KVK Komitesi İç Yönergesi

Paket Lojistik ve Teknoloji A.Ş. Kişisel Verileri Koruma Komitesi İç Yönergesi,

Kişisel Verileri Koruma Komitesi İç Yönergesi (İç Yönerge), 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK), Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi, veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (Yönetmelik), Paket Lojistik Ve Teknoloji A.Ş. (Şirket) Kişisel Veri Envanterine, Kişisel Veri Saklama ve İmha Politikasına ve Şirket’in bünyesinde bulunan KVKK ile ilgili diğer politikalara (Bundan böyle “Politikalar” olarak anılacaktır.) dayanılarak hazırlanmıştır.

BİRİNCİ BÖLÜM

AMAÇ, KAPSAM VE DAYANAK

Amaç:

  1. Madde – KVK Komitesi, KVKK ve ikinci düzenlemelerine ve Kişisel Verileri Koruma Kurulu (Kurul) Kararlarına uyum sağlamak, Yönetmelik’e ilişkin yükümlülüklerin yerine getirilebilmesi için Şirket bünyesinde uygulanacak kuralları belirlemek ve denetimini sağlamak amacı ile kurulmuştur.

İşbu Yönerge, KVK Komitesinin görev ve sorumluluklarını, kişisel verilerin korunması düzenlemeleri ve Politikalar çerçevesinde uyması gereken esasları ve Politikalara bağlı olarak uygulayacağı prosedürleri yerine getirmesine ilişkin hususların belirlenmesi amacıyla hazırlanmıştır.

Kapsam:

  1. Madde – İşbu İç Yönerge KVK Komitesinin ve üyelerinin KVKK ve ikincil düzenlemeler uyarınca sorumluluklarını, çalışma ve faaliyetlerini kapsar.

Dayanak:

  1. Madde – İşbu İç Yönerge, KVKK ile ilgili ikincil düzenlemelerine dayanılarak hazırlanmıştır.

İKİNCİ BÖLÜM

TANIMLAR

  1. Madde –Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, ceza mahkumiyeti ve güvenlik tedbirleri, cinsel hayat, biyometrik veriler ile genetik veriler.Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.KVKK: 6698 sayılı Kişisel Verilerin Korunması KanunuKVK Mevzuatı: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verileri Koruma Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü yasal mevzuat.Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sisteminin oluşturulmasından sorumlu ve bahse konu sistemi yöneten gerçek/tüzel kişidir.İrtibat Kişisi: KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerinin yerine getirmek üzere atanmış gerçek kişidir.Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek/tüzel kişidir.İlgili Kişi: Kişisel verileri Şirket tarafından elde edilen veya Şirket adına. İşleme faaliyetine konu edilen gerçek kişi.Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.İlgili Kişi Başvuru Formu: İlgili kişilerin haklarını kullanmak için yapacakları başvuruyu içeren, KVKK’ya ve Kişisel Verileri Koruma Kurumu’nun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak hazırlanmış, ilgili kişi tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.Ziyaretçi: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.Kurum: Kişisel Verileri Koruma KurumuKurul: Kişisel Verileri Koruma Kuruluİç Yönerge: Kişisel Verileri Koruma Komitesi İç Yönergesi

ÜÇÜNCÜ BÖLÜM

KOMİTENİN OLUŞUMU

Kişisel Verileri Koruma Komitesi:

  1. Madde – KVK Komitesi, KVK Mevzuatı kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Şirket Yönetim Kurulu tarafından atanır.KVK Komitesi, Şirketin KVK Mevzuatı kapsamında denetim ve uyum faaliyetlerini gerçekleştirmekle görevlidir.  Komite üyelerinin görev dağılımları,  komiteden üye çıkarılması, eklenmesi veya görev değişikliği veri sorumlusunun verdiği yetki ile komite başkanı tarafından gerçekleştirilir.
  2. Madde – Toplantı PeriyotlarıKVK Komitesi, Komite Yöneticisinin belirlediği uygun bir tarihte toplanır. Acil durumlar söz konusu ise derhal toplanabilir.

İrtibat Kişisi:

  1. Madde – İrtibat Kişisi, KVK Komitesi içerisinden seçilir ve Şirketin Kurum ile ilişkilerini ve KVK Mevzuatının gerektirdiği işleri yürütür.

Üyeler:

  1. Madde – KVK Komitesi, Şirkette uygulanacak olan KVKK Uyum çalışmalarının koordinasyonunda yer alacak bir KVK uyum yönetici ve her bölüm birimini temsilen tüm bölümlerden seçilen en az bir üyeden oluşmaktadır.

