KİŞİSEL VERİ İŞLEME POLİTİKASI (KVKK POLİTİKASI)

Veri Sorumlusu: [Duygu Engin] – [İsmetpaşa Mahallesi, Ortanca Sokak, No:14/18, Daire:3]

Amaç ve Kapsam: Bu politika, şirketin tüm kişisel veri işleme faaliyetlerini KVKK’ya uyumlu hale getirmek amacıyla hazırlanır. Politika; [Duygu Engin] – [İsmetpaşa Mah.Ortanca Sok.No:14/18 D:3] işlenen kişisel verilerin korunması, işlenmesi, saklanması, imha edilmesi ve üçüncü taraflara aktarılması konularında temel ilke ve prosedürleri kapsar. Tüm çalışanlar, departmanlar ve iş birimleri bu politikaya uymakla yükümlüdür.

Temel İlkeler: Şirket, KVKK’nın 4. maddesinde belirtilen genel ilkelere uygun hareket eder. Buna göre kişisel veriler:

  • Hukuka ve dürüstlük kurallarına uygun işlenir (meşru ve şeffaflık sağlanır).
  • Doğru ve gerektiğinde güncel
  • Belirli, açık ve meşru amaçlar için işlenir.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.

Veri İşleme Şartları: Kişisel veriler, KVKK’nın 5. maddesindeki şartlardan en az birine dayalı olarak işlenir (ör. kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi, veri sorumlusunun meşru menfaati gibi durumlar)]. Özel nitelikli kişisel veriler için KVKK 6. madde şartlarına (açık rıza veya Kurulca belirlenen önlemlere uygun işleme) riayet edilir. Bu politika, hangi hukuki sebebe dayanılarak hangi verilerin işlendiğini açıklayan detayları içerir.

Veri Güvenliği ve Gizlilik: [Duygu Engin] –, işlediği kişisel verilerin gizliliğini ve bütünlüğünü korumak için gerekli teknik ve idari tedbirleri alır]. Örneğin, bilgi güvenliği için güvenlik duvarları, erişim kontrolleri, şifreleme, sızma testleri gibi teknik önlemler; politika ve prosedürlerin oluşturulması, çalışanlara KVKK eğitimi verilmesi, gizlilik taahhütnameleri imzalatılması gibi idari önlemler uygulanır. Kişisel verilere hukuka aykırı erişimi engellemek, verileri güvenli ortamda saklamak ve yalnızca yetkili personelin erişmesini sağlamak temel esastır. Herhangi bir veri ihlali riski tespit edildiğinde derhal önlem alınacağı ve gerektiğinde KVKK Kurumu’na bildirim yapılacağı politikada belirtilir.

Kişisel Verilerin Aktarılması: Veri aktarımları KVKK’nın 8. ve 9. maddelerine uygun gerçekleştirilir. Yurtiçinde kişisel veriler, işleme amaçları doğrultusunda gerektiğinde yasal ve yetkili kurumlarla paylaşılabilir. Yurtdışına veri aktarımı söz konusu olduğunda, KVKK 9. maddeye uygun mekanizmalar (açık rıza alınması, Kurul’un yeterli koruma kararı bulunan ülkelere aktarım veya Kurul onaylı sözleşme/taahhütname gibi güvenceler) kullanılır. Örneğin, çalışan ve müşteri verileri bulut hizmetlerinde yurtdışında saklanacaksa ya Kurum’un onayladığı standart sözleşme hükümleri uygulanır ya da ilgili kişilerden açık rıza alınır.

Saklama ve İmha: Kişisel veriler, ilgili mevzuatın öngördüğü veya işleme amacının gerektirdiği süre kadar saklanır. Politika, her veri türü için belirlenmiş azami saklama sürelerini içerir. Süre dolduğunda veya işleme amacı ortadan kalktığında veriler periyodik imha takvimine uygun olarak silinir, yok edilir veya anonimleştirilir. Veri sorumlusu ayrıca KVKK ve ilgili yönetmelik (Silme, Yok Etme, Anonimleştirme Yönetmeliği) gereği ayrı bir Kişisel Veri Saklama ve İmha Politikası da oluşturur ve buna uygun hareket eder. İmha süreçleri (silme, fiziksel imha, anonimleştirme yöntemleri) politikanın ekinde tanımlanır.

Haklar ve Başvuru: İlgili kişilerin (veri sahiplerinin) KVKK madde 11’de sayılan haklarına (bilgi talebi, düzeltme, silme, işlemeyi durdurma, itiraz vb.) ilişkin Veri sorumlusu yükümlülükleri bu politikada yer alır. Veri sahiplerine aydınlatma yükümlülüğü kapsamında gerekli bilgilendirmeler yapılır ve haklarını kullanabilmeleri için izlenecek prosedür açıklanır. Başvuruların değerlendirilmesi ve 30 gün içinde yanıtlanması süreçleri tanımlanır. Hak taleplerine hangi birimin bakacağı, başvuruların kayıt altına alınması ve cevaplanması usulleri belirtilir. Ayrıca, bazı istisnai durumlarda (örn. anonim veriler, kanun gereği saklama gibi) hakların sınırlandırılabileceği KVKK madde 28 hükümlerine uygun olarak açıklanır.

Yürürlük ve Güncelleme: Mevzuatta veya faaliyetlerde değişiklik oldukça politikada güncellemeler yapılır. Güncellenen politika tüm çalışanlara bildirilir ve en güncel hali kurum içi portalda erişime sunulur. Politikanın uygulanması için periyodik iç denetimler yapılacağı ve uyumsuzluk halinde disiplin prosedürlerinin devreye gireceği belirtilir. Bu politika, diğer ilgili prosedür ve talimatlarla birlikte KVKK uyum programının temelini oluşturur.