Gaziantep Endüstriyel Tasarım ve Hibrit Modelleme Merkezi A.Ş.
GETHAM
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. GİRİŞ
Gaziantep Endüstriyel Tasarım ve Hibrit Modelleme Merkezi A.Ş.(bundan sonra GETHAM olarak belirtilecektir) , kuruluş amaç ve faaliyetlerini yerine getirirken gösterdiği hassasiyeti; 6698 Sayılı Kişisel Verilerin Korunması Kanununun ( bundan sonra Kanun olarak belirtilecektir) yüklediği asli görevlerini yerine getirip, kişisel verilerin güvenliğini sağlarken de göstermektedir. Bu bilinçle GETHAM olarak, Kişisel Verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri alıyoruz.
2. HEDEF
GETHAM kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır. GETHAM KVK Politikası, GETHAM tarafından KVKK ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. GETHAM KVK Politikası ile, KVKK’ na uyum sürecinin, bünyesindeki her birim tarafından da benimsenmesinin ve özenle yürütülmesinin temini hedeflenmektedir.
3. AMAÇ VE KAPSAM
Kişisel Verilerin Korunması ve İşlenmesi Politikasının (“Politika”) amacı, Kanun’un amacına uygun olarak Kişisel Verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini azami derecede korumak ve Şirketimizin yükümlülükleri ile Kanun uyarınca uyacağı usul ve esaslar hakkında Kişisel Veri Sahiplerini bilgilendirmektir. GETHAM bizzat kendisi adına veya temsilci vasfıyla iletişimde bulunan çalışanlarının, şirket çalışanlarının ve iş başvurusunda bulunmak suretiyle ya da diğer herhangi bir amaç veya kanal vesilesi ile ilişki tesis eden diğer gerçek kişilerin kişisel verilerini, Veri Sorumlusu sıfatıyla, hukuka uygun bir biçimde işlemektedir. İşbu politikanın diğer bir amacı, GETHAM’ın yürüttüğü bu işleme faaliyetleri ve kişisel ilgili sistemler konusunda açıklamada bulunarak ilgili kişileri bilgilendirmek ve böylece kişisel veriler hususunda şeffaflık sağlamaktır. Bu bağlamda, GETHAM Kanun kapsamında kişisel verilerin işlenmesini, bu işlemeye konu alınan veri sahiplerini ve bu kişilerin haklarını, çerez ve benzeri teknolojilerinin kullanımı ile birlikte işbu Politika’ da detaylandırarak açıklamış bulunmaktadır.
4. TANIMLAR
4.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. İlgili kişinin bilgilendirmesi ve aydınlatılmasının ispat yükü veri sorumlusu üzerinde olacağından, ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması kurumun iç prosedürlerine göre yapılacaktır.
4.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Kişisel verilerin KVKK kapsamını ve Açık Rıza’yı ihlal etmeyen çeşitli amaçlarla, ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için GETHAM içerisinde gerekli önlemler alınacaktır.
4.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. GETHAM’ın müşterilerinin, Potansiyel müşterilerinin, Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), Çalışan adaylarının, Tedarikçi kurum temsilcilerinin, müşterilerin, Stajyerlerin ve stajyer adaylarının, İş ortaklarının, Ziyaretçilerin, İnternet siteleri ziyaretçilerinin, İş başvurusu yapanların, İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında GETHAM tarafından ele alınacaktır.
4.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir. GETHAM içinde bu veriler sınıflandırmaya tabi tutulmuş, her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar düzenlenmiştir.
4.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
4.6. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
4.7. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile birimler bazında belirlenmiştir.
4.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. KVKK kapsamında GETHAM veri sorumlusu sıfatına haizdir.
4.9. GETHAMTedarikçileri: : Sözleşme temelli olarak GETHAM’ a hizmet sunan taraflar.
4.10. GETHAM Veri Sahibi Başvuru Formu: Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
4.11. GETHAM KVKK Politikası: GETHAM Kişisel Verilerin Korunması ve İşlenmesi Politikası.
5. POLİTİKA’NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR
GETHAM KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin GETHAM bünyesinde uygulanmasında, GETHAM Hukuk Danışmanı tavsiye kaynağı ve rehber olacaktır. GETHAM genelindeki tüm çalışanlarımız, müşterilerimiz, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, GETHAM KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, GETHAM Hukuk Danışmanı ekipleriyle iş birliği yapmakla yükümlüdürler. GETHAM ’ın tüm departmanları KVK Politikası’na uyulmasını gözetmekle sorumludur.
