Loading...

RUSTY RIVETS

RUSTY RIVETS Labaratuar Seti

Rusty ve ekibinin büyük laboratuvarı!

Işıklı ve seslidir.

Düğmesine bastığında müzik çalar.

Kolayça takılıp- çıkarılabilen parçaları vardır.

Kapakları kapanabilir, bu şekikde kolayca taşıyabilirsiniz.

Rusty ve arkadaşları yeni maceralar peşinde. Birleştir , keşfet ve maceraya ortak ol!

Hangi Mağazalarda Var?
Markanın Diğer Ürünleri
Hediyeni Seç

Adeland’ın renkli dünyasında aradığın hediyeyi kolayca bul! Kriterlerini belirle ve en uygun olanı seç!

KİŞİSEL VERİLERİN KORUNMASI KANUNU'NA UYUM YÖNETMELİĞİ

1.  AMAÇ

Bu yönetmelik, Anadolu Grubu’nun yurt içi Şirketlerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyumluluk kapsamında, gerekli tüm çalışmaların yapılması ve sürdürülmesi ile bu konuda kurulacak yönetim yapılarını düzenlemeyi amaçlamaktadır.

 

2.  KAPSAM

Bu yönetmelik yurt içi tüm Anadolu Grubu şirketlerini kapsamaktadır.

 

3.  TANIMLAR

KVKK: Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Bu tanım ayrıca KVKK’ya dayanılarak çıkartılan ikincil mevzuatı da (yönetmelikler, tebliğler, kurul kararları gibi) kapsamaktadır. 

Kurum: KVKK uyarınca kurulan ve KVKK ile verilen görevleri yerine getirmek üzere idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu’dur.

İrtibat Kişisi: Veri Sorumlusu’nun KVKK kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için Veri Sorumluları Sicili’ne kayıt esnasında bildirilecek ve bu Yönetmeliğin 4.3. maddesinde belirtilen diğer sorumluluklar için Veri Sorumlusu tarafından belirlenecek gerçek kişidir.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir (örneğin, kişilerin kimlik bilgileri, şahsi/iş e-posta adresleri ve cep telefonu numaraları, iletişim bilgileri, özlük ve sgk bilgileri, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi bu kapsamda değerlendirilebilecektir).

Kişisel Verilerin İşlenmesi: Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Holding: AG Anadolu Grubu Holding A.Ş.’dir.

Şirket Üst Yönetimi: İcra Başkanı/ Genel Müdür ve ona birinci derecede raporlayan kişilerdir.

İlgili Kişi: Kişisel Verisi işlenen gerçek kişidir.

Veri Sorumlusu: Kişisel Veriler’in işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen: Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişidir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hâle Getirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Veri İşleme Envanteri: Veri Sorumlusu’nun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri işleme faaliyetlerini; Kişisel Veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve Kişisel Verilerin işlendikleri amaçlar için gereken azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir.

Veri Kayıt Sistemi: Kişisel Veriler’in belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumluları Sicili: Veri Sorumlusu’nun kayıt olmakla yükümlü olduğu, Kurum tarafından oluşturulan kamuya açık sicili ifade eder.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri Sorumlusu’nun Veri Sorumluları Sicili’ne başvuruda ve Veri Sorumluları Sicili’ne ilişkin ilgili diğer işlemlerde kullanacağı, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

 

4.  ROLLER VE SORUMLULUKLAR

4.1. Şirket Üst Yönetimi

Anadolu Grubu şirketlerinde KVKK’ya uyumun sağlanması Şirket Üst Yönetimi’nin sorumlulugundadır  ve bu sorumluluk devredilemez.

Ayrıca aşağıdakiler de Şirket Üst Yönetimi’nin sorumlulukları arasındadır:

  • KVKK’ya uyumun sağlanması için yapılması gereken hususların tespit edilmesi; uygulanmasının gözetilmesi ve koordinasyonunun sağlanması.
  • Kurum tarafından yayınlanan “Kişisel Veri Güvenligi Rehberi”nde belirtilen uygun güvenlik düzeyini teminen teknik ve idari tedbirlerin alınması.

