GİRİŞ
Türkiye Cumhuriyetinin taraf olduğu uluslararası sözleşmeler ve çağın gereği olarak Türkiye Cumhuriyeti Anayasasında 2010 yılında yapılan değişiklikle, kişisel verilerin korunması hakkı Anayasal güvenceye kavuşturulmuştur. Bilahare 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kabul edilmiş ve 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun, temel hak ve hürriyetlerin korunması ve kişisel veri işlenmesi konusunda gerçek ve tüzel kişilerin uyacakları usul ve esasları belirlemiştir. Kanunun veri sorumlularına ilişkin getirdiği en önemli yükümlülüklerden biri de aydınlatma yükümlülüğüdür.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası ile aydınlatma yükümlülüğünün gereği olarak kişisel verilerin işlenmesi ve korunması konusunda Denpar Makina Sanayi ve Ticaret A.Ş.'nin ilkeleri 3.kişilere açıklanmaktadır.
AMAÇ VE DAYANAK
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın yayınlanmasının amacı, KVKK kapsamında Kişisel Verileri Koruma Kurulu ("Kurul") tarafından açıklanan ilkeler esas olmak üzere kişisel verilerin işlenmesi ve korunması konusunda Denpar Makina Sanayi ve Ticaret A.Ş.'nin odaklandığı hususların başta çalışanlar olmak üzere herkesçe bilinmesidir.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın yayınlanmasının amacı, KVKK kapsamında Kişisel Verileri Koruma Kurulu ("Kurul") tarafından açıklanan ilkeler esas olmak üzere kişisel verilerin işlenmesi ve korunması konusunda Denpar Makina Sanayi ve Ticaret A.Ş.'nin odaklandığı hususların başta çalışanlar olmak üzere herkesçe bilinmesidir.
- Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisini,
- İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
- Kanun: 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
- Katmanlı Aydınlatma: Kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel
verilerinin elde edildiği konusunda ön bilgilendirme yapılarak, ilgili kişinin Kanunun 10.
maddesine uygun aydınlatmaya yönlendirilmesini,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Kurum: Kişisel Verileri Koruma Kurumunu,
- - Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
- - Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemini,
: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
- - Veri Sorumlusu Temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30.12.2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişilere (müşteri, çalışan vb irtibatlı olunan kişilere) ilişkin her türlü bilgiyi, (ad-soyad, vatandaşlık no, e-posta, GSM no, adres, nüfus bilgileri, kredi kartı bilgileri vs)
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, din, mezhep, siyasal düşünce, dış görünüş, üyelik bilgileri, sağlık bilgileri, cinsel yaşam, adli sicil bilgileri, biyometrik ve genetik verileri gibi bilgileri,
- Kişisel verilerin İşlenmesi: Kişisel verilerin kısmen veya tamamen bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, ifşa edilmesi, devredilmesi, devralınması, paylaşılması, ulaşılabilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi verilerle ilgili her türlü işlemi,
- Açık Rıza: Belirli bir konuya dair olmak ve kişiye önceden nedenini ve amacını açıkça ortaya koyarak bilgi vermek şartıyla alınan serbest irade mahsulü muvafakatı,
-
Karartma:
Kişisel verilerin bütününün, kimliği belirli veya
belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek şekilde üstlerinin çizilmesi,
boyanması ve buzlanması gibi
işlemleri,
- Maskeleme:
Kişisel verilerin belli alanlarının, kimliği belirli veya
belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek şekilde silinmesi, üstlerinin
çizilmesi, boyanması ve yıldızlanması gibi
işlemleri,
- Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, karartma, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi
- Silme: Kişisel verilerin veri kayıt sisteminden silinerek çıkarılmasını,
- Yok etme: Kişisel verilerin bir şekilde yok edilerek verinin işlenmesinin imkansız hale getirilmesini,
- İmha:
Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale
getirilmesini,
ifade
eder.
Burada yer
almayan tanımlar için Kanun, Yönetmelik ve
Tebliğdeki tanımlar geçerli
olacaktır.
I. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası, Denpar Makina Sanayi ve Ticaret A.Ş.'nin KVKK mevzuatı uygulamalarında izleyeceği prensipleri anlatmakta ve 3. Kişilere bu hususta ışık tutma niteliği taşımaktadır.
Denpar Makina Sanayi ve Ticaret A.Ş. ve çalışanları, iştirakleri, bu Politikayı rehber edinerek kendi bünyelerinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.
1.1. Bu kapsamda ilk olarak kişisel verilerin mümkün olduğunda azaltılması sağlanacaktır.
KVKK 4/2-b-c gereği kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda sadece gerekli olan veriler doğru yerde muhafaza edildiğinden emin olunması sağlanacaktır.
1.2. Kişisel verilerin sık sık güncellenmesi sağlanacaktır.
Kişisel verilerin kayıtlı yerlerde ne süre için tutulacağı gözetilerek gerekli olmayanların imhası, mevcutların ise güncellenerek doğru bir veri arşivine sahip olmak mümkün hale getirilecektir.
1.3. Veri işleyenler ile ilişkilerin sağlıklı yürütülmesi temin edilecektir.
Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması öngörülmektedir. Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olması sağlanacaktır.
