KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
GİRİŞ……………………………………………………….3
AMAÇ………………………………………………………
3
A. KİŞİSEL
VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER.......................................................................
4
1.
Hukuka ve Dürüstlük Kuralına Uygun Faaliyetlerde
Bulunma..................................................................... 4
2.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını
Sağlama................................................... 4
3.
Belirli, Açık ve Meşru Amaçlarla İşleme
......................................................................................
4
4.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
......................................................................................
4
5.
Gerekli Olan Süre Kadar Muhafaza Etme
......................................................................................
5
B.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI....................................................................
5
C.
TOPLULUK İŞTİRAKLERİNİN YÜKÜMLÜLÜKLERİ
......................................................................................
6
1.
Kişisel Veri Sahibini Aydınlatma Yükümlülüğü...........................................................6
2.
Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
......................................................... 6
3.
Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü ......................................................................................
8
4.
Veri Sorumluları Siciline Kaydolma Yükümlülüğü
......................................................................................
9
D.
TOPLULUK BÜNYESİNDE ORGANİZASYONEL YAPILANMA
......................................................................................10
E.TANIMLAR................................................................ 11
GİRİŞ
Bu Politika ile kişisel
verilerin işlenmesi ve korunması konusunda ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ tarafından benimsenecek ve uygulama noktasında dikkate alınacak
ilkeler ortaya konulmaktadır. Bu Politika ile şirket tarafından yerine
getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması
Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel
ilkeler belirlenmektedir.
AMAÇ
Bu Politika şirket düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ilgili şirket özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.
A. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
Bu Politika, ASTA REKLAM
ÜRÜNLERİ SANAYİ VE TİCARET AŞ’nin KVKK ve ilgili mevzuat tarafından ortaya
konulan kuralları somut olarak nasıl uygulayacağına ilişkin yol gösterici bir
nitelik taşımaktadır.
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, bu Politikayı rehber edinerek kendi bünyesinde gerçekleştireceği
kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için
gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi
alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim
mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.
Şirket bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların
farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar
için gerekli uyum süreçleri işletilecek ve gerekli düzenlemeler yapılacaktır.
Kişisel verilerin işlenmesi
sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.
1. Hukuka ve Dürüstlük Kuralına Uygun Faaliyetlerde Bulunma
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve
dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda ASTA REKLAM ÜRÜNLERİ
SANAYİ VE TİCARET AŞ, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini
uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına
uygun düşecek seviyede işlemelidir.
2. Kişisel
Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, işlemekte olduğu kişisel verilerin doğru ve güncel olmasını
sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, ASTA REKLAM
ÜRÜNLERİ SANAYİ VE TİCARET AŞ kişisel veri sahiplerinin kişisel verilerini düzeltmelerine
ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.
3. Belirli, Açık ve Meşru Amaçlarla İşleme
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, kişisel verileri belirli, açık ve hukuka uygun sebeplerle
işlemelidir. Bu kapsamda kişisel verilerin hangi amaçla işleneceğini
belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin
bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında
işlenmemelidir. ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ tarafından belirlenen
veri işleme amaçları meşru ve hukuka uygun olmalıdır.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan
kişisel verilerin
işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan
yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti
yürütülmemelidir.
5. Gerekli Olan Süre Kadar Muhafaza Etme
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya
işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili
mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye
uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri
amaç için gerekli olan süre kadar muhafaza edilmelidir.
B. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler kural olarak,
KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir
veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda ASTA REKLAM ÜRÜNLERİ
SANAYİ VE TİCARET AŞ kişisel veri işleme faaliyetlerinin bu şartlardan birinin
kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan
kişisel veri işleme faaliyetleri durdurulmalıdır.
KVKK’da özel nitelikteki
kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir.
Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından
belirlenecek önlemler alınmalıdır.
Kişisel verilerin yurt içinde
veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı
maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel
sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları
doğrultusunda gerekli güvenlik önlemleri alınmalıdır.
Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirketler içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.
C. TOPLULUK İŞTİRAKLERİNİN YÜKÜMLÜLÜKLERİ
1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ, kişisel
verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne
şekilde işleneceği konusunda aydınlatılmalıdır. KVKK’da, bilgilendirmede yer
alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir:
• Veri sorumlusu olarak varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
• Kişisel veri sahibinin sahip olduğu haklar.
Bu kapsamda, ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ
tarafından öncelikle kişisel veri toplama kanalları tespit edilmeli ve her kanal
özelinde aydınlatma noktaları ve metinleri belirlenmelidir.
2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
Kişisel veri sahipleri, yazılı
olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi
verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu kapsamda, ASTA
REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ, kişisel veri sahiplerinin haklarının
yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini
yerine getirmek için gereken idari ve teknik önlemleri almalıdır.
