KVKK Metni
KVKK Metni
1. AMAÇ VE KAPSAM
Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugün benimsemiş olan Kemahlıoğlu, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.
Kemahlıoğlu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Kemahlıoğlu KVK Politikası”) ile Kemahlıoğlu tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.
Kemahlıoğlu’nun, kişisel verilerin korunmasına verdiği önem doğrultusunda, Kemahlıoğlu KVK Politikası ile Kemahlıoğlu Şirketi tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda Kemahlıoğlu Şirketi’nin yerine getirmesi gerekenler ortaya konulmaktadır. Kemahlıoğlu KVK Politikası düzenlemelerinin uygulanması ile Kemahlıoğlu’nun benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
2. HEDEF
Kemahlıoğlu, topluluk içinde birliğin oluşturulması hedefi doğrultusunda; şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır.
Kemahlıoğlu KVK Politikası, Kemahlıoğlu Şirketleri tarafından KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. Kemahlıoğlu KVK Politikası ile, Kemahlıoğlu tarafından önem verilen, KVK Kanunu’na uyum sürecinin, her bir Topluluk Şirketi tarafından da benimsenmesinin ve özenle yürütülmesinin temini hedeflenmektedir.
3. TANIMLAR
Kemahlıoğlu KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
|
Açık Rıza : |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim Hale Getirme : |
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyleilişkilendirilemeyecek hale getirilmesi. |
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ : |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ. |
|
Çalışan KVK Politikası: |
Kemahlıoğlu Plastik çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “Kemahlıoğlu Plastik Ambalaj Sanayi Ticaret A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”. |
|
Kişisel Sağlık Verilerinin İşlenmesine ilişkin Yönetmelik: |
20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik. |
|
Kişisel Sağlık Verisi : |
Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi. |
|
Kişisel Veri : |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
|
Kişisel Veri Sahibi : |
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar. |
|
Kişisel Verileri Koruma Birimi : |
Kemahlıoğlu Plastik tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan birim. |
|
Kişisel Verilerin İşlenmesi : |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
KVK Kanunu : |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
KVK Kurulu : |
Kişisel Verileri Koruma Kurulu. |
|
KVK Kurumu : |
Kişisel Verileri Koruma Kurumu. |
|
Özel Nitelikli Kişisel Veri : |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
|
Kemahlıoğlu Plastik /Şirket : |
KEMAHLIOĞLU PLASTİK AMBALAJ SANAYİ TİCARET A.Ş. |
|
Kemahlıoğlu Plastik İş Ortakları : |
Kemahlıoğlu Plastik’in ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
|
Kemahlıoğlu Plastik KVK Politikası : |
Kemahlıoğlu Plastik Ambalaj San. Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
|
Kemahlıoğlu Plastik Tedarikçileri : |
Sözleşme temelli olarak Kemahlıoğlu Plastik’e hizmet sunan taraflar |
|
Kemahlıoğlu Plastik Veri Sahibi Başvuru Formu: |
Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu. |
|
Kemahlıoğlu Şirketi Çalışan KVK Politikası: |
Kemahlıoğlu Plastik bünyesine dahil şirketlerin çalışanlarının kişisel verilerinin korunmasında ve işlenmesinde benimsenen ilkelerin düzenlendiği “Kemahlıoğlu Plastik Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası” |
|
Kemahlıoğlu Şirketi KVK Politikası : |
Kemahlıoğlu Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
|
Türkiye Cumhuriyeti Anayasası : |
9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
|
Türk Ceza Kanunu : |
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu |
|
Veri İşleyen: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi |
|
Veri Sorumlusu: |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi. |
|
Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ: |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ. |
|
Veri Sorumluları Sicili : |
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde tutulan ve kamuya açık olan Veri Sorumluları Sicili |
|
Veri Sorumluları Sicili Hakkında Yönetmelik: |
30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik. |
4. ROLLER VE SORUMLULUKLAR
Kemahlıoğlu KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Kemahlıoğlu bünyesinde uygulanmasında, Kemahlıoğlu Yönetim Kurulu tavsiye kaynağı ve rehber olacaktır. Kemahlıoğlu genelindeki tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, Kemahlıoğlu KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Kemahlıoğlu ile iş birliği yapmakla yükümlüdürler. Kemahlıoğlu’nun tüm organ ve departmanları Kemahlıoğlu Şirketi KVK Politikası’na uyulmasını gözetmekle sorumludur.
