Kişisel Verilerin Korunması ve Gizlilik Politikası
1- GİRİŞ
Kişisel verilerin korunmasında temel mevzuat olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ilgili maddeleri ve Türkiye Cumhuriyeti Anayasası’nın 20. maddesinin 3. Fıkrası uyarınca koruma altına alınan Kişisel Verilerin Korunması hakkı temel bir insan hakkı olarak GAİN MEDYA A.Ş. (“Şirket”) tarafından titizlikle korunmakta ve veri işleme faaliyeti ilgili tüm mevzuatta yer alan sınırlamalar çerçevesinde hassasiyetle gerçekleştirilmektedir.
Kanun’un 4. Madde hükmünde yer alan temel ilkeler Şirket tarafından veri işleme faaliyetleri kapsamında titizlikle takip edilmektedir.
2- POLİTİKANIN AMACI
İşbu Kişisel Verileri Koruma Politikası’nın (“Politika”) amacı, Şirket tarafından tüm veri işleme faaliyetlerinin şeffaf ve hukuka uygun şekilde gerçekleştirilmesi ve kişisel veri sahiplerinin Şirket tarafından gerçekleştirilen işbu veri işleme sürecinin tamamında ve sonrasında mevzuatta yazılı hakları kapsamında talep ettikleri tüm bilgilere erişebilmesinin sağlanmasıdır.
Politika’nın hazırlanış amacı doğrultusunda Şirket organizasyonu içinde yer alan organizasyonel birimlerin hangi verileri, ne amaçla topladıkları, bu verilerin yurtdışına aktarılıp aktarılmadığı ve veri işleme sırasında kullanılan yöntemin tespit edilmesi sağlanmaktadır.
3- POLİTİKANIN KAPSAMI
İşbu Politika, Şirket faaliyetleri sebebiyle doğrudan veya dolaylı olarak verileri işlenen; çalışanlar, kurum yöneticileri, iş yeri ziyaretçileri, internet sitesi ziyaretçileri, GAİN üye ve aboneleri, müşteriler ve diğer üçüncü kişilere ait her türlü kişisel verilerin, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerini kapsamaktadır.
4- TANIMLAR
Aşağıda açıklamalarına yer verilen tanımlar, 6698 Sayılı Kanun ile yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelikten alınmıştır.
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
- İmha: Kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesi işlemlerini ifade eder.
- İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişidir.
- 6698 Sayılı Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Kurul: Kişisel Verileri Koruma Kurulu.
- Kurum: Kişisel Verileri Koruma Kurumu.
- Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
- Politika: Veri Sorumlusu tarafından oluşturulan kişisel verilerin işlenmesi ve korunması politikası.
- VERBİS: Kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik olarak bilgi girişi yapacakları bir kayıt sistemidir.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
- Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
- İlgili Kişi(Veri Sahibi): Kişisel verisi işlenen gerçek kişidir.
- Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
5- ŞİRKET İÇİ KVKK KOMİSYONU
İşbu Politika doğrultusunda, Şirket’in veri güvenliğinin sağlanması, Kanun ve ikincil mevzuata uyumun sürekliliğinin garanti edebilmesi, verilerin hukuka aykırı şekilde işlenmesinin önüne geçilmesi adına kendi bünyesinde mevcut olan her departmandan (Mali İşler, Drama, Program/Belgesel/İç Yapımlar, Yurt Dışı Lisanslama ve Satış, Ürün Geliştirme ve Yazılım, Yayın Planlama, Pazarlama) görevlendirdiği en az bir kişiden oluşan Kişisel Verileri Koruma Komisyonu (“Komisyon”) kurulmuş ve İrtibat Kişisi görevlendirilmiştir. Bu kapsamda uyarınca Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında Zeynep ASAN irtibat kişisi olarak belirlenmiştir.
