KVKK
Arcona Teknoloji A.Ş.
Kişisel Verilerin Korunması ve İşlenmesi Politikası
GİRİŞ
İşbu Kişisel Verilerin Korunmasına ve İşlenmesine ilişkin Politika (“Politika”) ile kişisel verilerin işlenmesi ve korunması konusunda Arcona Teknoloji Elektrikli Araçlar Şarj Sistemleri A.Ş. (“Şirket”) tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.
Bu Politika ile Topluluk Şirketleri tarafından yerine getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.
AMAÇ
Bu Politika, kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla Şirket nezdinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle rehber niteliğinde hazırlanmıştır.
Bu kapsamda, Şirket işbu Politika’yı yayımlayarak yürüttüğü kişisel veri işleme faaliyetlerine ilişkin gerekli bilgilendirmeyi yapmayı ve böylece bu faaliyetlerin mevzuata uygun ve şeffaf bir biçimde yürütüldüğünden emin olmayı hedeflemektedir. Politika, kişisel verilerin işlenme şartlarını belirlemesinin yanı sıra, kişisel verilerin işlenmesinde Şirket tarafından benimsenen temel ilkeleri ortaya koymaktadır.
Bu Politikanın kapsamını müşterilerin, potansiyel müşterilerinin, çalışan adaylarının, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilerin otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri oluşturur.
KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
Bu Politika, Şirket’in KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır.
Şirket bu Politikayı rehber edinerek kendi bünyesinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.
Şirket bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve Şirket’in iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.
KVKK’ya uyumluluğun sağlanması için Şirket tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, Şirket tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır.
Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.
Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
Şirket, KVKK’nın 4. maddesine uygun olarak kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda, Şirket, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidirler.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, Şirket kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.
Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda, Şirket, kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. Şirket tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemelidir.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, Türk Ceza Kanunu’nun 138. maddesine ve KVKK 4. ve 7. maddelerine uygun olarak işlenilen kişisel verileri sadece ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmelidir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için belirli bir süre öngörülüp öngörülmediğini tespit etmeli, herhangi bir süre belirlenmişse bu süreye uygun davranmalı, süre belirlenmemişse kişisel verileri işleme amacının gerçekleşmesi için gerekli olan süre kadar saklamalıdır.
Diğer yandan, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kişisel veriler gelecekte kullanma ihtimali ile Şirket tarafından saklanmamalıdır.
KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Verilerin İşlenme Şartları
KVKK’nın 5. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası ile işlenebilir ve yine 5. maddede sayılan hallerde, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilecektir. Bu kapsamda, Şirket kişisel veri işleme faaliyetinin ilgili maddede sayılan hallerden biri kapsamına girip girmediğini inceleyip bu haller kapsamına girmeyen kişisel veri işleme faaliyeti durdurulmalıdır.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
KVKK’nın 6. maddesi uyarınca, özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenememektedir. Ayrıca, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından belirlenen yeterli önlemlerin alınması gerekmektedir.
Kişisel Verilerin Aktarılma Şartları
Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemlerin kurgulanması gerekmektedir. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemlerinin alınması gerekmektedir.
KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER
Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Şirket, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatılmalıdır. KVKK’nın 10. maddesi uyarınca, aydınlatma yükümlülüğü kapsamında yer alması gereken unsurlar aşağıdaki gibidir.
Veri sorumlusu olarak Şirket’in ve varsa temsilcisinin kimliği;
Kişisel verilerin hangi amaçla işleneceği;
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği;
Kişisel veri toplamanın yöntemi ve hukuki sebepleri;
Kişisel veri sahibinin sahip olduğu haklar.
Bu kapsamda, Şirket tarafından aydınlatma yükümlülüğünün yerine getirilmesi için kişisel veri toplama kanalları tespit edilecektir, bu faaliyetler KVKK’da belirtilen hüküm ve şartlar çerçevesinde aydınlatma metinleri ile veri sahibi aydınlatılacaktır.
Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
KVKK’nın 13. maddesi uyarınca, kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu kapsamda, kişisel veri sahipleri aşağıdaki haklara sahip olacaktır.
