A. POLİTİKA, KAPSAM, AMAÇ

TEMİZEL PETROL ÜRÜNLERİ İNŞ. TAAH. VE TİC. LTD. ŞTİ. (“Şirket”) Yönetim Kurulu, Kişisel Verileri Koruma (“Politika”) doğrultusunda kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve Şirket tarafından verileri işlenen bireylerin hak ve özgürlüklerini korumayı taahhüt etmektedir. Yönetim Kurulu bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir Kişisel Veri Koruma Politikası ve Sistemi benimsemiştir.

1.Kapsam

Bu Politika hükümleri, Şirket bünyesinde yapılan ticari faaliyet konuları ve çalışma alanları ile bu işlemlere ilişkin satış, pazarlama, lojistik, depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları, hukuk, iç denetim ve bilgi işlem dahil olmak üzere ancak sayılanlarla sınırlı kalmamak kaydıyla tüm departman ve birimlerin faaliyetlerinden elde edilen kişisel verilerin Kanun kapsamında toplanması, işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için Şirket’in kullandığı prosedür ve süreçler ile bunlara ilişkin tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanlar ile tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu doğrultuda Politika, Şirket’in tüm çalışanları, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli çalışanları ile destek hizmeti veren üçüncü tarafların çalışanlarını kapsamaktadır.

2. Kişisel Veri Koruma Politikası ve Sisteminin Amaçları

Kişisel Veri Koruma Politikası ve Sisteminin amacı, Şirket’in kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması, organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, Şirket’in kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi, Şirket’in kişisel verilerin korunması alanındaki uluslararası sözleşmeler, anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.

3.Veri Koruma İlkeleri

Şirket, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. Şirket’in benimsediği veri koruma ilkeleri şunları içermektedir;

Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek,

• Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,
• Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek,
• Yalnızca ilgili ve uygun kişisel verileri işlemek,
• Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
• Şirket tarafından işlenen kişisel veri kategorilerinin envanterini tutmak,
• Kişisel verileri doğru ve gerektiğinde güncel tutmak,
• Kişisel verileri yalnızca yasal düzenlemeler, Şirket’in hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
• Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
• Tüm kişisel verileri güvenli tutmak,
• Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek,
• Mevzuat uyarınca izin verilen istisnaları uygulamak,
• Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak,
• Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların Şirket’in kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek,
• Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip personel/leri belirlemek.

4. Bildirimler

• Şirket, veri sorumlusu olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında Kişisel Verilerin Korunması Kurulu’nu bilgilendirir. Şirket, kişisel veri envanterinde işlediği tüm kişisel veri kategorilerini belirler.
• Bildirim, Kurul tarafından belirlenecek usul ve yöntem uyarınca yapılır. Yapılan bildirimin bir kopyası Şirket’in Kişisel Veri Koruma Komitesi (“Komite”) tarafından saklanır.
• İlgili mevzuat veya Kurul tarafından gerekli görülmesi halinde bildirimler periyodik olarak tekrarlanır.
• Komite, Kurul’a yapılan bildirimde meydana gelebilecek potansiyel değişiklikleri tespit etmek amacıyla Şirket’in veri işleme faaliyetlerini ve bunlardaki değişiklikleri yıllık olarak gözden geçirir ve gerekmesi halinde Kurul’u bilgilendirir.
• Şirket’in tüm çalışanları, stajyer ve sözleşmeli çalışanları ile destek hizmeti veren üçüncü taraflar çalışanlarının Politika’yı ihlal edici her türlü eylemine Şirket’in disiplin mevzuatı uygulanır. Söz konusu ihlalin suç veya kabahat oluşturması halinde durum en kısa süre içerinde ilgili makamlara bildirilir.

Şirket ’in kişisel verilere erişimi ve/veya erişme ihtimali bulunan çözüm ortakları ve Şirket ile birlikte çalışan tüm üçüncü taraflar Politika’yı okumaya ve Politika ’ya uymaya davet edilir. Hiçbir üçüncü taraf, kişisel verilerin korunması konusunda en az Şirket’inki kadar güçlü standartlara sahip yükümlülükleri yerine getirmeksizin ve bunlara ilişkin Şirket ‘in denetim hakkını içeren yazılı bir gizlilik anlaşması yapılmaksızın Şirket tarafından işlenen kişisel verilere erişim sağlayamaz.