KVKK Komisyonu, kişisel veri işleme envanteri hazırlanması, sözleşmelerin hazırlanması, şirket içi periyodik ve/veya rastgele denetimlerin yapılması, ilgili kişilerin bilgilendirilmesi, şirket çalışanlarının veri güvenliğinin sağlanması konusunda eğitilmesi, gerektiği takdirde Politika’nın güncellenmesi, yeni düzenlemelerin takip edilmesi, çalışanlara gerekli KVKK farkındalık eğitimlerinin sağlanması, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) gerekli bildirimlerin yapılmasının sağlanması ile Bilgi İşlem Müdürlüğü tarafından alınması gerekli olduğu yazılı olarak bildirilen idari ve teknik tedbirlerin alınması ve uygulanması konularından sorumludur. Komisyon anılan yükümlülüklerin yerine getirilmesi için yapılması gereken iş ve işlemleri Yönetim Kurulu’nun yetkili olması halinde Yönetim Kurulu’na, Genel Müdürün yetkili olması halinde durum Genel Müdür’e yazılı olarak bildirir. Bu durumlarda, Şirket’in mali ve teknik imkânları dâhilinde Komisyonun talepleri uyarınca işlem yapılır.
6- İRTİBAT KİŞİSİ GÖREV, YETKİ VE SORUMLULUKLARI
- İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
- İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. İrtibat Kişisi Şirket adına VERBİS kayıt işlemlerini gerçekleştirmekle ve Kurul ile ilişkileri yürütmekle sorumludur.
- İrtibat Kişisi ilgili kişinin yasal taleplerini ilgili departmanlarda yer alan KVKK Komisyonu ile değerlendirmek ve Şirket adına gerekli işlemleri yürütmekle yükümlüdür.
- İrtibat Kişisi Şirket’in Kişisel Veri İşleme, İmha ve Yok Etme politikalarının hazırlanması ile, kişisel veri envanterinin oluşturulması süreçlerini takip eder.
- İrtibat Kişisi kişisel verilerin korunması ile ilgili idari ve teknik tedbirlerinin alınması konusunda KVKK Komisyonu üyeleri ve ilgili diğer birimler ile işbirliği yapar.
7- KİŞİSEL VERİLERİN İŞLENMESİ HUSUSUNDA GENEL İLKELER
“Şirket” tarafından kişisel veriler, Kanunda öngörülen usul ve esaslara uygun şekilde işlenmekte olup, aşağıda yer alan ve Kanunu 4. Madde hükmünde belirtilen ilkelere uyulmaktadır.
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
8- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel Verileri Şirket tarafından ilgili kişinin açık rızası olmadıkça işlenemez. Kanunun 5. Madde hükümlerinde açık rızanın aranmayacağı haller düzenlenmiş olup, bu hallerde faaliyet konusu amaçla sınırlı olmak üzere kişisel veriler açık rıza aranmaksızın işlenebilir. Bu haller şu şekildedir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
9- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak işbu Aydınlatma Metninin “Özel Nitelikli Kişisel Veriler” başlıklı 5. Maddesinde özel nitelikli kişisel veriler açık rızanız olması halinde veya 6698 sayılı Kanun’un 6. Maddesinde öngörülen;
- ✓ Kanunlarda açıkça öngörülmesi,
- ✓ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- ✓ İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- ✓ Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- ✓ Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- ✓ İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- ✓ Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
hâllerinde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
10- KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel veriler, Şirketin faaliyet alanı ile bağlantılı olarak, işbu protokolde yer verilen amaçların gerçekleşmesi için Şirket’e gerek fiziksel yollarla gerekse Şirket’e ait üzerinden Şirket’e iletilen özgeçmiş, başvuru formları, iş sözleşmeleri, ticari sözleşmeler ile abonelik sözleşmeleri, internet üzerinden doldurulan üyelik/abonelik kayıt/başvuru formları, alındı ve harcama belgeleri, bilgi sistemleri ve elektronik cihazlar, görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları vb. vasıtasıyla her türlü sözlü, yazılı ve görsel kanallar aracılığı ile toplanmaktadır. Yazılı şekilde Şirket tarafından toplanan kişisel veriler, verinin elde edilme şekli veya içeriğine göre fiziksel ve/veya dijital ortamda saklanmaktadır.
11- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
Şirket, Kanun ve ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren hukuki sebeplerin ortadan kalkması hâlinde kişisel verileri re’sen veya ilgili kişinin talebi üzerine silme, yok etme ve anonim hale getirmeye ilişkin olarak hazırlanan imha politikasına uygun şekilde kişisel veriyi siler, yok eder veya anonim hâle getirir. Bu noktada belirtmek isteriz ki, KVKK dahil olmak üzere ilgili hiçbir kanunda belli bir kişisel verinin silinmesi için koyulmuş bulunan belli bir süre kuralı bulunmamakta olup; sürenin tespiti dava/ceza zaman aşımı, hak düşürücü süre, sözleşme ve sözleşmeden doğan hakların sona ermesi, Yargıtay içtihatları ve tıbbi mütalaalarla belirlenen meslek hastalığı ortaya çıkabilme süreleri gibi durumlar dikkate alınarak her bir somut olay bakımından tek tek tespit edilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve imhasına ilişkin süreçlerden ilgili departman yetkilisi sorumludur.
12- KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılmaz.
- Kişisel veriler KVKK’ nın 5. maddenin ikinci fıkrasında sayılan koşullar altında, özel nitelikli kişisel veriler ise KVKK’nın 6. maddesinin üçüncü fıkrasında yer alan hallerde ve ancak yeterli önlemler alınmak kaydıyla, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
- Buna göre kişisel veriler aşağıdaki tabloda belirtilen kişi ve kurumlara, belirtilen amaçlarla sınırlı olarak aktarılmaktadır.
Veri Aktarımı Yapılabilecek Kişiler | Tanım | Aktarım Amacı |
---|---|---|
İş Ortakları | Şirketin faaliyet alanında iştigal ederken işbirliği içerisinde hareket ettiği kurum ve kuruluşlar | Ortaklığın kurulma amacının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Hissedarlar | İlgili mevzuat hükümlerine göre şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlar | Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Danışmanlar | Şirketin yürüttüğü faaliyet kapsamında şirkete siber güveliğin sağlanması kapsamında destek olan, FSEK kapsamında eser sayılabilecek işleri üreten ve üretilmesine katkı sağlayan, her türlü kaçak yayınla mücadele faaliyetinde şirkete danışmanlık sağlayan, hukuki danışmanlık ve destek sağlayan ve faaliyetlerini ilgili yasalarca ön görülen amaç ve sınırlarda gerçekleştiren danışman şirketler. | Şirketin kuruluş ve faaliyet amacına uygun ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla işbu amaçla sınırlı olarak hukuki danışmanlık, senaryo-logo-tasarım hizmetlerine ilişkin danışmanlık, kaçak (korsan) yayınla mücadele danışmanlığı, mekan güvenliği ve siber güvenliğin sağlanması hususundaki danışmanlarla yalnızca her bir danışmanlık hizmetinin amacına uygun ve sınırlı olarak |
Şirket Yetkilileri | Yönetim kurulu üyeleri ve diğer yetkilendirilen kişiler | Akdi ve kanunu yükümlülüklerin yerine getirilmesi amacıyla denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | Hukuk Büroları, noterler, denetçiler gibi hukuken şirketten bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin yürüttüğü faaliyet kapsamında talep edilen amaçla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | Şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | Bilgi talep etme amacıyla sınırlı olarak |
13- KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
- Kişisel veriler, KVKK’nın 5. maddesinin ikinci fıkrasındaki koşulları sağlamak kaydıyla;
- Özel nitelikli kişisel verileri ise KVKK’nın 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
6698 sayılı Kanun’un yurtdışına aktarıma ilişkin 9. Maddesinde 12 Mart tarihinde değişiklikler yapılmış olup, bu değişiklikler 01.09.2024 tarihinde yürürlüğe girecektir. Bu kapsamda, KVKK Politikasında yer alan hususlar anılan tarihe kadar geçerli olup, 01.09.2024 tarihi itibariyle şirketimizin yurtdışına aktarıma ilişkin usul ve esaslar Kanun çerçevesinde revize edilecektir.
14- AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel verilerin elde edilmesi sırasında Şirket tarafından yetkilendirilen kişi/kişiler, ilgili kişilere aşağıdaki hususlar hakkında bilgi verme yükümlülüğünü kabul eder ve bu yükümlülüğünü yerine getirir.