5. POLİTİKA ESASLARI
5.1. KEMAHLIOĞLU TARAFINDAN BENİMSENEN TEMEL İLKELER
Kemahlıoğlu Şirketi tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Kemahlıoğlu Şirketi, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmelidirler.
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Kemahlıoğlu Şirketi, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamalı, bu çerçevede gereken idari ve teknik tedbirleri almalı, gerekli süreçleri yürütmelidirler. Bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmalıdır.
5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Kemahlıoğlu Şirketi, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir) gerekmektedir. Bu çerçevede, Kemahlıoğlu Şirketi, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmalıdırlar.
5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Kemahlıoğlu Şirketi, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmelidirler. Bu doğrultuda Türk Ceza Kanunu’nun 138. maddesi ve KVK Kanunu’nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmelidirler. Kemahlıoğlu Şirketi, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidirler.
5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA
UYGUN OLARAK GERÇEKLEŞTİRİLMESİ
Kemahlıoğlu Şirketi kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. Bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini
gerçekleştirmemelidirler.
Kemahlıoğlu Şirketi, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler. Kemahlıoğlu Şirketi, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile Kemahlıoğlu KVK Politikası’nda ortaya konulan kurallara uymalıdırlar.
5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK
GERÇEKLEŞTİRİLMESİ
Kemahlıoğlu Şirketi tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.
5.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Kemahlıoğlu, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde,bkorunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi tarafından gerekli idari ve teknik tedbirler alınmalı, şirket bünyesinde denetim sistemi kurulmalı ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirler alınmalıdır.
5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı İdari Tedbirler
– Kemahlıoğlu Şirketi, kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitmeli ve bilinçlendirmelidir.
– Kişisel verilerin aktarıma konu olduğu durumlarda, Kemahlıoğlu Şirketi kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklemelidir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşunda bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmalıdır.
– Kemahlıoğlu Şirketi tarafından gerçekleştirilen süreçler detaylı olarak incelenmeli, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmelidir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenmelidir.
– Kemahlıoğlu Şirketi, şirket yapılarına göre KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit etmeli, bu uygulamaları iç politikalar ile düzenlemelidir.
5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı Teknik Tedbirler
– Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmalı ve alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir.
– Teknik konularda, uzman personel istihdam edilmelidir.
– Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.
– Güvenliği temin edecek yazılım ve sistemler kurulmalıdır.
– Kemahlıoğlu Şirketi tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.
5.4.3. Kemahlıoğlu Şirketi’nin Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütmesi
Kemahlıoğlu Şirketi tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Kemahlıoğlu Şirketi tarafından denetlenmelidir. Kemahlıoğlu Şirketi söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilir. Kemahlıoğlu Şirketi gerekli gördüğü durumlarda söz konusu denetim faaliyetini Kemahlıoğlu Şirketi’nde doğrudan kendi organizasyonu marifetiyle yerine getirebilir. Gerçekleştirilen denetim faaliyetlerinin sonuçları, Kemahlıoğlu Şirketi’ne raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır. Kemahlıoğlu Şirketi bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapmalıdır. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler Kemahlıoğlu Şirketi’nde ilgili icra birimlerince yürütülmelidir.
5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler
Kemahlıoğlu Şirketi, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirmelidirler. Bu yükümlülüğün yerine getirilmesi için gereken iç yapı kurgulanmalıdır.
