Kişisel Verilerin Korunması
1.
AMAÇ
Her bireyin kendisi ile
ilgili kişisel verilerin korunmasını isteme hakkı Anayasa’dan doğan kutsal bir
haktır. K-O Faktör Teknoloji ve Mühendislik Şirketi olarak bu hakkın
gereklerini yerine getirmeyi en değerli görevlerimizden biri olarak kabul
ediyoruz. Bu nedenle kişisel verilerinizin hukuka uygun olarak işlenmesine ve
korunmasına önem veriyoruz. Kurumsal Kişisel Verilerin Korunması Politikası da
kişisel verilerin korunmasına verdiğimiz önemin bir sonucu olarak kişisel
verileri işlerken ve korurken temel aldığımız ilkeleri ve uyguladığımız
prosedürleri belirlemek amacıyla hazırlanmıştır.
2.
KAPSAM
Politika . K-O Faktör
Teknoloji ve Mühendislik Şirketi’nin yönettiği bütün kişisel veriler verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemi kapsamaktadır. Politika . K-O Faktör
Teknoloji ve Mühendislik Şirketi’nin ortaklarının, yetkililerinin,
müşterilerinin, çalışanlarının, tedarikçi yetkililerinin ve çalışanlarının, ve
üçüncü kişilerin işlenen tüm kişisel verilerine ilişkindir. K-O Faktör
Teknoloji ve Mühendislik Şirketi Politika’yı mevzuata ve Kişisel Verileri
Koruma Kurumu’nun kararlarına uyum ve kişisel verilerin daha iyi korunması
amaçlarıyla değiştirebilir.
3. TANIMLAR
Kısaltma |
Tanım |
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel
kişi kategorisi. |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesi. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu
içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda
kişisel verileri işleyen kişilerdir. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel
verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
bilgi. |
Veri Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme
amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri
konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin
işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini,
yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine
ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem. |
Komisyon |
K-O Faktör Teknoloji ve Mühendislik
Şirketi tarafından Politika’yı ve ilgili diğer prosedürleri yönetmek ve
Politika’nın yürürlüğünü sağlamak amacıyla kurulan Kişisel Verileri Koruma
Komisyonu. |
Kurul |
Kişisel Verileri Koruma Kurulu. |
Kurum |
Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen
ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya
anonim hale getirme işlemi. |
Politika |
Kişisel Verilerin Korunması Politikası www.akkasgroup.com |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen gerçek veya tüzel kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel
kişi. |
4. GENEL İLKELER
K-O Faktör Teknoloji ve
Mühendislik Şirketi her yeni kişisel veri işlemeyi gerektiren iş akışının
hazırlık aşamasında işlenecek verilerin aşağıdaki ilkelere uygunluğunu
denetler. Uygun bulunmayan iş akışları hayata geçirilmez. K-O Faktör Teknoloji
ve Mühendislik Şirketi kişisel verileri işlerken;
(I) Hukuka ve dürüstlük kurallarına
uyar.
(II) Kişisel verilerin
doğru ve gerektiğinde güncel olduğundan emin olur.
(III) İşleme amacının
belirli, açık ve meşru olmasına dikkat eder.
(IV) İşlenen verinin
işlenme amacıyla bağlantılı olduğunu, işlenilmesi gerektiği kadarıyla sınırlı
işlendiğini ve ölçülü olduğunu kontrol eder.
(V) Verileri ancak ilgili
mevzuatta öngörülen veya işlenme amacı için gerekli olduğu kadar muhafaza eder,
işlenme amacı ortadan kalktığında imha eder.
5.
GÖREV VE SORUMLULUKLAR
K-O Faktör Teknoloji ve
Mühendislik Şirketi bünyesinde kişisel verilerin işlenmesine ilişkin işbu
Politika’yı ve ilgili diğer prosedürleri yönetmek ve Politika’nın yürürlüğünü
sağlamak amacıyla Kişisel Verilerin Korunması Komisyonu kurulmuştur. Komisyon’u
Genel Müdür, İnsan Kaynakları Sorumlusu, Satın-Alma Sorumlusu ve Kalite-Kontrol
Sorumlusu oluşturmaktadır. K-O Faktör Teknoloji ve Mühendislik Şirketi bunun
yanı sıra gerektiğinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum
sağlamak amacıyla KVKK danışmanlığı desteği de almaktadır. Komisyon gerek
görmesi halinde toplantılarına KVKK danışmanını çağırabilir. Komisyon’un görev
ve sorumlulukları aşağıda belirtilmiştir.
(I) Olağan olarak 6 ayda
bir toplanır. Şartların gerektirmesi halinde olağanüstü toplanılabilir (örneğin
olası bir veri ihlali durumunda).
(II) Politika’da
değiştirilmesi/geliştirilmesi gereken hususları tartışır.
(III) Kişisel verilerin
hukuka uygun işlenmesi ve korunması adına yerine getirilebilecek hususları
tespit eder.