5.1. GETHAM, Veri Sorumlusu sıfatı ile işbu Politikanın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.
5.2.İşbu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin GETHAM bünyesinde uygulanmasından genel müdür yetkili ve sorumlu olacaktır.
5.3. GETHAM genelinde tüm çalışanlar, müşteriler, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde genel müdür ile işbirliği yapmakla yükümlüdür.
5.4.Tüm GETHAM birimleri ve organları, -tüm personeli ile birlikte- Politika ’ya uygun hareket etmek ve Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.
5.5.İşbu Politika, GETHAM içinde tüm personel için ortak bilgi işlem sistemlerine yüklenerek her zaman erişilebilir olacaktır. Ayrıca işbu Politika GETHAM internet sitesinde yayınlanır. Politika’da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır. Politika’nın ilanı ve değişikliklerin ilanı süreçlerini şirket genel müdürü yürütecektir.
5.6.Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde GETHAM , Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını kabul etmektedir. Şirket genel müdürü, bu nitelikte bir çelişki meydana gelmesi halinde Politika’nın mevzuat hükümlerine uygun biçimde güncellenmesine ilişkin süreçleri yönetmek ile yükümlüdür.
6. KİŞİSEL VERİ İŞLEME İLKELERİ
6.1. Kişisel Verilerin İşlenmesinde Genel İlkeler
GETHAM, KVKK’nın 4. maddesi doğrultusunda işbu Politika kapsamında, hukuksal düzenlemelerle getiren ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler şirketimizin iş süreçlerinin ve faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
6.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
GETHAM, Veri Sorumlusu sıfatı ile Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.
6.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
GETHAM, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu sıfatı ile kuruma bildireceği talepler ve GETHAM’ nın bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için GETHAM tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
6.1.3. Belirli, açık ve meşru amaçlarla işleme
GETHAM tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ve iş süreçleri ve faaliyetleriyle bağlantılı amaçlarla sınırlı olarak işlenmektedir. Kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.
6.1.4. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
GETHAM tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.
6.1.5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Bu kapsamda şirketimiz öncelikle ilgili Mevzuat hükümlerinde kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasa ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler GETHAM tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda silinmesinin sağlanması için gerekli idari ve teknik tedbirler alınacaktır.
7. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
GETHAM kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. GETHAM bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemelidirler. GETHAM, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler. GETHAM, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile GETHAM KVK Politikası’nda ortaya konulan kurallara uymalıdırlar. GETHAM tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.
7.1. İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenmesinde ana kural ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. GETHAM , ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.
7.2. Kanunlarda Açıkça Öngörülmesi
KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir.
7.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Rızasını Alınamaması
KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. GTETHAM anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.
7.4. Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olması
Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler GETHAM tarafından işlenecektir.
7.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
KVKK gereği Veri Sorumlusu sıfatına haiz GETHAM’ ın mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, GETHAN tarafından kişisel veriler işlenecektir.
7.6. İlgili Kişi Tarafından Kişisel Verinin Alenileştirilmesi
İlgili kişinin kişisel verilerini alenileştirmesi halinde, GETHAM tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.
7.7. Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin
İşlenmesi
Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde GETHAM tarafından işlenecektir.
7.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz GETHAM’ ın meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak GETHAM’ ın meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
KVKK’nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler kişilerin; etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. GETHAM içindeki tüm iş süreçleri ve dokümanlar incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılmıştır. GETHAM tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.
89.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin
İşlenmesi
KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu bağlamda öncelikli ilke olarak GETHAM tarafından özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızası temin edilmeye çalışılacaktır. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin açık rıza almaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. GETHAM , özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütecektir.
8.2. İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin
Mevzuat Hükümleri İle Öngörülmesi Sebebiyle İşlenmesi
Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK hükmü doğrultusunda işlenebilecektir. Bu durumda GETHAM tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.
8.3. Sağlık Ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik,
Tıbbî Teşhis, Tedavi Ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri İle
Finansmanının Planlanması Ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında
Olmak Kaydı İle İşlenmesi
KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir GETHAM tarafından, mevzuat hükümleri doğrultusunda sır saklama yükümlülüğü altında bulunulan durumlarda, bu mevzuat hükümlerinin gerektiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.
