KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. AMAÇ
POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Şirket”) ve tüm çalışanları, kişisel verilerin korunmasına ilişkin T.C. Anayasası ve 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere yürürlükteki diğer ilgili mevzuat tarafından getirilmiş ilkelere, kararlara ve kurallara uymayı ve Şirket tarafından verileri işlenen bireylerin haklarını korumayı taahhüt etmektedir.
Politikanın amacı, kişisel verilerin dahili olarak yönetiminde kuralların oluşturulması, hedef ve yükümlülüklerin belirlenmesi, makul risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi, kişisel verilerin korunması alanında tabi olunan yasal yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin mümkün olan en iyi şekilde korunmasıdır.
2. KAPSAM
Politika hükümleri, başta Şirket yönetim kurulu olmak üzere, Şirket’in tüm birimlerine destek hizmeti veren firma çalışanlarını, alt çalışanları ve stajyerleri kapsamaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu veya bu Politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.
3. TANIMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hale getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Kurul:Kişisel Verileri Koruma Kurulu’nu,
KVK Komitesi:Veri sorumlusu tarafından atanmış, Kanun kapsamında oluşturulmuş süreçlerin idari takibi ve koordinasyonu yapan gerçek kişi veya kişilerden oluşan yapıyı,
KVK Taahhütnamesi:Veri paylaşımı yapılan üçüncü tarafların kanuni yükümlülüklerinin belirlendiği dokümanı,
Sicil:Kurum tarafından tutulan veri sorumluları sicilini,
Veri İşleyen:Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri sorumlusu:Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
4. SORUMLULUKLAR
Şirket, Kanun uyarınca Veri Sorumlusu sıfatını haizdir. Şirket çalışanı olan herkes, Şirket bünyesinde kişisel verilerin işlenmesinde doğru uygulamaların geliştirilmesi, teşvik edilmesi ve diğer yükümlülüklerden sorumludur.
Şirket’in kişisel veri işleyen tüm çalışanları, Kişisel Verilerin Korunması mevzuatına uygun davranmak sorumluluğundadır.
Şirket, tüm çalışanlarının, kişisel verilerin korunması alanında sahip olduğu sorumlulukları bilmesi ve gerekli farkındalığa sahip olması için gerekli bildirim ve eğitimlerin gerçekleştirilmesinden sorumludur.
Şirket çalışanları, Şirket’e kendileri tarafından sağlanan veya kendilerine ilişkin olan tüm kişisel verilerin doğruluğunu ve güncelliğini sağlamakla yükümlüdür.
4.1. KVK Komitesi
KVK Komitesi üyeleri, Yönetim Kurulu tarafından atanır ve doğrudan Yönetim Kurulu’na rapor sunar. Komite, kişisel veri koruma sisteminin yönetilmesi ve mevzuata uyumun sağlanmasından sorumludur.
4.2. KVK Komitesi Görev ve Sorumlulukları
KVK Komitesi, Yönetim Kurulu’nu, kişisel verilerin korunması mevzuatı ve gelişmeler konusunda bilgilendirmelidir.
KVK Komitesi, Şirket politikalarının, prosedürlerinin güncel olduğunu, veri işleme denetimlerinin ve eğitimlerin planlandığı takvime uygun olarak yapıldığını ve bunların ilgili mevzuatla uyumlu olduğunu sağlamakla sorumludur.
KVK Komitesi, kişisel verilerin korunması ile ilgili konuların tümünde ilgili çalışanlarla birlikte hareket eder.
KVK Komitesi, işleme amacı için açıkça gerekli olmayan kişisel verilerin toplanmaması ve işlenmemesini sağlamakla yükümlüdür.
KVK Komitesi her yıl güncellenen kişisel veri envanteri üzerinden işlenen verilerin uygun ve ilgili olduğunu denetler.
KVK Komitesi yıllık bazda yapacağı/yaptıracağı iç denetim/dış denetim ile tüm veri işleme yöntemlerinin uygun ve ilgili olduğunu denetler.
KVK Komitesi, uygun ya da ilgili olmadığı veya işleme amacı bakımından gereğinden fazla olduğunu tespit ettiği kişisel veriler bakımından veri işleme faaliyetinin durdurulmasından ve işlenmiş verilerin saklama ve imha sürecinin tanımlandığı prosedür uyarınca güvenli bir şekilde imha edilmesinden sorumludur.
KVK Komitesi veri envanteri üzerinden, işlenen verinin türü, saklama süresi ve miktarı üzerinde yapacağı değerlendirme ile belirli verilerin doğruluğunun veya güncelliğinin gözden geçirilmesi için ilgili birime talimat vermekle yükümlüdür.
5. UYGULAMA ESASLARI
5.1. VERİ İŞLEME İLKELERİ
Şirket, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. Şirket’in benimsediği veri işleme ilkeleri şunları içermektedir:
Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek,
Bu amaçlar için gerekli olan kadar kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek (veri minimizasyonu sağlamak),
Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek,
Yalnızca ilgili ve uygun kişisel verileri işlemek,
Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
Şirket tarafından işlenen kişisel veri kategorilerinin envanterini tutmak,
Kişisel verileri doğru ve gerektiğinde güncel tutmak,
Kişisel verileri yalnızca yasal düzenlemeler, Şirket’in hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
Kişisel verileri, Veri Sahiplerinin kimlik bilgilerine, kişisel verilerin işlendiği amaçlar için makul ölçüde gereken süreden daha fazla erişilmesine izin vermeyecek bir şekilde saklamak,
Veri gizliliğini, herhangi bir proje ya da faaliyetin başlangıç aşamasında ve ardından hizmet ömrü boyunca bir kilit faktör olarak sağlamak (Gizliliğin Baştan Sağlanması İlkesi),
Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
Kişisel verileri yurtdışına, yalnızca kişilerin açık rızasına uygun olarak veya yeterli korumanın bulunması halinde transfer etmek,
Mevzuat uyarınca izin verilen istisnaları uygulamak,
Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak,
Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların Şirket’in kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek,
Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip çalışanları belirlemek.
Tüm kişisel veri işleme faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmalıdır. Şirket’in politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı amaçlamaktadır:
Hukuka ve dürüstlük kurallarına uygun olma
Doğru ve gerektiğinde güncel olma
Belirli, açık ve meşru amaçlar için işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu doğrultuda Şirket, gerçekleştirdiği kişisel veri işleme faaliyetlerine ilişkin, veri toplama kanallarında ve ilgili formlarda aydınlatma ve gizlilik bildirimlerine yer verir. Şirket tarafından kimlere ilişkin hangi verilerin hangi amaçlarla işlendiğine yönelik açık ve anlaşılabilir bilgilerin yer aldığı bildirimlerin yer alacağı ve ilan edileceği alanlar KVK Komitesi görüşü alınarak belirlenir. Bu bildirimlerde şu hususlara yer verilir:
Şirket’in veri sorumlusu olarak kimliği ve iletişim bilgileri,
İşlenen kişisel veri türleri,
Kişisel verinin işlenme amaçları,
Kişisel verilerin toplanma yöntemleri,
Kişisel verilerin hangi hukuki sebebe dayalı olarak işlendiği,
Veri sahibinin hakları,
Verinin paylaşılabileceği üçüncü taraflar.
Kişisel veri envanterinde, kişisel verilerin işlenme gerekçeleri/amaçları belirlenir ve kişisel veriler başka bir hukuki gerekçe veya veri sahibinin açık rızası olmaksızın belirtilen amaç dışında kullanılamazlar. Bir kişisel verinin kişisel veri envanterinde belirtilmiş amaçlar dışında kullanılmasını gerektiren koşulların doğması halinde, bu durum ilgili çalışan/birim/müdürlük tarafından KVK Komitesi’ne bildirilir. KVK Komitesi yeni amacın uygunluğunu denetler ve gerekliyse veri sahibinin yeni amaçla ve yeni veri işleme faaliyeti konusunda bilgilendirilmesini sağlar.
