Kişisel Veri Aktarım Politikası

A.     KAPSAM

1. İşbu Politika; ANKARA KATI ATIKLARI AYIKLAMA ENERJİ DEĞR. BİLG. İNŞ. NAK. Ve TAAHHÜT YEMEK SAN. Ve TİC. A.Ş. (“BELKA”)’nin tüm departmanlarını ve çalışanlarını kapsamaktadır.
2. İşbu Politika, BELKA birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsar.
3. İşbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır.
4. Yeni mevzuatlar ile belirlenmesi durumunda, BELKA kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır.
5. İşbu Politika’nın BELKA tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, BELKA uygulayacağı adımları, gerek görülmesi durumunda Hukuk Birimi’ne ve Üst Yönetime danışarak, yeniden belirleyecektir.

B.     TANIMLAR

Yönetmelik

Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan Yönetmelik’tir.

C.     BİLGİ TRANSFERİ TAAHHÜDÜ

İşbu Kişisel Veri Aktarım Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9. maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve BELKA içerisinde ve/veya BELKA tarafından uyulması gereken esasları belirleyecektir.

D.     KİŞİSEL VERİLERİN FİZİKSEL ORTAMDA AKTARILMASI

Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. BELKA çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür. Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8. maddenin 2. fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır. Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Çalışma Grubu’nun bilgisi ve onayı dahilinde yapılabilir. Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Çalışma Grubu’ndaki ilgili kişiye durumu aktarır. Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir. Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Çalışma Grubu’nun bilgisine başvurulacaktır.

E.     KİŞİSEL VERİLERİN ELEKTRONİK ORTAMDA AKTARILMASI

Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. BELKA çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür. Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır. Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır. Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Çalışma Grubu bilgilendirilmelidir.

1.     Elektronik Posta

Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dahilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır. Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVKK Çalışma Grubu’na bilgi vererek onay almalıdır.

2.     Taşınabilir Medya

Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır. Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir. Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz. Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında BELKA’nin anlaşmalı olduğu kurye hizmeti kullanılmalıdır, aktarımda kargo hizmeti kullanılamaz.

3.     Bulut Paylaşımı (Cloud)

Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır. Bulut paylaşım ile kişisel veri aktaran çalışan, her bir aktarım öncesinde BELKA Bilgi Teknolojileri Departmanı ile en güvenli yöntem konusunda kişisel veri sahibi birim müdürü ile birlikte bilgi paylaşımında bulunmalıdır. Bulut paylaşım ile kişisel veri paylaşılacağı tüm durumlarda BELKA Bilgi Teknolojileri bölümü’nün bilgilendirilmesi zorunludur. Bulut paylaşım ile ilgili en güvenli yöntem her aktarımdan önce tekrar kontrol edilmelidir. Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca BELKA donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını BELKA donanımları ve ağını kullanmadan yapmasına izin verilmez.

4.     Ağ Üzerinden Paylaşım

Kişisel veriler, BELKA’ın ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografik protokollerin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu’na bilgi verilir ve yalnızca Grup’un onayı olduğu durumlarda aktarım gerçekleştirilir. Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.

F.     POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

1. Yönetmelik’in Kurum tarafından oluşturulmasının ardından BELKA bu Politika’da varsa gerekli değişiklikleri yapacaktır.
2. Yönetmelik’te yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde BELKA tarafından işbu Politika’da değişiklik yapılabilir.
3. BELKA Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.

G.    POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika TARİH tarihinde yürürlüğe girmiştir.