B.TANIMLAR

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,
KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,
KVK Komitesi: Şirket bünyesindeki Kişisel Verileri Koruma Komite ’sini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Envanter: Şirket için önemli, gerekli ve işlenecek nitelikteki her türlü bilgi varlığını,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Yok Etme: Kişisel verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

C.GÖREV VE SORUMLULUKLAR

1. Şirket, Kanun uyarınca veri sorumlusudur.
2. Yönetim Kurulu ile yönetici, birim sorumlusu, pozisyonlarında olanlar başta olmak üzere tüm çalışanlar, Şirket bünyesinde kişisel verilerin işlenmesi konusunda doğru uygulamaların geliştirilmesi ve teşvik edilmesinden ve ayrıca bireysel görev tanımlarında yer verilmiş bu konuya ilişkin diğer yükümlülüklerden sorumludur.
3. Komite, kişisel veri koruma sisteminin yönetilmesi ile Kanun ve sair ilgili mevzuatlara ve düzenlemelere uyumun sağlanması ve belgelenmesi konularında görevli birim olarak kurulmuş olup bu konularda Yönetim Kurulu’na karşı sorumludur.

4.KVK Komitesi

Komite üyeleri, Yönetim Kurulu tarafından kişisel verilerin korunmasına ilişkin mevzuat ve düzenlemeler ile uygulamalar konularında uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır. Komite, faaliyetleri hakkında doğrudan Yönetim Kurulu’na rapor sunar.

Komite her 6 (altı) ayda bir düzenli olarak veya gerek görülmesi halinde toplanır.

4.1KVK Komitesi Görev ve Sorumlulukları

• Komite, Yönetim Kurulu’nu Kişisel Verilerin Korunması mevzuatı ve gelişmeleri konusunda bilgilendirmelidir.
• Komite, Şirket’in politikalarının ve prosedürlerinin güncel olduğunu ve veri işleme denetimlerinin planlandığı takvime uygun olarak yapıldığını ve bunların ilgili mevzuatla uyumlu olduğunu sağlamakla sorumludur.
• Komite kişisel veri koruma konularında tüm ilgili çalışanlarla birlikte hareket eder.
• Komitenin ana görev ve sorumlulukları şunlardır;
• Şirket, ilgili partnerleri ve destek hizmeti sağlayan tedarikçilerine kişisel veri koruma mevzuatı ve uyum konularında bilgi ve tavsiye vermek.
• Şirket  personeline     kişisel  veri      koruma           mevzuatı         uyarınca         sahip   oldukları yükümlülükler konusunda bilgi ve tavsiye vermek.
• Şirket’in veri işleme faaliyetlerinin kişisel veri koruma mevzuatı ile uyumluluğunu gözlemlemek.
• Şirket’in kişisel veri koruma politikası ve ilgili prosedür ve süreçleri geliştirmesine ve sürdürmesine katkı sağlamak.
• Kişisel veri koruma mevzuatına uyum bağlamında Şirket içinde sorumlulukları tayin etmek.
• Kişisel veri işleme süreçlerine dahil olan tüm personel için gerekli eğitim ve farkındalığın verilmesini sağlamak.
• Düzenli denetimler yaparak Kişisel Veri Koruma mevzuatı ile uyumu gözlemlemek ve Yönetim Kurulu’na raporlamak.
• Kurul ile işbirliği ve irtibat halinde hareket etmek.
• Kurul nezdinde Şirket’in irtibat noktası ve temsilcisi olarak işlev görecek sorumluları belirlemek.
• Kişisel veri ihlali olaylarının ve soruşturmalarının Kurul’a bildirilmesi için resmi prosedür geliştirmek.
• İş sürekliliği planı sürecinde katkı sağlamak.
• Kurumsal kayıtların saklanması konusunda bilgi ve tavsiye vermek. o Şirket bünyesinde kişisel verilerin hangi ölçekte toplandığını, tutulduğunu ve kullanıldığını ve bunların ilgili mevzuata uygun olarak saklanma koşullarını temin etmek.
• Kişisel verilerin korunmasına ilişkin uygunluk, makullük, güvenlik uygulamaları ve gerekli olabilecek diğer kontrollere ilişkin gözetim ve değerlendirmeleri yapmak.
• Şirket içinde kişisel veriler bakımından potansiyel risk oluşturan konuları ve ilgili önerilerini Yönetim Kurulu’nun gündemine sunmak.
• Komite, Şirket’in kişisel verilerin toplanması, işlenmesi, aktarılması, depolanması, saklanması ve imha edilmesiyle ilgili tüm sistemlerde denetleme yetkisine sahiptir. Komite, görevlerini yerine getirirken tüm çalışanlardan sistemlere ve kayıtlara erişim dahil olmak üzere işbirliği sağlama talebinde bulunabilir. Bu işbirliğinin sağlanmaması durumunda Komite durumu Yönetim Kurulu’na rapor eder.

