntemleri ve hukuki sebepleri ile kişisel verilerinize ilişkin haklarınızın ne olduğu hakkında sizleri bilgilendirmek isteriz.
1. Veri Sorumlusunun Kimliği
Aydınlatma yükümlüsü muhatap Veri Sorumlusu, İstanbul Ticaret Sicili’ne 271655 sicil numarası ile kayıtlı, 388004520100012 mersis numaralı ve merkezi
“Kaptanpaşa Mah. Halit Ziya Türkkan Sk. No:17 Famas Plaza A Blok Kat:13 D:45 Şişli/İstanbul” adresinde kaim SİO Automotive Taşıt Yedek Parça Sanayi ve Ticaret Anonim Şirketi’dir.
2. İşlenen Kişisel Verilerin Kapsamı ve Elde Edilme Yöntemi
Kişisel veri ifadesi Kanun’da “bir gerçek kişiyi belirli veya belirlenebilir kılan her türlü bilgi” olarak tanımlanmıştır. İsim ve soyisim, e-posta adresi, ikametgâh bilgisi, kullanıcı adı ve şifresi, telefon numarası, doğum tarihi, cinsiyet bilgileri gibi veriler kişisel veri olup tarafımızca aşağıda belirtilen amaç ve hallerde işlenebilmektedir. Aşağıda sayılanlar dâhil ancak bunlarla sınırlı olmamak üzere, Şirket tarafından işlenebilecek kişisel veriler şu şekildedir:
-Otomatik Yollarla Toplanan Kişisel Veriler: Görüntü (CCTV) ve ses kayıt cihazları, çerezler veya diğer vasıtalarla otomatik toplanan kişisel veriler.
-Veri Sahibi Tarafından Sağlanan Kişisel Veriler: Kimlik bilgileriniz, adresiniz, iletişim bilgileri, ve sair kanallar üzerinden herhangi bir şekilde tarafımızla paylaştığınız her türlü kişisel veriler.
-Diğer Kaynaklardan Alınan Kişisel Veriler: İş ortakları, tedarikçiler ve diğer üçüncü kişilerin (daha önce bu kişilere sağlamış olduğunuz izniniz kapsamında) ilettikleri banka hesap bilgileriniz, imza sirküleriniz ve benzeri kişisel veriler.
Yasal bir zorunluluk olmadıkça özel nitelikli kişisel veriniz elde edilmemekte ve işlenmemektedir.
3. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebebi
Kişisel veriler KVKK ve diğer ilgili mevzuatlara ve Kişisel Verilerin Korunması Politikamıza uygun olarak aşağıdaki amaçların gerçekleştirilmesi için, internet sitesi, online hizmetler ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak KVKK madde 5 ve 6 hükümlerine uygun olarak işlenebilmektedir.
Bu anlamda kişisel verileriniz Kanun’un 5.maddesinde belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebeplerine dayalı olarak aşağıda sayılı amaçlarla işlenmektedir:
-Şirket tarafından yürütülen elektrik motoru, jeneratör ve transformatörlerin aksam ve parçalarının imalatı hizmetlerinin ifası,
-İş faaliyetlerinin ve hizmetlerinin planlanması ve icrası,
-Şirket çalışanları için iş akdi veya mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi
-İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi,
-Müşteri ilişkileri yönetimi süreçlerinin planlanması, takibi, icrası
-Yetkili kurum veya kuruluşlara bilgi temin edilmesi,
-Finans, muhasebe ve hukuk işlerinin takibi
-Şirket insan kaynakları politikalarına uygun şekilde açık pozisyonlara uygun personel istihdamının sağlanması,
-irketin insan kaynakları süreçlerinin yürütülmesinin temini,
-Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası, çalışanların iş faaliyetlerinin takibi veya denetimi,
-Kurumsal iletişim faaliyetlerinin planlanması ve icrası, kurumsal sürdürülebilirlik ve yönetim faaliyetlerinin planlanması ve icrası,
-Bilgi güvenliği süreçlerinin planlanması, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi,
-Verilerin doğru ve güncel olmasının sağlanması,
-Doğabilecek uyuşmazlıklarda delil olarak kullanılması,
-Ziyaretçi kayıtlarının oluşturulması, takibi ve şirket içi güvenliğin sağlanması
4. Kişisel Verilerin Aktarılması
Şirket, kişisel verilerin aktarılmasında Kanun’da öngörülen ve Kişisel Verileri Koruma Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmektedir.
Şirket tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ile ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Bununla birlikte Şirket, KVKK ve diğer ilgili kanunların zorunlu kıldığı durumlarda, ilgilinin açık rızası olmaksızın, kişisel verileri mevzuattaki sınırlamalara bağlı olarak, yetkili idari veya adli kurum ve kuruluşlara aktarılabilir.