 

4.2. Kişisel Verilerin Korunması (KVK) Komiteleri ve Sorumlulukları

4.2.1. Holding KVK Üst Komitesi

Anadolu Grubu’nda KVKK’ya uyumun sağlanması ve sürdürülmesi kapsamında gerekli koordinasyonu sağlayacak olan bu Komite’nin rol ve sorumlulukları aşağıdaki gibidir:

  • Kişisel Verilerin korunması stratejilerini belirlemek ve stratejilerin hayata geçirilmesi için gerekli planlamayı yapmak ve kaynakları tahsis etmek;
  • Kişisel Verilerin korunmasına yönelik oluşturulan politika ve prosedürleri onaylamak;
  • Kişisel Verilerin hukuka aykırı olarak işlenmesini, erişilmesini ve muhafazasını önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmasını saglamak;
  • KVKK’nın 12. maddesinin 3. fıkrası gereğince gerekli denetimleri yaptırmak;
  • Kişisel Verilerin korunmasıyla ilgili oluşturulmuş politikalara, prosedürlere, ilgili yasal mevzuata ve sözleşme gerekliliklerine uyulmasını teşvik etmek;
  • Holding KVK Komitesini atamak ve çalışmalarını takip etmek;
  • Kişisel Veriler ile ilgili acil durumlarda, karar vermek, paydaşlarla iletişim kurmak;
  • Holding İcra Başkanlığı’na düzenli bildirim ve raporlamayı sağlamak.

Holding KVK Üst Komitesi; Mali İşler, Hukuk, İnsan Kaynakları, Bilgi Teknolojileri, Denetim, Kurumsal İlişkiler ve Risk Yönetimi Başkan/Koordinatörlerinden oluşmaktadır. Risk Yönetimi Koordinatörü, Holding ve Grup Şirketleri KVK Komiteleri arasındaki iletişim koordinasyon ve onay süreçlerini yürütür.

4.2.2. Holding / Grup Şirketleri KVK Komiteleri ve Genel Sorumlulukları

Holding / Grup Şirketlerinde KVKK’ya uyumun sağlanması ve sürdürülmesi kapsamında gerekli çalışmaları yapacak olan ilgili KVK Komitelerinin rol ve sorumlulukları aşağıdaki gibidir:

  • Holding’de, Holding KVK Üst Komitesi’ne; Grup Şirketleri’nde ise Şirket Üst Yönetimi’ne ve Holding KVK Komitesi’ne düzenli bildirim ve raporlama yapmak,
  • Holding KVK Üst Komitesi’ne önemli ve olaganüstü durumlarda gerekli bildirimi yapmak;
  • Kişisel Verilerin korunması ve işlenmesi konusunda farkındalığı arttırmak, gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uyumu saglamak amacıyla, gerekli aksiyonların alınmasını saglamak,
  • Kişisel Verilerin korunması çerçevesinde Kişisel Veri İşleme Envanterleri’nin yaşatılması ve güncellenmesi konusundaki faaliyetleri yönetmek,
  • Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak, iyileştirme önerilerini ve ihtiyaç duyulan bütçeyi Holding KVK Üst Komitesi’ne / Şirket Üst Yönetimi’ne sunmak,
  • Kişisel Verilerin korunması ve işlenmesi ile ilgili temel politika, yönetmelik, prosedür ve talimatları hazırlamak, bunların Holding KVK Üst Komitesi / Şirket Üst Yönetimi tarafından onaylanmasını takiben yürürlüğe koymak, gerektiğinde güncellemek ve uygulanmasını takip etmek,
  • Kişisel Veriler’in korunması, politikaların uygulanması ve Kişisel Veri işleme faaliyetleri ile çalışanların kanuni hakları konusunda eğitimler tasarlamak ve icra edilmesini sağlamak,
  • İrtibat Kişisi vasıtasıyla aktarılan İlgili Kişiler’in başvurularını karara bağlamak ve bunların KVKK’da belirtilen süreye uygun olarak yanıtlanmasını sağlamak,
  • İrtibat Kişisi aracılığıyla ilgili Şirket’in Kurum ile olan ilişkilerini yürütmek,
  • Kişisel Verilerin korunmasına ilişkin denetimlerin uygun şekilde yapılmasına destek olmak, denetim çıktılarına göre gerekli aksiyonların alınmasını sağlamak ve denetim çıktılarını Holding KVK Üst Komitesi’ne / Şirket Üst Yönetimi’ne raporlamak,
  • Kişisel Veriler ile ilgili ihlal olayı bildirimlerini değerlendirmek,
  • Holding KVK Üst Komitesi’nin / Şirket Üst Yönetimi’nin Kişisel Veriler’in korunması konusunda vereceği diğer görevleri icra etmek,
  • Holding / Grup Şirketi bünyesinde Veri Kayıt Sistemi’nin kurulmasını, güncel tutulmasını ve yönetilmesini saglamak,
  • KVKK kapsamında tanımlanmış istisnai hükümlerin dışındaki Kişisel Veriler için İlgili Kişi’nin açık rızasının alındığından emin olunmasını sağlamak,
  • Holding / Grup Şirketi’nin aydınlatma yükümlülüğünü yerine getirebilmek amacıyla KVKK’nın 10. maddesi uyarınca Kişisel Veriler’in elde edilmesi sırasında İlgili Kişiler’e aşağıdaki bilgilerin verilmesini temin etmek:
    • Veri Sorumlusunun ve varsa temsilcisinin kimliği,
    • Kişisel Verilerin hangi amaçla işleneceği,
    • İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
    • Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
    • KVKK’nın 11. maddesi gereğince ilgili kişinin hakları.
  • Holding / Grup Şirketi’nin Veri Sorumlusu olduğu durumlarda Veri İşleyen taraflarla hukuka uygun işleme koşullarını dikkate alarak sözleşme yapılmasını sağlamak.