Kişisel veriler; işlenme amaçlarıyla uygun, ilgili ve sınırlı ölçüde işlenmeli ve doğru ve güncel olmalıdır. Uzun süre boyunca tutulan verilerin doğruluğu ve güncelliği gözden geçirilmelidir. Şirket, tüm çalışanların, verilerin doğru ve güncel olarak toplanması ve saklanması konusunda eğitilmesinden sorumludur.
Tüm veri toplama kanalları hakkında KVK Komitesi’ne bilgilendirme yapılmalıdır.
Çalışanlara ilişkin tutulan verilerin doğruluğu ve güncelliği ilgili çalışanın kendi sorumluluğundadır.
Çalışanlar/müşteriler/ilişki içerisinde bulunulan kurumlar ve diğer ilgili kişiler işlenen kişisel verilerin güncellenmesi için Şirket’i bilgilendirmelidirler.
Kişisel veriler, ilgili kişi, yalnızca veri işleme amacı bakımından gerekliyse teşhis edilebilecek şekilde işlenmelidir.
Kişisel verilerin yedekleme vb. gereklilikler nedeniyle, belirlenen sürenin ötesinde saklanması veya veri güvenliği zafiyeti durumlarında, bireylerin hak ve özgürlüklerinin korunması için, kişisel veriler hakkında Kurul tarafından belirlenmiş güvenli imha etme yöntemleri uygulanır.
Kişisel verilerin saklama ve imha sürecinin tanımlandığı prosedür uyarınca belirlenmiş sürelerden daha fazla süre işlenmesi gerektiğinde, KVK Komitesi’nin yazılı onayı alınır.
Kişisel Verileri işleyen tüm Şirket birimleri, hem yukarıda belirtilen ilkeleri hem de geçerli veri koruma kanunlarını yürürlüğe koyan tedbirlere uymaktan sorumludur ve uyduğunu kanıtlayabilmelidir.
5.2. RİSK DEĞERLENDİRME
Şirket, kişisel veri türlerinin işlenmesiyle bağlantılı riskleri belirler. Belirli türdeki veri işleme faaliyetinin; yapısı, bağlamı ve amaçları doğrultusunda kişisel hak ve özgürlükler üzerinde yüksek risk doğurması muhtemel ise Şirket, veri işleme faaliyeti öncesinde bir etki analizi gerçekleştirerek potansiyel riskleri yönetmelidir. Benzer riskler içeren birden fazla veri işleme faaliyeti için tek bir değerlendirmeye dayanılabilir.
Etki analizi sonunda Şirket’in kişisel hak ve özgürlükler üzerinde yüksek risk doğurabilecek bir veri işleme faaliyetine başlamak üzere olduğu anlaşılırsa, bu konuyla ilgili KVK Komitesi’nin onayı aranır. KVK Komitesi gerekli görmesi halinde Kurul’dan konuyla ilgili görüş alır.
5.3. AÇIK RIZA ALINMASI
Şirket, veri sahibi tarafından belirli veri işleme faaliyetlerine ilişkin ve Kanun tarafından gerekli kılınan durumlarda, bilgilendirilmeye dayanan ve özgür iradeyle hakkında veri işlenmesine ilişkin iradeyi ortaya koyan, yazılı/sözlü beyan veya açık doğrulayıcı eylemle açıklanan rızayı açık rıza olarak kabul etmektedir. Açık rızalar yazılı olarak veya sistemsel olarak ispata elverişli bir şekilde alınır. Açık rıza, veri sahibi tarafından her zaman geri alınabilir.
Açık rızaya dayanan veri işleme faaliyetinin süreklilik arz edecek veya tekrarlanacak olması halinde alınmış açık rızalar kontrol edilir. Bu açık rızaların güncelliği ve doğrulu ilgili birimin sorumluluğundadır. Açık rızaya dayanan veri işleme faaliyetine ilişkin açık rıza formları veya diğer ilgili ispat araçları ilgili birimce saklanır.
5.4. VERİ GÜVENLİĞİ
Tüm çalışanlar, Şirket tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir.
Kişisel verilere ilişkin güvenliği tehdit eden olaylar, KVK Komitesi’nce kesin olarak tespit edildiğinden itibaren en kısa süre ve her halükarda olayın öğrenilmesinden itibaren en geç 72 saat içerisinde Kurul’a ve ilgili kişiye bildirilir.
5.5. VERİ PAYLAŞIMI
Kişisel veriler ancak hukuka ve hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir. Buna göre kişisel verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır:
Veri sahibin açık rızasının alınması,
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Şirket’in taraf olduğu ya da olacağı bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Şirket’in haklarının tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel veriler, ancak yukarıdaki koşulların sağlanması ve hedef ülkede yeterli korumanın bulunması veya veri sahibinin bu aktarım konusunda açık rızasının alınması koşuluyla yurtdışına aktarılabilir.
Kişisel verilerin yurtdışına aktarılmasında Kurul tarafından belirlenen yeterli korumanın bulunduğu ülkeler listesi dikkate alınır.
Kişisel verilerin yurtdışına aktarılması söz konusu olduğunda Kanun ve ilgili mevzuat uyarınca KVK Komitesi, Kurul nezdinde gerekli izin ve bildirimleri sağlar.
Kişisel verilerin paylaşımına ilişkin tüm işlemler gerekçeleriyle birlikte yazılı olarak kayıt altına alınmalıdır. Bu kayıtlar KVK Komitesi’nce belirli periyodlarla denetlenir.
Yasal bir dayanak veya hukuki yükümlülük olmaksızın düzenli bir veri paylaşma ilişkisinin söz konusu olması halinde, söz konusu tarafla veri paylaşımının koşullarını belirleyen bir KVK Taahhütnamesi yapılır.
5.7. VERİ SAHİPLERİNİN HAKLARI
Veri sahipleri, Şirket nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki haklara sahiptir:
Kişisel verisinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVKK veya bu politika uyarınca işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel verilerin silinmesini veya yok edilmesini isteme,
İsteği üzerine yapılan düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sahibinin Başvuru Usulü
Veri sahipleri, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Şirket’e başvurabilir.
Bu durumda Şirket, talebi, niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde Şirket, Kurul tarafından belirlenen tarifedeki ücreti talep edebilecektir.
Taleplerin alınması, iletilmesi ve sonuçlandırılmasına ilişkin süreçler, Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü uyarınca gerçekleştirilir.
Veri sahiplerinin taleplerini yöneltebilmesi için bildirimlerde ve web adresinde, veri sahiplerinin erişim hakkı ve iletişim bilgilerine yer verilir.
Şirket’in tüm çalışanları, görev tanımı ne olursa olsun kendisine yönelmiş veri sahibi erişim taleplerine yönelik olarak doğru başvuru yöntemi konusunda veri sahiplerini yönlendirmekle yükümlüdür. Şirket çalışanları, veri sahiplerinden gelecek talepler konusunda nasıl hareket etmeleri konusunda KVK Komitesi’nce bilgilendirilmelidir.
Bu kapsamda başvurular;
Veri Sahibi’nin şahsen başvurusuyla,
Noter vasıtasıyla yapılabilir.
6. YÜRÜRLÜK VE GÜNCEL TUTMA
İşbu Politika, 01.05.2022 tarihinde yürürlüğe girmiş olup; Kanun, ilgili ikincil mevzuat, Kurul Kararları ve Şirket iş süreçleri doğrultusunda KVK Komitesi tarafından her yıl başında yeniden değerlendirilecek ve gerekmesi halinde güncellenecektir.
1. VERİ SORUMLUSUNUN KİMLİĞİ
POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Şirketimiz”) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusu sıfatını haiz olup Kanun ve diğer uygulanabilir mevzuatta yer alan düzenlemelere uygun olarak kişisel veri işleme faaliyetlerini yürütmektedir.
