GAZİANTEP TİCARET ODASI

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Kuruluşundan bu yana Gaziantep ve ülke ekonomisine büyük katkılarda bulunan Gaziantep Ticaret Odası (bundan sonra GTO olarak belirtilecektir) , kentte ticaret ve sanayinin planlı bir şekilde gelişmesi ile ilgili gösterdiği hassasiyeti;  6698 Sayılı Kişisel Verilerin Korunması Kanununun ( bundan sonra Kanun olarak belirtilecektir) yüklediği asli görevlerini yerine getirip, kişisel verilerin güvenliğini sağlarken de göstermektedir.

GTO’ nın olmazsa olmazları arasında yer alan Güvenilirlik, Tarafsızlık, Şeffaflık, Paylaşımcılık, Yenilikçilik ve Toplumsal Sorumluluk  ilkeleri çerçevesinde; Odamız tarafından gerçekleştirilen Kişisel Veri İşleme faaliyetleri sırasında belirlenen prensipler, bu Politikamızda açıklanmaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

2. HEDEF

GTO, topluluk içinde birliğin oluşturulması hedefi doğrultusunda; oda bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır. GTO KVK Politikası, GTO tarafından KVKK ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. GTO KVK Politikası ile, GTO tarafından önem verilen, KVKK’ na uyum sürecinin, bünyesindeki her birim tarafından da benimsenmesinin ve özenle yürütülmesinin temini hedeflenmektedir.

 
3.AMAÇ VE KAPSAM

Politika ile GTO tarafından KVKK’ na uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin GTO bünyesinde, GTO çalışanları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.

Bu Politika, GTO ’nun üyelerinin, Potansiyel üyelerinin, Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), Çalışan adaylarının, Tedarikçi kurum temsilcilerinin, Üyelerin, Stajyerlerin ve stajyer adaylarının, İş ortaklarının, Ziyaretçilerin, İnternet siteleri ziyaretçilerinin, İş başvurusu yapanların, İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının (bundan sonra ilgili kişi olarak belirtilecektir), tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

4. TANIMLAR

4.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. İlgili kişinin bilgilendirmesi ve aydınlatılmasının ispat yükü veri sorumlusu üzerinde olacağından, ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması kurumun iç prosedürlerine göre yapılacaktır.

4.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Kişisel verilerin KVKK kapsamını ve Açık Rıza’yı ihlal etmeyen çeşitli amaçlarla, ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için GTO içerisinde gerekli önlemler alınacaktır.

4.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. GTO ’nun üyelerinin, Potansiyel üyelerinin, Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), Çalışan adaylarının, Tedarikçi kurum temsilcilerinin, Üyelerin, Stajyerlerin ve stajyer adaylarının, İş ortaklarının,  Ziyaretçilerin, İnternet siteleri ziyaretçilerinin, İş başvurusu yapanların, İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında GTO tarafından ele alınacaktır.

4.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir. GTO içinde bu veriler sınıflandırmaya tabi tutulmuş, her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar düzenlenmiştir.

4.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

4.6. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

4.7. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile birimler bazında belirlenmiştir.

4.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. KVKK kapsamında GTO veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Kayıt esnasında, Veri Sorumlusu sıfatı ile yürütülecek işlemleri yürütmek üzere GTO içerisinde irtibat kişisi atanacak olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin ta GTO ’dan ve koordinasyonundan bu irtibat kişisi sorumlu olacaktır. Karar alınmasını gerektiren durumlarda irtibat kişisi , Hukuk Danışmanı’nın da görüşünü aldıktan sonra yönetime tavsiye niteliğindeki kararını sunacak, yönetimin onayını müteakip alınan karar uygulamaya konulacaktır.

4.9. GTO Tedarikçileri: : Sözleşme temelli olarak GTO’ya hizmet sunan taraflar.

4.10. GTO Veri Sahibi Başvuru Formu: Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.

4.11. GTO KVKK Politikası: GTO Kişisel Verilerin Korunması ve İşlenmesi Politikası.

5. POLİTİKA’NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR

GTO KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin GTO bünyesinde uygulanmasında, GTO Hukuk Danışmanı tavsiye kaynağı ve rehber olacaktır. GTO genelindeki tüm çalışanlarımız, üyelerimiz, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, GTO KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, GTO Hukuk Danışmanı ekipleriyle iş birliği yapmakla yükümlüdürler. GTO’nun tüm organ ve departmanları GTO KVK Politikası’na uyulmasını gözetmekle sorumludur.