4.2.3. KVK Komitesi Üyelerinin Kendi Departmanlarındaki Sorumlulukları: 

KVKK’ya uyumun sağlanması ve sürdürülmesi kapsamında KVK Komitesi üyesi olan çalışanların kendi departmanlarına ilişkin rol ve sorumlulukları aşağıdaki gibidir: 

  • KVKK’ya uyum kapsamında alınmış kararların, çalıştığı departmanda uygulanmasını sağlamak, konuyla ilgili farkındalık yaratmak,
  • Çalıştığı departmanda Kişisel Veri İşleme Envanterleri’nin tespit edilmesi, oluşturulması, güncel tutulmasını sağlamak,
  • Çalıştığı departman adına belirli aralıklarla ya da ihtiyaç duyduğunda risk değerlendirme çalışması yapmak, risk aksiyon planını oluşturmak ve bu planı İrtibat Kişisi’ne iletmek,
  • Çalıştığı departmanın hazırlayacağı sözleşmelerde güncel sürümlerin kullanıldığından emin olmak.
  • Çalıştığı departmanda her hizmet, etkinlik, değişiklik ve proje öncesinde kişisel veriler uyumluluk analizinin gerçekleştirilmesini ve analiz sonucunun İrtibat Kişisi’ne iletilmesini sağlamak.

4.3. Kişisel Veriler’in Korunması İrtibat Kişisi

İrtibat Kişisi, Holding’de, Holding KVK Üst Komitesi, Grup Şirketleri’nde ise, Şirket Üst Yönetimi tarafından, Holding’i / Grup Şirketi’ni bu konuda temsil edecek yetkinliğe sahip kişiler arasından atanır.

Holding / Grup Şirketi İrtibat Kişisi’nin başlıca görevleri aşağıdaki gibidir:

  • KVKK’da yer alan hükümleri dikkate alarak Veri Sorumluları Sicili’ne Holding / Grup Şirketi adına kayıt yapılmasını saglamak,
  • İlgili Kişi’nin, KVKK’nın 11. maddesinde tanımlanan verilerinin işlenip işlenmediği, hangi verilerinin, hangi amaçla işlendiği, kimlere aktarıldığı, eğer varsa hak kayıplarını tazmin etmek üzere yaptığı başvuruların geçerliliklerini değerlendirerek en geç 30 gün içinde sonlandırılması için çalışmaları koordine etmek,
  • İşlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede İlgili Kişi’ye ve Kurum’a bildirmek,
  • Yapılan inceleme sonucunda ihlalin varlığının anlaşılması halinde Kurumun tespit ettiği hukuka aykırılıkların giderilmesini en geç 30 (otuz) gün içinde yerine getirilmesinin sağlanması için çalışmaları koordine etmek,
  • Kurum’un inceleme konusuyla istemiş olduğu bilgi ve belgeleri devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere 15 (on beş) gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak.