Veri sahibi kişi ile imzalı mevcut bir sözleşme var ise - aksi kanun veya ilgili sözleşmede hüküm altına alınmış olmadığı sürece – Şirket, kişisel verileri Kanun’da öngörülen şartlara uygun şekilde ve belirtilen tüm tedbirleri alarak Türkiye’de bulunan üçüncü kişilere ve Şirket çatısı altında bulunan Şirket ağına üye diğer şirketlere aktarabilir.
2007 yılı itibariyle Şirket, merkez yönetim ofisi “Merkurring 111 22143 Hamburg/Almanya” adresinde bulunan WULF GAERTNER AUTOPARTS AG’nin %100 iştiraki konumunda olup iş faaliyetlerinin gerektirdiği durumlarda kişisel verileri işbu Almanya merkezli yurtdışı iştirakine aktarabilmektedir. Yurtdışı ile paylaşım gerek Kurum’un ve gerekse ilgili mevzuatın öngördüğü sınırlamalar içinde yapılmakta, gerekli denetim ve önlemler alınmaktadır.
KVKK’da belirtilen kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işleme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp sağlanmadığını Kişisel Verileri Koruma Kurulu belirleyecek olup; yeterli korumanın bulunmaması durumunda ise, hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.
5. Kişisel Verilerin Saklanması
Kişisel Verileriniz Şirketle aranızda ilişki devam ettiği sürece ve ilgili mevzuatta öngörülen süreler uyarınca saklanacak olup süreye ilişkin mevzuatta bir düzenleme bulunmaması halinde Kişisel Veriler veri işlendiği zaman yürütülen faaliyet amacının gerçekleşmesine kadarki süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Mevzuattan kaynaklanan özel bir durum olmadığı sürece kişisel verileriniz şirketle ilişkinizin sona ermesinden sonra olası taleplere ilişkin zamanaşımı sürelerince saklanmaya devam edilmekte ve bu sürenin sonunda da silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
Gerek fiziksel ve gerekse dijital ortamda saklanan tüm verilerle ilgili yeterli ve makul önlemler alınmış olup toplanan ve işlenen tüm verilerin korunmasına ilişkin sorumluluk Şirketimize aittir.
6. Kişisel Verilerin Korumasına Yönelik Haklarınız
Kişisel veri sahibi olarak Şirket’e başvurarak:
-Kişisel verilerinizin işlenip işlenmediğini öğrenme,
-Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
-Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
-Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
-Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
-Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi veya yok edilmesini isteme,
-Düzeltilen veya silinen verilerin aktarılan üçüncü kişilere bildirilmesini isteme,
-İşlenen veriler münhasıran otomatik sistemler vasıtasıyla analiz edildiği takdirde aleyhe ortaya çıkan sonuçlara itiraz etme,
-Kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme
haklarına sahipsiniz.Yukarıda belirtilen hakların kullanımı ile ilgili taleplerin … linkinden ulaşılabilen Bilgi Talep Formu aracılığı ile yazılı olarak “Kaptanpaşa Mah. Halit Ziya Türkkan Sk. No:17 Famas Plaza A Blok Kat:13 D:45 Şişli/İstanbul” adresine veya elektronik ortamda info@sio-automotive.com adresinden veri sorumlusuna iletilmesi gerekmektedir.
Kişisel Verilerin Korunması ve İşlenmesi Politikası
1.TANIMLAR
İşbu Politika’da kullanılan ve büyük harfle başlayan Politika içerisinde tanımlanmamış terimler, kendilerine aşağıda atfedilen anlamları haiz olacaklardır:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Departman Veri Koruma Görevlisi: Şirket’teki Kişisel Verilerin elde edilmesinden, güvenli şekilde muhafazasından, Şirket adına veya Üçüncü Kişiler aracılığı ile işlenmesinden sorumlu olan Şirket çalışanı ilgili Departman içerisindeki üst düzey kişidir. Şirket organizasyon şeması dâhilinde her bir departmanın başındaki ilgili yönetici, kendi departmanı ile sınırlı olarak Veri Koruma Görevlisi’dir.
Genel Müdür: Şirket Genel Müdürü. İşbu Politika kapsamında Şirket’in Yönetim Kurulu ile koordinasyonunu sağlayan en üst düzey yöneticisidir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel Verilerin silinmesi; Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
KVKK/Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Şirket: İstanbul Ticaret Siciline kayıtlı bulunan SIO AUTOMOTİVE TAŞIT YEDEK PARÇA SANAYİ VE TİCARET ANONİM ŞİRKETİ
Üçüncü Kişi: Şirket, Şirket çalışanları ya da Veri Sahibi dışındaki kişi
Veri İşleyen: Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişi.
Veri Sahibi/İlgili Kişi/İlgili Kişiler: SIO AUTOMOTİVE TAŞIT YEDEK PARÇA SANAYİ VE TİCARET ANONİM ŞİRKETİ, bağlı şirketleri/iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları, Üçüncü Kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi Kişisel Verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi. İşbu Politika kapsamında “Şirket” olarak belirlenmiştir.