2. KİŞİSEL VERİLERİN TOPLANMASI, İŞLENMESİ VE İŞLEME AMAÇLARI
Aşağıda yer verilen kişisel verileriniz, elektronik ortamda toplanmakta olup yine aşağıda yer alan amaçlar dâhilinde işlenmektedir:
İnternet sitemiz üzerindeki “İletişimde Kalalım” bölümünü veya “İletişim” sekmesi altında yer alan formu kullanmak suretiyle bizlerle paylaşacağınız ad, soyad ve e-posta bilgileriniz,
İnternet sitemizi ziyaret etmeniz ya da bu sitelerde gezinmeniz halinde çerez verileriniz de işlenecektir.
Anılan kişisel verileriniz; Şirketimizin hizmetlerinin sunulması, müşteri memnuniyetinin artırılması, şikâyet ve önerilerin değerlendirilerek yanıtlanması, istatistikî analizler yapılabilmesi, yasal ve düzenleyici gereksinimlerin yerine getirilmesi ve veri güvenliğinin sağlanması amaçlarıyla ve meşru menfaat hukuki sebebine dayalı olarak işlenmektedir.
Öte yandan, açık rıza vermeniz durumunda, ad, soyad ve e-posta verileriniz ayrıca tanıtım ve pazarlama amaçlarıyla işlenecektir.
3. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verileriniz, Kanun ve sair mevzuat kapsamında ve işbu Aydınlatma Metni’nin 2. maddesinde açıklanan amaçlarla, aktarılmasını gerektiren sebebe bağlı ve bu sebeple sınırlı olmak kaydıyla; Kanun ve ilgili düzenlemeler kapsamında; denetleyici ve düzenleyici kamu kurum ve kuruluşlarına (BTK, TÜİK, mahkemeler, bankalar vb.), denetçilere, yazılım ve donanım destek hizmeti sunan şirketlere ve avukatlar gibi kanunen yetkili özel kişilere, hukuki yükümlülük ve meşru menfaat hukuki nedenlerine dayalı olarak aktarılabilmektedir.
4. KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARINIZ
Kişisel verisi işlenen gerçek kişilerin hakları Kanun’un 11. maddesi sayılmıştır. Kişisel veri sahibi olarak ilgili Kanun maddesinde sayılan haklarınıza ilişkin taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Maslak Meydan Sk. Beybi Giz Plaza A Blok No: 1 İç Kapı No: 65 Sarıyer / İstanbul adresine kimlik bilgilerinizin yazılı olarak ibrazı ve Noter kanalıyla resmi usulde iletilmesi durumunda, talebiniz incelenip sonuçlandırılacaktır. Ayrıca 30 gün içinde ücretsiz olarak dönüş yapılacaktır.
pofft.com olarak web sitemizde yalnızca Operasyonel (Zorunlu) Çerezler kullanmaktayız. Operasyonel çerezler, web sitemizin bazı temel özelliklerinden yararlanmanızı sağlar. Tarayıcı ayarlarınız aracılığıyla çerezlerimizi engeller veya başka bir şekilde reddederseniz bazı özellikler ve hizmetler teknik engeller nedeniyle çalışmayabilir. Örneğin, ödeme aşamasına geçemez veya oturum açmanızı gerektiren hizmetleri kullanamazsınız. Bu bakımdan Operasyonel Çerezeler, seçime bağlı olmaksızın zorunlu olarak kullanılmaktadır.
İşbu Kişisel Verilerin Korunmasına ilişkin Taahhütname (“Taahhütname") 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun") kapsamında Maslak Mah. Maslak Meydan Sk. Beybi Giz Plaza A Blok No: 1 İç Kapı No: 65 Sarıyer / İstanbul adresinde mukim POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (kısaca “Şirket”) ile […Adres…] adresinde mukim […………] (“Hizmet Veren”) arasındaki iş ilişkisi çerçevesinde iletilen kişisel verilerin korunması, işlenmesi, aktarılması, saklanması ve silinmesine ilişkin tarafların hak ve yükümlülüklerini düzenlemek amacıyla akdedilmiş olup, işbu Taahhütname Şirket ve Hizmet Veren arasında akdedilen [.] tarihli [.] Sözleşmesi’nin (“Sözleşme”) devamı mahiyetinde olup, işbu taahhütname Sözleşme’nin eki ve ayrılmaz bir parçasıdır.
Sözleşme’deki tüm diğer hükümler geçerliliğini aynen koruyacak olup, işbu Taahhütname'den etkilenmeyecektir. İşbu Taahhütname Veri İşleyen Hizmet Veren’in taahhütlerini içermektedir.
1. Tanımlar
Kanun:
6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel Veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul:
Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
2. Amaç ve Kapsam
Yukarıda belirtilen sözleşme ilişkisi kapsamında, Şirket veri sorumlusu iken, Hizmet Veren, Sözleşme amacı kapsamında işlenen kişisel veriler bakımından Şirket’in Veri İşleyeni konumundadır. Hizmet Veren, Şirket tarafından kendisine aktarılan kişisel verilerin Şirket adına ve Kanun ile Sözleşme hükümlerine uygun olarak işleneceği yönünde talimat ve icazet vermektedir.
3. Hizmet Veren’in Yükümlülükleri
3.1. Kişisel Veriler, işbu Taahhütname kapsamında Şirket ve Hizmet Veren arasında münakit Sözleşme ilişkisi ile sınırlı olarak aşağıdaki koşullarda işlenecektir.
3.2. Hizmet Veren, Kanun kapsamında kişisel verilerin ve özel nitelikli kişisel verileri, Sözleşme konusu edim ve işlerin ifası ve Şirket’in faaliyetleri kapsamında tabi olduğu mevzuattan doğan yükümlülüklerinin yerine getirilmesi amacıyla işleyecek olup, bu kapsam dışında hiçbir üçüncü kişi ile paylaşmayacaktır.
3.3. Hizmet Veren, Şirket tarafından toplanarak aktarılan kişisel verileri, Şirket adına, onun verdiği talimatlara ve Sözleşme’ye uygun olarak işlemekle yükümlüdür. Herhangi bir sebeple Şirket’in talimatlarına ya da Sözleşme hükümlerine uygunluk sağlayamaması halinde Hizmet Veren, Şirket’i derhal bilgilendirmekle yükümlüdür. Hizmet Veren, bu halde Şirket’in veri aktarımını askıya alma yahut Sözleşme’yi feshetme hakkına sahip olacağını kabul eder.
3.4. Hizmet Veren, aktarılan kişisel verilere ilişkin olarak; Sözleşme tarihinde Sözleşme’ye aykırı ulusal düzenleme olup olmadığını araştırmakla ve böyle bir düzenlemenin bulunduğunu fark etmesi ya da Sözleşme’de yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat değişikliği yapılması hallerinde durumu Şirket’e bildirmekle yükümlüdür. Hizmet Veren, bu halde veri sorumlusunun veri aktarımını askıya alma ve Sözleşme’yi feshetme hakkına sahip olacağını kabul eder.
3.5. Veri sahibinin herhangi bir şekilde Hizmet Veren’den ilgili mevzuat kapsamındaki haklarıyla ilgili bir talepte bulunması halinde, Hizmet Veren söz konusu talebe ilişkin olarak derhal (her halükarda ertesi iş günü) Şirket’e yazılı bildirimde bulunacak ve gerekli aksiyonları derhal alacaktır. Yine Hizmet Veren'e gelen taleplere cevap verilmesi ve taleplerin gereğinin yapılması (bilgi verilmesi talebi, silme talebi vb.) için Hizmet Veren tarafından Şirket’e yazılı bildirimde bulunulacak, bu bildirimin gereği Hizmet Veren tarafından en geç beş (5) iş günü içerisinde yerine getirilecektir. Hizmet Veren aktarıma konu kişisel verilerin işlenmesi hususunda Kurul’un karar ve görüşlerine uyacaktır.