5.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
Kemahlıoğlu Şirketi, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi’nin uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü
Kemahlıoğlu Şirketi KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmalıdırlar. Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulması gereken bilgiler aşağıda yer almaktadır:
1. Veri sorumlusu statüsündeki Topluluk Şirketi’nin ve varsa temsilcisinin kimlik
bilgileri ve adresleri,
2. Kişisel verilerin işlenme amacı,
3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri
hakkında bilgiler,
4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
5. Yurt dışına aktarımı yapılabilecek kişisel veriler,
6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,
7. Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi.
5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:
1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. Veri sahibinin hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenmek,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;
1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
3. Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.
Kemahlıoğlu Şirketi ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmak veya yaptırmakla yükümlüdürler.
5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
Kemahlıoğlu Şirketi; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.
5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
Kemahlıoğlu Şirketi veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:
1. Kişisel verilerinin işlenip işlenmediğini öğrenmek,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler bilmek,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmelidir.
5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü
Kemahlıoğlu Şirketi KVK Kanunu’nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdırlar.
7. GÖZDEN GEÇİRME
Bu Politika dokümanı, Kemahlıoğlu onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Kemahlıoğlu Yönetim Kurulu tarafından Kemahlıoğlu Genel Müdürü’ne yetki verilmiştir. Kemahlıoğlu Genel Müdürü’nün onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.
İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir. Yönetmelikler Kemahlıoğlu CEO’su onayıyla yayımlanarak yürürlüğe konulacaktır.
İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Kemahlıoğlu Şirketi Genel Müdürü’nün onayına sunularak güncellenir. Kemahlıoğlu Şirketi KVK Politikası, Kemahlıoğlu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Kemahlıoğlu, yasal düzenlemelere paralel olarak Kemahlıoğlu Şirketi KVK Politikasın’da değişiklik yapma hakkını saklı tutar. Kemahlıoğlu Şirketi KVK Politikası’nın güncel versiyonuna Kemahlıoğlu’nun web sitesinden (www.kemahliogluplastik.com) erişilebilir.
|
|
1. AMAÇ VE KAPSAM
Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugün benimsemiş olan Kemahlıoğlu, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.
Kemahlıoğlu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Kemahlıoğlu KVK Politikası”) ile Kemahlıoğlu tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.
Kemahlıoğlu’nun, kişisel verilerin korunmasına verdiği önem doğrultusunda, Kemahlıoğlu KVK Politikası ile Kemahlıoğlu Şirketi tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda Kemahlıoğlu Şirketi’nin yerine getirmesi gerekenler ortaya konulmaktadır. Kemahlıoğlu KVK Politikası düzenlemelerinin uygulanması ile Kemahlıoğlu’nun benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
2. HEDEF
Kemahlıoğlu, topluluk içinde birliğin oluşturulması hedefi doğrultusunda; şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır.
Kemahlıoğlu KVK Politikası, Kemahlıoğlu Şirketleri tarafından KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. Kemahlıoğlu KVK Politikası ile, Kemahlıoğlu tarafından önem verilen, KVK Kanunu’na uyum sürecinin, her bir Topluluk Şirketi tarafından da benimsenmesinin ve özenle yürütülmesinin temini hedeflenmektedir.