2.GİRİŞ
2.1.Amaç ve Kapsam
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile motorlu kara taşıtları için parça ve aksesuarların imalatı alanında faaliyet gösteren Şirketimizin Kişisel Verilerin İşlenmesi kapsamındaki her türlü işlem ve faaliyetlerinin Veri Sahiplerinin kişilik hakları başta olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu, ilgili mevzuat ve Kurum karar ve uygulamalarına uyumunu sağlamak amacı ile belirlenen prensipleri düzenlemektir.
Şirketimiz, Kişisel Verilerin korunmasının anayasal bir hak olarak düzenlendiğinin bilincinde olarak ve özel hayatın gizliliği gereği, Kişisel Verilerin korunması ve hukuksal güvence altına alınmasındaki tüm sürecin, ilgili mevzuata uygun ve Veri Sahibi’nin temel hak ve özgürlüklerini koruyacak şekilde gerçekleşmesini temin etmekle yükümlüdür. Kişisel Veri, Veri Sahibi’nin kişilik hakkının bir parçasıdır, hiçbir şekilde ilgili mevzuat ve bu Politika’nın hükümlerine aykırı olarak işlenemez.
Kişisel Verilerin Korunması ve İşlenmesi Politikası, Şirket çalışanları, taşeronlar, stajyerler, müşteriler, tedarikçiler de dâhil ama bunlarla sınırlı olmaksızın Şirket bünyesinde gerçek kişiye ilişkin elde edilen ve işlenen bütün Kişisel Veriler için uygulama alanı bulur. İşbu Politika’nın içerdiği tüm hükümler mevzuata tabi olup Politika’nın içerdiği hükümler ile ilgili mevzuatın emredici düzenlemeleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak esas alınarak uygulanır.
2.2.Kişisel Verilerin İşlenmesinde Uyulacak İlkeler
Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz, Kişisel Verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, Kişisel Veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmekte ve Kişisel Veriler öngörülmüş amaç dışında kullanılmamaktadır.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması: Şirketimiz, Kişisel Verilerin işlendiği süre boyunca doğruluğunun ve güncelliğinin sağlanması için belirli aralıklarda gerekli idari ve teknik önlemleri almaya devam eder.
Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, Kişisel Verilerin işlenme amaçlarını açık ve belirli bir şekilde belirlemekte ve söz konusu verileri iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir. Kişisel Verilerin hangi amaçla işleneceği, Kişisel Verilerin elde edilmesinden önce ilgili Veri Sahiplerine duyurulmaktadır. Şirket’in Kişisel Veri işleme amaçlarının değişmesi halinde, işbu Politika güncellenerek farklı kanallardan Veri Sahiplerine duyurulmaktadır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz, Kişisel Verileri sadece ilgili faaliyetlerin gerektirdiği nitelikte ve ölçüde toplayıp belirlenen amaçlarla sınırlı olarak işlemektedir. Bu anlamda, Şirket tarafından Kişisel Veriler “amaçla sınırlı kullanım” ilkesine bağlı kalınarak işlenmektedir.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, Kişisel Verileri işlendikleri amaç için gerekli olan süre veya ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen yasal süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta Kişisel Verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel Veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya Veri Sahibi başvurusuna uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda Şirket, Saklama ve İmha Politikası ile Kişisel Veri Envanteri’nde belirlenen muhafaza sürelerine uygun hareket etmektedir.
3.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
3.1.Şirket İçi Sorumluluk Zinciri
İşbu Politika ile Kişisel Verilerin Veri Sahibi’nden elde edilerek Şirket içerisindeki dolaşımını düzen altına almak amacıyla, Şirket tarafından yürürlüğe sokulan “Kişisel Verilerin Korunması Kanunu’na Dair İç Yönetmelik” ile Şirket içerisinde bir “Sorumluluk Zinciri” kurulmuştur. Buna göre, Kişisel Verilerin Şirket içerisinde hukuka uygun bir şekilde işlenmesinden ve korunmasından tüm Şirket çalışanları birlikte sorumlu olup; aykırı davranışların fark edilmesi halinde bu durum derhal Sorumluluk Zinciri’nde kurulan sistematiğe göre bir üst çalışana bildirilmektedir. İç Yönetmelik ile kurulan Şirket içi Sorumluluk Zinciri’nde yer alanların görev ve tanımları aşağıdaki gibidir:
a.Departman Veri Koruma Görevlisi: Her bir departmanın başında bulunan üst düzey çalışan “Departman Veri Koruma Görevlisi” olarak belirlenmiştir. Bu çerçevede işbu İç Yönetmeliğin kabul edildiği tarih itibari ile geçerli olan organizasyon şeması gereğince Üretim Direktörü, Ar-GE Direktörü, Mali İşler Direktörü, Planlama IT ve Stok Yönetim Direktörü, Satın Alma ve Tedarikçi Direktörü, Pazarlama ve Satış Direktörü ve İnsan Kaynakları Direktörü işbu Yönetmelik ve uygulaması kapsamında Departman Veri Koruma Görevlisi olarak belirlenmiştir. Bu kapsamda Şirket organizasyon şeması içerisinde yer alan her çalışan, kişisel verilerin akıbeti ile ilgili hususları kendi departmanının Veri Koruma Görevlisi’ne iletmekle yükümlüdür. Departman Veri Koruma Görevlisi öncelikle bu Yönetmeliğin kendi departmanındaki tüm çalışanlara doğru kanallardan duyurulduğuna emin olmalıdır. Buna ek olarak, ilgili departmandaki her bir çalışanın Yönetmelik kapsamındaki iş ve sorumluluklarını yerine getirip getirmediğinin denetlenmesi, yeni işe başlayanlarda kişisel veri farkındalığının yaratılması ve departman çalışanlarının kişisel verilerin korunması konusunda ortaya çıkan gelişmeler hakkında bilgilendirilmesi de Departman Veri Koruma Görevlisi’nin sorumluluğundadır.