3.6. Hizmet Veren, taraflar arasındaki sözleşme kapsamında işlenen kişisel verilere herhangi bir şekilde yetkisiz erişim gerçekleşmesi ve/veya adli bir makamdan gelen ve kişisel verilerin söz konusu adli makama açıklanmasını gerektiren yasal olarak bağlayıcı taleplerin bulunması durumlarında, derhal (aynı gün içerisinde) Şirket’e söz konusu durumu bildirecek ve bu durumdan doğabilecek zararların minimize edilmesi ve doğan zararın giderilmesi için Şirket ile işbirliği içerisinde çalışarak talep edilen her türlü bilgi, belge ve desteği gecikmeksizin Şirket’e sağlayacaktır.
4. Şirket’in Yükümlülükleri
4.1. Şirket tarafından Hizmet Veren’e aktarılacak kişisel verilerin, Hizmet Veren tarafından işlenmesi için ilgili veri sahiplerine yürürlükte bulunan kişisel verilerin korunması mevzuatı kapsamında gerekli bilgilendirmelerin yapılması ve veri sahiplerinden anılan mevzuata uygun içerik ve formatta gerekli izin ve onayların alınması münhasıran Şirket’in sorumluluğunda olacaktır.
5. Kişisel Verilerin İadesi
Hizmet Veren, taraflar arasındaki Sözleşme’nin herhangi bir sebeple feshedilmesi veya yürürlük süresinin sona ermesi gibi herhangi bir nedenle sözleşmesel ilişkinin son bulması durumunda, Şirket’in tercihine bağlı olarak, kendisi ve/veya taşeronlarında bulunan aktarıma konu tüm kişisel verileri ve bilgi ve verinin herhangi bir parçasının tüm kopyalarını yedekleri ile birlikte Şirket’e geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta veri işleyenin bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli her türlü teknik ve idari tedbiri alacağını ve veri işleme faaliyetini durduracağını kabul eder.
6. Mevzuata Aykırılık ve Tazmin Yükümlülüğü
6.1. Hizmet Veren, kişisel verilerin korunmasına ilişkin herhangi bir mevzuatı ihlal etmesi halinde, Şirket’in bundan kaynaklanan zararını tüm tazmin edeceğini ve Şirket nezdinde meydana gelebilecek her türlü bir masraf, adli veya idari para cezaları ile ilgili üçüncü kişiler tarafından Şirket’e yöneltilecek her türlü tazminat talebi ile bu yönde yapılan tüm masrafları karşılamakla yükümlü olduğunu gayrikabili rücu beyan, kabul ve taahhüt eder.
6.2. Hizmet Veren, tüm çalışanlarının, temsilcilerinin, ortaklarının ve taşeronlarının işbu Taahhütname’nin bir parçası olarak, kişisel veri işlerken yukarıda belirtilen tüm koşullara ve Kanun ile ikincil mevzuata uyacaklarını temin ve taahhüt eder. Hizmet Veren, kendi süreçlerinin ve çalışanlarının işlemlerinin Kanun ve ilgili ikincil düzenleme hükümlerine uyumlu olacağını ve bu konuda gerekli tüm teknik ve idari önlemleri alacağını kabul, beyan ve taahhüt eder. Hizmet Veren, işbu maddede belirtilen taahhüt ve yükümlülüklerine aykırı davranması, bir başka ifadeyle Hizmet Veren’in çalışanlarının, temsilcilerinin, ortaklarının ve taşeronlarının işbu Taahhütname ile üstlenilen edimlerini ve yükümlülüklerini yerine getirmemesi ve/veya Kanun ile ilgili ikincil düzenleme hükümlerine aykırı davranması halinde, Şirket nezdinde meydana gelebilecek tüm zararlardan işbu Taahhütname’nin 6.1. maddesi gereğince sorumlu olacağını gayrikabili rücu beyan, kabul ve taahhüt eder.
7. Denetim Yetkisi
Şirket’in, kişisel verileri koruma mevzuatı ile Hizmet Veren’in işbu Taahhütname ile üstlenmiş olduğu edim ve yükümlülüklerine uyumluluğu konusunda, Hizmet Veren’i her zaman denetleme ve bilgi talep etme hakkı da bulunmaktadır. Şirket dilediğinde işbu denetleme hakkını uygun gördüğü üçüncü kişilere veya yetkilendirilmiş çalışanlarına devredebilir. Bu kapsamda Şirket, Hizmet Veren’in ilgili mevzuat ve Taahhütname hükümlerine uyumluluğu konusunda yönlendirme ve uyarılarda bulunabilecektir. Hizmet Veren, gerek kişisel verilerin korunması mevzuatına gerekse işbu Taahhütname hükümlerine aykırı eylemlerini sürdürmesi halinde, Şirket’in Sözleşme’yi haklı nedenle derhal ve tazminatsız feshetme hakkı olduğunu bildiğini ve Şirket’in bu uğurda meydana gelebilecek tüm zararını tazmin etmekle yükümlü olduğunu beyan, kabul ve taahhüt eder.
8. Hak ve Yükümlülüklerin Devri
8.1. Hizmet Veren, işbu Taahhütname'den kaynaklanan hak ve yükümlülüklerini üçüncü kişilere devir ve temlik edemez.
8.2. Hizmet Veren, işbu Taahhütname kapsamındaki kişisel verilerin işlenmesi kapsamında veri işleyen veya alt yüklenici kullanılması durumunda, Şirket’in ispat edilebilir şekilde bilgilendirilmesi ve yazılı ön onayının alınması gerekmektedir. Bu durumda Taahhütname'de yer alan düzenlemelerinin ilgili veri işleyen sözleşmesine aynen yansıtılması zorunludur. Alt yüklenici kullanılan hallerde dahi Hizmet Veren’in işbu Taahhütname kapsamındaki yükümlülük ve sorumlulukları aynen devam eder.
9. Uygulanacak Hukuk ve İhtilafların Halli
İşbu Taahhütname’nin yürürlüğü ve Taahhütname’den kaynaklanan uyuşmazlıkların çözümü Türk hukukuna tabi olacak ve Taahhütname'den kaynaklanan ihtilafların hallinde İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkili olacaktır.
İşbu Taahhütname, [.] tarihinde iki (2) asıl nüsha olarak akdolunmuş ve birer ıslak imzalı nüshası taraflara teslim edilmiştir.
…………….…………………… adresinde mukim ……………………… (kısaca “……………..…” olarak anılacaktır), Maslak Mah. Maslak Meydan Sk. Beybi Giz Plaza A Blok No: 1 İç Kapı No: 65 Sarıyer / İstanbul adresinde mukim POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Pofft” olarak anılacaktır) için vereceği hizmetler kapsamında aşağıda yer verilen yükümlülüklere eksiksiz olarak uyacağını kabul, beyan ve taahhüt eder:
“………………………….…., Pofft için vereceği hizmetler kapsamında, Pofft’a ve/veya çalışanlarına ve/veya temsilcilerine ve/veya müşterilerine dair edinmiş olduğu her türlü kişisel veriyi işlerken 6698 sayılı Kişisel Verilen Korunması Hakkında Kanunu’na uygun davranacağını, bu verileri, 6698 sayılı Kanun’da sayılan, veri işlemeyi hukuka uygun hale getiren nedenlerden biri olmadıkça kendisinden başka hiçbir kurum/kuruluş/kişi ile paylaşmayacağını, sadece kendi yetkili personelleri tarafından, Pofft’a sunacağı hizmetin amaç ve kapsamı ile sınırlı olmak kaydıyla ve yalnızca bu amaçla kullanılmak için edinileceğini ve amaçla bağlantılı süre kısıtlaması altında işlenebileceğini, söz konusu verilerle ilgili her türlü teknik ve idari tedbiri alacağını, yasal süreler veya işleme amacı ortadan kalktığında verileri derhal sileceğini veya yok edeceğini veya anonim hale getireceğini, bahsi geçen yükümlülüklere uyulmaması nedeni ile Pofft’a yöneltilebilecek olan her hangi bir idari veya cezai yaptırım olması halinde ilgili zararlar için kendisine rücu edileceğini kabul, beyan ve taahhüt eder.”