Yukarıdakiler dışında İrtiba Kişisi Holding / Grup Şirket içindeki Koordinasyonun ve Yönetimin Sağlanmasını teminen aşağıdaki görevleri yerine getirir: 

  • Holding / Grup Şirketi KVK Komitesi’ne liderlik ederek, toplantıların belirlendiği tarihte ve gündemine uygun olarak gerçekleştirilmesini sağlamak,
  • KVKK’ya uyuma yönelik politika, prosedür ve talimatlarının uygulanmasını takip etmek,
  • Veri İşleyenlerin gerekli teknik ve idari tedbirleri aldığından emin olmak için kontrol ve denetim süreçlerini yönetmek,
  • İlgili Kişi’nin KVKK kapsamında yaptığı başvuruları değerlendirmek ve başvuru kapsamında Holding / Grup Şirketi içinde gerçekleştirilecek çalışmaları koordine etmek,
  • İlgili Kişi’nin başvurusuna verilecek olan cevap metnini hazırlamak, bu metin üzerinde varsa Hukuk ve çalışma gerçekleştirmiş diğer departmanların görüşünü alarak nihai metni İlgili Kişi’ye göndermek,
  • Kişisel Veriler ile ilgili ihlal olayı bildirimlerini değerlendirmek ve ihlal olayı kapsamında gerçekleştirilecek çalışmaları koordine etmek,
  • KVKK’ya uyum konusunda gerçekleştirilen çalışmaları, ihlal olaylarının ve İlgili Kişi başvurularının durumlarını Holding KVK Üst Komitesi / Şirket Üst Yönetimi’ne raporlamak,
  • Holding / Grup Şirketi’nin Veri İşleyen olduğu durumlarda;
    • Veri Sorumlusu olan kişi veya kuruluş ile yapılan sözleşmenin Holding/Şirket’in KVKK’ya uygun olarak veri işlemesine izin verdiğinden emin olmak,
    • Kişisel veri ihlali yaşandığı hallerde veri sorumlusu olan kişi veya kuruluşa bildirimde bulunmak,
    • Veri Sorumlusu tarafından gerçekleştirilmek istenen denetim ve kontrol faaliyetlerinde Holding / Grup Şirketi içi koordinasyon görevini yerine getirmek
  • İncelemeler, denetimler ve gözden geçirmeler sonucunda ortaya çıkan uygunsuzlukların ve gelişime açık noktaların düzeltici ve önleyici faaliyetler ile giderilmesini koordine etmek,
  • Holding / Grup Şirketi adına Kurum ile olan ilişkileri yönetmek,

bulunmaktadır.

 

4.4. Grup Çalışanlarının Sorumlulukları

Tüm Anadolu Grubu çalışanları, Kişisel Verileri, aşağıda belirtilen ilkeler çerçevesinde işlemekle sorumludur.

    • Hukuka ve dürüstlük kurallarına uygun olma,
    • Doğru ve gerektiğinde güncel olma,
    • Belirli, açık ve meşru amaçlar için işlenme,
    • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bu çerçevede tüm Anadolu Grubu çalışanları,