b.Çalışanlar: Departman Veri Koruma Görevlisi ile birlikte görevinin ifası esnasında herhangi bir Veri Sahibi’nden veri elde eden ya da başka yollarla veri işleyen tüm çalışanlar, Veri Sahibi’nden elde edilen kişisel verilerin mevzuat ve bu iç yönetmelik hükümlerine uygun olarak işlenmesinden sorumludur. Verilerin hukuka aykırı işlenmesi ve benzeri aykırılık durumlarında, her çalışan durumu derhal Departman Veri Koruma Görevlisi’ne iletmekle yükümlüdür.
c.Genel Müdür: Verilerin hukuka aykırı işlenmesi ve benzeri aykırılık durumlarında, söz konusu aykırılığı tespit eden Departman Veri Koruma Görevlisi, durumu derhal Genel Müdür’e bildirir. Genel Müdür, bu bağlamda gerekli mercilerle iletişime geçerek Şirket içerisinde gerekli önlemlerin alınmasını sağlar.
d.Yönetim Kurulu: Şirket içerisinde herhangi bir veri ihlali söz konusu olduğu takdirde, Genel Müdür durumun hal ve şartlarını göz önünde bulundurarak Yönetim Kurulu’nu bilgilendirir. Yönetim Kurulu tarafından gereken önlemler alınır.
Bu kapsamda ve her halükarda yıllık düzeyde ve Genel Müdür, ve ilgili Departman Veri Koruma Görevlilerinin katılımı ile gerçekleştirilen yönetimin gözden geçirmesi toplantılarında İç Yönetmelik kapsamındaki faaliyet, süreç ve önerilerin de gündeme alınarak tartışılması beklenmektedir. Bu sayede gerekli iyileştirmelerin ve güncellemelerin yapılarak Şirketimizin KVKK uygulamaları kapsamında KVKK ve ikincil düzenlemeler başta olmak üzere mevzuat ile uyum sağlaması hedeflenmektedir.
3.2.Kişisel Verilerin İşlenmesi
Şirket tarafından işlenen Kişisel Veriler, KVKK’nın 4. maddesinde belirtilen hukuka uygun işleme şartlarına dayalı olarak ve Kişisel Verilerin korunması hakkındaki ilgili mevzuatın sınırları çerçevesinde işlenmektedir. Veri Sorumlusu Şirket tarafından Kişisel Veriler elde edilmeden evvel Şirket tarafından Veri Sahiplerine yapılacak bilgilendirme ile aydınlatma yükümlülüğü yerine getirilmekte ve gereken hallerde ilgili Veri Sahiplerinin Açık Rızası alınmaktadır. Kişisel Verilerin işlenmesi sürecinde Şirket, aşağıda yer verilen yükümlülüklerini yerine getirmektedir:
b.Aydınlatma:
Şirket, KVKK ve ilgili sair mevzuat uyarınca, Kişisel Verilerin elde edilmesinden önce Veri Sahibi kişileri aydınlatmaktadır. Bu çerçevede Şirket tarafından İlgili Kişi’ye Kişisel Verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, Kişisel Veri elde etmenin yöntemi/süreci ve Kişisel Veri elde etmenin hukuki sebebi, saklama süresi ve alınan tedbirler hakkında aydınlatma (bilgilendirme) yapmaktadır.
Şirket dahilinde yapılan KVKK’ya uyum çalışması kapsamında Kişisel Verilerin elde edildiği her bir veri konusu kişi kategorisi için aydınlatma metni hazırlanmış olup, söz konusu aydınlatma belgesi örneği veri sahibi İlgili Kişilere sunulmak üzere Şirket departmanlarındaki ilgili Departman Veri Koruma Görevlilerine iletilmelidir. Genel Müdür’ün açık izni olmaksızın bu belge içeriğinde değişiklik yapılamamaktadır. Aydınlatma mümkün oldukça durumun gereklerine göre elektronik ortamda ve/veya fiziksel olarak Veri Sahibi’nin imzası ile tevsik edilerek yapılmakta, imza ile tevsikin mümkün olmadığı hallerde, aydınlatma Veri Sahibi’ne ulaşabilecek ortamlarda gerekli duyuru ve bildirimlerle de yapılabilmektedir.
c. Açık Rıza:
Kişisel Veriler İlgili Kişi’nin Açık Rızası olmaksızın işlenememektedir ancak; aşağıdaki şartlardan birinin varlığı hâlinde, İlgili Kişi’nin Açık Rızası aranmaksızın Kişisel Verilerinin işlenmesi mümkündür:
•Kanunlarda açıkça öngörülmesi.
•Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
•Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması.
•Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
•İlgili Kişi’nin kendisi tarafından alenileştirilmiş olması.
•Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
•İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yasal zorunluluk kapsamında, Açık Rıza alınması gereken durumlarda, Veri Sahibi’nden Kişisel Verileri elde edilmeden önce (içeriği Şirket tarafından belirlenmiş olan) “Açık Rıza” alınmaktadır. Açık Rıza durumun gereklerine göre elektronik ortamda ve/veya fiziksel olarak Veri Sahibi’nin imzası ile tevsik edilerek alınmaktadır. Çalışanların, Veri Sahibi’nden Açık Rıza almak zorunda olup olmadığı konusunda şüpheye düşmeleri halinde, durumu derhal Departman Veri Koruma Görevlisi’ne ileterek onun talimatları doğrultusunda hareket etmeleri gerekmektedir.
Kişisel verilerin Şirket içerisinde hukuka uygun bir şekilde işlenmesinden ve korunmasından tüm Şirket çalışanları birlikte sorumlu olup, Departman Veri Koruma Görevlisi “Kişisel Verilerin İşlenmesi” başlıklı bu bölümde belirtilen iş ve işlemlerin hukuk, mevzuat ve İç Yönetmelik’e uygun olarak yapılmasını denetler. Departman Veri Koruma Görevlisi’nin görev veya sorumluluklarını aşan hallerde, ancak nicelik veya nitelik itibari ile önemli veri koruma ihlalinin meydana geldiği her durumda Genel Müdür’e bilgi verilir.
3.3.Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından gerekmedikçe Özel Nitelikli Kişisel Verilerin işlenmemesi esastır. Çalışanların özlük dosyasının oluşturulması gibi süreçlerde kanuni yükümlülük sebebiyle Veri Sorumlusu Şirket’in elde ettiği Özel Nitelikli Kişisel Veriler bakımından ise mevzuatta belirtilen şartlara uygun olarak veri işleme yapılmaktadır. Özel Nitelikli Kişisel Veriler Veri Sahibi’nin Açık Rızası olmaksızın işlenmemektedir; meğerki sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesi kanunlarda öngörülmüş olsun.
3.4.Hizmet Binası ve İnternet Sitesi Ziyaretçilerinin Kişisel Verilerinin İşlenmesi
Şirketimiz tarafından hizmet kalitesini arttırmak, Şirket’in, Veri Sahibi’nin ve diğer kişilerin can ve mal güvenliğini sağlamak amacıyla, mevzuata uygun olarak Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının ve giriş çıkışlar için giriş kartları kullanılarak turnike ile geçiş sisteminin takibine yönelik Kişisel Veri işleme faaliyetlerinde bulunulmaktadır.
Şirketimiz tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin olarak Veri Sahibi aydınlatılmaktadır. Ayrıca, Şirket Kanun’un 4. maddesine uygun olarak, Kişisel Verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır.
Şirket’in internet sitesini ziyaret eden Veri Sahiplerinin kullanım kalitesini arttırmak ve aramalarına özelleştirilmiş içerikler sunabilmek amacıyla Şirket tarafından kullanılan çerezler vasıtasıyla internet sitesi ziyaretçilerinin bir kısım Kişisel Verileri işlenebilmektedir. Şirket tarafından yürürlüğe konulan “Çerez Politikası” içerisinde çerez kullanımı ile ilgili detaylara yer verilmiştir.
Şirket hizmet binası içerisinde Şirket’in internet erişiminden faydalanmak isteyen ziyaretçilere ait log kayıtları 5651 sayılı Kanun ve KVKK başta olmak üzere ilgili sair mevzuat uyarınca Şirket tarafından kayıt altına alınabilir. İşbu kayıtlar yetkili adli ve idari kamu kurum ve kuruluşlarının talebi üzerine Üçüncü Kişi resmi kuruluşlar ile paylaşılabilmektedir.
4.KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ ve ANONİM HALE GETİRİLMESİ
Kişisel Verilerin saklanması ve imhasına ilişkin usul ve esaslar ile saklama süreleri Şirket tarafından yürürlüğe sokulan “Kişisel Veri Saklama ve İmha Politikası’nda” yer almaktadır. Verilerin güvenli bir şekilde muhafaza edilmesi Şirketimiz için önceliklidir. Bu çerçevede verilerin nitelik ve niceliğine göre uygun güvenlik önlemlerinin alınması sağlanmakta ve düzenli güvenlik denetimleri yapılmaktadır.