- Veri sorumlusunun (Şirket) ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un 11 inci madde hükmünde ve işbu Politika’nın 15. maddesinde sayılan diğer hakları. Bu bilgilendirme internet sitesi ziyaretçi aydınlatma metni, üye aydınlatma metni, üye/abone açık rıza metni, şirket merkezi içinde yapılan katmanlı aydınlatma ve sair yöntemlerle yerine getirilmektedir.
15- İLGİLİ KİŞİNİN HAKLARI
İlgili kişiler Şirket’e başvuruda bulunarak kendisiyle ilgili;
- I. Kişisel veri işlenip işlenmediğini öğrenme,
- II. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- III. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- IV. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- V. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- VI. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- VII. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- VIII. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- IX. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
İlgili kişi, kanundan doğan ve işbu politikada sayılan hakları ile ilgili olarak Şirket İnternet sitesinde yer alan iletişim kanalları kvkk@gain.com.tr aracılığıyla Şirkete müracaat etmesi imkânı sunulur. Kanun’un 13. Madde hükmünde yer alan usule uygun başvuruya ilişkin olarak şirket tarafından en geç 30 gün içerisinde cevap verilir. İlgili kişi başvuruları ile ilgili süreçlerin takibinden ve yönetilmesinden İrtibat Kişisi sorumludur. Şirket tarafından başvuru doğrultusunda gerekli cevap ücretsiz olarak sağlanacaktır. İşlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücretlerin ilgili kişiden istenmesi mümkündür.
16- VERİ GÜVENLİĞİNİN SAĞLANMASI
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığını verisi işlenen tüm kişilere karşı taahhüt etmektedir. Kişisel verilerin Şirket adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda Şirket müştereken sorumlu olacağından, bu kişilere gerekli bilgilendirmeler ve uyarılar Şirket tarafından yapılır, taraflar aralarında sorumluluğa ilişkin yazılı taahhütname imzalar ve bu husus sözleşmeye eklenir. Veri güvenliğinin sağlanmasında KVKK Komisyonu üyeleri gerekli çalışmaları yapmakla yükümlüdür. Şirket üst düzey yöneticileri bu konuda gerekli her türlü denetimi yaptırmak ve gerekli idari ve teknik tedbirlerin alınmasını sağlamak zorundadır. Anılan idari ve teknik tedbirlerden bazıları şunlardır:
- Mevcut risk ve tehditlerin belirlenmesi,
- Çalışanların eğitilmesi ve farkındalık çalışmaları,
- Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, envanter oluşturulması,
- Kişisel verilerin minimizasyonu çalışmaları,
- Veri işleyenler ile ilişkilerin yönetimi,
- Siber güvenliğin sağlanması,
- Sızıntı testlerinin yapılması
- Kişisel veri güvenliğinin takibi,
- Kişisel veri içeren ortamların fiziksel ve dijital güvenliğinin sağlanması,
- Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı.
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi ve veri güvenliğinin tehlikeye düşürülmesi halinde, ilgili mevzuat hükümleri ve Politika uyarınca Şirket, veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunmakla yükümlüdür.
17- GİZLİLİK
Şirket çalışanları ve yöneticileri öğrendikleri kişisel verileri KVKK ve ilgili mevzuat ile bu politika hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
18- BİLDİRİM
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde, konudan haberdar edilen İrtibat Kişisi durumu en kısa sürede ilgilisine ve üst yönetime bildirir. Yaşanan ihlal İrtibat Kişisi tarafından aynı zamanda Kurul’a da bildirilir.
19- YÜRÜRLÜK
Şirket tarafından düzenlenen bu Politika yayınlandığı tarihte yürürlüğe girmiş ve şirket internet sitesinde kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemeler ve kurul kararlarına paralel olarak Politika’da her zaman değişiklik yapma hakkını saklı tutar. Politika’nın güncel hali https://hccistanbul.com.tr/ internet adresinde yayınlanır ve ilgili kişi ile ayrıca talebi üzerine paylaşılabilir.