DÖRDÜNCÜ BÖLÜM

KVK KOMİTESİNİN GÖREV, YETKİ VE SORUMLULUKLARI

  1. Madde – Kişisel verilerin KVKK’ya uygun şekilde işlenmesi, korunması, saklanması ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden KVK Komitesi sorumludur.
    1. KVK Komitesi, KVKK’da herhangi bir değişiklik meydana gelirse, yeni düzenlemelere uyum sağlanması için şirket içi düzenlemeleri sağlar.
    2. KVK Komitesi aşağıdaki hususların yerine getirilmesinde görevlidir;
      • Belirli periyotlarla şirket içi KVKK eğitimleri düzenler.
      • Uyum sürecinde Şirket içi duyuruları sağlar.
      • Kişisel verilerin envanterini hazırlar ve kişisel veri envanterini günceller.
      • Kişisel verilerin. Envanterinin Veri Sorumluları Siciline bildirir ve güncel tutulmasını sağlar.
      • Veri Sorumluları Sicili ile yazışmaları yapar ve yazışmaları sağlar.
    3. Kişisel verileri işleyen, üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVKK kapsamında uyumluluğunu denetler ve teyit eder. Üçüncü tarafları denetler veya denetletir.
    4. KVK Komitesi, üçüncü kişi veya kurumlar tarafından Şirket’in KVKK ve/veya Avrupa Mevzuatı (GDPR) yeterliliğine ilişkin soruların yanıtlanması ile görevlidir.
  2. Madde – KVK Komitesi, Şirket içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. KVK Komitesi, kişisel verilerin korunması kapsamında belirli periyotlarda denetimlerin yapılmasını veya yaptırılmasını sağlamakla yükümlüdür.
    1.  KVK Komitesi, kişisel veriler ile ilgili süreçleri hakkında üst yönetime periyodik olarak raporlama yapmak ve mevcut ile olası risklerin görüşülmesini sağlamakla yükümlüdür. Kişisel verilerin korunması aksiyon planında öngörülen hususlara ilişkin ilgili birimleri periyodik olarak e-posta aracılığıyla duyuru ile bilgilendirir.
    2. KVK Komitesi, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, muhafazasını sağlamak, gerekli teknik ve idari tedbirleri almakla yükümlüdür.
  3. Madde – KVK Komitesi, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesi ve gerektiğinde açık rızanın alınması ve muhafazasını sağlamakla yükümlüdür.
    KVK Komitesi kişisel verilerin elde edilmesi sırasında,
    • Veri Sorumlusunun kimliğinin duyurulması için çalışanın bilgilendirilmesini sağlamak,
    • Kişisel verilerin işlenme amaçlarının, belirli, meşru ve açık amaçlar için olmasını sağlamak ve denetlemek ve taraflara duyurulması için Şirket çalışanını bilgilendirmek
    • İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklamak
    • Veri toplama yöntemi ve hukuki sebebini açıklamak için Şirket çalışanını bilgilendirmekle yükümlüdür.
    1. KVK Komitesi, kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınma yöntemlerini belirlemek, uygulatmak ve denetlemekle yükümlüdür.
    2. KVK Komitesi, özel nitelikli kişisel verilerin kayıt altına alınması durumunda ilgili hukuki işleme yöntemlerini belirlemek, uygulatmak ve uygulanması için gerekli faaliyetleri almakla yükümlüdür.
  4. Madde – KVK Komitesi, KVKK 11. Maddesi uyarınca; bu maddede sayılan haklarını kullanmak isteyen kişilerin ilgili kişi başvurularını değerlendirmekle ve başvurulara cevap verilebilmesi kapsamında Şirket içerisinde koordinasyonu sağlamakla yükümlüdür.
    KVK Komitesi, ilgili kişinin, İlgili Kişi Başvuru Formu veya diğer yöntemlerle veri sorumlusuna başvurması halinde aşağıdaki hususların yerine getirilmesi için en geç 30 takvim günü içinde ilgili kişiye cevap verilmesinden sorumludur:
    • Kişisel verisinin işlenip işlenmediğini öğrenme
    • Kişisel veri işlenmişse buna ilişkin bilgi talep etme
    • İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
    • Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
    • Kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteme ve buna ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
    • Kişinin, kişisel verisini silme veya yok edilmesini isteme ve buna ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme ve işlem tamamlandığında bilgi verilmesi
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme taleplerini alma ve işlem tamamlandığında bilgi verilmesi
    • Kişisel verilerin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen taleplerin takip edilmesi ve sonuçlandırılma
    KVK Komitesi, Kurul’un isteyeceği belgeleri 15 takvim günü içerisinde gönderilmesini sağlamakla yükümlüdür. Ayrıca gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır.KVK Komitesi, şikâyet olması halinde şikâyeti veya Kurul’un yaptığı tebligatları takip etmekle kendisinden istenen talepleri 30 takvim günü içerisinde yerine getirmeli veya gerekçesini göstererek şikâyetin veya tebligat talebinin neden yerine getirilmediğini bildirmek zorundadır.
  5. Madde – KVK Komitesi, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinde KVKK’ya uyum yönünde bir eksikliğin veya olası bir riskin tespit edilmesi halinde, giderilmesi için gerekli önlemleri ve idari ve teknik tedbirleri almakla yükümlüdür. Bu kapsamda KVK Komitesi, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapmak, bu süreci veri envanterine dahil etmek ve gerektiğinde ilgili politikaları güncellemekle yükümlüdür.
  6. Madde – KVK Komitesi, kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirlemekle yükümlüdür.
    1. KVK Komitesi, KVKK uyarınca, altı ayı geçmeyecek periyotlarda işlenen kişisel verileri denetlemek ve İmha Kayıt Formu ile gerekli imha sürecinin yerine getirilmesini sağlamak ile görevlidir.
    2. KVK Komitesi, İmha Prosedürü ile ilgili bütün işlemlerin, İmha Kayıt Formu ile kayıt altına alınmasını sağlamak ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmasını sağlamak ile görevlidir.
  7. Madde – KVK Komitesi, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Şirket çalışanlarının periyodik olarak farkındalık eğitimi ile bilgilendirilmesini sağlar.

BEŞİNCİ BÖLÜM

KVK Komitesi Kararlarının Denetimi

  1. Madde – KVK Komitesinin cezai sorumluluğu bulunmamakla beraber KVK Komitesince alınmış olan kararları denetleme yetkisi Şirketin Yönetim Kuruluna aittir.

Yürürlük

  1. Madde – Şirketin Yönetim Kurulunun, Kişisel Verileri Koruma Komitesinin kurulması kararı alması ile yürürlüğe girer.