Kişisel Verileri Koruma Kanunu

ALİMAR MAK.SAN. VE TİC. A.Ş   
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI


İÇİNDEKİLER 
GİRİŞ …………………………………………………………………………………………………………………………………… 3 AMAÇ………………………………………………………………………………………………………………………………….. 3
I. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER……………………………………………………. 3 
1.1. Hukuka ve Dürüstlük Kuralına Uygun Olma………………………………………………………….………………….3 
1.2. Doğru ve Gerektiğinde Güncel Olma…………………………………………………………………………………….4 
1.3. Belirli, Açık ve Meşru Amaçlarla İşleme …………………………………………………………….. …………….4 
1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma…………………………………………………………..4 
1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme……………………………………………………………………………………………………………………………………..4 
II. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI……………………………………………………………………….. ………. 4 
III. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER………………………………………………… 4 
3.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü ……………………………………………………………………4 
3.2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü ………………………………………5 
3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü …………………………………………………………….5 
3.3.1. Kişisel Verilerin Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü ……………………….5
3.3.2. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü ……..…..5 
3.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü………………………………………………………………..5 
IV. ALİMAR BÜNYESİNDE ORGANİZASYONEL YAPILANMA…………………………………………………. 6 
EK-1 TANIMLAR……………………………………………………………………………………………………………………. 7


GİRİŞ
Bu Politika ile ALİMAR’ın kişisel verilerin korunmasına verdiği önem doğrultusunda Şirketimizce yerine getirilecek hususlar ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemeler ışığında kişisel verilerin işlenmesi ve korunması konusunda dikkate alınacak temel ilkeler ortaya konulmaktadır. 
AMAÇ
Bu Politika topluluk düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.
ALİMAR işbu Politika ile Şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmayı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmayı hedeflemektedir. Ayrıca bu Politika, KVK Kanunu ve ilgili mevzuat ve Yönetmelikler ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır.
I. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
ALİMAR tarafından, kişisel verilerin korunması konusunda Kanuna, Yönetmeliklere ve mevzuata uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:
1.1. Hukuka ve Dürüstlük Kuralına Uygun Olma
ALİMAR kişisel verilerin işlenmesi faaliyetleri kapsamında KVK Kanununa, Yönetmeliklere uygun olarak hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda ALİMAR, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidir.
1.2. Doğru ve Gerektiğinde Güncel Olma
ALİMAR, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. ALİMAR bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik sistemler kurmalıdır.
1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
ALİMAR, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda ALİMAR kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. ALİMAR tarafından belirlenen amaçlar meşru ve hukuka uygun olmalıdır.
1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
ALİMAR, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. 
1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
ALİMAR kişisel verileri yalnızca Kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidir.

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
    ALİMAR kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Yönetmeliklerde belirlenen veri işleme şartlarına uygun hareket etmelidir. Bu kapsamda ALİMAR kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetlerini gerçekleştirmemelidir.
    Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler oluşturulmalı ve Şirket içinde farkındalık yaratılmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.
    III. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
    ALİMAR, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdır. Bu kapsamda uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
    3.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
    ALİMAR, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidir. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıdaki gibidir:
    (1) Veri sorumlusunun ve varsa temsilcisinin kimliği,
    (2) Kişisel verilerin hangi amaçla işleneceği,
    (3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
    (4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
    (5) Kişisel veri sahibinin sahip olduğu haklar.
    3.2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
    ALİMAR veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdır. Değerlendirme sonucunda ALİMAR başvuruları kabul ederek gereken aksiyonları alabileceği gibi başvuruları gerekçeli olarak reddedebilir. Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyette bulunabilir.
    KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler: 
    •    Kişisel veri işlenip işlenmediğini öğrenme,
    •    Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    •    Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    •    Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    •    Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    •    KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    •    İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    •    Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
    3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
    ALİMAR, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle; işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalıdır.
    ALİMAR, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri oluşturmalıdır. 
    İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdür. Bu kapsamda gerekli organizasyonel yapı kurulmalıdır.
    3.3.1. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü 
    ALİMAR, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemelidir. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmelidir.
    3.3.2. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü
    ALİMAR, KVK Kanunu’nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdır. 
    3.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
    ALİMAR, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmalıdır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
    (1) Veri sorumlusu’nun ve varsa temsilcisinin kimlik ve adres bilgileri,
    (2) Kişisel verilerin hangi amaçla işleneceği,
    (3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
    (4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
    (5) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
    (6) Kişisel veri güvenliğine ilişkin alınan tedbirler,
    (7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. 
  2. ALİMAR BÜNYESİNDE ORGANİZASYONEL YAPILANMA
    ALİMAR bünyesinde işbu Politika ve bu Politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından aşağıda belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Departmanı” veya bu konuda sorumlu olacak kişi atanmalıdır.
    Bu kapsamda Departman veya atanacak kişi tarafından aşağıda sıralanan asgari iş ve işlemler yapılmalıdır:
    •    Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
    •    Belirlenen temel Politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
    •    Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
    •    Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
    •    Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
    •    Kişisel veri sahiplerinin başvurularını en üst düzeyde ve en kısa sürede karara bağlamak,
    •    Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için Şirket içinde gerekli düzenlemelerde bulunmak,
    •    Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
    •    Kurum ve Kurul ile olan ilişkileri yönetmek.

EK-1 TANIMLAR:

Açık Rıza:    Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme:    Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Kişisel Veri Sahibi:    Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

Kişisel Veri:    Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

Özel Nitelikli Kişisel Veri:    Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Kişisel Verilerin İşlenmesi:    Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri İşleyen:    Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması.

Veri Sorumlusu:    Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.