5.1. GTO, Veri Sorumlusu sıfatı ile işbu Politikanın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.

5.2.İşbu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin GTO bünyesinde uygulanmasından Hukuk Danışmanı ve iç denetim biriminin de desteği ile irtibat sorumlusu yetkili ve sorumlu olacaktır.

5.3. GTO genelinde tüm çalışanlar, üyeler, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde irtibat sorumlusu ile işbirliği yapmakla yükümlüdür.

5.4.Tüm GTO birimleri ve organları, -tüm personeli ile birlikte- Politika ’ya uygun hareket etmek ve Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.

5.5.İşbu Politika, GTO içinde tüm personel için ortak bilgi işlem sistemlerine yüklenerek her zaman erişilebilir olacaktır. Ayrıca işbu Politika GTO internet sitesinde yayınlanır. Politika’da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır. Politika’nın ilanı ve değişikliklerin ilanı süreçlerini irtibat sorumlusu yürütecektir.

5.6.Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde GTO , Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını kabul etmektedir. KVKS Yönetim Temsilcisi, bu nitelikte bir çelişki meydana gelmesi halinde Politika’nın mevzuat hükümlerine uygun biçimde güncellenmesine ilişkin süreçleri yönetmek ile yükümlüdür.

6. KİŞİSEL VERİ İŞLEME İLKELERİ

6.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

GTO, KVKK’nın 4. maddesi doğrultusunda işbu Politika kapsamında, hukuksal düzenlemelerle getiren ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.  Bu çerçevede, kişisel veriler Odamızın iş süreçlerinin ve faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

6.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

GTO, Veri Sorumlusu sıfatı ile Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir. 

6.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

GTO, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu sıfatı ile kuruma bildireceği talepler ve GTO’ nın bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için GTO tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

6.1.3. Belirli, açık ve meşru amaçlarla işleme

GTO tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ve iş süreçleri ve faaliyetleriyle bağlantılı amaçlarla sınırlı olarak işlenmektedir. Kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

6.1.4. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

GTO tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

6.1.5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Bu kapsamda Odamız öncelikle ilgili Mevzuat hükümlerinde kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasa ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler GTO tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda silinmesinin sağlanması için gerekli idari ve teknik tedbirler alınacaktır.

7. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

GTO kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. GTO bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemelidirler. GTO, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler. GTO, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile GTO KVK Politikası’nda ortaya konulan kurallara uymalıdırlar. GTO tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

7.1. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesinde ana kural ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. GTO , ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.

7.2. Kanunlarda Açıkça Öngörülmesi

KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir.

7.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Rızasını Alınamaması

KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. GTO , anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.

7.4. Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olması

Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler GTO tarafından işlenecektir.

7.5. Odanın Hukuki Yükümlülüğünü Yerine Getirmesi

KVKK gereği Veri Sorumlusu sıfatına haiz GTO ’nın mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, GTO tarafından kişisel veriler işlenecektir.

7.6. İlgili Kişi Tarafından Kişisel Verinin Alenileştirilmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, GTO tarafından söz konusu kişisel  veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.

7.7. Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin
İşlenmesi

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde GTO tarafından işlenecektir.

7.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz GTO nıin meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak GTO’nun meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

KVKK’nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler kişilerin; etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. GTO içindeki tüm iş süreçleri ve dokümanlar incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılmıştır. GTO tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

89.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin
İşlenmesi

KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu bağlamda öncelikli ilke olarak GTO tarafından özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızası temin edilmeye çalışılacaktır. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin açık rıza almaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. GTO , özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütecektir.

8.2. İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin
Mevzuat Hükümleri İle Öngörülmesi Sebebiyle İşlenmesi

Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK hükmü doğrultusunda işlenebilecektir. Bu durumda GTO tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.

8.3. Sağlık Ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik,
Tıbbî Teşhis, Tedavi Ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri İle
Finansmanının Planlanması Ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında
Olmak Kaydı İle İşlenmesi

KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir GTO tarafından, mevzuat hükümleri doğrultusunda sır saklama yükümlülüğü altında bulunulan durumlarda, bu mevzuat hükümlerinin gerektiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.

8.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler

Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Veri Koruma Kurulu tarafından belirlenecek önlemlerin alınması zorunludur. GTO , Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir. Kişisel Veri Sorumlusu Ekibi, Kurul’un belirleyeceği güvenlik önlemlerini takip etmek ve GTO içindeki iş süreçlerine Kurul’un belirlediği bu önlemleri uygulamakla yükümlüdür.
 