1.4. Verilerin sadece belirli ve meşru amaçlarla işlenmesi sağlanacaktır.
KVKK mevzuatı kapsamında kişisel verilerin belirli, açık ve hukuka uygun sebeplerle işlenesi gözetilecektir. Bu nedenle kişisel verilerin hangi amaçla işleneceği belirlenerek ve bu amaçları kişisel veriler işlenmeden önce veri sahiplerinin bilgisine sunulacaktır.
1.5. Kişisel verilerin işlendikleri amaçla sınırlı olması sağlanacaktır.
Sadece gerekli olan meşru amaç için, söz konusu amacın gerçekleşmesine yetecek derecede veri işlenmeli ve diğer ilgisiz kişisel verilerin işlenmesinden kaçınılmalıdır.
1.6. Kişisel verilerin korunması için gerekli teknik tüm tedbirler alınacaktır.
Bu kapsamda ağ güvenliği, siber güvenlik, şifreleme, veri maskeleme gibi tedbirler gerekli şekilde sağlanacaktır.
1.7. Kişisel verilerin saklanmasında yasal mevzuatta öngörülen süreler gözetilecektir.
Şirketleri kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
II. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler kural olarak, KVKK'nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda Denpar Makina Sanayi ve Ticaret A.Ş. ve çalışanları, iştirakleri kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmalıdır.
KVKK'da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.
Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK'nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.
Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirketler içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.
III. KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
DENPAR Kişisel Verilerin Korunması Kanunu’nun 12. maddesi gereğince, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veriişleyen kişilerin öğrendikleri kişisel veriler, bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kullanılamaz.
Teknik konularla ilgili DENPAR personeline gerekli eğitim verilmiştir; bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
3.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
DENPAR’da kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik ve idari tedbirler:
- DENPAR bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte ve ilgili kişilere raporlandırılmaktadırlar.
- Hukuka uygunluğun sağlanması ve ilgili departmanlar için hazırlanan prosedüre uyulması devamlılığı ve denetimi idari tedbirler, şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
3.1.2.Hukuka Aykırı Erişimini Engellemek İçin Alınan Tedbirler
DENPAR kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliğine göre teknik ve idari tedbirler almaktadır. Bu hususta alınan tedbirler şunlardır:
- Erişim ve yetkilendirme teknik çözümleri ile alınan teknik önlemler periyodik olarak raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Loglama, virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
- İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
- Çalışanlar, öğrendikleri kişisel verileri, Kişisel Verileri Koruma Kanunu hükümlerine ve sair ilgili tüm mevzuata aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- DENPAR tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ilişkin hükümleri eklenmekte ve/veya karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3.Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusunda Alınan Tedbirler
DENPAR, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri almaktadır.
Şirketimizce kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik ve idari tedbirler:
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Teknik konularda uzman personel istihdam edilmektedir.
- Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
- Dijital olmayan veriler kilitli dolaplarda tutulmak suretiyle sadece yetkilendirilmiş kişiler tarafından erişilebilecektir.
3.2. DENETİM
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası gereğince veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
3.2.1.Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
DENPAR, yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve/veya yaptırır.
Bu denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile ilgili departman veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler Kişisel Verileri Koruma Kanunu ve sair mevzuat ve işbu şirket politikasına uygun şekilde yürütülmektedir.
3.2.2.İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının Artırılmasının Denetimi
DENPAR, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler ve oturumlar aracılığı ile sağlamaktadır. DENPAR, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
IV. KİŞİSEL VERİLERİN YETKİSİ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri ve ilgili bütün mevzuat uygulanır. İlgili bütün mevzuatın hükümleri şirketimizce çalışanlara ve ilgili kişilere bildirir. Hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme ve Kişisel Verileri Koruma Kanunun 7. maddesi³ hükmüne aykırı olarak; kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim hâle getirmeyen gerçek kişiler Türk Ceza Kanununun 138. maddesine göre hapis cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı olarak bir başkasına veren, bu verileri hukuka aykırı olarak yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçu işleyen kişi cezanın nitelikli halinden cezalandırılır. Kişisel veriyi işleme yetkisi olmadan verileri görüntüleme, elde etme veya hack suçunu işleyen şirket çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince aydınlatma yükümlülüğünü veya veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanır.
V. KİŞİSEL VERİ AKTARILMA KURALLARI VE AMAÇLARI
DENPAR, KVKK’daki aktarım amaçlarına ve bunun sınırlarına sadık kalmak kaydıyla, KVKK Madde 10 gereği kişisel verilen aktarıldığı grupları kişisel veriş sahibine bildirecektir.
DENPAR, KVKK 8. ve 9. Maddeler çerçevesinde veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi ve kurumlara aktarılabilir:
DENPAR’ın;
(i) İş ortaklarına,
(ii) Tedarikçilerine,
(iii) Topluluk şirketlerine,
(iv) Hissedarlarına,
(v) Yetkililerine,
(vi) Hukuken Yetkili kamu kurum ve kuruluşlarına
(vii) Hukuken yetkili özel hukuk kişilerine