- Ev /
- Sayfa
KVKK Politikası
MANDALİN MASA
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
GİRİŞ
- BÖLÜM – “KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI”NIN KULLANILMA AMACI
- BÖLÜM – “KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER”
- BÖLÜM – ŞİRKETİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLEMESİ POLİTİKASINA UYUMU
- BÖLÜM – ŞİRKETİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
- BÖLÜM – “KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI”NIN KULLANILMA AMACI
- BÖLÜM – “KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER”
- Kişisel verilerin işlenip işlenmediğini öğrenmek,
- İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
- Kişisel verilerin aktarıldığı kişileri bilmek,
- Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesi,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
- Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
- Şirket bünyesindeki iş birimleri tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin tüm süreçler analiz edilmeli, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır. Şirketin iş birimleri tarafından, verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin tümünün hukuka uygunluk denetimi yapılmalıdır.
- Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmelidir.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmalıdır.
- Şirket, çalışanlarını, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirmeli ve eğitmelidir.
- Şirket ile çalışanları arasındaki hukuki ilişkiyi yöneten sözleşme, belge ve politikalara, KVK Kanunu’ndaki düzenlemelere aykırı biçimde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğü getiren kayıtlar konulmalıdır.
- Kişisel verilere erişim, işleme amacı doğrultusunda ilgili Şirket çalışanı ile sınırlandırılmalı, ayrıca, Şirket bünyesinde tutulan her kişisel veriye, her çalışanın erişim imkanı bulunmamalıdır.
- Şirketin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmeli, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri belirlenmelidir.
- Her bir iş biriminin faaliyetlerinin KVK Kanun’unda belirtilen kişisel veri işleme şartlarına uygunluğunun sağlanmasına yönelik isterler, her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde tespit edilmelidir.
- İş birimleri bazında belirlenen hukuksal uyum isterlerinin sağlanması için Şirket tarafından, ilgili iş birimleri özelinde farkındalık yaratılmalı ve uygulama kuralları belirlenmelidir. Şirket tarafından, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınarak, politika, prosedür ve eğitimler hayata geçirilmelidir.
- Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken Teknik Tedbirler
- Teknolojideki gelişmelere uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmeli ve yenilenmelidir.
- Şirket tarafından, iş birimi bazında hukuksal uyum isterlerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmalıdır.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmalı, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
- Teknik konularda bilgili personel istihdam edilmelidir.
- Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken İdari Tedbirler
- Şirket çalışanları, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmelidir.
- İş birimi bazında hukuksal uyum isterlerine uygun olarak şirket tarafından kuruluş bünyesinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmalı ve uygulanmalıdır.
- Şirket çalışanlarından, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceğine ilişkin gerekli taahhütler alınmalıdır.
- Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler eklenmelidir.
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
- BÖLÜM – ŞİRKETİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLEMESİ POLİTİKASINA UYUMU
- KVK Kanunu’nun 16ncı maddesine uygun olarak veri sorumluları siciline kayıt olunmasına yönelik gerekli süreçleri oluşturmalı ve uygulamalıdır.
- KVK Kanunu’nun 10uncu maddesine uygun olarak, verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmalı ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmalıdır.
- KVK Kanunu’nun 5inci maddesi gereğince, kişisel veriler, mutlaka kanundaki işleme şartlarından bir veya bir kaçına dayalı olarak ve KVK Kanunu’nun 4üncü maddesinde ve Politikanın 2.1 ila 254 bölümlerinde belirtilen kişisel veri işleme ilkelerine uygun bir şekilde işlemelidir.
- Özel nitelikli kişisel verilerin işlenmesinde KVK Kanunu’nun 6ıncı maddesindeki düzenlemelere titizlikle uyulmalı, faaliyetlerin yürütülmesi için zorunlu değilse özel nitelikli veriler veri sahibinden talep edilmemelidir.
- KVK Kanunu’nun 8inci ve 9uncu maddelerine uygun olarak, kişisel verilerin aktarılması konusunda Kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranılmalıdır.
- KVK Kanunu’nun 12nci maddesine uygun olarak, kişisel verilerin korunmasına ilişkin gerekli güvenlik sistemleri oluşturulmalıdır.
- KVK Kanunu’nun 7nci maddesine uygun olarak kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin gerekli sistemler oluşturulmalıdır.
- KVK Kanunu’nda ve ilgili mevzuatta öngörülen düzenlemelere uygun hareket edilmeli,
- Kamuoyuna açık politikaların kişisel veri sahipleri tarafından anlaşılabilir olmasına önem verilmeli,
- Kamuoyuna açık politikalar ve bu politikalarda yapılacak değişiklikler kişisel veri sahiplerinin erişimine sunulmalı,
- Temel Politikalar oluşturulmalı,
- Kişisel veri sahiplerine sunulacak başvuru mekanizmaları karışıklığa yer bırakmayacak şekilde, açık ve net bir biçimde politikalarda belirtilmelidir.
-
- Şirket çalışanlarına yönelik aydınlatma yükümlülüğü yerine getirilmelidir.
- Şirket çalışanlarının kişisel verileri toplanırken, üzerinde işlem yapılırken (erişim, görüntülenme, şirket içi paylaşım dahil), saklanırken KVK Kanunu’nun 4üncü maddesinde düzenlenen ve bu Politikanın 2.1 ila 2.5 bölümlerinde yer alan ilkelerin tümüne uygunluğu sağlanmalı; çalışanların kişisel verilerinin KVK Kanunu’nun 5inci maddesinde düzenlenen ve Politikanın 2.6 bölümünde belirtilen şartlardan bir veya bir kaçına dayalı olarak işlendiği kontrol edilmeli ve uygunluğu sağlanmalıdır.
- Şirket çalışanlarının kişisel verilerine ilişkin bilgi talebi başvurularının KVK Kanunu’nda öngörülen süre içinde değerlendirilmesi ve cevaplandırılmasına yönelik süreçler tasarlanmalı ve uygulanmalıdır.
- Şirket çalışanlarının kişisel verilerinin güvenliği sağlamalıdır.
- Şirket çalışanlarının kişisel verilerinin aktarımına ilişkin olarak KVK Kanunu’nun 8. ve 9. maddelerine uygun davranılmalıdır.
- Şirket çalışanlarının kişisel verilerinin KVK Kanunu’nun 7. maddesine uygun olarak silinmesi, yok edilmesi veya anonimleştirilmesi için gerekli süreçler hayata geçirilmelidir.
- BÖLÜM –KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİŞİM YAPISI
- Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
- Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak,
- Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
- Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde farkındalığı arttırmak,
- Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
- Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve uygulanmasını sağlamak,
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
- Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri yönetmek.