Kişisel verilerinin işlenip işlenmediğini öğrenme;
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme;
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahiplerinin yalnızca yazılı olarak Şirket’e iletilen talepleri işleme alınacaktır. Kurul tarafından farklı başvuru yöntemleri ise belirlenebilecektir. Şirket, talebin niteliğine göre ilgili talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak yanıtlandıracaktır.
Değerlendirme sonucunda Şirket başvuruları kabul ederek gereken aksiyonları alabileceği gibi başvuruları gerekçeli olarak reddedebilecektir ve Şirket cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirecektir.
Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi halinde, ilgili kişi, Şirket’in cevabını öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunabilecektir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.
Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
KVKK’nın 12. maddesi gereğince, Şirket, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alacaktır. Kurul ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla, bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede çaba ederek maksimum derecede güvenlik sağlanmalıdır.
Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulayacaktır. Bu denetim sonuçları, Şirket bünyesinde görevli birimlerce incelenecek ve gerekli aksiyonlar alınacaktır.
Şirket, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdür. Bu kapsamda gerekli organizasyonel yapı kurulacaktır.
Şirket tarafından herhangi bir güvenlik riski teşkil eden durum tespit edildiği takdirde, en kısa sürede söz konusu riski ortadan kaldıracak önlemler alınacaktır.
Hukuka Uygun Veri İşlenmesinin Temini için Teknik ve İdari Tedbirlerin Alınması
Kişisel verilerin hukuka uygun işlenmesi için Şirket tarafından aşağıdaki tedbirler alınacaktır.
Kişisel verilerinin işlenip işlenmediğini öğrenme;
Şirket bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilmelidir.
Kişisel veri işleme haritası uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenmelidir.
Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanmalıdır.
Şirket çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir.
Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılmalı ve gerekli idari tedbirler Şirket’in iç politikaları ve eğitimleri yoluyla hayata geçirilmelidir.
Şirket ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmalıdır.
Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalıdır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılmalıdır.
Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması
Kişisel verilere hukuka aykırı erişimi engellemek için Şirket tarafından aşağıdaki tedbirler alınacaktır:
Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmelidir.
Şirket tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanmalı devreye alınmalıdır.
Alınan teknik önlemler periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmektedir.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
Şirket’in çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmeli ve teknik konularda bilgili personel istihdam edilmelidir.
Şirket çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmalıdır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.
Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.
Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Şirket, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili ’ne kayıt olacaktır.
Veri Sorumluları Sicili’ne kayıt başvurusunda aşağıdaki bilgiler sunulacaktır.
Veri sorumlusu olarak Şirket’in ve varsa temsilcisinin kimlik ve adres bilgileri;
Kişisel verilerin hangi amaçla işleneceği;
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar;
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları;
Yabancı ülkelere aktarımı öngörülen kişisel veriler;
Kişisel veri güvenliğine ilişkin alınan tedbirler ve Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
ŞİRKET NEZDİNDE ORGANİZASYONEL YAPILANMA
Şirket bünyesinde işbu politika ve bu politikaya bağlı hususları yönetmek üzere, belirlenen aksiyonların yerine getirilmesinden sorumlu bir kişi atanacaktır. Bu kapsamda, atanacak kişi tarafından aşağıda sıralanan aksiyonlar alınacaktır:
Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak; Belirlenen temel politika ve aksiyon adımlarının uygulanmasını gözetmek ve koordinasyonunu sağlamak;
Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak;
Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek ve iyileştirme önerilerini üst yönetimin onayını sunmak;
Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak;
Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak;
Şirket’in KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak;
Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak;
Kişisel Verileri Koruma Kurum’u ve Kurul ile olan ilişkileri yönetmek.
EK 1: TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler, tedarikçileri, ziyaretçiler, çalışanlar ve çalışan adayları.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; ad-soyad, T.C. kimlik numarası, e-posta adresi, ikametgâh adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası ve benzeri. Dolayısıyla, tüzel kişilere ilişkin bilgilerin işlenmesi KVKK kapsamında değildir.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.