3. TANIMLAR
Kemahlıoğlu KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
|
Açık Rıza : |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim Hale Getirme : |
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyleilişkilendirilemeyecek hale getirilmesi. |
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ : |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ. |
|
Çalışan KVK Politikası: |
Kemahlıoğlu Plastik çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “Kemahlıoğlu Plastik Ambalaj Sanayi Ticaret A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”. |
|
Kişisel Sağlık Verilerinin İşlenmesine ilişkin Yönetmelik: |
20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik. |
|
Kişisel Sağlık Verisi : |
Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi. |
|
Kişisel Veri : |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
|
Kişisel Veri Sahibi : |
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar. |
|
Kişisel Verileri Koruma Birimi : |
Kemahlıoğlu Plastik tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan birim. |
|
Kişisel Verilerin İşlenmesi : |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
KVK Kanunu : |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
KVK Kurulu : |
Kişisel Verileri Koruma Kurulu. |
|
KVK Kurumu : |
Kişisel Verileri Koruma Kurumu. |
|
Özel Nitelikli Kişisel Veri : |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
|
Kemahlıoğlu Plastik /Şirket : |
KEMAHLIOĞLU PLASTİK AMBALAJ SANAYİ TİCARET A.Ş. |
|
Kemahlıoğlu Plastik İş Ortakları : |
Kemahlıoğlu Plastik’in ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
|
Kemahlıoğlu Plastik KVK Politikası : |
Kemahlıoğlu Plastik Ambalaj San. Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
|
Kemahlıoğlu Plastik Tedarikçileri : |
Sözleşme temelli olarak Kemahlıoğlu Plastik’e hizmet sunan taraflar |
|
Kemahlıoğlu Plastik Veri Sahibi Başvuru Formu: |
Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu. |
|
Kemahlıoğlu Şirketi Çalışan KVK Politikası: |
Sabancı Topluluğu bünyesine dahil şirketlerin çalışanlarının kişisel verilerinin korunmasında ve işlenmesinde benimsenen ilkelerin düzenlendiği “Sabancı Topluluğu Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası” |
|
Kemahlıoğlu Şirketi KVK Politikası : |
Kemahlıoğlu Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
|
Türkiye Cumhuriyeti Anayasası : |
9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
|
Türk Ceza Kanunu : |
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu |
|
Veri İşleyen: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi |
|
Veri Sorumlusu: |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi. |
|
Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ: |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ. |
|
Veri Sorumluları Sicili : |
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde tutulan ve kamuya açık olan Veri Sorumluları Sicili |
|
Veri Sorumluları Sicili Hakkında Yönetmelik: |
30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik. |
4. ROLLER VE SORUMLULUKLAR
Kemahlıoğlu KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Kemahlıoğlu bünyesinde uygulanmasında, Kemahlıoğlu Yönetim Kurulu tavsiye kaynağı ve rehber olacaktır. Kemahlıoğlu genelindeki tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, Kemahlıoğlu KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Kemahlıoğlu ile iş birliği yapmakla yükümlüdürler. Kemahlıoğlu’nun tüm organ ve departmanları Kemahlıoğlu Şirketi KVK Politikası’na uyulmasını gözetmekle sorumludur.
5. POLİTİKA ESASLARI
5.1. KEMAHLIOĞLU TARAFINDAN BENİMSENEN TEMEL İLKELER
Kemahlıoğlu Şirketi tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Kemahlıoğlu Şirketi, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmelidirler.
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Kemahlıoğlu Şirketi, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamalı, bu çerçevede gereken idari ve teknik tedbirleri almalı, gerekli süreçleri yürütmelidirler. Bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmalıdır.
5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Kemahlıoğlu Şirketi, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir) gerekmektedir. Bu çerçevede, Kemahlıoğlu Şirketi, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmalıdırlar.
5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Kemahlıoğlu Şirketi, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmelidirler. Bu doğrultuda Türk Ceza Kanunu’nun 138. maddesi ve KVK Kanunu’nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmelidirler. Kemahlıoğlu Şirketi, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidirler.
5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA
UYGUN OLARAK GERÇEKLEŞTİRİLMESİ
Kemahlıoğlu Şirketi kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. Bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini
gerçekleştirmemelidirler.
Kemahlıoğlu Şirketi, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler. Kemahlıoğlu Şirketi, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile Kemahlıoğlu KVK Politikası’nda ortaya konulan kurallara uymalıdırlar.
5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK
GERÇEKLEŞTİRİLMESİ
Kemahlıoğlu Şirketi tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.
5.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Kemahlıoğlu, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde,bkorunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi tarafından gerekli idari ve teknik tedbirler alınmalı, şirket bünyesinde denetim sistemi kurulmalı ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirler alınmalıdır.
