Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda Approach Leadership Yazılım İthalat ve ihracat Sanayi ve Ticaret Anonim Şirketi tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır. Bu Politika ile Topluluk Şirketleri tarafından yerine getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.
Bu Politika topluluk düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ilgili tüm grup şirketleri özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.
Topluluk Şirketleri Approach Leadership Yazılım İthalat ve ihracat Sanayi ve Ticaret Anonim Şirketi tarafından belirlenen ilkeler doğrultusunda iç işleyişlerini uyum için gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturacaktır.
Bu Politika, Approach Leadership Yazılım İthalat ve ihracat Sanayi ve Ticaret Anonim Şirketinin KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır.
Topluluk Şirketleri bu Politikayı rehber edinerek kendi bünyelerinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.
Topluluk bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve topluluk şirketlerinin iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.
KVKK’ya uyumluluğun sağlanması için Topluluk Şirketleri tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, Topluluk Şirketleri tarafından tüm
kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır. Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.
Topluluk Şirketleri kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda Topluluk Şirketleri, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidirler.
Topluluk Şirketleri, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, Topluluk Şirketleri kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.
Topluluk Şirketleri, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda Topluluk Şirketleri kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. Topluluk Şirketleri tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.
Topluluk Şirketleri, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemelidir.
Topluluk Şirketleri kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
Kişisel veriler kural olarak, KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda Topluluk Şirketleri kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmalıdır.
KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.
Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.
Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirketler içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.
Topluluk Şirketleri, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatılmalıdır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir:
Bu kapsamda, Topluluk Şirketleri tarafından öncelikle kişisel veri toplama kanalları tespit edilmeli ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenmelidir.
Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.
Bu kapsamda, Topluluk Şirketleri, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır.
KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:
giderilmesini talep etme.
Kişisel veri sahiplerinin yalnızca yazılı olarak Topluluk Şirketleri’ne iletilen talepleri işleme alınmalıdır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. Topluluk Şirketleri talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlandırmalıdır. Değerlendirme sonucunda Topluluk Şirketleri başvuruları kabul ederek gereken aksiyonları alabilecekleri gibi başvuruları gerekçeli olarak reddedebilirler.
Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikayette bulunabilir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.
Approach Leadership Yazılım İthalat ve ihracat Sanayi ve Ticaret Anonim Şirketi işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalıdır.
Kurul ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede efor sarf ederek maksimum derecede güvenlik sağlanmalıdır.
Topluluk Şirketleri, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Topluluk Şirketleri bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır.
Topluluk Şirketleri, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdürler. Bu kapsamda gerekli organizasyonel yapı kurulmalıdır.
Topluluk Şirketleri tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.
Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler Topluluk Şirketleri tarafından alınmalıdır:
ilgilisine raporlanmalıdır.
Topluluk Şirketleri, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmalıdır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler Topluluk Şirketleri tarafından alınmalıdır:
teknik konularda bilgili personel istihdam edilmelidir.
Topluluk Şirketleri bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanmalıdır.
Bu kapsamda Komite veya atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler Topluluk Şirketleri tarafından alınmalıdır:
teknik konularda bilgili personel istihdam edilmelidir.
Açık Rıza | : | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
---|---|---|
Anonim Hale Getirme | : | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Veri Sahibi | : | Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar. |
Kişisel Veri | : | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb. |
Özel Nitelikli Kişisel Veri | : | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Veri İşleyen | : | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması. |
Veri Sorumlusu | : | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur. |
Buraya tıklayarak başvuru formunu indirebilirsiniz.