4.2 Şirket ‘in kişisel veri işleyen tüm çalışanları Kişisel Verilerin Korunması mevzuatına uygun davranmak sorumluluğundadır.

4.3 Komite, tüm çalışanların kişisel verilerin korunması alanında sahip olduğu sorumlulukları bilmesi ve gerekli farkındalığa sahip olması için gerekli bildirim ve eğitimlerin gerçekleştirilmesinden sorumludur. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir. Şirket çalışanı, kişisel verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa Şirket, ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

4.4 Şirket çalışanları, Şirket’e kendileri tarafından sağlanan veya kendilerine ilişkin olan tüm kişisel verilerin doğruluğunu ve güncelliğini sağlamakla yükümlüdür.

4.5 Komite tarafından işbu Politika gelişmeler doğrultusunda Yönetim Kurulu onayı ile değiştirilebilir. Komite, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve veri sahiplerinin erişimine sunar.

D.VERİ KORUMA İLKELERİ

Tüm kişisel veri işleme faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmalıdır. Şirket’in politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı amaçlamaktadır:

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

1. Kişisel veriler hukuka ve dürüstlük kuralına uygun ve şeffaf bir şekilde işlenir.

Bu doğrultuda Şirket, gerçekleştirdiği kişisel veri işleme faaliyetlerine ilişkin, veri toplama kanallarında ve ilgili alanlarda aydınlatma metni/gizlilik bildirimlerine yer verir. Şirket tarafından kimlere ilişkin hangi verilerin hangi amaçlarla işlendiğine ilişkin açık ve anlaşılabilir bilgilerin yer aldığı bu bildirimlerin yer alacağı ve ilan edileceği alanlar Komite tarafından belirlenir. Bu bildirimlerde şu hususlara yer verilir;

• Şirket’in veri sorumlusu olarak kimliği ve iletişim bilgileri,
• Komite ve iletişim bilgileri,
• İşlenen kişisel veri türleri,
• Kişisel verinin işlenme amaçları,
• Kişisel verinin öngörülen saklama süresi,
• Veri sahibinin hakları,
• Verinin paylaşılabileceği üçüncü taraflar.

2. Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla işlenebilir.

• Kişisel veri envanterinde kişisel verilerin işlenme gerekçeleri/amaçları belirlenir. Kişisel veriler, başka bir hukuki gerekçe veya veri sahibinin açık rızası olmaksızın belirtilen amaç dışında kullanılamazlar.
• Bir kişisel verinin kişisel veri envanterinde belirtilmiş amaçlar dışında kullanılmasını gerektiren koşulların doğması halinde bu durum, ilgili çalışan/birim tarafından İrtibat Sorumlusu / KVK Komitesine bildirilir. Komite yeni amacın uygunluğunu denetler ve gerekliyse veri sahibinin yeni amaçla ve yeni veri işleme faaliyeti konusunda bilgilendirilmesini sağlar.

3. Kişisel veriler uygun ve ilgili olmalı, amaçla sınırlı ölçüde işlenmelidir.

• Komite işleme amacı için açıkça gerekli olmayan kişisel verilerin toplanmadığını ve işlenmediğini sağlamakla yükümlüdür.
• Elektronik ve fiziksel tüm veri toplama formları ve bilgi sistemlerindeki veri toplama mekanizmaları Komite tarafından onaylanmak koşuluyla uygulanır.
• Komite, periyodik olarak kişisel veri envanteri üzerinden işlenen verilerin uygun ve ilgili olduğunu denetler.
• Komite, yıllık bazda yapacağı / yaptıracağı iç denetim / dış denetim ile tüm veri işleme yöntemlerinin uygun ve ilgili olduğunu denetler.
• Komite, uygun ya da ilgili olmadığı veya işleme amacı bakımından gereğinden fazla olduğunu tespit ettiği kişisel veriler bakımından veri işleme faaliyetinin durdurulmasından ve işlenmiş verilerin Kişisel Verileri Saklama ve İmha Politikası uyarınca güvenli bir şekilde imha edilmesinden sorumludur.