9. KİŞİSEL VERİLERİN AKTARILMASI

KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması GTO’in sorumluluğunda KVKS Yönetim Temsilcisi tarafından bu süreçler takip ve koordine edilecektir.

9.1. Kişisel Verilerin Yurt İçinde Aktarılması

GTO tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.

9.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması

KVKK’nin 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. GTO tarafından ilgili kişinin hangi kişisel verilerinin yurt içinde üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek kişisel veriler aktarılacaktır.

9.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların
sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’ nın 7.2., 7.3., 7.4., 7.5., 7.6., 7.7. ve 7.8. maddeleri ile açıklanan ve KVKK’ nun 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.

9.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması
yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile
kişisel verilerin aktarılması

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması açık rıza bulunmasa dahi, verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle mümkündür. Bu durumda GTO, işbu Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, alınacak önlemler irtibat sorumlusu tarafından takip edilerek GTO iç süreçlerine dahil edilmesi sağlanacaktır. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da söz konusu önlemleri almış olması zorunludur. Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon, ilgili birim ile irtibat sorumlusu gözetiminde gerçekleştirilir.

9.2. Kişisel Verilerin Yurt Dışına Aktarılması

9.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının
bulunması KVKK’nin 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle GTO tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. GTO tarafından ilgili kişinin hangi kişisel verilerinin yurt dışında üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak kişisel veriler aktarılacaktır.

9.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların
sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 7.2., 7.3., 7.4., 7.5., 7.6., 7.7. ve 7.8 maddeleri ile açıklanan ve KVKK’nin 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür. KVKK’nin 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, irtibat sorumlusu tarafından takip edilecek ve GTO iç süreçlerine dahil edilecektir. Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurulun izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.

10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika’ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili kişinin talebine istinaden bizzat GTO tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. GTO verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.

11. VERİ SORUMLUSU SIFATI İLE ODANIN YÜKÜMLÜLÜKLERİ

GTO,, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar. Bu kapsamda GTO, ve departmanlarının uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

11.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

GTO KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmalıdır. Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulması gereken bilgiler aşağıda yer almaktadır:

1. Veri sorumlusu statüsündeki GTO ve varsa temsilcisinin kimlik bilgileri ve adresleri,

2. Kişisel verilerin işlenme amacı,

3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri hakkında bilgiler,

4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,

5. Yurt dışına aktarımı yapılabilecek kişisel veriler,

6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,

7. Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi

11.2. Aydınlatma Yükümlülüğü

GTO, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçla işleneceği,

3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Veri sahibinin hakları olan;

- Kişisel verilerinin işlenip işlenmediğini öğrenmek,

- Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, - Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

- Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

 - İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

11.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

 GTO, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;

11.3.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü

Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında GTO kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbiri almakla da yükümlüdür. Bu bağlamda GTO kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş, bu sistemlerin gözetimini ve denetimini yapmak üzere ilgili personeli belirlemiş ve prosedürlerini oluşturmuştur. GTO, gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.

11.3.1.1. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler

a. GTO BİRİMLERİ tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmuştur. Bu yapıların işletilmesinden KVKS Ekibi sorumludur, gerekli koordinasyon, takip, denetim ve değerlendirmelerden ise irtibat sorumlusu sorumludur. 

11.3.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler

a.GTO , tüm personelinin KVKK ve kişisel verilerin hukuka uygun işlenmesi konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracaktır. Ayrıca ilgili uygulama içerikleri ve eğitim faaliyetlerini düzenleyecektir, eğitime katılımı belgelendirecektir.

b.GTO, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün GTO ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.

c.GTO, oluşturulacak kişisel veri envanteri kapsamında kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. GTO personelinin tümünün GTO’nın Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, birimlere göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.

ç.GTO’nın tüm faaliyetleri analiz edilerek birim özelinde kişisel veri işleme faaliyetleri belirlenmiştir. GTO , birimlerinin işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak personele tebliğ edilecektir, güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe girer, bağlayıcı olması için personele tebliğ edilmiş olma şartı aranmaz. Birimlerin  KVKK’ye uygun çalışması için yapılacak denetimler ve düzenlenecek dokümanların koordinasyonu, birim yöneticileri ile KVKS Yönetim Temsilcisi ile birlikte yürütülecektir.

11.3.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü

11.3.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak
teknik tedbirler

a. GTO, teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek ve sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir. GTO, Kişisel Verileri Koruma Kurulu’nun teknik düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.

b. GTO, birimler bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirmeye yönelik teknik çözümleri devreye alacak olup bu konuda Kişisel Verileri Koruma Kurulu’nun teknik standartlar getirmesi durumunda bu teknik standartları sağlayacak yazılım ve donanım çözümlerini uygulamaya alacaktır.

c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği GTO tarafından ilgilisine ve irtibat sorumlusuna raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.