1. KAPSAM
Şirketimiz POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Şirketimiz”) hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda, işlemekte olduğu kişisel verilerin üçüncü kişilere aktarımında 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’da öngörülen yükümlülüklerine uygun şekilde hareket etmektedir.
İşbu Kişisel Verilerin Aktarımına İlişkin Politika (“Politika”), Şirketimiz tarafından toplanarak işlenmekte olan kişisel veriler ile özel nitelikli kişisel verilerin Türkiye’de yahut yurt dışında yerleşik üçüncü kişilere aktarılmasına ilişkin usul ve esasları düzenlemektedir.
2. KİŞİSEL VERİLERİN AKTARILMASI
Aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olmadığı durumlarda kural olarak ilgili kişinin kişisel verileri, sadece bu kişinin açık rızasının alınması halinde aktarılabilir. Ancak, kişinin açık rızası olmasa bile aşağıdaki şartlardan bir ya da birkaçının mevcut olması halinde, Şirketimiz tarafından azami özen gösterilerek ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler iş ortaklarımız, tedarikçilerimiz, iştiraklerimiz, danışmanlarımız vb. gibi üçüncü kişilere aktarılmaktadır.
Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
Kişisel verilerin Şirketimiz tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
Kişisel verilerin Şirket tarafından aktarılmasının Şirketimizin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
3. Kişisel Verilerin Yurt Dışına Aktarılması
kişisel veriler, ilgili kişinin açık rızası olması durumunda Türkiye dışındaki ülkelere aktarılabilecektir. Yukarıda 1. maddede sayılan koşulların varlığı halinde ise, ilgili kişinin açık rızası olmayan durumlarda; kişisel veri aktarımının Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelerden birine yapılması veya yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması halinde, kişisel veriler yurtdışına aktarılabilecektir.
4. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz tarafından işlenen özel nitelikli kişisel veriler, Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde üçüncü kişilere aktarılabilecektir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın ilgili üçüncü kişilere aktarılabilecektir. Aksi halde, veri sahibinin açık rızası alınacaktır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından aktarılabilir.
Şirketimiz çalışanlarına ait, sağlık verileri de dahil olmak üzere özel nitelikli kişisel veriler, Şirketimiz ile arasındaki hizmet ilişkisinin sürdürülmesi bakımından ve 6331 sayılı İş Sağlığı ve Güvenliği kanunu ile sair iş sağlığı ve güvenliği mevzuatı uyarınca, Şirketimiz işyeri hekimine ve Ortak Sağlık ve Güvenlik Birimi hizmeti veren firmaya aktarılmaktadır.
Özel nitelikli kişisel veriler, e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmalıdır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı ortamda tutulmalıdır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmelidir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizli” formatta gönderilmelidir.
5. Yürürlük ve Güncel Tutma
İşbu Politika, 01.05.2022 tarihinde yürürlüğe girmiş olup; Kanun, ilgili ikincil mevzuat, Kurul Kararları ve Şirketimiz iş süreçleri doğrultusunda KVK Komitesi tarafından her yıl başında yeniden değerlendirilecek ve gerekmesi halinde güncellenecektir.
1. GİRİŞ
1.1. Amaç
Kişisel Verileri Saklama, Kayıt ve İmha Prosedürü (“Prosedür”), POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Şirket”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel verilerin kaydı, saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Prosedüre uygun olarak gerçekleştirilir.
1.2. Kapsam
Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, tedarikçiler, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler, işbu Prosedür kapsamında olup; Şirket’in sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde işbu Prosedür uygulanır.
1.3. Kısaltmalar ve Tanımlar
Alıcı Grubu: Veri sorumlusu Şirket tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Prosedür: İşbu Kişisel Verileri Kayıt, Saklama ve İmha Prosedürü.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu Şirket’i.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
Yönetmelik: 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. SORUMLULUK VE GÖREV DAĞILIMLARI
Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Prosedür kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Tablo 1: Sorumlu Personel ve Görev Dağılımı| PERSONEL | GÖREVİ | SORUMLULUK |
|---|
Adı-Soyadı
Unvan | İrtibat Kişisi | Her bir departmanın iş süreçlerinin saklama ve periyodik imha sürelerine uygun gerçekleşip gerçekleşmediğinin gözetimi |
Adı-Soyadı
Unvan | BİLGİ İŞLEM
Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Adı-Soyadı
Unvan | SATIŞ ve PAZARLAMA
Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Adı-Soyadı
Unvan | FİNANS VE MUHASEBE
Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
3. KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından aşağıdaki ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır:
Tablo 2: Kişisel Veri Saklama Ortamları| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|---|
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları ve Şirketçe kullanılan diğer yazılımlar)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi
| - Kağıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
- Yazılı, basılı, görsel ortamlar
|
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; çalışanlar, çalışan adayları, ziyaretçiler, tedarikçiler, müşteriler, hizmet sağlayıcıları, diğer üçüncü kişiler, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1. Saklamaya İlişkin Açıklamalar
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerinde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklanır.
4.1.1. Kişisel Sağlık Verileri
Şirket tarafından toplanan ve saklanan çalışanlara ilişkin sağlık verileri, yalnızca Şirket bünyesinde görev alan işyeri hekimi tarafından işlenebilecek ve işyeri hekimine ait özel odada ve kilitli dolaplarda saklanabilecektir.
Zorunlu hallerde, söz konusu sağlık verilerinin bulunduğu dolaba erişim, yalnızca İrtibat Kişisi tarafından sağlanabilecek, başkaca hiçbir çalışan veya yetkilinin söz konusu verilere erişimi söz konusu olmayacak ve verilerin kullanılması ile ilgili yapılması gereken işin sona ermesi ile birlikte, söz konusu veriler aynı yere kaldırılacak ve aynı şekilde kilitli olarak muhafaza edilecektir.
4.1.2. Diğer Özel Nitelikli Kişisel Veriler
Gerek Şirket çalışanları gerekse 3. Kişilere ait olan özel nitelikli kişisel veriler, işlenme sebebine bakılmaksızın, yalnızca İrtibat Kişisinin erişebileceği ve sadece bu verilerin yer aldığı belge, kayıt vb. ortamları saklamak üzere özel olarak ayrılmış kilitli dolaplarda muhafaza edilecektir.
4.1.3. Saklamayı Gerektiren Hukuki Sebepler
Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar Şirket nezdinde muhafaza edilir.
Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
213 sayılı Vergi Usul Kanunu ve ilgili diğer vergi mevzuatı,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4857 sayılı İş Kanunu,
6102 sayılı Türk Ticaret Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik.
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.4. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
İnsan kaynakları süreçlerini yürütmek,
İş sağlığı ve güvenliği süreçlerini yürütmek,
Şirket güvenliğini sağlamak,
Bilgi teknolojileri süreçlerini yürütmek,
Sistem erişimini ve güvenliğini sağlamak,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve edimleri ifa edebilmek,
Müşteri raporlamalarını yapabilmek,
Satış ve pazarlama süreçlerini yerine getirmek,
Sponsorluk ve kurumsal iletişim faaliyetlerini yerine getirmek,
Müşteri ilişkileri ve memnuniyeti süreçlerini yürütmek,
Bayi kanal yönetimi süreçlerini yürütmek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
Şirket ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
Yasal raporlamalar yapmak,
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
4.2. İmhayı Gerektiren Sebepler
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
4.3. İmhanın Tutanak Altına Alınması
Her bir imha sürecinin sonunda ilgili imha işlemi, bir tutanak ile imha sürecini gerçekleştiren departman sorumlusu ve İrtibat Kişisi tarafından kayıt altına alınır. Söz konusu tutanak 5 yıl süreyle Şirket bünyesinde saklanır.
5. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ve Şirket tarafından ihdas edilen Özel Nitelikli Kişisel Veri İşleme Prosedürü kapsamında, tarafından teknik ve idari tedbirler alınır.
5.1. Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Sızma (Penetrasyon) testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Şirket’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Şirket internet sayfasına erişimde güvenli protokol (https) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir prosedür belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili diğer mevzuat hakkında belli aralıklarla eğitimler verilmektedir.
Çalışanlar için yetki matrisi oluşturulmuştur.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik ve kişisel verilerin korunması taahhütnameleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanmak üzere gerekli hükümler Disiplin Yönetmeliğine eklenmiştir.
Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Kişisel verilerin işlenmesine ilişkin genel politika ve bu konuya ilişkin prosedürler hazırlanarak yayımlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir prosedür belirlenmiştir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1. Kişisel Verilerin Silinmesi
Kişisel veriler Şirket tarafından Tablo 3’te verilen yöntemlerle silinir.
Tablo 3: Kişisel Verilerin Silinmesi| Veri Kayıt Ortamı | Açıklama |
|---|
| Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süresi sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Arşivde kilitli dolaplarda saklanır ve bu dolapların kilitleri yalnızca evrak arşivinden sorumlu birim yöneticisinde bulunur. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süresi sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek anahtarları güvenli ortamlarda saklanır. |
6.2. Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından Tablo 4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi| Veri Kayıt Ortamı | Açıklama |
|---|
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
| Optik/Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
6.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
Veri kategorileri bazında saklama süreleri VERBİS kaydında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Şirket tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi işbu Prosedür’ün 2. maddesinde belirtilen sorumlular tarafından yerine getirilir.
8. PERİYODİK İMHA SÜRESİ
Yönetmelik’in 11. maddesi gereğince Şirket, periyodik imha süresini altı (6) ay olarak belirlemiştir. Buna göre, Şirket nezdinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI
Prosedür, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket nezdinde dosyasında saklanır.
10. PROSEDÜR’ÜN GÜNCELLENME PERİYODU
Prosedür, mevzuat değişikliklerinde ve ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
11. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Prosedür, 01.05.2022 tarihi itibariyle yürürlüğe girmiştir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları Şirket yetkili organlarınca iptal edilir ve en az beş (5) yıl süre ile Şirketçe dosyasında saklanır.
1. AMAÇ
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesinin 5. fıkrasına göre POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ (“Şirket”) veri sorumlusu olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede (en geç 72 saat içerisinde) ilgilisine ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmekle yükümlüdür.
İşbu Kişisel Veri İhlali Müdahale Prosedürü (“Prosedür”), kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde oluşacak krize nasıl müdahale edileceği ve atılacak adımların neler olduğu konusunda çalışanları bilgilendirmek amacıyla hazırlanmıştır.
2. SORUMLULUK
Şirket’in tüm çalışanları Prosedür’ün uygulanmasından sorumludur. Prosedür’e aykırı hareket eden çalışanlar “Disiplin Prosedürü” hükümlerine tabi olacaktır.
3. KİŞİSEL VERİ İHLALİ
Kişisel veri ihlali, kişisel verilerin kanuna aykırı bir şekilde elde edilmesi, hukuka aykırı bir şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.
Aşağıda yer alan durumlar, sınırlı olmamak üzere, genel olarak kişisel veri ihlali olarak değerlendirilir:
Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması,
Kişisel veri içeren elektronik belgelerin, donanım veya yazılımlar aracılığıyla şirket dışına çıkarılması,
Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi,
Gizli bilgilerin hukuka aykırı şekilde ifşası,
Kişisel veri ve/veya gizli bilgi içeren e-postaların yanlışlıkla şirket dışında ilgisiz kişilere iletilmesi, gönderimi,
Bilgi Teknolojileri ekipmanlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (örneğin; siber saldırı) gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması.
4. KRİZ MÜDAHALE EKİBİ
Kişisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için aşağıdaki departmanlardan belirlenen katılımcıların dahil edileceği bir Kriz Müdahale Ekibi (“Ekip”) oluşturulur:
Veri Sorumlusu İrtibat Kişisi
Veri Sorumlusu Yönetim Kurulu Başkanı
İhlalin Meydana Geldiği Departmanın Yöneticisi
Hukuk Danışmanı
5. KRİZ MÜDAHALE SÜRECİ
Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 Tarih ve 2019/10 Sayılı Kararı (“Karar”) uyarınca, Şirket’in kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki (72) saat içinde Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.
Söz konusu yükümlülüklerin yerine getirilebilmesi için, bir veri ihlali durumunda öncelikle şirket içerisinde belirli adımlar takip edilmelidir:
Krize ilişkin ön değerlendirme,
Engelleme ve kurtarma çalışmalarının yürütülmesi,
Risklerin değerlendirilmesi,
Bildirim,
Değerlendirme ve iyileştirme.
5.1. Krize İlişkin Ön Değerlendirme
Şirket nezdinde gerçek veya potansiyel bir veri ihlalinin söz konusu olması halinde, ilgili tüm çalışanlar, Veri Sorumlusu İrtibat Kişisi’ne derhal ve gecikmeksizin durumu bildirmekle yükümlüdür. Bu kapsamda ilgili çalışan aşağıdaki hususları içerir bir rapor hazırlayarak, veri ihlalini Veri Sorumlusu İrtibat Kişisi’ne bildirir:
Kişisel veri ihlalinin gerçekleşme tarihi ve saati,
Kişisel veri ihlalinin tespiti tarihi ve saati,
Kişisel veri ihlali olayına ilişkin açıklamalar,
Eğer biliniyorsa kişisel veri ihlalinden etkilenen kişi ve kayıt sayısı,
Kişisel veri ihlalinin tespit edildiği tarihte varsa atılan adımlara, alınan önlemlere ilişkin açıklamalar,
Raporu hazırlayan çalışanın/çalışanların adı soyadı, iletişim bilgileri ve rapor tarihi.
Veri Sorumlusu İrtibat Kişisi, rapor kapsamında belirtilen hususları dikkate alarak bir ön değerlendirme yapar ve eş zamanlı olarak raporu Hukuk Danışmanı ile paylaşır. İrtibat Kişisi, bu değerlendirmeyi yaparken gerçekten bir veri ihlalinin söz konusu olup olmadığını, ihlalin kapsamını, oluşabilecek etkilerini de göz önünde bulundurarak, Ekip ile birlikte veri ihlalinin araştırılması için kapsamlı bir soruşturma başlatır.
5.2. Engelleme ve Kurtarma Çalışmalarının Yürütülmesi
Veri ihlalinin, Şirket ve ilgili kişiler üzerindeki etkilerinin azaltılabilmesi için engelleme ve kurtarma çalışmaları ekibin gözetiminde yürütülür. Bu kapsamda öncelikle veri ihlalinden haberdar edilmesi gereken departmanlar tespit edilir ve bu kişilere ihlalin kontrol edilebilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir. Akabinde veri ihlalinden etkilenecek kişilerin ve kayıtların neler olduğu tespit edilmeye çalışılır ve varsa bu kişilerin iletişim bilgileri de belirlenir. Eş zamanlı olarak, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı değerlendirilir.
5.3. Risklerin Değerlendirilmesi
Kişisel veri ihlalleri, ihlalden etkilenen kişiler üzerinde kimlik hırsızlığı, hakların kısıtlanması dolandırıcılık, finansal kayıp, itibar kaybı, kişisel verilerin güvenliğinin kaybı, ayrımcılık gibi birçok olumsuz etki oluşturabilir. Bu nedenle kişisel veri ihlalinin olası sonuçlarının Şirket ve ihlalden etkilenen kişiler üzerinde ne gibi etkiler oluşturabileceğinin dikkatli bir şekilde değerlendirilmesi ve risklerin ortaya koyulması çok önemlidir.