4. Kişisel veriler doğru ve güncel olmalıdır.

• Uzun süre boyunca tutulan verilerin doğruluğu ve güncelliği gözden geçirilmelidir.
• Tüm birimlerin yöneticileri tüm çalışanların, kişisel verilerin doğru ve güncel olarak toplanması ve tutulması konusunda eğitilmesinden sorumludur.
• Çalışana ilişkin tutulan verilerin doğruluğu ve güncelliği, ilgili çalışanın kendi sorumluluğundadır.
• Çalışanlar / müşteriler ve diğer ilgili kişiler işlenen kişisel verilerin güncellenmesi için Şirket’i bilgilendirmelidirler. Bu şekilde bir bildirim yapılması üzerine söz konusu kaydın düzeltilmesi ve güncellenmesi ilgili birimin sorumluluğundadır.
• Komite, veri envanteri üzerinden işlenen verinin türü, saklama süresi ve miktarı üzerinde yapacağı değerlendirme ile belirli verilerin doğruluğunun veya güncelliğinin gözden geçirilmesi için ilgili birime talimat verebilir.

5. Kişisel veriler, yalnızca veri işleme amacı bakımından gerekliyse işlenmelidir.

• Kişisel verilerin Back-up vb. gereklilikler nedeniyle gerekli sürenin ötesinde saklanması durumunda veri güvenliği zafiyeti durumlarında bireylerin hal ve özgürlüklerinin korunması için kişisel veriler şifrelenmeli veya anonimleştirilmeli / maskelenmelidir.
• Kişisel verilerin Kişisel Verileri Saklama ve İmha Politikası uyarınca belirlenmiş sürelerin sonrasında işlenmesi için Komite’nin yazılı onayına bağlıdır.

6.Veri Sahiplerinin Hakları

• Veri sahipleri, haklarındaki Şirket nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki haklara sahiptir;
• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin           işlenme           amacını           ve        bunların          amacına          uygun  kullanılıp kullanılmadığını öğrenme,
• Yurt içinde ve/veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK veya bu politika uyarınca işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel verilerin silinmesini veya yok edilmesini isteme,
• İsteği üzerine yapılan düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğratması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, kişisel verilerine erişme ve yukarıda sayılan haklarını kullanma talebinde bulunabilirler. Bu talepler İrtibat Sorumlusu / KVK Komitesine iletilir ve Komite tarafından 30 gün içerisinde cevap verme işlemi yerine getirilir. Taleplerin alınması, iletilmesi ve sonuçlandırılmasına ilişkin süreçler Talep Yönetim Prosedürü uyarınca gerçekleştirilir.

Veri sahipleri taleplerini KVKK Başvuru Formu’nu doldurmak suretiyle Karabaş Mah. İstiklal Cd. No:176/1- 41040 İzmit/Kocaeli  adresine noter vasıtasıyla veya iadeli taahhütlü mektup vasıtasıyla kimlik teyidi yapmak suretiyle veya bilgi@ temizelinsaat.com adresine kayıtlı e-posta adresi üzerinden iletebilirler.

Şirket’in tüm çalışanları, görev tanımı ne olursa olsun kendisine yönelmiş veri sahibi erişim taleplerine yönelik olarak doğru başvuru yöntemi konusunda veri sahiplerini yönlendirmekle yükümlüdür. Şirket çalışanları, veri sahiplerinden gelecek talepler konusunda nasıl hareket etmeleri konusunda bilgilendirilmeli ve eğitilmelidir.

Veri sahiplerinin taleplerini yöneltebilmesi için aydınlatma metinleri/gizlilik bildirimlerinde ve Şirket’in web adresinde, İrtibat Kişisi / Komitenin iletişim bilgilerine yer verilir.

