|
KİŞİSEL VERİLERİN KORUNMASI |
Versiyon |
1.1 |
İlk Yayım Tarihi |
03/09/2021 |
||
KişiselVeri Aktarım Politikası |
Son Güncelleme Tarihi |
…/.../202.. |
|
Sayfa No |
1/7 |
DEPAR MOTOR ve MALZEME SAN. TİC. A.Ş.
KİŞİSEL VERİ AKTARIM POLİTİKASI
İçindekiler
A. KAPSAM............................................................................................................................. 3
B. TANIMLAR......................................................................................................................... 3
C. BİLGİ TRANSFERİ TAAHHÜDÜ................................................................................... 3
D. KİŞİSEL VERİLERİN FİZİKSEL ORTAMDA AKTARILMASI .............................. 3
E. KİŞİSEL VERİLERİN ELEKTRONİK ORTAMDA AKTARILMASI …………..… 5
F. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER ……………………………………. 7
G. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
A. KAPSAM
B. TANIMLAR
Kanun veya KVKK; 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Yönetmelik; Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan Yönetmelik.
Veri Sorumlusu; Depar Motor ve Malzeme San. Tic. A.Ş. (“Şirket” olarak anılacaktır.)
Politika; Depar Motor ve Malzeme San. Tic. A.Ş.’nin Kişisel Veri koruma Politikası.
C. BİLGİ TRANSFERİ TAAHHÜDÜ
İşbu Kişisel Veri Aktarım Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9. maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirleyecektir.
D. KİŞİSEL VERİLERİN FİZİKSEL ORTAMDA AKTARILMASI
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVK Komitesi’ne bildirmekle yükümlüdür.
Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.
Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVK Komitesi’ne danışarak aktarım yapmalıdır.
Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVK Komitesi’ne bilgisi ve onayı dâhilinde yapılabilir.
Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVK Komitesi’ndeki ilgili kişiye durumu aktarır.
Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir.
Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVK Komitesi’nin bilgisine başvurulacaktır.
E. KİŞİSEL VERİLERİN ELEKTRONİK ORTAMDA AKTARILMASI
Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVK Komitesi’ne bildirmekle yükümlüdür.
Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVK Komitesi’ne danışarak aktarım yapmalıdır.
Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır.
Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Komitesi bilgilendirilmelidir.
Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dâhilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır.
Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVK Komitesi’ne bilgi vererek onay almalıdır.
2. Taşınabilir Medya
Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır.
Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir.
Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur.
Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz. Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında Şirket’in anlaşmalı olduğu kurye hizmeti kullanılmalıdır, aktarımda kargo hizmeti kullanılamaz.
3. Bulut Paylaşımı (Cloud)
Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır.
Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca Şirket donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını Şirket donanımları ve ağını kullanmadan yapmasına izin verilmez.
4. Ağ Üzerinden Paylaşım
Kişisel veriler, Şirket’in ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografik protokollerin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dâhilinde KVK Komitesi’ne bilgi verilir ve yalnızca Komite’nin onayı olduğu durumlarda aktarım gerçekleştirilir.
Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.
F. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
1. Yönetmelik’in Kurum tarafından oluşturulmasının ardından Depar Motor ve Malzeme San. Tic. A.Ş.’de varsa gerekli değişiklikleri yapacaktır.
2. Yönetmelik’te yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Depar Motor ve Malzeme San. Tic. A.Ş. tarafından işbu Politika’da değişiklik yapılabilir.
3. Depar Motor ve Malzeme San. Tic. A.Ş., Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.
G. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika .03./09/2021 tarihinde yürürlüğe girmiştir.