Şirket tarafından mevzuata uygun olarak işlenen Kişisel Veriler, mevzuatta öngörülen ve/veya işlenmelerini gerektiren amaca uygun süre boyunca saklanmakta olup işbu süre sonunda re’sen veya ilgili Veri Sahibi’nin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Prensip olarak verilerin Şirket merkezinde toplanması ve Departman Veri Koruma Görevlisi sorumluluğunda burada muhafaza edilmesi esastır. Veri fiziksel ya da dijital ortamda muhafaza edilebilmekte, gerektiğinde Üçüncü Kişi hizmet sağlayıcılardan bu konuda hizmet alınabilmektedir. Veri güvenliği için gerekli fiziksel ve teknolojik altyapının oluşturulması Departman Veri Koruma Görevlisi’nin sorumluluğundadır.
Departman Veri Koruma Görevlisi, çalışanlar tarafından elde edilen Kişisel Verilerin kendisine doğru, güvenli ve Şirket’in belirlediği usulde iletildiğinden, işin yürütümü için söz konusu çalışanın veriyi işlemeye devam etmesi gerekmedikçe iletimden sonra çalışanın elindeki verileri sildiğinden emin olmakla, bunun için gerekli denetimleri düzenli olarak yapmakla yükümlüdür.
Verilerin kendisine iletilmesi ile birlikte Departman Veri Koruma Görevlisi bu verilerin doğru ve güvenli bir şekilde muhafazası, işin gereği nedeni ile zorunlu olmadıkça diğer çalışanlar da dahil Üçüncü Kişilerin erişiminin engellenmesi için gereken her türlü önlemi almaktadır. Verilerin güvenliği için alınması gereken ek tedbirler varsa Departman Veri Koruma Görevlisi derhal Genel Müdür’ü bilgilendirmektedir.
Özel Nitelikli Veriler ise yetki erişimi ile belirlenen sınırlı kişiler tarafından ayrı bir kilitli dolapta tutulur. Sağlık verileri sadece iş yeri hekiminin ve sır saklama yükümlülüğü altında bulunan diğer sağlık çalışanlarının odasında kilitli olarak muhafaza edilir.
5.KİŞİSEL VERİLERİN KORUNMASI AMACIYLA ALINAN İDARİ VE TEKNİK TEDBİRLER
Şirketimiz, Kanun’un 12. Maddesi uyarınca, Kişisel Verilerin hukuka aykırı olarak açıklanmasını, işlenmesini, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, mevzuata ve Kurul tarafından yayımlanmış olan rehberlere uygun olarak uygun güvenlik düzeyini sağlamaya yönelik idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Bu anlamda, her bir departmanın ilgili Departman Veri Koruma Görevlisi de dahil olmak üzere tüm çalışanlardan alınan taahhütnameler, gizlilik sözleşmeleri, Veri İşleyenlere aktarılan Kişisel Veriler bakımından imzalanan veri aktarım protokolleri, Kanun uyarınca Veri Sahiplerinin bilgilerine sunmak üzere hazırlanan Aydınlatma ve Açık Rıza metinleri ve Şirket tarafından yürürlüğe konulan Kişisel Verilerin korunması ve işlenmesi ile ilgili tüm politika ve prosedürler, Şirket tarafından idari tedbir olarak benimsenmiştir.
Şirket’in Kişisel Verilerin güvenliği elektronik ortamda yazılımlar, virüs programları ve diğer bilgi teknoloji sistemleri ile; fiziksel ortamda ise kilitli dolaplarda saklanarak her halükarda verilere erişim sınırlı tutularak sağlanmaktadır.
6.İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI
Kişisel Verilerin hukuka uygun bir şekilde işlenmesinin Şirket içerisinde sürdürülebilir hale gelmesi amacı ile Şirket çalışanlarına işe girişte Kişisel Verilerin korunmasına dair farkındalık eğitimi verilmektedir. Yeni istihdam edilen çalışanların bu eğitimi aldığından emin olunmadan işbaşı yaptırılması mümkün değildir.
Mevcut çalışanlara ise başlangıçta verilecek farkındalık eğitimine ek olarak, düzenli periyotlar halinde Kişisel Verilerin korunması alanında meydana gelen gelişmeler sunulmakta ve gerekli hatırlatmalar yapılmaktadır. Kurum tarafından, Veri Sorumlularından işledikleri Kişisel Verileri güncel tutmaları beklenildiğinden, çalışanlara belli aralıklarla Şirket’teki Kişisel Verilerini güncellemeleri için hatırlatmalar ve/veya duyurular yapılmaktadır.
7.KİŞİSEL VERİLERİN AKTARILMASI
7.1.Yurt İçinde Kişisel Verilerin Aktarımı
Şirketimiz, Kişisel Verilerin aktarılması konusunda mevzuat, Kurul kararları ve ilgili düzenlemelere uygun olarak hareket etmekle yükümlüdür.
