GİRİŞ
Bu Politika ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin Zülfikarlar Holding A.Ş. tarafından kişisel verilerin işlenmesi ve korunması konusunda benimsenecek ve uygulanacak ilkeler belirlenmekte, yerine getirilecek hususlar ortaya konulmaktadır.
AMAÇ
Bu Politika ZÜLFİKARLAR HOLDİNG A.Ş. düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ZÜLFİKARLAR HOLDİNG A.Ş. özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.
KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
Bu Politika, ZÜLFİKARLAR HOLDİNG A.Ş.’nin KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacağına ilişkin yol gösterici bir kılavuz niteliğindedir. ZÜLFİKARLAR HOLDİNG A.Ş. bu Politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği kişisel veri işleme faaliyetlerini analiz edecektir. ZÜLFİKARLAR HOLDİNG A.Ş. bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır. ZÜLFİKARLAR HOLDİNG A.Ş. bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacaktır. ZÜLFİKARLAR HOLDİNG A.Ş. bünyesinde yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek olup ZÜLFİKARLAR HOLDİNG A.Ş.’nin iş ortakları ile ilişkilerinde KVKK kapsamında gerekli düzenlemeler yapılacaktır.
KVKK’ya uyumluluğun sağlanması için ZÜLFİKARLAR HOLDİNG A.Ş. tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, ZÜLFİKARLAR HOLDİNG A.Ş. tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve koşullar bu bölümde ele alınacaktır. Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.
Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
ZÜLFİKARLAR HOLDİNG A.Ş. kişisel verilerin işlenmesi faaliyeti kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. ZÜLFİKARLAR HOLDİNG A.Ş. bu kapsamda orantılılık ve gereklilik prensiplerine uygun olarak sadece Kanunda belirlenen şartlarda gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidir.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
ZÜLFİKARLAR HOLDİNG A.Ş., işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, ZÜLFİKARLAR HOLDİNG A.Ş. kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.
Belirli, Açık ve Meşru Amaçlarla İşleme
ZÜLFİKARLAR HOLDİNG A.Ş., kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda ZÜLFİKARLAR HOLDİNG A.Ş. kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. ZÜLFİKARLAR HOLDİNG A.Ş. tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
ZÜLFİKARLAR HOLDİNG A.Ş., kişisel verileri belirlenen amaçların gerçekleştirilebilmesine yönelik işlemeli ve amaç dışındaki kişisel verilerin işlenmesinden kaçınmalıdır.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
ZÜLFİKARLAR HOLDİNG A.Ş., kişisel verileri, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmesi halinde bu süreye uygun olarak, süre belirlenmemesi halinde kişisel verilerin işlenme amacına hizmet edecek süre ile sınırlı olarak muhafaza etmelidir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler kural olarak, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda ZÜLFİKARLAR HOLDİNG A.Ş. veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmelidir. Buk şartlardan birine dayanmayan kişisel veri işleme faaliyetinin tespit edilmesi halinde kişisel veri işleme faaliyeti durdurulmalıdır. KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.
Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır. Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına ZÜLFİKARLAR HOLDİNG A.Ş. bünyesinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.
ZÜLFİKARLAR HOLDİNG A.Ş.’nin YÜKÜMLÜLÜKLERİ
1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında verileri işlenecek kişiler, verilerinin ne şekilde işleneceği hususunda ZÜLFİKARLAR HOLDİNG A.Ş. tarafından aydınlatmalıdır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar aşağıdaki şekilde sayılmıştır:
(1) Veri sorumlusu olarak ZÜLFİKARLAR HOLDİNG A.Ş.’nin ve varsa temsilcisinin kimliği,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
(5) Kişisel veri sahibinin sahip olduğu haklar.
2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu doğrultuda, ZÜLFİKARLAR HOLDİNG A.Ş., KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır.
KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:
Kişisel veri sahiplerinin yazılı olmayan talepleri ZÜLFİKARLAR HOLDİNG A.Ş. tarafından dikkate alınmayacaktır. Kurul tarafından farklı başvuru yöntemleri belirlediği takdirde Kurulun belirlediği başvuru yöntemlerine göre başvuru yapan kişisel veri sahiplerinin talepleri de geçerli olacaktır. İlgili talep, mahiyetine göre, en kısa sürede ve en geç otuz gün içinde ZÜLFİKARLAR HOLDİNG A.Ş. tarafından yanıtlandırılmalıdır. ZÜLFİKARLAR HOLDİNG A.Ş. başvuruları kabul edebileceği gibi, gerekçesi istenildiği takdirde gerekçeli olarak reddedebilir. Tüm bu durumlarda veri sahibinin Kurula şikayette bulunma hakkı saklıdır. Bu nedenle kişisel veri sahiplerine zamanında cevap verilmesi ve bu cevaplardan kişisel veri sahiplerinin tatmin olması önem arz etmektedir.
3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
ZÜLFİKARLAR HOLDİNG A.Ş., işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalıdır. Kurul tarafından ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilir. Dolayısıyla bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede efor sarf ederek maksimum derecede güvenlik sağlanmalıdır. ZÜLFİKARLAR HOLDİNG A.Ş., alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları ZÜLFİKARLAR HOLDİNG A.Ş. bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır. ZÜLFİKARLAR HOLDİNG A.Ş., işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdür. Bu kapsamda gerekli organizasyonel yapı kurulmalıdır. ZÜLFİKARLAR HOLDİNG A.Ş. tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.
3.1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması
Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler ZÜLFİKARLAR HOLDİNG A.Ş. tarafından alınmalıdır:
3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler ZÜLFİKARLAR HOLDİNG A.Ş. tarafından alınmalıdır:
4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
ZÜLFİKARLAR HOLDİNG A.Ş., veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olacaktır. Veri Sorumluları Sicili’ne sunulacak bilgiler aşağıda belirtilmiştir. (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
(1) Veri sorumlusu olarak ZÜLFİKARLAR HOLDİNG A.Ş.’nin ve varsa temsilcisinin kimlik ve adres bilgileri,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
(4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
(5) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
(6) Kişisel veri güvenliğine ilişkin alınan tedbirler,
(7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
ZÜLFİKARLAR HOLDİNG A.Ş. BÜNYESİNDE ORGANİZASYONEL YAPILANMA
ZÜLFİKARLAR HOLDİNG A.Ş. bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanmalıdır. Bu kapsamda Komite veya atanacak kişinin görevleri aşağıda belirtilmiştir: