KVKK Politikası

Arentek Grup Şirketleri Kişisel Verilerin Korunması Politikası


1-GİRİŞ

İşbu Arentek ("Arentek") Şirketler Topluluğu Kişisel Verilerin Korunması Politikası ("Politika"), Arentek ve Arentek ile aynı kontrol yapısında (grupta) bulunan tüm şirketleri (bağlı ortaklık, iştirak) ("Topluluk Şirketleri") kapsamaktadır.

Politika'da, kişisel verilerin işlenmesi ve korunması konusunda, Topluluk Şirketleri tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.

AMAÇ

Politika, kişisel verilerin işlenmesi ve korunması konusunda Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuata uyum sağlanması ve tüm faaliyetlerin bu kapsamda yerine getirilmesi amacıyla ilgili Topluluk Şirketleri özelinde yürütülecek faaliyetlerin yönetilmesini ve yeknesaklığın sağlanmasını temin etmek hedefiyle hazırlanmıştır.

Topluluk Şirketleri, belirlenen ilkeler doğrultusunda iç işleyişlerinde gerekli düzenlemeleri yapacak, çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturacaktır.

III. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

Politika, Topluluk Şirketleri'nin KVKK ve ilgili mevzuatta düzenlenen kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır.

Topluluk Şirketleri, Politika'yı rehber edinerek kendi bünyelerinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini inceleyecek, Politika'ya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politika'ya uygunluğun devamlılığı sağlanacaktır.

Topluluk bünyesinde Politika'ya uyumun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecektir. KVKK'ya uyumun sağlanması ve bu konuda mevzuata uygun şekilde hareket edilmesi için Topluluk Şirketleri tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, Topluluk Şirketleri tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır. Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir:

Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
Topluluk Şirketleri, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Topluluk Şirketleri, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır.

Belirli, Açık ve Meşru Amaçlarla İşleme
Topluluk Şirketleri, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda Topluluk Şirketleri kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. Topluluk Şirketleri tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.


İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Topluluk Şirketleri, orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır.

İlgili Mevzuatta Öngörülen / İşlendikleri Amaç İçin Gereken Süre Kadar Muhafaza Etme
Topluluk Şirketleri kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

IV. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak, KVKK'nın 5.ve 6.maddelerinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayanarak işlenmelidir. Bu kapsamda Topluluk Şirketleri kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetini durdurulmalı ya da veri sahibinden açık almalıdır. Ayrıca, özel nitelikli kişisel verilerin işlenmesine yönelik olarak Kişisel Verileri Koruma Kurulu ("Kurul") tarafından belirlenen önlemler alınmalıdır.

Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK'nın 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.

Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına Topluluk Şirketleri içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.

V. TOPLULUK ŞİRKETLERİNİNYÜKÜMLÜLÜKLERİ

Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Topluluk Şirketleri, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatmalıdır. KVKK'da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler şunlardır: Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebepleri, kişisel veri sahibinin sahip olduğu haklar.

Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
Kişisel veri sahipleri, yazılı olarak veya Kurul'un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK'da yer alan haklarını kullanabilirler.

Topluluk Şirketleri, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK'nın 13. maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel veri sahiplerinin yalnızca yazılı olarak Topluluk Şirketleri'ne iletilen talepleri işleme alınmalıdır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. Topluluk Şirketleri talebin niteliğine göre ilgili talebi en kısa sürede ve en geç 30 (otuz) gün içinde yanıtlandırmalıdır. Değerlendirme sonucunda Topluluk Şirketleri, başvuruyu kabul ederek gerekli aksiyonu alabileceği gibi, başvuruyu gerekçesini de bildirmek kaydıyla reddedebilir.

Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Topluluk Şirketleri, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalıdır.

Topluluk Şirketleri, alacakları teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Topluluk Şirketleri bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır.

Topluluk Şirketleri, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul'a bildirmekle yükümlüdür. Buna ilişkin organizasyonel yapı kurulmalıdır.

Topluluk Şirketleri tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.

Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler Topluluk Şirketleri tarafından alınmalıdır:

- Topluluk Şirketleri bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilmelidir.
- Mevuzata uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenmelidir.
- Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanmalıdır.
- Topluluk Şirketi çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir.
- Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılmalı ve gerekli idari tedbirler Topluluk Şirketleri'nin iç politikaları ve eğitimler yoluyla hayata geçirilmelidir.
- Topluluk Şirketleri ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmalıdır.
- Kişisel verilere erişim, işleme amacı doğrultusunda sınırlandırılmalıdır.
- Çalışanların görevlerinin gerketirmediği kişisel verilere erişimleri sınırlandırılmalıdır.

Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler Topluluk Şirketleri tarafından alınmalıdır: - Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmelidir.
- Topluluk Şirketleri tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanmalı devreye alınmalıdır.
- Alınan teknik önlemler periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve3 sistemler kurulmalıdır.
- Topluluk Şirketleri'nin çalışanları bu kapsamda alınan teknik tedbirler konusunda eğitilmelidir.
- Topluluk Şirketleri çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmalıdır.
- Topluluk Şirketleri tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.

Veri Sorumluları Siciline Kaydolma Yükümlülüğü

Kurul tarafından belirlenen kriterler çerçevesinde Veri Sorumluları Sicili'ne kaydolma yükümlülüğü altında bulunan Topluluk Şirketleri, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde Veri Sorumluları Sicili'ne kayıt olmalıdır.

VI. TOPLULUK ŞİRKETLERİ BÜNYESİNDE ORGANİZASYON

Topluluk Şirketleri bünyesinde işbu Politika ve bununla ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu kişisel verilerin korunması komitesi atanmalıdır. Ayrıca, her birimin en düzey yöneticisinin de sorumlu olduğu kabul edilir.

Kişisel Verilerin Korunması Komitesi;

- Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemeli,
- Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmalı; bunların uygulanmasını gözetmeli ve koordinasyonu sağlamalı,
- Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermeli, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmalı,
- Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmeli; iyileştirme önerilerini üst yönetimin onayına sunmalı,
- Çalışanların kişisel verilerin korunması ve şirket politikaları konusunda eğitilmelerini sağlamalı,
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamalı,
- Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmalı,
- Kişisel verilerin korunması konusundaki gelişmeleri takip etmeli; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmalıdır.

10%