AKÇALI BOYA VE KİMYA SANAYİ TİCARET ANONİM ŞİRKETİ

VERİ PAYLAŞIM/AKTARIM PROSEDÜRÜ

  1. Giriş

Akçalı Boya ve Kimya Sanayi Ticaret Anonim Şirketi (“ŞİRKET”)’in iş süreçleri, personeller arasında, personel ve tedarikçi/ziyaretçi/müşteri arasında veya personel ile (harici) üçüncü taraflar arasında bilgi paylaşımını gerektirir. Bu politika, ŞİRKET tarafından muhafaza edilen bilgilerin kaybedilmesi, yetkisiz bir şekilde ifşa edilmesi, değiştirilmesi veya kaldırılması riskini en aza indirmeyi amaçlamaktadır.

 

  1. Kapsam

Bu politika, bilgi paylaşımını, bu verileri paylaşmak için kullanılan yöntemleri ve fiziksel veya elektronik formatta bulunan her türlü bilgiyi kapsar.

Bu politika, Veri İşleyenleri veya müşterek Veri Sorumlularının bilgi paylaşımını kapsamaktadır, bilgiler, iş birliği içinde olduğumuz şirketler, sistem sağlayıcıları, hizmet sağlayıcıları, diğer iştiraklerimiz ve benzer kuruluşlar dahil ancak bunlarla sınırlı olmamak üzere pek çok üçüncü tarafla paylaşılmakta ve işlenmektedir.

 

  1. Tanımlar

Kavramlar, Kişisel Verilerin Korunması Kanunu’nda (KVKK) tanımlandığı şekilde kullanılır.

3.1 Veri Sorumlusu

Bir Veri Sorumlusu, kişisel verilerin işlenme amaçlarını, araçlarını ve Veri İşleyen için yasal olarak bağlayıcı bir sözleşmenin yürürlükte olmasını sağlamak için gereklilikleri belirler. ‘Veri Sorumlusu’, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan gerçek veya tüzel kişi, kamu makamı veya diğer organizasyonlar anlamına gelir.

3.2 Veri İşleyen

Veri İşleyen, bir Veri Sorumlusu adına kişisel verilerin işlenmesinden ve kişisel veriler ile ilgili işlem aktivitelerinin kayıtlarının tutulmasından sorumludur. Kendilerinden kaynaklı bir veri ihlali yaşanması halinde yasal sorumlulukları olacaktır.

‘Veri İşleyen’, Veri Sorumlusu adına kişisel verileri işleyen bir gerçek veya tüzel kişi, kamu idaresi, başka bir kurum anlamına gelir.

 

  1. Sorumluluklar

ŞİRKET “Veri Sorumlusu” dur. ŞİRKET tüzel kişiliği mevcut veri koruma mevzuatına uyum için nihai sorumluluğa sahiptir.

4.1 Bilgi Kullanıcıları

ŞİRKET’in tüm çalışanları, tüm ilgili veri koruma yasa, mevzuat, tebliğ ve bu politikaya uymaktan sorumludur. Bilgilerin ilgili bireyler veya üçüncü kişilerle paylaşılması kararının alındığı durumlarda, alıcının bilginin gizliliğini ve mahremiyetini anlaması ve herhangi bir bilgi paylaşım sözleşmesinin hükümlerine uyması, verinin aktarıldığı tarafın sorumluluğundadır.

4.2 Yöneticiler ve Denetleyici Rolleri

Yöneticiler ve denetleyici rolleri olan tüm çalışanlar, bilginin yalnızca ilgili kişilerle paylaşılmasını ve veri paylaşım anlaşmasının yürürlükte olduğunu, bu koşulların yerine getirildiğini sağlamaktan sorumludur.

4.3 Sistem Sahipleri

Sistem sahipleri / yöneticileri, bilgi sahibi olan sistemlerin, yalnızca ilgili kişiler tarafından onaylanan bilgilerin veya yalnızca sorumlu kişilerce, 3.kişi veya kurumlarla paylaşılmasından sorumludur.

4.4 Yasal Hizmetler / Hukuk Birimi

Yasal Hizmetler / Hukuk Birimi, sözleşmeler ve veri paylaşımı konularında hukuki danışmanlık sağlamaktan sorumludur ve kişisel verilerin paylaşılmasını gerektiren durumlarda sözleşmeler üzerinde Veri Koruma Görevlisi / KVK Ekip Lideri ile yakın bir şekilde çalışacaktır.

