Bu politika ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ve ilgili ulusal mevzuat çerçevesinde; kişisel verilerin toplanması, işlenmesi, aktarılması, güncellenmesi ve yok edilmesi konusunda ARKAS LOJİSTİK A.Ş. (Veri Sorumlusu) tarafından benimsenen ilkeler ile uyulacak kurallar belirlenmiştir.
Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın sahibi Veri Sorumlusu ARKAS LOJİSTİK A.Ş.’dir.
Bu politika ile, Veri Sorumlusu tarafından kişisel verileri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen kurallar konusunda açıklamalarda bulunmak; bu kapsamda, iş ortaklarımız, mevcut ve aday çalışanlarımız, mevcut ve potansiyel müşterilerimiz, şirket hissedarlarımız, ziyaretçilerimiz ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişilerin bilgilendirilmesi ve şeffaflığın sağlanması amaçlanmaktadır.
Veri Sorumlusu hissedar ve ortaklarını, çalışanlarını, aday çalışanlarını, stajyerlerini, alt işverenlerini, tedarikçilerini, mevcut ve potansiyel müşterilerini, ziyaretçilerini ve kişisel verileri işlenen üçüncü kişileri kapsar.
Kişisel Verilerin Korunması ve İşlenmesi Politikası kurumsal ya da yasal kaynaklı içeriklerindeki değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilerek kayıt altına alınır. En güncel versiyonu veri sorumlusu internet sitesinde yayınlanır.
Burada yer almayan tanımlar, Kanun ve ikincil düzenlemelerde tanımlandıkları şekilde kullanılacaktır.
Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında birbirini tamamlayan, dört farklı rol tanımlanmıştır.
Veri Sorumlusu için atanmış biri asıl diğeri yedek, iki “Veri Yetkilisi” bulunmaktadır. Veri Yetkilisi’nin aşağıda sıralanan sorumlulukları bulunmaktadır.
Her bir Veri Sorumlusu için atanmış bir “Veri Sorumlusu İrtibat Kişisi” bulunmaktadır. Veri Sorumlusu İrtibat Kişisi’nin aşağıda sıralanan sorumlulukları bulunmaktadır.
KVK Danışma Grubu tarafından hazırlanan politikayı Veri Sorumlusu adına ilgili üst yönetim temsilcileri onaylar.
Çalışan adayı, çalışan, habere konu kişi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli/vasi/temsilci, ziyaretçiler vb. gerçek kişilerin kişisel verisi işlenmektedir.
Kişisel veri işleme amacına uygun olarak belirtilen kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetim, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, felsefi inanç, din, mezhep ve diğer inançlar, dernek üyeliği, sağlık bilgileri, ceza mahkûmiyeti ve güvenlik tedbirleri ve biyometrik veriler işlenmektedir.
Kişisel veriler; acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, denetim/etik faaliyetlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, görevlendirme süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi/denetimi, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, lojistik faaliyetlerinin yürütülmesi, mal/hizmet satın alım süreçlerinin yürütülmesi, mal/hizmet satış süreçlerinin yürütülmesi, mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi, organizasyon ve etkinlik yönetimi, performans değerlendirme süreçlerinin yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, stratejik planlama faaliyetlerinin yürütülmesi, talep/şikayetlerin takibi, taşınır mal ve kaynakların güvenliğinin temini, ücret politikasının yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, eğer yabancı bir personel söz konusu ise, yabancı personel çalışma ve oturma izni işlemleri, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi faaliyetleriyle sınırlı olarak ve bunlara bağlı yukarıda sıralanan amaçlarla işlenecektir.
Kişisel verileriniz; Kanun tarafından öngörülen temel ilkelere uygun olarak ve Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde ve yukarıda yer alan amaçlarla, yurt içine ve yurt dışına, hizmet ilişkisi içerisinde olduğumuz iş ortakları ve tedarikçilerimize, Arkas Holding A.Ş. ve bağlı şirketleri/kuruluşlarına, kanunen yetkili kamu kurum, kuruluş ve kişilere aktarılmaktadır.
Üçüncü parti hizmet sağlayıcılar ile yapılan sözleşmelere ve eklerine kişisel verilerin korunmasına yönelik maddeler eklenir, ayrı bir gizlilik sözleşmesi yapılır, ek taahhütname veya protokollerin düzenlenmesi ve söz konusu hizmet sağlayıcılar denetlenerek kişisel verilerin uygun şekilde korunup korunmadığı kontrol edilir. Ayrıca topluluk şirketleri ile iştirakler ve bağlı ortaklıklar arasında “Çerçeve Veri Transferi Sözleşmesi” düzenlenerek topluluk içerisinde kişisel veri paylaşımı düzenlenir.
İşbu politika, Veri Sorumlusu bünyesinde kişisel verilerin korunması ve işlenmesinin genel şartlarını içerir.