  • Kişisel Veri’nin işlenmesi, aktarılması veya yurt dışına aktarılması hususunda KVKK’da belirtilen istisnai koşulların olmaması halinde işlediği verilerin açık rıza alınmış veriler olduğundan emin olmalı, şüphelendiği durumlarda KVK Komitesi departman sorumlusuna bildirmelidir.
  • Kişisel Veriler’in işlenmesini gerektiren sebeplerin ortadan kalkması halinde, diğer kanunlarda öngörülen hükümler engel olmuyorsa Kişisel Verileri silmeli, yok etmeli, anonim hale getirmeli veya bu işlemleri gerçekleştirmek üzere KVK Komitesi departman sorumlusuna bildirmelidir.
  • Kişisel Veriler’in hukuka aykırı işlenmesini ve erişilmesini önlemekle ilgili tanımlanmış kurallara uymalı ve hukuka aykırı olarak Kişisel Veriler’in işlenmesi ve erişilmesi durumunda bu durumu derhal İrtibat Kişisi’ne ve KVK Komitesi departman sorumlusuna bildirmelidir.
  • İlgili Kişiler’in bilgilendirme haklarını kullanabilmeleri için gerekli yönlendirme ve bilgilendirmeleri yerine getirmelidir.
  • Holding / Grup Şirketi tarafından KVKK kapsamında oluşturulmuş tüm politika, yönetmelik, prosedür, talimat ve proje çıktılarına uymalıdır.
  • Holding / Grup Şirketi bünyesinde düzenlenecek KVKK farkındalık eğitimlerine katılmalıdır.
  • Sır saklama yükümlülüğü kapsamında öğrendikleri Kişisel Verileri KVKK ve ilgili diğer mevzuat hükümlerine aykırı olarak başkasına açıklamamalı ve işleme amacı dışında kullanmamalıdır. Bu yükümlülük görevden ayrılmalarından ve/veya Holding / Grup Şirketi ile iş ilişkilerinin sona ermesinden sonra da devam eder.
  • Üçüncü kişilerin ve/veya İlgili Kişiler’in kendilerine KVKK uyarınca Kişisel Verileri ile ilgili olarak bilgi isteme talebinde bulunmaları halinde, bu talepleri aynı gün içersinde Holding / Grup Şirketi İrtibat Kişisi’ne bildirmeli ve İrtibat Kişi’nin talimatları uyarınca hareket etmelidir.
  • Güvenlik, Muhaberat, İdari İşler departmanlarının çalışanları İlgili Kişiler’in KVKK’da tanımlanmış haklarını kullanması için yaptığı başvuruyu aynı gün içinde İrtibat Kişisi’ne iletmelidir.
  • Kişisel Veriler ile ilgili olarak ’’YASAKLANMADIKÇA HER ŞEY SERBESTTİR PRENSİBİ İLE DEĞİL, İZİN VERİLMEDİKÇE HER ŞEY YASAKTIR’’ prensibi ile hareket etmelidir.

Holding / Grup Şirketleri’ndeki tüm departman yöneticileri, departmanlarında Kişisel Veri işlenmesini içeren tüm süreçlerden bu yönetmelik kapsamında sorumludur.

  1. UYGULAMA

5.1. Komitelerin Yapısı ve Çalışma Şekilleri

5.1.1. Komitelerin Yapısı

Anadolu Grubu’nda KVKK gerekleri Holding’te ve Grup Şirketleri’nde kurulmuş olan KVK Komiteleri aracılığıyla yerine getirilmektedir. Holding’te, Holding KVK Üst Komite üyeleri İcra Başkanı tarafından, Holding KVK Komite üyeleri ise ilgili departman Üst Yöneticileri tarafından atanır. Grup Şirketleri’nde, Şirket KVK Komitesi üyelerinin ataması Genel Müdür tarafından yapılır. Holding KVK Üst Komitesi, Anadolu Grubu’nun tamamında koordinasyon faaliyetlerini yönetmekle görevli olup, Holding’de ve Grup Şirketleri’nde kurulan KVK Komiteleri her bir şirket bünyesinde KVKK ile ilgili faaliyetleri yerine getirmekle sorumludur.

Holding KVK Üst Komitesi, Hukuk, Bilgi Teknolojileri, Mali İşler, Kurumsal İlişkiler, Denetim, Risk Yönetimi ve İnsan Kaynakları departmanlarından oluşmaktadır. Şirket KVK Komiteleri ise Mali İşler, İnsan Kaynakları ve başta Kişisel Veri işleyen birimler olmak üzere ilgili şirket nezdinde varsa Hukuk, Kurumsal İletişim, Pazarlama ve Bilgi Teknolojileri departmanları ile Genel Müdür’ün belirleyeceği departmanlardan katılacak temsilcilerden oluşabilecektir. Şirket KVK Komitelerine Şirket Genel Müdürü’nün başkanlık etmesi önerilmektedir.

