KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası, Osmaniye Ticaret ve Sanayi Odası tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi, korunması, gizliliğinin sağlanması ve uygulama süreçlerinde dikkate alınacak temel ilkeleri ortaya koymak amacıyla hazırlanmıştır.

Osmaniye Ticaret ve Sanayi Odası, bundan sonra kısaca “OTSO” veya “Oda” olarak anılacaktır.

Bu politika ile OTSO tarafından yürütülen kişisel veri işleme faaliyetlerinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta öngörülen yükümlülüklere uyum sağlanması hedeflenmektedir.

2. AMAÇ

Bu politikanın amacı, OTSO bünyesinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla yürütülecek çalışmaların kurumsal düzeyde yönetilmesini sağlamaktır.

OTSO, bu politika kapsamında belirlenen ilkeler doğrultusunda iç işleyişinde gerekli idari ve teknik düzenlemeleri yapacak; çalışanlarının, üyelerinin ve ilgili kişilerin kişisel verilerin korunması konusunda farkındalığını artırmaya yönelik gerekli süreçleri oluşturacaktır.

3. TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme

Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Maskeleme, toplulaştırma, veri bozma gibi tekniklerle kişisel verinin gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesi bu kapsamdadır.

Kişisel Veri Sahibi / İlgili Kişi

Kişisel verisi işlenen gerçek kişidir. OTSO üyeleri, çalışanları, ziyaretçileri, hizmet alan kişiler ve başvuru sahipleri bu kapsama girebilir.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad-soyad, T.C. kimlik numarası, telefon numarası, e-posta adresi, adres bilgisi, doğum tarihi, imza, IP adresi ve benzeri bilgiler kişisel veri kapsamında değerlendirilebilir.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, devralınması, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik şekilde tutulduğu veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.

4. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

OTSO, kişisel veri işleme faaliyetlerinde KVKK ve ilgili mevzuat kapsamında belirlenen genel ilkelere uygun hareket eder.

Bu politika, OTSO bünyesinde kişisel verilerin hangi esaslar çerçevesinde işleneceğine, korunacağına, saklanacağına, aktarılacağına ve gerektiğinde imha edileceğine ilişkin temel bir rehber niteliğindedir.

OTSO, bu politika doğrultusunda kişisel veri işleme faaliyetlerini analiz eder, gerekli uyum çalışmalarını yürütür, teknik ve idari tedbirleri alır ve iç denetim mekanizmaları ile politikanın uygulanabilirliğini sürekli olarak takip eder.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket edilir:

4.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme

OTSO, kişisel verilerin işlenmesi faaliyetlerinde hukuka ve dürüstlük kurallarına uygun hareket eder.

Bu kapsamda kişisel veriler, yalnızca gerekli olduğu ölçüde ve işleme amacıyla bağlantılı olarak işlenir. Gereksiz, ölçüsüz veya amacını aşan veri işleme faaliyetlerinden kaçınılır.

4.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

OTSO, işlediği kişisel verilerin doğru ve güncel olmasına önem verir.

Bu doğrultuda, ilgili kişilerin kişisel verilerini güncelleyebilmeleri veya düzeltilmesini talep edebilmeleri için gerekli idari süreçler oluşturulur.

4.3. Belirli, Açık ve Meşru Amaçlarla İşleme

OTSO, kişisel verileri belirli, açık ve meşru amaçlar doğrultusunda işler.

Kişisel verilerin hangi amaçlarla işleneceği, veri işleme faaliyeti başlamadan önce ilgili kişilerin bilgisine sunulur. Kişisel veriler, bildirilen amaçlar dışında kullanılmaz.

4.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

OTSO, kişisel verileri yalnızca işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde işler.

Amacın gerçekleştirilmesi için gerekli olmayan kişisel veriler talep edilmez, işlenmez veya saklanmaz.

4.5. İlgili Mevzuatta Öngörülen veya İşleme Amacı İçin Gerekli Süre Kadar Muhafaza Etme

OTSO, kişisel verileri yalnızca ilgili mevzuatta öngörülen süreler boyunca veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder.

Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması halinde kişisel veriler, ilgili mevzuata uygun olarak silinir, yok edilir veya anonim hale getirilir.

5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, kural olarak KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayanılarak işlenir.

OTSO, kişisel veri işleme faaliyetlerinin hukuka uygun bir işleme şartına dayanıp dayanmadığını değerlendirir. Bu şartlardan herhangi birine dayanmayan veri işleme faaliyetleri yürütülmez.

Kişisel veriler aşağıdaki hallerde işlenebilir:

  • İlgili kişinin açık rızasının bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla OTSO’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

OTSO, özel nitelikli kişisel verilerin işlenmesinde KVKK’da öngörülen özel şartlara ve Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave tedbirlere uygun hareket eder.

Özel nitelikli kişisel veriler, yalnızca hukuka uygun işleme şartlarının mevcut olması halinde ve gerekli güvenlik önlemleri alınarak işlenir.

Bu kapsamda özel nitelikli kişisel verilere erişim sınırlandırılır, yetkisiz erişimlerin önlenmesi için gerekli teknik ve idari tedbirler uygulanır.

7. KİŞİSEL VERİLERİN AKTARILMASI

OTSO, kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması süreçlerinde KVKK’nın ilgili hükümlerine uygun hareket eder.

Kişisel veriler, yalnızca işleme amacıyla bağlantılı, sınırlı ve ölçülü şekilde aktarılır. Veri aktarımı yapılmadan önce aktarımın hukuki sebebi değerlendirilir ve gerekli güvenlik önlemleri alınır.

Kişisel veriler; mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi, Oda faaliyetlerinin yürütülmesi, hizmet süreçlerinin devam ettirilmesi, resmi kurum ve kuruluşlardan gelen taleplerin karşılanması veya ilgili kişinin açık rızasının bulunması gibi hukuka uygun sebeplerle aktarılabilir.

8. KİŞİSEL VERİLERİN GÜVENLİĞİ

OTSO, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri alır.

Bu kapsamda;

  • Yetkisiz erişimlerin önlenmesi,
  • Veri güvenliğinin sağlanması,
  • Çalışan farkındalığının artırılması,
  • Erişim yetkilerinin sınırlandırılması,
  • Fiziksel ve dijital arşiv güvenliğinin sağlanması,
  • Bilgi sistemlerinin korunması,
  • Veri işleme süreçlerinin denetlenmesi

gibi tedbirler uygulanır.

9. FARKINDALIK VE DENETİM

OTSO, kişisel verilerin korunması konusunda çalışanlarının farkındalığını artırmak amacıyla gerekli bilgilendirme ve eğitim çalışmalarını yürütür.

Yeni başlayan çalışanlar için gerekli uyum süreçleri işletilir. OTSO’nun üyeleri, çalışanları ve diğer ilgili kişilerle yürüttüğü süreçlerde kişisel verilerin korunmasına yönelik gerekli düzenlemeler yapılır.

Politikanın uygulanabilirliği, iç denetim ve kontrol süreçleriyle düzenli olarak takip edilir.

10. SON HÜKÜMLER

İşbu politika, OTSO’nun kişisel verilerin korunması ve işlenmesi konusundaki temel yaklaşımını ortaya koyar.

OTSO, mevzuatta meydana gelebilecek değişiklikler, kurumsal ihtiyaçlar veya uygulama süreçlerinde ortaya çıkabilecek gereklilikler doğrultusunda bu politikada güncelleme yapma hakkını saklı tutar.

Bu politika, OTSO tarafından yayımlandığı tarih itibarıyla yürürlüğe girer.