İç Denetim Departmanı tarafından düzenli olarak gerçekleştirilen denetimler neticesinde ortaya çıkan risk bulguları KVK Danışma Grubu ile değerlendirilir. Alınması gereken aksiyonlarla veya değiştirilmesi gereken süreçlerle ilgili Arkas Holding A.Ş. ve bağlı şirketleri üst yönetimine bilgi verilir ve ilgili Veri Sorumlusu’nun gerekli tedbirleri alması sağlanır.
İşbu politikada tarif edilenler dışında farklı uygulamalar tespit edilmesi durumunda, tespiti yapan kişiler Veri Sorumlusu İrtibat Kişisi ve Veri Yetkililerinden destek alarak KVK Danışma Grubu’na yazılı olarak bilgi verirler.
Kanun’a uyumluluğun sağlanması için kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenir. Bu kapsamda, Veri Sorumlusu; Kanun ve Kanun ile ilgili mevzuata uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket ederler.
Veri Sorumlusu; kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket eder.
Veri Sorumlusu; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamak ve bu doğrultuda gerekli tedbirleri almak için gerekli sistemleri kurar.
Veri Sorumlusu; kişisel verilerin hangi amaçla işleneceğini belirler ve bu amaçları kişisel veriler işlenmeden önce veri sahiplerinin bilgisine sunar. Kişisel veriler belirtilen meşru ve hukuka uygun amaçlar dışında işlenmez.
Veri Sorumlusu; kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Bu kapsamda, orantılılık gerekliliklerini dikkate alır ve kişisel verileri işleme amacı dışında kullanmaz.
Veri Sorumlusu; öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder. Bir süre belirlenmişse bu süreye uygun davranır. Bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder.
Veri Sorumlusu tarafından güvenliğin sağlanması amacıyla, Veri Sorumlusu binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Veri Sorumlusu tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
Veri Sorumlusu bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin ve tüm ilgili kişilerin görüntü kayıtları alınmakta; ad, soyad, TC kimlik numarası, ehliyet numarası, pasaport numarası, personel sicil numarası, unvan, iş alanı, cinsiyet, çalıştığı firma, giriş - çıkış tarih ve saati, motorlu taşıt plakası bilgilerini içeren ziyaretçi listesi tutulmaktadır.
Veri Sorumlusu, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Veri Sorumlusu’nun, müşterilerin ve üçüncü kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini koruma amacı taşımaktadır.
Veri Sorumlusu tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere ve 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve ilgili mevzuata uygun olarak sürdürülmektedir.
Kanun’un 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Veri Sorumlusu tarafından güvenliğin sağlanması ve bu politikada belirtilen amaçlarla, bina ve tesisler içerisinde kaldıkları süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ve buna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Veri Sorumlusu bünyesinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülükleri yerine getirmek amacıyla işlenmektedir.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Bilgi Güvenliği Birimi personelinin erişimi bulunmaktadır.
Elde edilen log kayıtları değişmezlik ilkesini sağlamak için zaman damgasıyla birlikte kaydedilerek sınırlı sayıda Bilgi Güvenliği Birimi çalışanının erişimi ile saklanmaktadır.
Müşterilerle yukarıda belirtilen amaçlar doğrultusunda yazılı, sözlü her türden iletişime geçmek için kişisel veriler işlenebilir.
Sözleşmeden kaynaklanan ilişki dolayısıyla, mevcut ve potansiyel müşteri ve iş ortaklarına (iş ortağının tüzel kişi olması halinde iş ortağı yetkilisine) ait kişisel veri, ayrıca onay alınmadan bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme öncesinde sözleşmeye başlama aşamasında kişisel veriler; teklif hazırlamak, satın alma formu hazırlamak ya da ilgili kişinin sözleşmenin uygulanmasıyla ilgili taleplerini karşılamak amacıyla işlenebilir.
Reklam amaçlı olarak kişisel veriler, reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının söz konusu amaçlara uygun olması durumunda işlenmektedir. İlgili kişi bilgilerinin reklam amaçlı kullanılacağı hususunda bilgilendirilmektedir.
Yasal yükümlülüklerimiz veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri dolayısıyla, kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
Özel nitelikli kişisel veriler, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ve Kanun hükümleri çerçevesinde işlenmektedir. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, açık rızası; açık rızanın bulunmaması halinde ise Kanun’da öngörülen istisnalar kapsamında işlenmektedir.
Veri Sorumlusu bünyesinde çalışan kişilere ait kişisel verilerin korunması ve işlenmesin şart ve yöntemleri düzenleyen kural ve prosedürler “Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası” içinde yer almaktadır.