Verilerin Şirket’in faaliyetlerinin yürütülmesi için zorunlu olmadıkça, verilere erişimi zorunlu olan Şirket çalışanları hariç olmak üzere Kişisel Verilerin Şirket çalışanları ve Üçüncü Kişilerle paylaşılmaması esastır.
Şirket, KVKK ve ilgili mevzuatta belirtilen tüm güvenlik önlenmelerini alarak ve mevzuat ve düzenlemelere uygun olmak kaydı ile Kişisel Verileri kendi Departmanları arasında paylaşabilmekte; kendi iştiraklerine, grup şirketlere; Türkiye’de bulunan diğer Üçüncü Kişilere aktarabilmektedir.
KVKK’nın 5.ve 6. maddelerinde sayılı ilgilinin rızası olmaksızın Kişisel Verilerin aktarımının mümkün olmasına ilişkin hususlar saklı kalmak üzere, Kişisel Verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar haricinde Kişisel Veriler Veri Sahibi’nin Açık Rızası olmaksızın başka kişilere aktarılmamaktadır.
a.Kişisel Verilerin Şirket Organizasyonu Dışındaki Üçüncü Kişilerle Paylaşımı
Verilerin Üçüncü Kişilerle paylaşımı, paylaşım amacı, paylaşımda bulunulacak verilerin içeriği, paylaşım süresi, usulü Departman Veri Koruma Görevlisi tarafından Genel Müdür’e yapılacak bildirim ve Genel Müdür’ün onayı sonrası yapılabilmektedir.
Üçüncü Kişiler tarafından veri güvenliğinin sağlanması, sonrasında verilerin silinmesi, verilerin doğru, sözleşme, mevzuat ve Şirket politikalarına uygun olarak işlenmesine yönelik denetimler Şirket tarafından yapılmaktadır.
b.Kişisel Verilerin Şirket İçerisinde Paylaşımı
Şirket’in dahil olduğu grup içindeki diğer şirketlerle ya da Şirket’in iştirakleri, pay sahibi olduğu diğer şirketlerle veri paylaşımı ve Şirket ile veri paylaşılan diğer şirket arasında organik bir bağ olsa dahi veri paylaşılan şirket Üçüncü Kişi olarak değerlendirildiğinden “Verilerin Şirket Organizasyonu Dışındaki Üçüncü Kişilerle Paylaşımı” başlığında belirtilen tüm usul ve sınırlamalar grup içi şirketlerle veri paylaşımında da dikkate alınmaktadır.
c.Kişisel Verilerin Kamu Kurum ve Kuruluşları ile Paylaşılması
Kamu kurum ve kuruluşlarının ilgili mevzuat kapsamında talep ettikleri Kişisel Veriler, KVKK’nın 8. maddesi uyarınca Şirket tarafından paylaşılır. Bu halde Kişisel Verilerin kamu tüzel kişilikleri ile paylaşılması Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirmesi için zorunlu olduğundan, Kişisel Verilerin kamu tüzel kişilikleri ile paylaşımının herhangi bir sakınca doğurmadığı kabul edilmektedir.
7.2.Yurt Dışına Kişisel Verilerin Aktarımı
Kişisel verilerin Şirket’in faaliyetlerinin yürütülmesi için zorunlu olmadıkça, yurt dışına aktarılmaması esastır. Hal böyle olmakla birlikte Şirket, KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. Şirketimizin yabancı ortaklı bir şirket olduğu, bütçe, üretim, satış, pazarlama ve yatırım planlamalarının şirket pay sahibi Wulf Gaertner Autoparts AG ile birlikte yapıldığı gözetildiğinde gereklilik hallerinde birtakım kişisel verilerin “Mekurring 111 22143 Hamburg/Almanya” adresinde bulunan merkezle paylaşılması söz konusu olabilmektedir.
Yurt dışına aktarım bu bildirimin Genel Müdür tarafından uygun bulunması ve gerekli yasal yükümlülüklerin yerine getirilmesi ile birlikte yapılabilmektedir.
İlgili Kişi’nin Açık Rızası’nın aranmadığı haller için, Kişisel Veri’nin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlaması şartı aranmaktadır. Kurul tarafından veri aktarılan ülkenin güvenli ülke statüsünde sayılmadığı durumlar için, Kurul izni ile birlikte yeterli korumayı taahhüt edecek bir veri aktarım protokolü imzalanmaktadır. Açık Rıza olmaksızın güvenli ülke statüsünde bulunmayan bir ülkeye aktarım yapılmaması esas olmakla birlikte bunun zorunlu olması halinde süreç bizzat Genel Müdür’ün katılımı ile yürütülmektedir.
Üçüncü Kişiler tarafından veri güvenliğinin sağlanması, sonrasında verilerin silinmesi, verilerin doğru olarak, sözleşme, mevzuat ve Şirket politikalarına uygun olarak işlenip işlenmediği Şirket tarafından denetlenmektedir.
8.KİŞİSEL VERİLERİ İŞLENEN KİŞİNİN HAKLARI
Kişisel Verileri Şirket tarafından işlenen Veri Sahipleri Şirket’in internet sitesinde mevcut İlgili Kişi Başvuru Formu’nu doldurarak, Şirket’e Karadenizliler, Fakülte Cd. No:147, 41140 Başiskele/Kocaeli’ndeki Şirket merkez adresine fiilen başvurarak aşağıdaki haklarını kullanabilmektedirler:
•Kişisel Verilerinin işlenip işlenmediğini öğrenme,
•Kişisel Verileri işlenmişse, bu işlemenin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
•Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
•Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı Üçüncü Kişileri bilme ve bu yönde yapılan işlemin Üçüncü Kişilere bildirilmesini isteme,
•Kişisel Verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini ve bu düzeltme halinin Üçüncü Kişilere bildirilmesini isteme,
•Kişisel Verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kişisel Verilerin silinmesini veya yok edilmesini isteme,
•Kişisel Verilerin işlenmesinde kendisi aleyhine bir sonucun ortaya çıkması halinde itiraz etme,
•Kişisel Verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini isteme.
Veri Sahibi’nin talepleri kabul edildiği takdirde talebin niteliğine göre ve en geç otuz gün içerisinde gereği yerine getirilmektedir.
Veri Sahibi’nin talepleri ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınmaktadır. Başvurunun Şirket’in hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilmektedir.
Veri Sahibi’nin talebi kabul edilmediği takdirde ret cevabı talebin niteliğine göre en geç otuz gün içerisinde gerekçesi açıklanarak yazılı veya elektronik ortamda Veri Sahibi’ne bildirilmektedir.
Kişisel Veri sahipleri, KVKK’nın 28. Maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan bu konularda yukarıda sayılan haklarını ileri süremezler:
•Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
•Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
•Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
•Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
9.KİŞİSEL VERİ İHLALLERİNDE UYGULANACAK PROSEDÜR
Herhangi bir nedenle verilerin kaybolması, işbu Politika veya ilgili mevzuat hükümlerine aykırı olarak Üçüncü Kişi’nin eline geçmesi, verilerle ilgili mevzuata aykırı bir durumun varlığının tespit edilmesi halinde derhal bağlı bulunulan departmandaki Departman Veri Koruma Görevlisi durumdan haberdar edilmektedir.
İlgili Departman Veri Koruma Görevlisi durumu derhal Genel Müdür’e bildirecek ve Departman Veri Koruma Görevlisi ile Genel Müdür mevzuat ve fiilini durumun gereklerini dikkate alarak gerekli tedbirlerin alınması için gereken çalışmayı yapmaktadır.
Kanun’un 12. maddesinde işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmektedir. Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kurulca yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde hukuka aykırılıkların giderilmesine karar verildiği takdirde, kararın tebliğinden itibaren gecikmeksizin ve en geç otuz gün içerisinde kararın gerekleri yerine getirilmektedir.
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamaktır.
Bu kapsamda Veri Sorumlusu ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmektedir, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip İlgili Kişilere de makul olan en kısa süre içerisinde, İlgili Kişi’nin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Veri Sorumlusu’nun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmaktadır.
Veri Sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanmaktadır.
Kuruldan gelen her türlü talep ve bildirim derhal Genel Müdür ile paylaşılır. Genel Müdür uygun görmesi halinde durumu derhal Şirket hukuk danışmanlarına iletir. İncelenmek üzere Kurulca istenmiş olan bilgi ve belgelerin on beş gün içinde gönderilmesi ve gerektiğinde yerinde inceleme yapılmasına imkân sağlanması zorunludur.
10.UYUMLULUK DENETİMİ
Şirket’in tüm iş birimleri için her bir Departman Veri Koruma Görevlisi tarafından düzenli olarak Kişisel Verilerin Korunması Kanunu’na uyumluluk denetimi yapılmaktadır. Yapılan denetimlerde tespit edilen eksiklik veya hatalar gerekli aksiyonun benimsenmesi suretiyle makul sürede giderilir.
Yıllık bazda Kişisel Verilerin korunmasına ilişkin uyumluluk denetimi, Şirket’in hukuk danışman(lar)ının desteği ile yapılmaktadır. İşbu yıllık denetimler sonucunda Şirket’in hali hazırda mevcut politika ve prosedürlerinde güncelleme yapılır ve eksiklik/hata tespit edilen hususlar için gerekli önlemlerin alınması sağlanır.
11.YÜRÜRLÜK
İşbu Politika, yayım tarihinde yürürlüğe girer. Her bir Departman için Departman Veri Koruma görevlisi, işbu Politika’nın Departmanlar bazında uygulanmasından sorumludur. Politika, ilgili Kanun, mevzuat, Kurul kararları ile meydana gelen değişiklikler, gelişmeler göz önünde bulundurularak gözden geçirilir, gerektiğinde değişiklikler yapılarak güncellenir. Bu değişiklikler, Şirket tarafından uygun kanallarla duyurulur.