5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı İdari Tedbirler
– Kemahlıoğlu Şirketi, kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitmeli ve bilinçlendirmelidir.
– Kişisel verilerin aktarıma konu olduğu durumlarda, Kemahlıoğlu Şirketi kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklemelidir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşunda bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmalıdır.
– Kemahlıoğlu Şirketi tarafından gerçekleştirilen süreçler detaylı olarak incelenmeli, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmelidir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenmelidir.
– Kemahlıoğlu Şirketi, şirket yapılarına göre KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit etmeli, bu uygulamaları iç politikalar ile düzenlemelidir.
5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı Teknik Tedbirler
– Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmalı ve alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir.
– Teknik konularda, uzman personel istihdam edilmelidir.
– Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.
– Güvenliği temin edecek yazılım ve sistemler kurulmalıdır.
– Kemahlıoğlu Şirketi tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.
5.4.3. Kemahlıoğlu Şirketi’nin Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütmesi
Kemahlıoğlu Şirketi tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Kemahlıoğlu Şirketi tarafından denetlenmelidir. Kemahlıoğlu Şirketi söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilir. Kemahlıoğlu Şirketi gerekli gördüğü durumlarda söz konusu denetim faaliyetini Kemahlıoğlu Şirketi’nde doğrudan kendi organizasyonu marifetiyle yerine getirebilir. Gerçekleştirilen denetim faaliyetlerinin sonuçları, Kemahlıoğlu Şirketi’ne raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır. Kemahlıoğlu Şirketi bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapmalıdır. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler Kemahlıoğlu Şirketi’nde ilgili icra birimlerince yürütülmelidir.
5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler
Kemahlıoğlu Şirketi, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirmelidirler. Bu yükümlülüğün yerine getirilmesi için gereken iç yapı kurgulanmalıdır.
5.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
Kemahlıoğlu Şirketi, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi’nin uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü
Kemahlıoğlu Şirketi KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmalıdırlar. Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulması gereken bilgiler aşağıda yer almaktadır:
1. Veri sorumlusu statüsündeki Topluluk Şirketi’nin ve varsa temsilcisinin kimlik
bilgileri ve adresleri,
2. Kişisel verilerin işlenme amacı,
3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri
hakkında bilgiler,
4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
5. Yurt dışına aktarımı yapılabilecek kişisel veriler,
6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,
7. Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi.
5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:
1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. Veri sahibinin hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenmek,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;
1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
3. Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.
Kemahlıoğlu Şirketi ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmak veya yaptırmakla yükümlüdürler.
5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
Kemahlıoğlu Şirketi; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.
5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
Kemahlıoğlu Şirketi veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:
1. Kişisel verilerinin işlenip işlenmediğini öğrenmek,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler bilmek,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü
Kemahlıoğlu Şirketi, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmelidir.
5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü
Kemahlıoğlu Şirketi KVK Kanunu’nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdırlar.
7. GÖZDEN GEÇİRME
Bu Politika dokümanı, Kemahlıoğlu onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Kemahlıoğlu Yönetim Kurulu tarafından Kemahlıoğlu Genel Müdürü’ne yetki verilmiştir. Kemahlıoğlu Genel Müdürü’nün onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.
İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir. Yönetmelikler Kemahlıoğlu CEO’su onayıyla yayımlanarak yürürlüğe konulacaktır.
İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Kemahlıoğlu Şirketi Genel Müdürü’nün onayına sunularak güncellenir. Kemahlıoğlu Şirketi KVK Politikası, Kemahlıoğlu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Kemahlıoğlu, yasal düzenlemelere paralel olarak Kemahlıoğlu Şirketi KVK Politikasın’da değişiklik yapma hakkını saklı tutar. Kemahlıoğlu Şirketi KVK Politikası’nın güncel versiyonuna Kemahlıoğlu’nun web sitesinden (www.kemahliogluplastik.com) erişilebilir.
|
|