Bununla birlikte; iş sözleşmesinin kurulması, uygulanması ve sonlandırılmasına kadar geçen süreçte çalışanlara ait kişisel verilerin toplanması ve işlenmesi zorunludur. Bunlar için çalışanların ayrıca açık rızaları alınmayabilir. Potansiyel çalışan adaylarının da kişisel verileri iş başvurularında işlenmektedir. Adayın iş başvurusunun reddi halinde, başvuru sırasında elde edilen kişisel veri saklama süresi kadar muhafaza edilmekte, bu sürenin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Çalışana ait kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir.
Çalışanlara ait kişisel veriler, veri sorumlusunun meşru bir menfaatinin bulunduğu hallerde ayrıca onay alınmadan işlenebilmektedir. Çalışanlara ait verilerin veri sorumlusunun meşru menfaatine dayanılarak işlenmesi halinde bu işlemenin ölçülü olup olmadığı incelenir, meşru menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilir.
Özel nitelikli kişisel veriler sadece belli koşullar altında işlenmektedir. Irk ve etnik köken, siyasi düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak tanımlanmıştır. Özel nitelikli kişisel veriler ancak çalışanın açık rızası olması halinde ve gerekli idari ve teknik tedbirler alınarak işlenebilir.
Aşağıda sıralanan haller bu hükmün istisnasını oluşturmakta olup, belirtilen hallerde çalışanın açık rızası bulunmasa da özel nitelikli kişisel verileri işlenebilecektir. Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde; Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Kanun uyarınca, kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri kavramı sadece ad, soyad, doğum yeri, doğum tarihi gibi kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmayıp ayrıca kişilerin fiziksel, sosyal, kültürel, ekonomik, psikolojik tüm bilgilerini de kapsamaktadır.
Kişinin kimlik bilgilerine ek olarak, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, motorlu taşıt plakası, ev adresi, iş adresi, eposta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri, kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişisel verilerin korunması kapsamına girmektedir.
Bu tanım uyarınca, Veri Sorumlusu, Veri Sorumlusu’nun iş ortakları, çalışanları ve müşterileri başta olmak üzere üçüncü kişiler de dahil, topladıkları tüm verilerin kişisel veri kapsamına girip girmediğini tespit eder ve bu verileri Kanun’daki kurallara uygun olarak işler.
Kişisel verilerin işlenmesi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Veri Sorumlusu Kanun uyarınca kişisel verileri ilgili kişilerin açık rızası ile işler. Ancak, aşağıdaki şartlardan herhangi birinin var olması halinde, açık rıza aranmaksın kişisel verilerin işlenmesi mümkündür.
Kanun kapsamında bir takım kişisel veriler “özel nitelikli kişisel veri” olarak adlandırılmaktadır. Veri Sorumlusu bu tür verileri ilgilisinin açık rızası olmaksızın işlemez. Açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” dır.
Kanun; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak saymıştır. Sayılan bu veriler Kanun’da tanımlandığı şekliyle sınırlı sayıda olup, yorum yoluyla artırılamaz.
Veri Sorumlusu, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli önlemleri de alacaktır.
Veri Sorumlusu; Kanun uyarınca özel nitelikli kişisel verileri ancak aşağıdaki şekilde işlemesi mümkündür.
Veri Sorumlusu, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak, Kanun’un 5/2. ve 6/3. maddesinde belirtilen şartları (hukuki sebepler) karşılamak şartıyla veya veri sahibinin açık rızası ile kişisel verileri üçüncü kişilere aktarabilir. Aynı zamanda, Veri Sorumlusu, kişisel verileri Kanun’da öngörülen veri işleme şartlarına uygun olarak, açık rıza aranmaksızın üçüncü kişilere aktarabilir.
Veri Sorumlusu, açık rıza olmaksızın aktardığı verileri Kanun’daki sınırlamalara uygun olarak aktarmak amacıyla gerekli idari ve teknik önlemleri alır.
Veri Sorumlusu tarafından kişisel veriler Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un aktarım izni verdiği yabancı ülkelere aktarabilir.
Veri Sorumlusu, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aşağıda yer alan hususlarda aydınlatır.
Bu yükümlülük uyarınca, Veri Sorumlusu hazırlamış olduğu aydınlatma metni ile ilgili kişileri bilgilendirir. Aydınlatma; ilgili kişi ile ilk iletişime geçildiği anda yapılır.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde; Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında veya kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada aydınlatma yapılır.
Kişisel veri sahipleri, Kanun uyarınca yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Veri Sorumlusu’na başvuruda bulunarak, bilgi talep edebilir.
Veri Sorumlusu, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesi uyarınca başvuruları cevaplandırır. Sair idari ve teknik düzenlemelere ilişkin prosedürleri oluşturur ve uygular.