8.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler
Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Veri Koruma Kurulu tarafından belirlenecek önlemlerin alınması zorunludur. GETHAM , Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir. Kişisel Veri Sorumlusu Ekibi, Kurul’un belirleyeceği güvenlik önlemlerini takip etmek ve GETHAM içindeki iş süreçlerine Kurul’un belirlediği bu önlemleri uygulamakla yükümlüdür.
9. KİŞİSEL VERİLERİN AKTARILMASI
KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması GETHAM’in sorumluluğunda şirket genel müdürü tarafından bu süreçler takip ve koordine edilecektir.
9.1. Kişisel Verilerin Yurt İçinde Aktarılması
GETHAM tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.
9.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması
KVKK’nin 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. GETHAM tarafından ilgili kişinin hangi kişisel verilerinin yurt içinde üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek kişisel veriler aktarılacaktır.
9.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların
sağlanması koşulu ile kişisel verilerin aktarılması
İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’ nın 7.2., 7.3., 7.4., 7.5., 7.6., 7.7. ve 7.8. maddeleri ile açıklanan ve KVKK’ nun 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
9.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması
yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile
kişisel verilerin aktarılması
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması açık rıza bulunmasa dahi, verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle mümkündür. Bu durumda GETHAM, işbu Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, alınacak önlemler genel müdür tarafından takip edilerek GETHAM iç süreçlerine dahil edilmesi sağlanacaktır. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da söz konusu önlemleri almış olması zorunludur. Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon, ilgili birim ile genel müdür gözetiminde gerçekleştirilir.
9.2. Kişisel Verilerin Yurt Dışına Aktarılması
9.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının
bulunması KVKK’nin 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle GETHAM tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. GETHAM tarafından ilgili kişinin hangi kişisel verilerinin yurt dışında üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak kişisel veriler aktarılacaktır.
9.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların
sağlanması koşulu ile kişisel verilerin aktarılması
İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 7.2., 7.3., 7.4., 7.5., 7.6., 7.7. ve 7.8 maddeleri ile açıklanan ve KVKK’nin 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür. KVKK’nin 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, genel müdür tarafından takip edilecek ve GETHAM iç süreçlerine dahil edilecektir. Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurulun izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.
10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika’ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili kişinin talebine istinaden bizzat GETHAM tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. GETHAM verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.
11. VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ
GETHAM,, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar. Bu kapsamda GETHAM, ve departmanlarının uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
11.1. Aydınlatma Yükümlülüğü
GETHAM, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Veri sahibinin hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenmek,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, – Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
11.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
GETHAM, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;
11.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü
Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında GETHAM kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbiri almakla da yükümlüdür. Bu bağlamda GETHAM kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş, bu sistemlerin gözetimini ve denetimini yapmak üzere ilgili personeli belirlemiş ve prosedürlerini oluşturmuştur. GETHAM, gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.
11.2.1.1. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler
a. GETHAM BİRİMLERİ tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmuştur. Bu yapıların işletilmesinden KVKS Ekibi sorumludur, gerekli koordinasyon, takip, denetim ve değerlendirmelerden ise şirket genel müdürü sorumludur.
11.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler
a.GETHAM , tüm personelinin KVKK ve kişisel verilerin hukuka uygun işlenmesi konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracaktır. Ayrıca ilgili uygulama içerikleri ve eğitim faaliyetlerini düzenleyecektir, eğitime katılımı belgelendirecektir.
b.GETHAM, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün GETHAM ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
c.GETHAM, oluşturulacak kişisel veri envanteri kapsamında kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. GETHAM personelinin tümünün GETHAM’ın Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, birimlere göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.
ç.GETHAM’ ın tüm faaliyetleri analiz edilerek birim özelinde kişisel veri işleme faaliyetleri belirlenmiştir. GETHAM , birimlerinin işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak personele tebliğ edilecektir, güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe girer, bağlayıcı olması için personele tebliğ edilmiş olma şartı aranmaz.
11.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü
11.2.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak
teknik tedbirler
- GETHAM, teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek ve sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir. GETHAM, Kişisel Verileri Koruma Kurulu’nun teknik düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.b. GETHAM, birimler bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirmeye yönelik teknik çözümleri devreye alacak olup bu konuda Kişisel Verileri Koruma Kurulu’nun teknik standartlar getirmesi durumunda bu teknik standartları sağlayacak yazılım ve donanım çözümlerini uygulamaya alacaktır.c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği GETHAM tarafından ilgilisine ve genel müdüre raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.ç. GETHAM, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kuracaktır.