Ekip tarafından riskler değerlendirilirken, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve hacmi ile etkilenen bireylerin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket’in faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları ayrı ayrı ele alınmalıdır. Bunların sonucuna göre veri ihlali “düşük düzeyde, orta düzeyde veya yüksek düzeyde risk” olarak nitelendirilir:
Düşük düzeyde risk: İhlal ilgili kişiler üzerinde olumsuz herhangi bir etkiye neden olmamakta ya da bu etki ihmal edilebilir düzeyde kalmaktadır.
Orta düzeyde risk: İhlal ilgili kişiler üzerinde olumsuz etkilere neden olabilir fakat bu etki büyük değildir.
Yüksek düzeyde risk: İhlal etkilenen kişiler üzerinde ciddi düzeyde olumsuz etkilere neden olmaktadır.
Orta ve özellikle yüksek düzeyde risk olarak tanımlanan veri ihlallerine ilişkin veri sorumlusu üst yönetimine Ekip tarafından bilgi verilir.
5.4. Bildirim
Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere bildirilmesi gerekmektedir.
5.4.1. Kurul’a Bildirim
Veri Sorumlusu İrtibat Kişisi, öncelikle kişisel veri ihlalinden haberdar olduğu andan itibaren gecikmeksizin ve en geç yetmiş iki (72) saat içerisinde Kurul’a bu durumu bildirmekle yükümlüdür. Bu nedenle, Şirket içerisinde tüm çalışanların herhangi bir veri ihlali durumunu vakit kaybetmeksizin Veri Sorumlusu İrtibat Kişisi’ne bildirmesi, Şirket’in herhangi bir yaptırımla karşı karşıya kalmaması için önem arz etmektedir.
Kurul’a yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayınlanmış olan Kişisel Veri İhlali Başvuru Formu kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir. Haklı bir gerekçe ile yetmiş iki (72) saat içerisinde Kurul’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.
5.4.2. İhlalden Etkilenen Kişilere Bildirim
Şirket, kişisel veri ihlalinden etkilen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa uygun yöntemlerle (örneğin internet sitesi üzerinden duruma ilişkin bir duyuru yayınlanması) bildirim yapmalıdır. Söz konusu bildirimler, Ekibin desteğiyle Veri Sorumlusu İrtibat Kişisi tarafından gerçekleştirilir.
Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca Şirket tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak aşağıdaki unsurları içermesi gerekir:
İhlalinin ne zaman gerçekleştiği,
Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
Kişisel veri ihlalinin olası sonuçları,
Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun internet sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi.
5.4.3. Diğer Bildirimler
Şirket’in hukuken yapması zorunlu olan bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar göz önünde bulundurularak üçüncü kişilere de bildirim yapılması gerekebilir. Bu kişiler, diğer veri sorumluları ya da veri işleyenler, dış danışmanlar, adli makamlar, bankalar olabilir. Ekip, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.
5.5 Değerlendirme ve İyileştirme
Şirket tarafından kişisel veri ihlallerine ilişkin tüm bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulması gerekmektedir. Veri Sorumlusu İrtibat Kişisi ve Ekip, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda Ekip, aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlar:
Olası kişisel veri ihlallerinin etkilerini azaltmak için hangi adımların atılması gerektiği,
Kişisel veri ihlali nedeniyle herhangi bir politika, prosedür ya da raporlamada iyileştirme gerekip gerekmediği,
Kişisel veri ihlalinin tekrarlanmasını önleyebilmek için ek bir idari ve/veya teknik tedbir alınmasının gerekli olup olmadığı,
İhlalin tekrarlanmasını önleyecek bir personel farkındalık eğitimi gerekliliği,
İhlallere maruz kalmayı ve maliyet etkilerini azaltmak için kaynaklara/altyapıya ek yatırım yapılmasının gerekli olup olmadığı.
6. İLGİLİ POLİTİKA VE PROSEDÜRLER
Bu Prosedür, Şirket nezdinde kişisel verilerin korunması ve işlemesine ilişkin yürürlüğe konmuş tüm politika ve prosedürler ile birlikte ele alınmalıdır.
7. YÜRÜRLÜK VE GÜNCEL TUTMA
İşbu Prosedür, 01.05.2022 tarihinde yürürlüğe girmiş olup; Kanun, ilgili ikincil mevzuat, Kurul Kararları ve Şirket iş süreçleri doğrultusunda KVK Komitesi tarafından her yıl başında yeniden değerlendirilecek ve gerekmesi halinde güncellenecektir.
İşbu Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü (“Prosedür”), veri sahipleri tarafından bilgi edinme amacıyla POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ’ne (“Şirket”) yapılan başvuruların alınması, değerlendirilmesi ve yanıtlanmasına ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel verilere ilişkin olarak veri sahipleri tarafından yapılan başvuruların alınması, değerlendirilmesi ve yanıtlanmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Prosedür’e uygun olarak gerçekleştirilir.
1. TANIMLAR
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul: Kişisel Verileri Koruma Kurulu
Veri Sahibi: Kişisel verisi işlenen gerçek kişi
Kişisel Veri: Kanun kapsamında bulunduğu sürece, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
2. BAŞVURUNUN ALINMASI
2.1. Başvurunun Şekli
Veri Sahipleri, Şirket tarafından toplanan kişisel verilerine ilişkin bilgi almak ve Kanun’un 11. maddesinde belirtilen haklarını kullanmak için yapacakları başvurularına Kanun’un 13. maddesi uyarınca yazılı olarak Şirket irtibat kişisine ileteceklerdir.
Buna göre Veri Sahiplerince yapılacak başvurular yazılı olarak aşağıdaki şekilde yapılabilir:
Maslak Mah. Maslak Meydan Sk. Beybi Giz Plaza A Blok No: 1 İç Kapı No: 65 Sarıyer / İstanbul adresine kimlik teyidinizin yapılması sağlanarak bizzat;
Noter kanalıyla resmi usulde.
2.2. Başvurunun İçeriği
Veri Sahibi taleplerinin değerlendirilebilmesi için öncelikle Veri Sahibinin, Şirket nezdinde işlenen kişisel verilerin sahibi olup olmadığı tespit edilecektir. Bu bakımından, Kanun kapsamında Şirketimize yapılacak başvurularda Veri Sahibinin kimlik bilgilerinin açıkça ve gerçeğe uygun şekilde belirtilmesi gerekmektedir.
Şarta bağlı olan taleplerde Veri Sahibi, bu şartın nasıl gerçekleştiği konusunda gerekli bilgileri vermeli ve bu iddiasını kanıtlayacak belgeleri Şirket’e iletmelidir.
İşbu Prosedür’de belirlenen yollarla alınmayan başvurular, Veri Sahibinin kimliği tespit edilmiş ve Şirket tarafından Kanun kapsamında başvuru için istenen bilgi ve/veya belgeler sağlanmış ise bu tür yolarla yapılan başvurular değerlendirmeye alınabilecektir. Aksi takdirde, yapılan başvurular usule aykırılık sebebiyle reddedilecektir.
İşbu maddede belirtilen nitelikleri taşımayan başvurular değerlendirilerek, istenen bilgiler elde edilene kadar Veri Sahibi ile iletişimde olunacak; ancak talep edilen bilgi ve/veya belgelerin Veri Sahibi tarafından temin edilmemesi halinde Veri Sahibi’nin başvurusu usule aykırılık sebebiyle reddedilecektir.
3. DİĞER DURUMLAR
3.1. Vekil veya Yasal Temsilci Tarafından Yapılan Başvuru
Kanun kapsamında Şirket’e yapılacak başvurular, kanıtlayacak resmi belgenin ibrazı halinde Veri Sahibi’nin vekili veya kanuni temsilcisi tarafından da yapılabilecektir.
