MİXOFİS 5K İTHALAT İHRACAT TİC.LTD.ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASI
2
İÇİNDEKİLER
1. AMAÇ VE
KAPSAM...................................................................................................................................................................3
2.
HEDEF......................................................................................................................................................................................3
3.
TANIMLAR................................................................................................................................................................................3
4. ROLLER VE
SORUMLULUKLAR..................................................................................................................................................5
5. POLİTİKA ESASLARI...................................................................................................................................................................5
5.1. MİXOFİS TARAFINDAN BENİMSENEN TEMEL
İLKELER........................................................................................................5
5.1.1. Kişisel ver ileri hukuka ve dürüstlük kurallarına
uygun olarak
işleme................................................................................6
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini
temin
etme.....................................................................................6
5.1.3. Kişisel ver ileri amaçla bağlantılı, sınırlı ve
ölçülü bir biçimde
işleme................................................................................6
5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza etme................6
5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME
ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ.........................6
5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN
OLARAK GERÇEKLEŞTİRİLMESİ........................................7
5.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN
SAĞLANMASI..................................................................................................................7
5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak
ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için
Şirketin Alacağı İdari
Tedbirler.....................................................................................................................................................7
5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak
ve Kişisel Verilere Hukuka Aykırı Erişilm esini Önlemek için
Şirketin Alacağı Teknik Tedbirler..................................................................................................................................................7
5.4.3. MİXOFİS’ın Kişisel Verilerin Korunmasına İlişkin
Denetim Faaliyetleri Yürütmesi..............................................................7
5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası
Durumunda Alınması Gereken
Tedbirler.................................................8
5.5. KiŞiSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
VE YAPTIRIMLAR..................................................................8
5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim
Yükümlülüğü....................................................................................................8
5.5.2. Veri Sahibini Aydınlatma
Yükümlülüğü..............................................................................................................................8
5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yüküm
lülüğü...........................................................................................................9
5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine
Getirme
Yükümlülüğü.............................................................................9
5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü........................................................................................................9
5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde
Etme
Yükümlülüğü.....................................................................10
5.5.7. Kişisel Verilerin Muhafazasına İlişkin Düzenlemelere
Uygun Davranma Yükümlülüğü.................................................10
6. POLİTİKA'YA VE KVK KANUNU'NA UYUM İÇİN MİXOFİS ŞİRKETLERİ
TARAFINDAN YERİNE GETİRİLECEK TEMEL
HUSUSLAR..................................................................................................................................................................................10
6.1. KVK KANUNU İ LE ÖNGÖRÜLEN YÜRÜRLÜK SÜRELERİNE RİAYET
ETMEK...........................................................................11
6.2. MİXOFİS KVK POLİTİKASI'NDA AÇIKLANAN YÜKÜMLÜLÜKLERİ
YERİNE GETİRMEK...........................................................11
6.3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLE
TEMEL POLİTİKALARI OLUŞTURMAK..................................11
6.4. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN
ŞİRKET TARAFINDAN POLİTİKA, TÜZÜK/İÇ TÜZÜK, YÖNETMELİK,
PROSEDÜR VE KILAVUZLAR
HAZIRLANMASI..............................................................................................................................11
6.5. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU
BİRİMİN TESPİTİ..............................................................12
7. YÜRÜTME VE GÖZDEN
GEÇİRME...........................................................................................................................................12
3
1. AMAÇ VE KAPSAM
Hukuk düzenine uyum konusunda azami özeni göstermeyi
geçmişinden bugüne benimsemiş olan
MİXOFİS, kişisel verilerin işlenmesi ve korunmasına ilişkin
mevzuata uyum açısından da gerekli her türlü
faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.
MİXOFİS Kişisel Verilerin İşlenmesi ve Korunması Politikası
("MİXOFİS KVK Politikası") ile MİXOFİS
tarafından kişisel verilerin korunmasında ve işlenmesinde
benimsenen ilkeler düzenlenmektedir.
MİXOFİS’ın, kişisel verilerin korunmasına verdiği önem
doğrultusunda, MİXOFİS KVK Politikası ile
MİXOFİS tarafından yürütülen faaliyetlerin 6698 sayılı
Kişisel Verilerin Korunması Kanunu'nda ("KVK
Kanunu") yer alan düzenlemelere uyumuna ilişkin temel
prensipler belirlenmekte ve bu kapsamda
MİXOFİS’ın yerine getirmesi gerekenler ortaya konulmaktadır.
MİXOFİS tarafından MİXOFİS KVK
Politikası düzenlemelerinin uygulanması ile MİXOFİS’ın
benimsediği veri güvenliği ilkeleri sürdürülebilir
kılınmış olacaktır.