(IV) Komisyon, şirket içi
ve iş ortakları nezdinde KVKK farkındalığını artırmak için atılabilecek
adımları belirler.
(V) Kişisel verilerin
işlenmesi ve korunması hususunda karşılaşılabilecek riskleri tespit eder,
gerekli idari ve teknik tedbirleri alır.
(VI) Kurum ile irtibatı
sağlar ve ilişkileri yönetir.
(VII) İlgili Kişi’den
gelen talepleri değerlendirir.
(VIII) Periyodik imha
süreçlerini takip eder.
(IX) Veri Envanteri’ni
günceller.
(X) Yukarıda sayılan
hususlara ilişkin görevlendirmeleri yapar.
6.
Veri Güvenliği İçin Alınan Tedbirler
(i) kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek,
(ii) kişisel verilere hukuka aykırı olarak
erişilmesini önlemek,
(iii) kişisel verilerin
muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri alır.
6.1.
Teknik Tedbirler
(I) Ağ güvenliği ve uygulama
güvenliği sağlanmaktadır.
(II) Bilgi teknolojileri
sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri
alınmaktadır.
(III) Erişim logları
düzenli olarak tutulmaktadır.
(IV) Güncel anti-virüs
sistemleri kullanılmaktadır.
(V) Güvenlik duvarları
kullanılmaktadır.
(VI) Kişisel veri içeren
fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri
alınmaktadır.
(VII) Kişisel veri içeren
fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
(VIII) Kişisel veri
içeren ortamların güvenliği sağlanmaktadır.
(IX) Kişisel veriler
yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
(X) Kullanıcı hesap
yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
(XI) Log kayıtları
kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
(XII) Saldırı tespit ve
önleme sistemleri kullanılmaktadır.
(XIII) Şifreleme
yapılmaktadır.
6.2.
İdari Tedbirler
(I) Çalışanlar için veri
güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
(II) Çalışanlar için veri
güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları
yapılmaktadır.
(III) Erişim, bilgi
güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış
ve uygulamaya başlanmıştır.
(IV) Gerektiğinde veri maskeleme
önlemi uygulanmaktadır.
(V) Gizlilik
taahhütnameleri yapılmaktadır.
(VI) Çalışanlar için
yetki matrisi oluşturulmuştur.
(VII) Görev değişikliği
olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
(VIII) İmzalanan
sözleşmeler veri güvenliği hükümleri içermektedir.
(IX) Kişisel veri
güvenliği politika ve prosedürleri belirlenmiştir.
(X) Kişisel veri
güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
(XI) Kişisel veri
güvenliğinin takibi yapılmaktadır.
(XII) Kişisel veriler mümkün
olduğunca azaltılmaktadır.
(XIII) Kurum içi
periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
(XIV) Mevcut risk ve
tehditler belirlenmiştir.
(XV) Özel nitelikli
kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve
uygulanmaktadır.
(XVI) Özel nitelikli
kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak
ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
(XVII) Veri işleyen
hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
7.
İlgili Kişinin Kişisel Verilerle İlgili Hakları
İlgili kişi, K-O Faktör
Teknoloji ve Mühendislik Şirketi’ne başvurarak aşağıda yer alan konularda
talepte bulunabilir:
(I) Kişisel verilerinin
işlenip işlenmediğini öğrenme,
(II) Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme,
(III) Kişisel verilerinin
işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(IV) Kişisel verilerinin
yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
(V) Kişisel verilerinin
eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
(VI) KVKK ve ilgili diğer
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini, yok
edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(VII) İşlenen verilerinin
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine
bir sonucun ortaya çıkmasına itiraz etme,
(VIII) Kişisel
verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme.
8.
İHLAL BİLDİRİMLERİ
K-O Faktör Teknoloji ve Mühendislik
Şirketi çalışanları, KVKK hükümlerini ve/veya Politika’yı ihlal ettiğini
düşündüğü iş, eylem veya olguyu Komisyon’a raporlar. Komite bu ihlal bildirimi
akabinde gerekli görmesi halinde toplanır ve ihlale ilişkin bir eylem planı
oluşturur. İhlal, kişisel verilerin kanuni olmayan yollarla başkaları tarafa
elde edilmesi yoluyla gerçekleşmişse, Komisyon, Kurul’un 24.01.2019 tarih ve
2019/10 sayılı kararı kapsamında bu durumu 72 saat içerisinde ilgilisine ve
Kurul’a bildirir.
9.
DEĞİŞİKLİKLER
Politika üzerindeki
değişiklikler Komisyon tarafından hazırlanır ve K-O Faktör Teknoloji ve
Mühendislik Şirketi Yönetim Kurulu’nun onayına sunulur. Güncellenen Politika
çalışanlara e-posta yolu ile gönderilebilir veya internet sitesi üzerinde
yayınlanır.
10.YÜRÜRLÜK
TARİHİ
Politika’nın işbu
versiyonu 19.04.2022 tarihinde Yönetim Kurulu tarafından onaylanarak yürürlüğe
girmiştir.