KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Yürürlük Tarihi: 01.01.2020 / Revizyon No: 01
İÇİNDEKİLER
I. GİRİŞ
II. AMAÇ
III. TANIMLAR
IV. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
4.1 Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunulması
4.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması
4.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
4.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
4.5 Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre
Kadar Muhafaza Edilmesi
V. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
VI. ŞİRKET ve İŞTİRAKLERİNİN YÜKÜMLÜLÜKLERİ
6.1 Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
6.2 Kişisel Veri Sahiplerinin Başvurularını Yanıtlama Yükümlülüğü
6.3 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
6.3.1 Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması
6.3.2 Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması
6.4 Veri Sorumluları Siciline Kaydolma Yükümlülüğü
VII. ŞİRKET BÜNYESİNDE ORGANİZASYONEL YAPILANMA
I. GİRİŞ
Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda WECODE Dijital Hizmetler A.Ş. tarafından benimsenecek ve her türlü faaliyetimizde uygulanacak ilkeler ortaya konulmaktadır. Şirketimizin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.
II. AMAÇ
Bu Politika, işimiz gereği ilişki içine bulunduğumuz tüm gerçek ve tüzel kişiler ile birlikte tüm müşterilerimiz ile ilgili kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla, WECODE Dijital Hizmetler A.Ş. özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır. Şirketimiz iş bu politikada belirlenen ilkeler doğrultusunda iç işleyişini uyumlu hale getirmek üzere gerekli tüm düzenlemeleri yapmayı, çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli altyapıyı hazırlamayı, eğitim ve bilgilendirme faaliyetleri planlamayı taahhüt eder.
III. TANIMLAR
Açık Rıza:
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme:
Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesi.
Kişisel Veri Sahibi:
Kişisel verisi işlenen gerçek kişi.
Kişisel Veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Tüzel kişilere ilişkin bilgiler Kişisel Veri kabul edilmeyip kanun kapsamı dışındadır.
Özel Nitelikli Kişisel Veri:
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel tercihler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilişkili veriler ile birlikte biyometrik ve genetik veriler.
Kişisel Verilerin İşlenmesi:
Kişisel verilerin tamamen veya kısmen, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu:
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (Veri Kayıt Sistemi) yöneten gerçek veya tüzel kişi.
IV. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
Bu politika, WECODE Dijital Hizmetler A.Ş.nin KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulamakta olduğuna ilişkin sürekli bir rehber niteliği taşımaktadır.
Bu kapsamda;
Şirketimizin tüm yönetim kadrosu ve çalışanları bu Politikayı rehber edinerek kendi bünyelerinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini sürekli olarak analiz ederler, bu Politikaya uyum için gerekli aksiyonları belirleyerek her türlü teknik ve idari önlemi alırlar. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanır.
Şirketimiz bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının arttırılması için periyodik olarak eğitim ve bilgilendirme faaliyetleri düzenlenir, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilir ve şirketimizin iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılır.
KVKK’ya uyumluluğun sağlanması için şirketimiz tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenir. Bu kapsamda, şirketimiz tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınmıştır. Bu doğrultuda kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde sıralanmıştır:
4.1 Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunulması:
WECODE Dijital Hizmetler A.Ş. kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket eder. Bu kapsamda şirketimiz, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensipleri doğrultusunda sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemekte olup, işimiz ile doğrudan ilgili olmayan kişisel veriler işleme kapsamı dışında tutulur.
4.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması:
Şirketimiz, işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlar, bu maksatla uygun altyapıyı kurarak gerekli tedbirleri alır. Bu doğrultuda şirket bünyesinde kişisel veri sahiplerinin kendilerine ait kişisel verileri düzeltmelerine ve güncellemelerine imkân verecek sistemler geliştirilerek hizmete sokulur.
4.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi:
Şirketimiz, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işler. Bu kapsamda kişisel verilerin hangi amaçla işleneceği önceden belirlenir ve bu amaçların meşru ve hukuka uygun olmaları gözetilir. Belirlediğimiz kişisel verileri işleme amaçları, kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunulur. Kişisel veriler, belirtilen amaçlar dışında kesinlikle işlenmez.
4.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması:
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Bu çerçevede; kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti ilgiliden onay alınmaksızın yürütülmez.
4.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi:
Şirketimiz kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olacak şekilde muhafaza eder.
V. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler kural olarak, KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenir. Bu kapsamda şirketimiz kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirir ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri derhal sonlandırılır.
KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler ivedilikle alınır.
Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli altyapı ve organizasyon yapısı kurgulanarak işletilir.
Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınır. Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirket içerisinde gerekli denetim ve kontrol sistemleri kurgulanır ve kurum içi farkındalık yaratılır.