2. HEDEF
MİXOFİS, şirket bünyesinde kişisel verilerin korunması
konusunda farkındalığın oluşması için gerekli
sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin
korunması ve işlenmesi mevzuatına uyumunu
temin etmek için gereken düzeni kurmalıdır.
MİXOFİS KVK Politikası, şirket tarafından KVK Kanunu ve
ilgili mevzuat ile ortaya konulan
düzenlemelerin uygulanması bakımından yol gösterme amacı
taşımaktadır. MİXOFİS KVK Politikası ile,
şirket tarafından önem verilen, KVK Kanunu'na uyum sürecinin
benimsenmesi ve özenle
yürütülmesinin temini hedeflenmektedir.
3. TANIMLAR
MİXOFİS KVK Politikası'nda kullanılan ve önem teşkil eden
tanımlar aşağıda yer almaktadır:
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür
iradeyle açıklanan rıza.
Anonim Hale
Getirme
Kişisel verinin, başka ver ilerle eşleştirilerek dahi hiçbir
surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesi
Çalışan KVK
Politikası
MİXOFİS çalışanlarının kişisel verilerinin korunmasına ve
işlenmesine ilişkin ilkelerin düzenlendiği "MİXOFİS
Ofis
Malzemeleri Tic. A.Ş. Çalışanları Kişisel Verilerin
Korunması ve
İşlenmesi Politikası".
Kişisel Sağlık
Verilerinin
İşlenmesine ilişkin
Yönetmelik
20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete'de
yayımlanan, Kişisel Sağlık Verilerin İşlenmesi ve Mahrem
iyetinin Sağlanması Hakkında Yönetmelik.
Kişisel Sağlık Verisi
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü
sağlık bilgisi.
4
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü
bilgi.
Kişisel Veri Sahibi
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve
çalışanlar.
Kişisel Verileri
Koruma Birimi
MİXOFİS tarafından, kişisel verilerin korunması mevzuatına
uygunluğun sağlanması, muhafazası ve sürdürülmesi
kapsamında Şirket bünyesinde gerekli koordinasyonu
sağlayacak olan birim.
Kişisel Verilerin
İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik
olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlem.
KVK Kanunu 7 Nisan 2016 tarihli ve 29677 sayılı Resmi
Gazete'de
yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel
Verilerin Korunması Kanunu.
KVK Kurulu
Kişisel Verileri Koruma Kurulu.
KVK Kurumu Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel
Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din,
mezhep
veya diğer inançlar, kılık kıyafet, dernek vakıf ya da
sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik
veriler.
MİXOFİS/ Şirket 5K İTHALAT İHRACAT TİC.LTD.ŞTİ.
MİXOFİS İş
Ortakları MİXOFİS’ın ticari faaliyetlerini yürütürken
çeşitli amaçlarla iş
ortaklığı kurduğu taraflar.
MİXOFİS KVK
Politikası 5K İTHALAT İHRACAT TİC.LTD.ŞTİ. Kişisel Verilerin
Korunması ve
İşlenmesi Politikası.
MİXOFİS
Tedarikçileri Sözleşme temelli olarak MİXOFİS’a hizmet sunan
taraflar.
MİXOFİS Veri
Sahibi Başvuru
Formu
Veri sahiplerinin, KVK Kanunu'nun 11. maddesinde yer alan
haklarına ilişkin başvurularını kullanırken yararlanacakları
başvuru formu.
5
MİXOFİS Çalışanı
Veri Sahibi
Başvuru Formu
MİXOFİS çalışanı olan veri sahiplerinin, KVK Kanunu'nun 11.
maddesinde yer alan haklarına ilişkin başvurularını
kullanırken
yararlanacakları başvuru formu.
MİXOFİS Çalışan
KVK Politikası MİXOFİS bünyesine dahil şirketlerin
çalışanlarının kişisel
verilerinin korunmasında ve işlenmesinde benimsenen
ilkelerin
düzenlendiği " MİXOFİS Çalışanları Kişisel Verilerin
Korunması
ve İşlenmesi Politikası".
MİXOFİS KVK
Politikası MİXOFİS Kişisel Verilerin Korunması ve İşlenmesi
Politikası.
Türkiye
Cumhuriyeti
Anayasası
9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de
yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye
Cumhuriyeti Anayasası.
Türk Ceza
Kanunu 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de
yayımlanan; 26 Eylül 2004 t arihli ve 5237 sayılı Türk Ceza
Kanunu.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak
onun adına
kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını
belirleyen,
verilerin sistematik bir şekilde tutulduğu yeri yöneten
kişi.