 

  1. Politika

5.1 ŞİRKET bir Veri Sorumlusudur: Veri işlemenin amaçlarını, yöntemini ve ilgili mevzuata uyulmasını sağlamaktan ve ilgili kararları almaktan sorumludur. Veri Sorumlusu olarak,

5.2 ŞİRKET, aynı zamanda bir Veri İşleyen olarak da hareket edebilir, böyle durumlarda her bir tarafın sorumluluklarını ve yükümlülüklerini tanımlamak Veri Sorumlusunun görev sorumluluğundadır. Çalışan personel, bu anlaşmaları imzalamadan önce ŞİRKET’in tüm gereklilikleri yerine getireceğinden ve uygun sorumluluk düzeyini kabul edebileceğinden emin olmalıdır.

5.3 ŞİRKET kendi adına kişisel verileri işlemek için bir Veri İşleyen kullandığı zaman, tüm personellerin her bir tarafın sorumluluklarını ve yükümlülüklerini ortaya koyan yazılı bir sözleşme imzalandığından emin olmalıdır.

5.3.1 Sözleşmeler, veri işleme güvenliğini sağlamak için, Veri İşleyenlerin uygun önlemleri almasını ve ilgili kişilerin KVKK kapsamı altındaki hakları ile ilgili maddeler içermelidir.

5.3.2 Herhangi bir kişisel veri paylaşılacağı durumlarda sözleşmeler KVKK gerekliliklerini karşılamalıdır.

5.3.3 Veri Sorumluları, Veri konusu kişi grubunun (İlgili Kişilerin) haklarının ve verilerinin KVKK kapsamında karşılandığı ve işlendiği konusunda Veri İşleyene gerekli garantiyi sağlamalıdır.

5.3.4 Veri İşleyenler, bir Veri Sorumlusunun sadece yazılı talimatları ile hareket etmelidir. KVKK kapsamında bazı doğrudan sorumluluklara sahip olacaklardır ve uymadıkları takdirde cezalara veya diğer yaptırımlara tabi olabilirler.

5.3.5 Veri İşleyenlerle açık ve kapsamlı sözleşmeler yapmak, herkesin veri koruma yükümlülüklerini anladığından emin olunmasına yardımcı olur.

5.4 Tüm personel, verilerin yurtdışına aktarımı konularında bu politikanın 6. Bölümünde tanımlanan uygun yöntemlere göre hareket ettiklerinden emin olmalıdır.

 

6.Uluslararası Aktarımlar

6.1 KVKK, kişisel verilerin Kişisel Verileri Koruma Kurulu’nun güvenli ülke kategorisi dışındaki üçüncü şahıslara veya uluslararası kuruluşlara kişisel verilerin aktarılması ile ilgili kısıtlamalar getirmektedir.

6.2 Bu kısıtlamalar, KVKK tarafından kişilerin korunma düzeyinin zarar görmemesini sağlamak için yürürlüktedir.

6.3 Kişisel veriler, Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.

6.4 Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;

  • İlgili kişinin açık rızasının bulunması,
  • Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler) durumlarında gerçekleşebilir.

6.5 Kişisel verilerin aktarıldığı kurumun yeterli koruma sağladığı durumlarda kişisel verilerinizi transfer edebilirsiniz. Bireylerin KVKK’da tanımlanan haklarını kullanabilme konularında zorluk yaşamamaları sağlanmalıdır.

 

6.6 Aşağıdakiler için yeterli güvenceler sağlanabilir:

  • Kamu makamları veya yetkili kurumlar arasında yasal olarak bağlayıcı bir anlaşma;
  • Kişisel Verileri Koruma Kurumu tarafından kabul edilen aktarım hükümleri ve standart veri koruma maddeleri;
  • KVK Kurumu tarafından onaylanmış rehber/tebliğ/mevzuat/prosedür:
  • Kişisel verilerin korunması ya da veri güvenliği konularında sertifikalandırma;
  • KVKK tarafından onaylanmış sözleşme hükümleri;

 

 

Kişisel Verilerin İşlenmesi Genel ilkeler

6698 Sayılı Kişisel Verilerin Korunması Kanunu Md. 4

(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

Politika Revizyon Geçmişi

a. Politika Yürürlükte <03.07.2020>
b. Belge Revize Edildi <03.07.2020>