ç. GTO, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kuracaktır. 

d. Veri güvenliği açısından teknik konularda bilgili personel istihdam edilecektir.

e.Kişisel verilere hukuka uygun olarak erişilmesi için birimbazında çıkarılacak kriterler doğrultusunda erişim yetkileri tanımlanmalı, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır. Teknik tedbirler yönünden her birimea ilişkin ayrı ayrı prosedürler düzenleme ve denetimler gerçekleştirme süreçleri KVKS Yönetim Temsilcisi, KVKS Ekibi, ilgili birim yöneticileri ve Bilgi İşlem birimi tarafından yürütülecektir.

f. GTO, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlayacak, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu politika ile getirilen güvenlik önlemlerini ve verilerin KVKK’ya uyumlu bir şekilde saklaması için gerekli sözleşmeleri yapacaktır.

11.3.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak idari
tedbirler

a.Tüm GTO personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanmalıdır.

b. GTO, oluşturulacak kişisel veri envanteri doğrultusunda kişisel verilere erişimi, işlenme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır. GTO personelinin tümünün GTO’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenmelidir.

c. GTO, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi  gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün GTO ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemelidir.

d. GTO, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.

e.Kişisel verilerin hukuka aykırı olarak erişilmesini ve hukuka aykırı olarak işlenmesini önlemek üzere performans göstergeleri ve hedefler belirlemiştir.

11.3.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi

GTO, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulanmıştır. İlgili denetimin sonuçları GTO ’in iç işleyişi kapsamında KVKS Yönetim Temsilcisi raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. GTO tarafından; birimlerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmış, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların GTO tarafından doğrulama testleri ve denetimleri yapılmaktadır.

GTO kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK’nin 12. maddesi uyarınca sorumludur. Bu nedenle GTO, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler alacaktır. Yine GTO tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirecektir.

11.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

GTO; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.

11.5 Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

GTO Şirketleri veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:

1. Kişisel verilerinin işlenip işlenmediğini öğrenmek,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, 4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

 8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

11. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

11.1 Kişisel Veri Sahibinin Haklarının Kullanılması

KVKK’nin 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu olan GTO ’na karşı aşağıdaki haklara sahiptir:

a.Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,
b.İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
c.Kişisel verilerin aktarıldığı kişileri bilmek,
ç.Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,
d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
e.Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek. 

11.2 Kişisel Veri Sahibinin Haklarının Kullanılması

Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle GTO’na iletmesi durumunda, KVKK’nin 13. maddesi uyarınca GTO talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun GTO’nın hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilecektir. GTO tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır. GTO, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği GTO tarafından gecikmeksizin yerine getirilir. İlgili Kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda GTO gerekli uyarıları yapar.

12. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

GTO KVK Politikası ve ilişkili diğer politikaları yönetmek üzere, her bir departman bünyesinde Kişisel Verilerin Korunması Birimi kurulmalı ya da kişisel verilerin korunmasından sorumlu bir kişi atanmalıdır. Bu kapsamda ilgili birim veya kişi tarafından yürütülecek temel faaliyetler aşağıda sıralanmaktadır:

(1) Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin onayına sunulması,

(2) Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesinin sağlanması,

(3) GTO departmanlarının yükümlülüklerini (GTO KVK Politikası Başlık 11.) yerine getirip getirmediğinin takibi,

(4) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.

Birimin oluşumu ve görev dağılımı GTO üst yönetimi tarafından belirlenir. Birim kurulması yerine kişisel verilerin korunmasından ve işlenmesinden sorumlu bir kişi atanmasına karar verilmişse, bu kişinin atanması sürecini de aynı şekilde şirket üst yönetimi yürütür. Yukarıda belirtilen asgari görevlere ek olarak, GTO’nun ihtiyaçları ve yürüttükleri faaliyetler göz önüne alınarak birim ve atanacak sorumlu kişiye birtakım ek görev ve sorumluluklar verilebilir.

13. YÜRÜRLÜK VE GÜNCELLEMELER

İşbu Politika, GTO Yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar irtibat sorumlusu  tarafından yapılacak ve değişiklikler GTO Genel Sekreteri’nin onayı ile yürürlüğe girecektir. Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda GTO bu Politika’yı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politika’ nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi GTO Yönetim Kurulu’na aittir.