7. Açık Rıza Alınması

Şirket, veri sahibi tarafından belirli veri işleme faaliyetlerine ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle, hakkında veri işlenmesine ilişkin iradeyi ortaya koyan, yazılı/sözlü beyan veya açık doğrulayıcı eylemle açıklanan rızayı açık rıza olarak kabul etmektedir. Hassas veriler bakımından açık rıza mutlaka yazılı olarak alınır. Açık rıza veri sahibi tarafından her zaman geri alınabilir.

Açık rıza, açık rıza formu şablonu veri sahibine imzalatılarak veya veri sahibiyle yapılacak sözleşme veya elektronik formda bu şablonda yer alan unsurlara yer verilmesi suretiyle alınabilir. Çalışanlar, çalışan adayları ve müşterilere ilişkin rutin olarak işlenen kişisel veriler bakımından açık rıza, ilgili sözleşme veya formlar aracılığıyla alınır.

Açık rızaya dayanan veri işleme faaliyetinin süreklilik arz edecek veya tekrarlanacak olması halinde ilgili birimce tek bir liste halinde açık rızası alınmış kişilerin listesi tutulur. Bu listenin güncelliği ve doğrulu ilgili birimin sorumluluğundadır. Açık rızaya dayanan veri işleme faaliyetine ilişkin açık rıza formları veya diğer ilgili ispat araçları ilgili birimce saklanır.

8.Veri Güvenliği

Tüm çalışanlar, Şirket tarafından işlenen ve kendi sorumluluklarında olan kişisel verilerin güvenli olarak tutulmasını sağlamakla yükümlüdür.

Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir. Erişimler, Erişim Yönetimi Talimatı uyarınca sağlanır.

Kişisel verilerin güvenliği, Şirket’in KVK Politikası ve buna bağlı dokümanlar uyarınca sağlanır.

Kişisel verilere ilişkin bilgi güvenliği olayları Komite tarafından en kısa süre içerisinde Kurul’a ve ilgili kişiye bildirilir.

9. Veri Paylaşımı

• Kişisel veriler ancak hukuka ve hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir. Buna göre kişisel verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır;
• Veri sahibin açık rızasının alınmış olması.
• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Şirket’in taraf olduğu ya da olacağı bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Şirket’in haklarının tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlenmesinin zorunlu olması.
• Kişisel veriler, ancak yukarıdaki koşulların sağlanması ve hedef ülkede yeterli korumanın bulunması ve veri sahibinin bu aktarım konusunda açık rızasının alınması koşuluyla yurtdışına aktarılabilir.
• Kişisel verilerin yurtdışına aktarılmasında KVK Kurulu tarafından belirlenen yeterli korumanın bulunduğu ülkeler listesi dikkate alınır.
• Kişisel verilerin yurtdışına aktarılması söz konusu olduğunda KVKK ve ilgili mevzuat uyarınca KVK Komitesi KVK Kurulu nezdinde gerekli izin ve bildirimleri sağlar.
• Kişisel verilerin paylaşımına ilişkin tüm işlemler gerekçeleriyle birlikte yazılı olarak kayıt altına alınmalıdır. Komite, bu kayıtların düzenli aralıklarla denetlenmesini sağlar.
• Yasal bir dayanak veya hukuki yükümlülük olmaksızın düzenli bir veri paylaşma ilişkisinin söz konusu olması halinde, söz konusu tarafla veri paylaşımının koşullarını belirleyen bir KVKK Taahhütnamesi yapılır. KVKK Taahhütnamesi asgari düzeyde şunları içerir;
• Paylaşımın amacı veya amaçları,
• Potansiyel üçüncü kişi alıcılar veya alıcı türü ve erişim hakkı koşulları,
• Paylaşılacak veri kategorilerinin neler olduğu (bu amaçlarınız için gerekli asgari düzeyde tutulmalıdır),
• Verinin işlenmesine ilişkin genel ilkeler,
• Veri güvenliği tedbirleri,
• Paylaşılan verilerin tutulma süresi,
• Veri sahibinin hakları, erişim talepleri, başvuru ve şikâyetlere cevap verme prosedürleri,
• Paylaşım sözleşmesinin yürürlüğünün sona erdirilmesinin gözden geçirilmesi ve sözleşmeye uyulmaması veya personelin bireysel ihlalinden dolayı sorumluluk ve yaptırımlar.