- Veri güvenliği açısından teknik konularda bilgili personel istihdam edilecektir.e.Kişisel verilere hukuka uygun olarak erişilmesi için birim bazında çıkarılacak kriterler doğrultusunda erişim yetkileri tanımlanmalı, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır. Teknik tedbirler yönünden her birimea ilişkin ayrı ayrı prosedürler düzenleme ve denetimler gerçekleştirme süreçleri genel müdür, ilgili birim yöneticileri ve Bilgi İşlem birimi tarafından yürütülecektir.f. GETHAM, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlayacak, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu politika ile getirilen güvenlik önlemlerini ve verilerin KVKK’ya uyumlu bir şekilde saklaması için gerekli sözleşmeleri yapacaktır.
11.2.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak idari
tedbirler
a.Tüm GETHAM personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanmalıdır.
b. GETHAM, oluşturulacak kişisel veri envanteri doğrultusunda kişisel verilere erişimi, işlenme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır. GETHAM personelinin tümünün GETHAM’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenmelidir.
c. GETHAM, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün GETHAM ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemelidir.
d. GETHAM, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.
e.Kişisel verilerin hukuka aykırı olarak erişilmesini ve hukuka aykırı olarak işlenmesini önlemek üzere performans göstergeleri ve hedefler belirlemiştir.
11.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi
GETHAM, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulanmıştır. İlgili denetimin sonuçları GETHAM ın iç işleyişi kapsamında Genel Müdür tarafından raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. GETHAM tarafından; birimlerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmış, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların GETHAM tarafından doğrulama testleri ve denetimleri yapılmaktadır.
GETHAM kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK’nin 12. maddesi uyarınca sorumludur. Bu nedenle GETHAM, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler alacaktır. Yine GETHAM tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirecektir.
11.3. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
GETHAM; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.
11.4 Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
GETHAM Şirketleri veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:
- Kişisel verilerinin işlenip işlenmediğini öğrenmek,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, 4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
- KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
12. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
11.1 Kişisel Veri Sahibinin Haklarının Kullanılması
KVKK’nin 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu olan GETHAM’a karşı aşağıdaki haklara sahiptir:
a.Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,
b.İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
c.Kişisel verilerin aktarıldığı kişileri bilmek,
ç.Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,
d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
e.Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
11.2 Kişisel Veri Sahibinin Haklarının Kullanılması
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle GETHAM’a iletmesi durumunda, KVKK’nin 13. maddesi uyarınca GETHAM talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun GETHAM’ın hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilecektir. GETHAM tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır. GETHAM, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği GETHAM tarafından gecikmeksizin yerine getirilir. İlgili Kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda GETHAM gerekli uyarıları yapar.
13. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ
GETHAM KVK Politikası ve ilişkili diğer politikaları yönetmek üzere, her bir departman bünyesinde Kişisel Verilerin Korunması Birimi kurulmalı ya da kişisel verilerin korunmasından sorumlu bir kişi atanmalıdır. Bu kapsamda ilgili birim veya kişi tarafından yürütülecek temel faaliyetler aşağıda sıralanmaktadır:
(1) Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin onayına sunulması,
(2) Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesinin sağlanması,
(3) GETHAM departmanlarının yükümlülüklerini (GETHAM KVK Politikası Başlık 11.) yerine getirip getirmediğinin takibi,
(4) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.
Birimin oluşumu ve görev dağılımı GETHAM üst yönetimi tarafından belirlenir. Birim kurulması yerine kişisel verilerin korunmasından ve işlenmesinden sorumlu bir kişi atanmasına karar verilmişse, bu kişinin atanması sürecini de aynı şekilde şirket üst yönetimi yürütür. Yukarıda belirtilen asgari görevlere ek olarak, GETHAM’ ın ihtiyaçları ve yürüttükleri faaliyetler göz önüne alınarak birim ve atanacak sorumlu kişiye birtakım ek görev ve sorumluluklar verilebilir.
14. YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika, GETHAM Yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar GETHAM Genel Müdürünün onayı ile yürürlüğe girecektir. Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda GETHAM bu Politika’yı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politika’ nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi GETHAM Yönetim Kurulu’na aittir.