MERSİN TİCARET VE SANAYİ ODASI

KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİK POLİTİKASI

1. GİRİŞ

Bu Politika ile Mersin Ticaret ve Sanayi Odası’nın ( MTSO ) Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi, korunması, gizliliği ve uygulama noktasında dikkate alınacak ilkeleri ortaya konulmaktadır. MTSO tarafından yerine getirilecek hususlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.

2. AMAÇ

Bu politika MTSO’ da kişisel verilerin işlenmesi ve korunması konusunda KVKK’ ya uyum sağlamak amacıyla gerçekleştirilecek uyum faaliyetlerinin en üst düzeyde yönetilmesinin sağlanmasını temin etmek amacıyla hazırlanmıştır. MTSO belirlenen ilkeler doğrultusunda iç işleyiş için gerekli düzenlemeleri yaparak çalışanlarının ve üyelerinin farkındalığının oluşması için gerekli sistemi oluşturacaktır.

KVKK işleyişi kapsamında tanımlamalar:

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
Anonim Hale Getirme	Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir.Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Kişisel Veri Sahibi	Kişisel verisi işlenen gerçek kişi. Örneğin; üyeler ve çalışanlar.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyadı, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması.
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.

 

3. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

Bu Politika, MTSO’da KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulanacağına ilişkin yol gösterici bir nitelik taşımaktadır.

MTSO bu politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği Kişisel Veri İşleme faaliyetlerini analiz edecek, uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğunun devamlılığı sağlanacaktır.

MTSO bünyesinde bu politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığını arttıracak çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve MTSO, üye ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

Kişisel Verilerin Korunması Kanunu’na uyum sağlanması için MTSO tarafından kişisel veriler mevzuatında öngörülen genel ilke ve hükümlere uygun olarak işleme yapılacak, bu kapsamda tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır.

Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.

 

3.1 Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

Verileri İşleyen, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda MTSO kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işleyecektir.

 

3.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

MTSO işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, MTSO kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.

 

3.3 Belirli, Açık ve Meşru Amaçlarla İşleme

MTSO kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda MTSO kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. MTSO tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.

 

3.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

MTSO kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan ya da ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemelidir.

 

3.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Veri işleyen, kişisel verileri yalnızca kanunlarda öngörülen süreler veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

 

4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda MTSO kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurmalıdır.

Kişisel Verilerin Korunması Kanunu’nda özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.

Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.

Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına kurum içerisinde gerekli sistemler kurgulanmalı ve farkındalık oluşturulmalıdır.

 

5. MERSİN TİCARET VE SANAYİ ODASININ YÜKÜMLÜLÜKLERİ

​5.1 Kişisel Veri Sahibini Aydınlatma Yükümlülüğü

MTSO kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatmalıdır. KVKK’ da bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir:

1. Veri sorumlusu olarak MTSO temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçla işleneceği,

3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

5. Kişisel veri sahibinin sahip olduğu haklar.

Bu kapsamda, MTSO tarafından öncelikle kişisel veri toplama kanalları tespit edilerek, her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir.

 

5.2 Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu kapsamda, MTSO kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13. maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

1. Kişisel veri işlenip işlenmediğini öğrenme,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

6. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kurul tarafından farklı karar alınmadıkça, Kişisel veri sahiplerinin yalnızca yazılı olarak iletilen talepleri MTSO tarafından işleme alınmalıdır. MTSO talebin niteliğine göre ilgili talebi en kısa sürede veya en geç otuz gün içinde yanıtlamalıdır. Değerlendirme sonucunda MTSO başvuruları kabul ederek gereken aksiyonları alabileceği gibi başvuruları gerekçeli olarak reddedebilir.

Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyette bulunabilir. Bu şikâyetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.

 

5.3 Kişisel Verilerin Gizliliğini Güvenliğini Sağlama Yükümlülüğü

Kişisel veriler gizlidir ve MTSO’ da bu gizliliğe riayet etmelidir. Kişisel verilere kurum içinde ancak yetki verilmiş kişiler ulaşabilecektir. MTSO tarafından toplanan kişisel verilerin korunması, yetkisiz kişilerin eline geçmemesi, çalışanlarımızın, tedarikçilerimizin müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmalı ve gizlilik kurallarına uygun olarak kullanılmalıdır. Bu çerçevede kurum içinde veri koruma politikasına riayet edilmesi sağlanmalıdır.

MTSO işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini engellemek ve muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alacaktır.

Kurul uygun gördüğü zamanlarda veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilir. Dolayısıyla bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede çaba sarf ederek maksimum derecede güvenlik sağlanmalıdır.

MTSO, alınacak teknik ve idari tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya/yaptırmaya yönelik sistemleri kurgulayarak, bu denetim sonuçlarının görevli birimlerce incelenmesi ve gerekli aksiyonların alınmasını sağlamalıdır.

MTSO işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlü olup, bu kapsamda gerekli organizasyonel yapıyı kurmalıdır.

Güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.

 

5.3.1 Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler MTSO tarafından alınmalıdır:

1. MTSO bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler birimler bazında analiz edilmeli, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır.

2. Kişisel veri işleme haritası uyarınca, hukuka uygunluğun sağlanması için sorumluluklar birim bazında belirlenmelidir.

3. Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanmalıdır.

4. MTSO çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir.

5. Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılmalı ve gerekli idari tedbirler MTSO iç politikası ve eğitimleri yoluyla hayata geçirilmelidir.

6. MTSO ile çalışanları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine, ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmalıdır.

7. Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalıdır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılmalıdır.

 

5.3.2 Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler MTSO tarafından alınmalıdır:

Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmelidir.

MTSO tarafından, birim bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanmalı devreye alınmalıdır.

Alınan teknik önlemler periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmelidir.

Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.

MTSO çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmeli ve teknik konularda bilgili personel istihdam edilmelidir.

MTSO çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmalıdır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.

MTSO tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.

 

5.4 Veri Sorumluları Siciline Kaydolma Yükümlülüğü

MTSO veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’ da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili ’ne kayıt olmalıdır. Sunulacak bilgiler aşağıdaki gibidir. (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):

1. Veri sorumlusu olarak MTSO ve varsa temsilcisinin kimlik ve adres bilgileri,

2. Kişisel verilerin hangi amaçla işleneceği,

3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

5. Yabancı ülkelere aktarımı öngörülen kişisel veriler,

6. Kişisel veri güvenliğine ilişkin alınan tedbirler,

7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

 

6. MERSİN TİCARET VE SANAYİ ODASI BÜNYESİNDE ORGANİZASYONEL YAPILANMA

MTSO bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” atanmalıdır. Bu kapsamda Komite tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:

1. Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikalara ve mevzuatlara uyum sağlanması için yapılması gerekenleri belirlemek,

2. Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,

3. Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,

4. Kurumun kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,

5. Çalışanların kişisel verilerin korunması ve Kurum politikaları konusunda eğitilmelerini sağlamak, Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,

6. KVKK kapsamındaki yükümlülüklerin yerine getirilebilmesi için kurum içinde gerekli düzenlemelerde bulunmak,

7. Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak, Kurum ve Kurul ile olan ilişkileri yönetmek.

---