5.1.2. Komite Toplantıları  

KVK Komiteleri, Holding / Grup Şirketi’nin Kişisel Veriler’in işlenmesine ve korunmasına yönelik faaliyetlerini değerlendirmek üzere en geç 3 ayda bir toplanır. Kurum’dan veya İlgili Kişiler’den İrtibat Kişisi aracılığıyla iletilen soru, onay ve olay bildirimleri için KVK Komite Başkanı, gerekli gördüğü takdirde Komite üyelerini toplantıya davet eder ve alınacak aksiyonlar ile ilgili görev dağılımını yapar. 

KVK Komite toplantılarına; gerekli görülmesi halinde üye olmayan katılımcılar da çağırılabilir.

KVK Komiteleri’nin toplantı gündeminde asgari aşağıda belirtilen konular bulunur:

  • Yeni yayınlanan veya değiştirilen yasa, yönetmelik gibi düzenlemeler,
  • Kişisel Verileri Koruma Kurulu’nun ilke kararları ve cezalar,
  • İlgili Kişiler tarafından Holding / Grup Şirketi’ne yapılan talepler,
  • Holding / Grup Şirketi bünyesinde gerçekleşen hizmet, etkinlik, proje ve değişikliklerde yapılan kişisel veriler uyumluluk analizleri,
  • KVKK’ya uyumluluk kapsamında takip edilen aksiyon planında yer alan görevler.

Holding KVK Üst Komitesi, Grup Şirketleri’nin Kişisel Veriler’in işlenmesine ve korunmasına yönelik faaliyetlerini değerlendirmek üzere Komite Başkanı’nın yapacağı duyuru ile en az altı ayda bir  toplanır.

Kurum’dan veya Grup Şirketleri’nden İrtibat Kişisi aracılığıyla gelen soru, onay ve olay bildirimleri için gerekli gördüğünde Holding KVK Üst Komite Başkanı, Komite üyelerini toplantıya davet eder ve alınacak aksiyonlar ile ilgili görev dağılımını yapar.

Holding KVK Üst Komitesi,  Komite Başkanı’nın çağrısı üzerine en az altı ayda bir Şirket KVK Komite Başkanları ile toplanır.

Toplantılarda en az aşagıdaki hususlar hakkında bilgi sunulur:

  • Dönem içerisinde KVKK uyumluluğu kapsamında yapılan çalışmalarının durumu,
  • Denetim sorumlularının incelemeleri sonucunda bulduğu uygunsuzluklar,
  • Kişisel Verileri Koruma Kurulu’nun dönem içerisinde yayınladığı yönetmelik ve tebliğler ile aldığı kararlar hakkında bilgilendirme,
  • Dönem içerisinde İlgili Kişiler’in yapmış olduğu başvurular ve başvuruların durumu hakkında bilgilendirme,
  • Kişisel Verileri Koruma Kurulu’nun Holding / Grup Şirketleri’nde inceleme gerçekleştirmesi halinde bu incelemenin sonuçları,
  • KVKK uyumluluğu kapsamında gelecek dönem gerçekleştirilecek çalışmalar.

5.2. İletilen Başvuru, Talep, Soruların Değerlendirilme ve Cevaplanması

5.2.1. Kurum’dan gelen Taleplerin Değerlendirilmesi ve Cevaplanma Süreci 

Grup Şirketlerine Kurum tarafından gönderilen soru ve talepler Şirket İrtibat Kişisi tarafından değerlendirilir ve uygun şekilde sonuçlandırılır. İrtibat Kişisi, iletilen soru ve taleplere on beş günü geçmemek üzere en kısa sürede uygun kanallardan (kendisi için tanımlanmış olan Şirket KEP adresi tercih edilir) yazılı olarak yanıt verir. Şirket İrtibat Kişisi, gereken durumlarda konu ile ilgili departmanlardan destek alabilir, bazı durumlarda ise Şirket KVK Komitesi’nden destek ve onay isteyebilir. Kurum tarafından tespit edilen uygunsuzluk durumunda ilgili düzeltmeler en geç otuz gün içerisinde tamamlanır.