VI. ŞİRKET ve İŞTİRAKLERİNİN YÜKÜMLÜLÜKLERİ
6.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü:
Şirketimiz, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Aşağıda sıralanan bu hususlarda bilgilendirme yapılır:
(1) Veri sorumlusu olarak WECODE Dijital Hizmetler A.Ş. Şirketi’nin ve varsa temsilcisinin kimliği,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
(5) Kişisel veri sahibinin sahip olduğu haklar. Bu kapsamda, şirketimiz tarafından öncelikle kişisel veri toplama kanalları tespit edilir ve her kanal özelinde bilgilendirme metinleri belirlenir.
6.2 Kişisel Veri Sahiplerinin Başvurularını Yanıtlama Yükümlülüğü:
Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu kapsamda, şirketimiz, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri alır.
KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahiplerinin yalnızca yazılı olarak şirketimize ilettikleri talepleri işleme alınır. Şirketimiz talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlar.
Değerlendirme sonucunda şirketimiz başvuruları kabul ederek gereken aksiyonları alabileceği gibi başvuruları gerekçeli olarak reddedebilir. Kişisel veri sahibinin, başvurusuna süresi içinde yanıt alamaması ya da başvurusunun gerekçeli olarak reddi halinde 30 gün içerisinde Kurul’a şikayette bulunma hakkı saklıdır. Bu konuda kişisel veri sahiplerine önceden gerekli bilgilendirme yapılır.
6.3 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü:
WECODE Dijital Hizmetler A.Ş. işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak üzere uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır. Kurul’un ileride veri güvenliğine ilişkin ilave yükümlülük ve düzenlemeler getirmesi durumunda bahsi geçen yükümlülük ve düzenlemelere uyum sağlamak amacıyla makul derecede efor sarf edilerek maksimum derecede güvenlik sağlanır.
Şirketimiz, yürütmekte olduğu teknik ve idari tedbirler ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik altyapıyı oluşturur. Bu denetim sonuçları şirketimiz bünyesinde görevli birimlerce değerlendirilerek gerekli aksiyonlar ivedilikle alınır.
Şirketimiz, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahiplerine ve mevzuata uygun olarak Kurul’a bildirmekle yükümlüdür. Şirketimiz tarafından güvenlik riski teşkil eden durumlar tespit edildiğinde riski ortadan kaldıracak önlemler ivedilikle alınır.
6.3.1 Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması:
Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler şirketimiz tarafından alınır ve sürekli olarak takip edilir:
(1) Şirketimiz bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilir, bu kapsamda bir “Kişisel Veri İşleme Envanteri” çıkarılır.
(2) Kişisel Veri İşleme Envanteri uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenir.
(3) Gerçekleştirilen kişisel veri işleme süreçleri geliştirilir, teknik sistemlerle denetlenir ve ilgili birimlere raporlanır.
(4) Şirketimiz çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda düzenli olarak bilgilendirilerek eğitilir.
(5) Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılır ve gerekli idari tedbirler şirketimizin iç politikaları yoluyla hayata geçirilir.
(6) Şirketimiz çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar eklenir.
(7) Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri engellenir.
6.3.2 Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması:
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler şirketimiz tarafından alınır ve sürekli olarak takip edilir:
(1) Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için mevcut teknoloji imkanları çerçevesinde teknik önlemler alınır, alınan önlemler periyodik olarak güncellenir.
(2) Şirketimiz tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanır ve devreye alınır.
(3) Alınan teknik önlemler periyodik olarak ilgilisine raporlanır, güvenlik riski olan hususlarda teknolojik çözüm üretilir.
(4) Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurularak işletilir.
(5) Şirketimiz çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilir, ilaveten teknik konularda bilgili personel istihdam edilir ya da dış hizmet alımı yapılır.
(6) Şirketimiz çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınır. Bu taahhüt işten ayrılmalarından sonra da devam edecek şekilde düzenlenir.
(7) Şirketimiz tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenir.
6.4 Veri Sorumluları Siciline Kaydolma Yükümlülüğü:
Şirketimiz, Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olacaktır. Sunulacak bilgiler aşağıda sıralanmıştır:
(1) Veri sorumlusu olarak WECODE Dijital Hizmetler A.Ş. ve varsa temsilcisinin kimlik ve adres bilgileri,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
(4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
(5) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
(6) Kişisel veri güvenliğine ilişkin alınan tedbirler,
(7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
VII. ŞİRKET BÜNYESİNDE ORGANİZASYONEL YAPILANMA
Şirketimiz bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanır.
Bu kapsamda Komite veya atanmış personel tarafından aşağıda sıralanan asgari aksiyonlar alınır:
(1) Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
(2) Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
(3) Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
(4) Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
(5) Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
(6) Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
(7) Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,
(8) Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
(9) Kurum ve Kurul ile olan ilişkileri yönetmek.
İş bu politika dokümanı; 7 maddeden ibaret olup, WECODE Dijital Hizmetler A.Ş. Yönetim Kurulu tarafından 01 Ocak 2017 tarihinde onaylanarak yürürlüğe girmiştir.