GRUP OFİS KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

GİRİŞ

Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda GRUP OFİS tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır. Bu Politika ile GRUP OFİS tarafından yerine getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.

AMAÇ

Bu politika şirket düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ilgili şirket özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.

1- KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANAN İLKELER

Bu Politika, GRUP OFİS’in, KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin olarak veri sahipleri için yol gösterici bir nitelik taşımaktadır.

GRUP OFİS, bu Politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyerek ve her türlü teknik ve idari önlemi alacaktır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanmaktadır.

Şirket bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve şirketin iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

KVKK’ya uyumluluğun  sağlanması  için GRUP OFİS  tarafından  kişisel   veriler  mevzuatta  öngörülen genel ilke ve hükümlere uygun olarak işlenmektedir. Bu kapsamda, GRUP OFİS tarafından tüm kişisel veri  işleme  faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınmıştır. Kişisel verilerin işlenmesi sırasında dikkate alınacak ilgili mevzuat hükümleri çerçevesinde ele alınmış olup, ilkeler aşağıda başlıklar halinde incelenmektedir

1.1 Hukuka   ve   Dürüstlük  Kuralına  Uygun  Kişisel  Veri İşleme  Faaliyetlerinde  Bulunma

GRUP OFİS kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket edecektir. Bu kapsamda GRUP OFİS, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun olacak seviyede işleyecektir.

1.2 Kişisel  Verilerin Doğru  ve  Gerektiğinde  Güncel  Olmasını Sağlama

GRUP OFİS, işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri alacaktır. Örneğin, GRUP OFİS, kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmiştir.

1.3 Belirli, Açık ve Meşru Amaçlarla İşleme

GRUP OFİS, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemektedir. Bu kapsamda GRUP OFİS,  kişisel verilerin hangi amaçla işleneceğini belirleyerek, bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunacaktır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. GRUP OFİS tarafından belirlenen veri işleme amaçları, verilen hizmetle uyumlu, meşru ve hukuka uygundur.

1.4İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

GRUP OFİS, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle alası olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

GRUP OFİS kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmektedir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranacaktır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.

2- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Bu kapsamda GRUP OFİS kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve varsa bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurmaktadır.

KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.

Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9. maddelerinde öngörülen düzenlemelere uygun hareket edilecek ve veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınacaktır.

Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.

3-GRUP OFİS’İN    YÜKÜMLÜLÜKLERİ

3.1 Aydınlatma Yükümlülüğü

GRUP OFİS, kişisel verilerin elde edilmesi sırasında verileri işlenecek gerçek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatmaktadır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir :

  • Veri sorumlusu olarak GRUP OFİS’in ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  • Kişisel veri sahibinin sahip olduğu haklar.

Bu kapsamda, GRUP OFİS tarafından öncelikle kişisel veri toplama kanalları tespit edilecek ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir.

3.2 Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

Kişisel veri sahiplerinin, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanmaları mümkündür.

Bu kapsamda, GRUP OFİS, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13. maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri alacaktır.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
  • giderilmesini talep etme.

Kişisel veri sahiplerinin, sadece yazılı olarak GRUP OFİS’e iletilen talepleri işleme alınmaktadır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. GRUP OFİS, talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlandırmak durumundadır. Değerlendirme sonucunda GRUP OFİS başvuruları kabul ederek gereken aksiyonları alabileceği gibi başvuruları gerekçeli olarak da reddedebilir.

Önemle belirtmek gerekir ki; kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikayette bulunabilir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.

3.3 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

GRUP OFİS işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alacaktır.

Kurul ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede efor sarf ederek maksimum derecede güvenlik sağlanmaya çalışılmıştır.

GRUP OFİS, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları GRUP OFİS bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır.

GRUP OFİS, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdür. Bu kapsamda gerekli organizasyonel yapı kurulmuştur.

GRUP OFİS tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.

3.3.1Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler GRUP OFİS tarafından alınacaktır :

  • GRUP OFİS bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilecek ve bu kapsamda bir “kişisel veri işleme haritası” çıkartılacaktır.
  • Kişisel veri işleme haritası uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenecektir.
  • Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenecek ve
  • ilgilisine raporlanacaktır.
  • GRUP OFİS çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilecek ve eğitilecektir.
  • Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılacak ve gerekli idari tedbirler GRUP OFİS’in iç politikaları ve eğitimleri yoluyla hayata geçirilecektir.
  • GRUP OFİS ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulacaktır.
  • Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılacaktır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılacaktır.

3.3.2 Kişisel  Verilere  Hukuka  Aykırı  Erişimi  Engellemek   için Teknik ve  İdari  Tedbirlerin Alınması

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler GRUP OFİS tarafından alınacaktır:

  • Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınacaktır, alınan önlemler periyodik olarak güncellenecektir.
  • GRUP OFİS tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanarak devreye alınacaktır.
  • Alınan teknik önlemler periyodik olarak ilgilisine raporlanacak, güvenlik riski olan hususlara teknolojik çözüm üretilecektir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulacaktır.
  • GRUP OFİS’in çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilecek ve

teknik konularda bilgili personel istihdam edilecektir.

  • GRUP OFİS çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınacaktır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.
  • GRUP OFİS tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenecektir.

3.3.3 Veri Sorumluları Siciline Kaydolma Yükümlülüğü

GRUP OFİS, süresi içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olacaktır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):

  • Veri sorumlusu olarak GRUP OFİS’in ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.