5.2.2. İlgili Kişiler’den gelen Başvuru, Soru, Taleplerin Değerlendirilmesi ve Cevaplanma Süreci 

Grup Şirketlerine Kişisel Verisi işlenen İlgili Kişiler tarafından gönderilen başvuru, soru ve talepler Şirket İrtibat Kişisi tarafından değerlendirilir ve uygun şekilde sonuçlandırılır. İrtibat Kişisi, iletilen soru ve taleplere otuz günü geçmemek üzere en kısa sürede uygun kanallardan (kendisi için tanımlanmış olan Şirket KEP adresi tercih edilir) yazılı olarak yanıt verir. Şirket İrtibat Kişisi, gereken durumlarda konu ile ilgili departmanlardan destek alabilir, bazı durumlarda ise Şirket KVK Komitesi’nden destek ve onay isteyebilir. Kurum tarafından tespit edilen uygunsuzluk durumunda ilgili düzeltmeler en geç otuz gün içerisinde tamamlanır. Şirketler’e gelen ilgili tüm başvurular ve sonuçları Holding KVK Üst Komitesi’ne raporlanır.

 

5.3. Raporlama

Holding / Şirket KVK Komiteleri,  Holding KVK Üst Komitesi / Şirket Üst Yönetimine üç ayda bir olmak üzere asgari aşağıdaki konular ile ilgili raporlama yapar;

  • Değişen süreçler ile güncel tutulan Holding / Grup Şirketi Kişisel Veri İşleme Envanteri,
  • KVKK kapsamında ilgili üçüncü kişiler ve İlgili Kişi’ler tarafından yapılan başvuru ve talepler,
  • Kişisel Verilerin işlenmesi ve korunması ile ilgili Şirkette yaşanan olaylar (fark edilen durumlar, veri kaçakları v.b)
  • KVKK’ya uyum sürecinde alınan aksiyonlar,
  • KVKK’da meydana gelen değişikliklerin takibi ve alınacak aksiyonlar,
  • Şirket Kişisel Verilerin işlenmesi ve korunması denetim sonuçları / aksiyonları,

Kişisel Veriler’in işlenmesi ve korunması kapsamında yukarıda belirtilen uygulamalar ve Grup Şirketleri’nde projelendirilen tüm süreçler Holding İcra Başkanı’na senelik olarak raporlanır.

5.4. Kişisel Verilerin İşlenmesi ve Korunması Denetim Süreçleri

5.4.1. Kurum Denetimleri

Kurum, hem kendi denetim planı kapsamında, hem de şikayet üzerine Grup Şirketleri’nde inceleme, denetim yapabilir.

Kurum tarafından denetime gelinmesi halinde denetim ekibine gerekli destek sağlanır ve istedikleri dökümanlar kendilerine kayıt altına alınmak suretiyle teslim edilir. Denetim boyunca denetim ekibiyle iletişim Şirket İrtibat Kişisi tarafından sağlanır. Denetim ekibi tarafından uygunsuzluk tespit edilmesi durumunda ilgili düzeltmeler en geç otuz gün içerisinde tamamlanır.

5.4.2. Grup Kişisel Verilerin İşlenmesi ve Korunması İç Denetimleri

KVKK hükümlerinin Grup Şirketleri’nde uygulanmasını takip etmek amacıyla Holding Denetim Başkanlığı tarafından gerekli denetimler planlanır ve gerçekleştirilir.

Denetimlerde elde edilen bulgular ilgili Şirket Üst Yönetimine ve Şirket KVK Komitesi’ne raporlanır. Ayrıca, ilgili bulgular Holding KVK Üst Komitesi’ne de raporlanır. Raporda yer alan uygunsuzlukların, ilgili Şirket Üst Yönetimi tarafından takip edilerek, KVKK’da belirtilen süreler ve ilkeler esas olmak üzere, en kısa sürede düzeltilmesi gerekmektedir. 

  1. YÜRÜRLÜK TARİHİ, SORUMLULUK VE GÜNCELLEME

Bu Yönetmelik yayım tarihinde yürürlüğe girer.

 

Yönetmeliğin uygulanmasından Şirket Üst Yönetimleri ve KVK Komiteleri sorumludur.

 

Yönetmelik, gerektiğinde  Holding KVK Üst Komitesi tarafından güncellenebilir.