Kişisel veri sahiplerinin hakları şunlardır;
Veri Sorumlusu, yazılı veya güvenli elektronik imzayla imzalanmış olarak kayıtlı elektronik posta adreslerine veya web sitesinde yer alan “Başvuru Formu” kullanılarak iletilen talepleri işleme alır. Kurul başkaca başvuru yöntemleri belirlediği takdirde bu yollar ile de başvuru kabul edilir.
Veri Sorumlusu, talebi niteliğine göre talebi en kısa sürede ve en geç 30 (otuz) gün içerisinde yanıtlar. Veri Sorumlusu, başvuruları kabul ederek gereken işlemleri gerçekleştirebilir ya da başvuruları gerekçeli olarak reddeder.
Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya başvuruya cevap verilmemesi hallerinde cevabı öğrendiği tarihten itibaren 30 (otuz) ve her halde başvuru tarihinden 60 (altmış) gün içerisinde Kurul’a şikayette bulunabilir.
Veri Sorumlusu, kişisel veri sahiplerine Kanun’un öngördüğü şekilde zamanında ve gerekçeli olarak cevap verir.
Veri Sorumlusu, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.
Kurul, ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla Veri Sorumlusu, bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla gerekli özeni gösterir ve kişisel verilerin güvenliğini sağlar.
Veri Sorumlusu, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri oluşturur. Bu denetim sonuçları Veri Sorumlusu bünyesinde görevli birimlerce incelenir ve gerekli önlemler alınır.
Veri Sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu öğrendiği tarihten itibaren en geç 72 saat (Yetmiş İki) içinde Kurul’a bildirir. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılır.
Veri Sorumlusu bünyesinde iş birimleri tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin tüm süreçler kişisel veri işleme envanterinde toplanır ve analiz edilir. İş birimleri tarafından verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin tümünün hukuka uygunluk denetimi yapılır.
Kişisel veri işleme faaliyetleri kurulan teknik sistemler ile denetlenir. Hukuka aykırılık tespit edildiğinde ilgilisine bildirilerek eksiklik ya da hukuka aykırılığın giderilmesi sağlanır.
Veri Sorumlusu, çalışanlarını kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilir ve eğitilir.
Veri Sorumlusu ile Veri Sorumlusu’nun iş ortakları, çalışanları ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Kanun’daki düzenlemelere aykırı biçimde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğünü getiren hükümler eklenir.
Her bir iş biriminin faaliyetlerinin Kanun’da belirtilen kişisel veri işleme şartlarına uygunluğunun sağlanmasına yönelik işlemler, her bir iş birimi ve yürütmekte olduğu faaliyet özelinde tespit edilir. İş birimleri özelinde uygulama kuralları belirlenir, bu kuralların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınıp prosedür oluşturularak eğitimler verilir.
Veri Sorumlusu, kişisel verilerin hukuka aykırı şekilde elde edilmesini, üçüncü kişilere açıklanmasını, görüntülenmesini ve aktarılmasını önlemek için korunacak verinin niteliğine göre gerekli idari ve teknik tedbirleri alır.
Teknolojik gelişmelere uygun teknik önlemler alınır ve alınan önlemler periyodik olarak güncellenir ve gerektiğinde yenilenir.
Veri Sorumlusu tarafından hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreGüvenlik riski olan hususlara ilişkin teknolojik çözümler üretilir.
Veri Sorumlusu çalışanları alınan teknik tedbirler konusunda eğitilir ve teknik konularda bilgili personel istihdam edilir.
Veri Sorumlusu çalışanlarının öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanmayacakları konusunda çalışanlara “Bilgi Sistemleri Genel Standartlar ve Güvenlik Politikası ” imzalatılır.
Veri Sorumlusu tarafından kişisel verilerin aktarıldığı kişiler ile yapılan sözleşmelere kişisel verileri koruma altına alacak maddeler eklenir.
Veri Sorumlusu tarafından alınacak tedbirler bu madde ile sınırlı olmayıp, Veri Sorumlusu tarafından oluşturulan “Bilgi Sistemleri Genel Standartlar ve Güvenlik Politikası ” ile “Kişisel Verileri Saklama ve İmha Politikasında” belirtilen tedbirler de uygulanır.
Veri Sorumlusu, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan süre içerisinde başvuru bilgi ve belgelerini sunarak veri sorumluları siciline kayıt olur. VERBİS’e beyan edilecek bilgiler şunlardır;
Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Veri Sorumlusu kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir.
Veri Sorumlusu “Kişisel Verileri Saklama ve İmha Politikası” içerisinde ayrıntılı olarak belirtilen teknik ve idari tedbirleri alır. Bu konuda gerekli işleyiş mekanizmaları geliştirir. Burada yer alan yükümlülüklerine uygun davranmak üzere ilgili iş birimlerini eğitir, görevlendirme ve farkındalıklarını sağlar.