KVKK kapsamında kişisel veri
sahipleri aşağıdaki haklara sahiptir:
• Kişisel veri işlenip
işlenmediğini öğrenme,
• Kişisel verileri işlenmişse
buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok
edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini
talep etme.
Kişisel veri sahiplerinin yalnızca yazılı olarak ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ’a iletilen talepleri işleme alınmalıdır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlandırmalıdır. Değerlendirme sonucunda ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ başvuruları kabul ederek gereken aksiyonları alabilecekleri gibi başvuruları gerekçeli olarak reddedebilir. Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikayette bulunabilir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.
3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini
ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin
muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli
teknik ve idari tedbirleri almalıdır.
Kurul ileride veri güvenliğine
ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla
bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede efor sarf
ederek maksimum derecede güvenlik sağlanmalıdır.
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi
ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri
kurgulamalıdır. Bu denetim sonuçları ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ
bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır.
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ, işlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri
sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdürler.
Bu kapsamda gerekli organizasyonel yapı kurulmalıdır.
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit
kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.
3.1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin
Alınması
Kişisel verilerin hukuka uygun
işlenmesi için aşağıdaki tedbirler ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ tarafından
alınmalıdır:
• ASTA REKLAM ÜRÜNLERİ SANAYİ
VE TİCARET AŞ bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş
birimleri bazında analiz edilmeli, bu kapsamda bir “kişisel veri işleme
haritası” çıkartılmalıdır.
• Kişisel veri işleme haritası
uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında
belirlenmelidir.
• Gerçekleştirilen kişisel
veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine
raporlanmalıdır.
• ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir.
• Çalışanlarda farkındalığın
sağlanması için düzenli denetimler yapılmalı ve gerekli idari tedbirler ASTA
REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ’ın iç politikaları ve eğitimleri yoluyla
hayata geçirilmelidir.
• ASTA REKLAM ÜRÜNLERİ SANAYİ
VE TİCARET AŞ ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve
müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere,
paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine
ilişkin kayıtlar konulmalıdır.
• Kişisel verilere erişim,
işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalıdır. Çalışanların,
görevleri gereği kullanmadıkları kişisel verilere erişimleri
sınırlandırılmalıdır.
3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari
Tedbirlerin Alınması
Kişisel verilere hukuka aykırı
erişimi engellemek için aşağıdaki tedbirler ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ tarafından alınmalıdır:
• Kişisel verilerin saklandığı
sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik
önlemler alınmalı, alınan önlemler periyodik olarak güncellenmelidir.
• ASTA REKLAM ÜRÜNLERİ SANAYİ
VE TİCARET AŞ tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun
olarak erişim ve yetkilendirme teknik süreçleri tasarlanmalı devreye
alınmalıdır.
• Alınan teknik önlemler
periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik
çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren
yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
• ASTA REKLAM ÜRÜNLERİ SANAYİ
VE TİCARET AŞ çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine
aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında
kullanamayacakları konusunda taahhüt alınmalıdır. Bu taahhüt işten
ayrılmalarından sonra da devam edecektir.
• ASTA REKLAM ÜRÜNLERİ SANAYİ
VE TİCARET AŞ tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen
sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik
tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.
4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
ASTA REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmalıdır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür.
• Veri sorumlusu olarak ASTA
REKLAM ÜRÜNLERİ SANAYİ VE TİCARET AŞ’ın ve varsa temsilcisinin kimlik ve adres
bilgileri,
• Kişisel verilerin hangi
amaçla işleneceği,
• Veri konusu kişi grubu ve grupları
ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin
aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı
öngörülen kişisel veriler,
• Kişisel veri güvenliğine
ilişkin alınan tedbirler,
• Kişisel verilerin
işlendikleri amaç için gerekli olan azami süre.
D. TOPLULUK BÜNYESİNDE ORGANİZASYONEL YAPILANMA
ASTA REKLAM ÜRÜNLERİ SANAYİ VE
TİCARET AŞ bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer
politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen
aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması
Komitesi” veya bu konuda sorumlu olacak kişi atanmalıdır.
Bu kapsamda Komite veya
atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:
• Kişisel verilerin işlenmesi
ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için
yapılması gerekenleri belirlemek,
• Belirlenen temel politika ve
aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve
koordinasyonunu sağlamak,
• Kişisel verilerin işlenmesi
ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne
şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli
görevlendirmelerde bulunmak,
• Şirketin kişisel veri işleme
faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını
temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
• Çalışanların kişisel
verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
• Kişisel veri sahiplerinin
başvurularını en üst düzeyde karara bağlamak,
• Şirketin KVKK kapsamındaki
yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde
bulunmak,
• Kişisel verilerin korunması
konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması
gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
• Kurum ve Kurul ile olan ilişkileri yönetmek
E. TANIMLAR
1) Açık Rıza: Belirli bir konuya ilişkin,
ilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
2) Anonim Hale GetirmE: Kişisel verinin, kişisel veri
niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde
değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle
kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.