3.2. Başvuru Ücreti
Kanun’da Veri Sorumlusu’nun kendisine iletilen talebi ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin ayrıca bir maliyeti gerekmesi halinde Kurul’un belirleyeceği esaslar doğrultusunda bir ücretlendirme yapılmasının da mümkün olabileceği ifade edilmiştir. Bu kapsamda, Şirket’e yapılacak başvuruların sonuçlandırılmasının herhangi bir ek maliyet gerektirmesi halinde, Şirket Veri Sahibi’nden ücret talep edebilecektir.
4. BAŞVURU DEĞERLENDİRME SÜRECİ
Veri Sahibi tarafından yapılan başvurularda eksik bilgi ve/veya belge olduğunun tespiti halinde, bu husus Veri Sahibi’ne bildirilecektir. Talep edilen bilge ve/veya belgelerin Veri Sahibi tarafından temin edilmemesi halinde Veri Sahibi’nin başvurusu usule aykırılık sebebiyle reddedilecektir.
Üçüncü kişilere ait kişisel verileri paylaşmadan Veri Sahibi’nin başvurusunun yanıtlanması mümkün olmayan durumlarda Şirket tarafından aşağıdaki üç adımlı değerlendirme süreci uygulanacaktır:
Başvurunun üçüncü kişiye ait kişisel verileri paylaşmadan yanıtlanmasının (örneğin, üçüncü kişiye ait kişisel verilerin silinmesi veya karartılması) mümkün olup olmadığı değerlendirilecektir.
Üçüncü kişinin kişisel verilerinin paylaşılmasına açık rıza verip vermediği tespit edilecektir.
Üçüncü kişinin açık rızasının alınmayacak olması halinde, söz konusu kişisel verilerin açık rıza alınmaksızın paylaşılıp paylaşılamayacağı değerlendirilecektir.
Üçüncü kişinin verisi paylaşılmaksızın başvurunun sonuçlandırılmasının mümkün olmaması halinde; öncelikle, kişisel verisi paylaşılmak durumunda kalınan Veri Sahibi’nden açık rıza alınması yoluna başvurulacaktır. Üçüncü kişinin verilerinin paylaşılmasına rıza vermemesi halinde, üçüncü kişinin bilgileri tamamen ayıklanarak başvuru yanıtlanacaktır.
Kişisel verileri paylaşılacak olan üçüncü kişiye ulaşılamaması halinde, üçüncü kişi kişisel verilerini içeren bilginin paylaşılması konusunda Şirket tarafından azami dikkat ve hassasiyet gösterilecektir. Bu şekilde, zorunlu olması halinde üçüncü kişilere ait kişisel veriler de paylaşılabilecektir.
5. BAŞVURULARIN DEĞERLENDİRME SÜRELERİ
Veri Sahibi’nin talepleri, Şirket tarafından en kısa sürede ve en geç otuz (30) gün içerisinde değerlendirilerek sonuçlandırılacaktır.
Şirket’e yapılan başvurular, azami üç (3) gün içerisinde Şirket’in ilgili departmanına yönlendirilecek; başvurunun yönlendirildiği departman tarafından yapılacak araştırmalar azami bir (1) hafta içerisinde sonuçlandırılacaktır.
6. BAŞVURULARIN YANITLANMASI
Veri Sahibi tarafından Şirket’e yapılan başvurular, Şirket nezdinde atanan irtibat kişisi tarafından yanıtlanır ve başvurulara ilişkin yanıtlarda aşağıdaki bilgilere yer verilir:
Talebi Yapan Başvuru Sahibi
Talepler
Talepler Neticesinde Sağlanan Bilgi ve Belgeler
Talebin Alınma Tarihi
Taleple ilgili ekstra bilgi ve belge talep edilmiş ise; bu taleplerin tarihi ve ilgili cevapların alınması tarihi
Taleple ilgili yapılan işlemler
Taleplere Karşı Şirketin Cevapları
Talep Yanıtlama Tarihi
Yetkili İmza
İlgili başvuruyla ilişkin oluşan olay kayıtları, evraklar ve sonuçları bu konuda oluşturulan elektronik dizinde saklanır. Yazılı gönderi kaydının bir kopyası da arşivde saklanır.
7. YÜRÜRLÜK VE GÜNCEL TUTMA
İşbu Prosedür, 01.05.2022 tarihinde yürürlüğe girmiş olup; Kanun, ilgili ikincil mevzuat, Kurul Kararları ve Şirket iş süreçleri doğrultusunda KVK Komitesi tarafından her yıl başında yeniden değerlendirilecek ve gerekmesi halinde güncellenecektir.
1. Amaç
Bu dokümanın amacı, POFFT DİJİTAL ÇÖZÜMLER TİCARET ANONİM ŞİRKETİ’nin (“Şirket”) gerçek kişilerden topladığı ve işlediği özel nitelikli kişisel verilerin işlenmesi ilişkin sürecin adımlarının tanımlanması ve bu süreçlerde görev alacak kişilerin rol ve sorumluluklarının tanımlanmasıdır.
2. Hedefler
Bu prosedürün hedefi, Şirket bünyesinde işlenen özel nitelikli kişisel verilerin hukuka uygun ve adil yollardan toplandığından, işlenmesi için gereken izinlerin alındığından ve farklı bir amaç için kullanılmadığından emin olmaktır.
3. Kapsam ve Sorumluluk
Bu dokümanın kapsamı, kanun hükümleri ile belirlenmiş olan özel nitelikli kişisel verileri Şirket tarafından işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen Şirket bünyesindeki gerçek kişiler ve departmanlardır.
4. Tanımlar
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hale getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi ve sağlık bilgileri gibi özel veriler.
5. Özel Nitelikli Kişisel Verilerin İşleyecek Çalışanlara İlişkin Alınması Gereken Önlemler
Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde çalışanlara eğitimler verilmesi, gizlilik sözleşmelerinin yapılması ve görev değişikliği veya işten ayrılma durumunda yetkilerin kaldırılması gibi önlemler alınır.
6. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Özel Nitelikli Kişisel Veriler, ilgili kişinin açık rızası olmaksızın işlenemez. İstisnai durumlar dışında açık rıza gereklidir ve işleme sırasında gerekli izinler açıkça belirtilir.
7. Özel Nitelikli Kişisel Verilerin İşlendiği ve Erişildiği Ortamlar
7.1. Elektronik Ortam: Veriler kriptografik yöntemlerle korunur, erişim logları tutulur ve iki kademeli kimlik doğrulama sistemi sağlanır.
7.2. Fiziksel Ortam: Verilerin bulunduğu ortamlar yetkisiz girişlere karşı korunur ve güvenlik önlemleri alınır.
8. Özel Nitelikli Kişisel Verilerin Aktarımı
E-posta yoluyla aktarımda şifreleme uygulanır.
Taşınabilir belleklerle aktarımda kriptografik yöntemler kullanılır.
Kağıt ortamında aktarımda belgeler gizlilik dereceli olarak işaretlenir.
9. Bilgilendirme Süreci (Aydınlatma Yükümlülüğünün Kapsamı)
Veri sorumluları, kişisel verilerin elde edilmesi sırasında ilgili kişileri, veri işleme amaçları ve aktarım bilgileri gibi konularda bilgilendirir.
10. Veri Toplama ve Açık Rıza Alma Sürecinin İşletilmesi
Kişisel verilerin işlenmesi için açık rızalar, yazılı ya da elektronik ortamda alınır. Personel rızaları özlük dosyalarında saklanır.
11. YÜRÜRLÜK VE GÜNCEL TUTMA
İşbu Prosedür, 01.05.2022 tarihinde yürürlüğe girmiş olup; her yıl KVK Komitesi tarafından gözden geçirilerek gerekirse güncellenir.