4. ROLLER VE SORUMLULUKLAR
MİXOFİS KVK Politikası' nın tüm MİXOFİS’ın işleyiş, faaliyet
ve süreçlerinde uygulanmasından,
CEO'su sorumlu olmakla birlikte; MİXOFİS KVK Politikası'na
uygun hazırlanan yönetmelik, prosedür,
kılavuz, standart ve eğitim faaliyetlerinin MİXOFİS
bünyesinde uygulanmasında, MİXOFİS Mali ve İdari
İşler Direktörlüğü Hukuk İşleri Birimi tavsiye kaynağı ve
rehber olacaktır. MİXOFİS genelindeki tüm
çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve
ilgili üçüncü kişiler, MİXOFİS KVK Politikası'na
uyum ile birlikte, hukuki yönden risklerin ve yakın
tehlikenin önlenmesinde, MİXOFİS Mali ve İdari İşler
Direktörlüğü ve Pazarlama Direktörlüğü ekipleriyle iş
birliği yapmakla yükümlüdürler. MİXOFİS'ın tüm
organ ve departmanları MİXOFİS KVK Politikası'na uyulmasını
gözetmekle sorumludur.
5. POLİTİKA ESASLARI
5.1.MİXOFİS TARAFINDAN BENİMSENEN TEMEL İLKELER
MİXOFİS tarafından, kişisel verilerin korunması mevzuatına
uyum sağlanması ve uyumun sürdürülmesi
için aşağıda sıralanan temel ilkeler benimsenmelidir:
6
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına
uygun olarak işleme
MİXOFİS, Türkiye Cumhuriyeti Anayasası başta olmak üzere,
kişisel verilerin korunması mevzuatına
uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve
dürüstlük kuralına uygun olarak
yürütmelidirler.
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini
temin etme
Avanas, işledikleri kişisel verilerin doğruluğunu ve
güncelliğini sağlamalı, bu çerçevede alınması
gereken idari ve teknik tedbirleri almalı, gerekli süreçleri
yürütmelidirler. Şirket bu kapsamda, kişisel
veri sahiplerinin kişisel verilerinin hatalı olması
durumunda bunları düzeltme ve doğruluğunu teyit
etmeye yönelik mekanizmalar kurmalıdır.
5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü
bir biçimde işleme
MİXOFİS, kişisel verileri, veri işleme şartları ile
bağlantılı ve bu hizmetlerin gerçekleştirilmesi için
gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri
işleme amacının, kişisel veri işleme faaliyetine
başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir
deyişle, kişisel verilerin yalnızca ileride
kullanılabileceği varsayımı ile işlenmemesi (kişisel
verilerin muhafaza edilmesi de veri işleme
faaliyetidir) gerekmektedir. Bu çerçevede, MİXOFİS, veri
sahiplerinin temel haklarını ve kendi meşru
menfaatlerini göz önünde bulundurmalıdırlar.
5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre
kadar muhafaza etme
MİXOFİS, kişisel verileri, ilgili mevzuatta öngörülen veya
veri işleme amacının gerektirdiği süre ile sınırlı
olarak muhafaza etmelidirler . Bu doğrultuda Şirket, Türk
Ceza Kanunu'nun 138. maddesi ve KVK
Kanunu'nun 4. ve 7. maddelerinden kaynaklanan süre sınırına
riayet etmelidir. MİXOFİS bünyesine
dahil şirketler, mevzuatta öngörülen sürenin bitimi veya
kişisel verilerin işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel verileri
silmeli, yok etmeli veya anonim hale getirmelidirler.
İleride kullanılma ihtimaline dayanılarak kişisel veriler
saklanmamalıdır.
5.2.KiŞiSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME
ŞARTLARINA UYGUN OLARAK
GERÇEKLEŞTİRİLMESİ
MİXOFİS kişisel verilerin işlenmesi faaliyetlerini
yürütürken, temel ilkelere uymak kaydıyla, KVK
Kanunu'nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin
İşlenmesine İlişkin Yönetmelik'te belirlenen
veri işleme şartlarına uygun hareket etmelidirler.
Şirket bu doğrultuda, gerçekleştirilen kişisel veri işleme
faaliyetleri bakımından söz konusu veri işleme
şartlarının mevcut olup olmadığını tespit etmeli; şartların
bulunmaması durumunda kişisel veri işleme
faaliyetini gerçekleştirmemelidirler.
Şirket, kişisel verilerin hukuka uygun olarak işlenmesi için
iç sistemlerinde gerekli mekanizmaları
kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum
içi farkındalık yaratmalı, gerekli
denetim mekanizmalarını yürüt melidirler.
MİXOFİS bünyesine dahil şirketler, kişisel verilerin
işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası
başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili
diğer mevzuat ile MİXOFİS KVK Politikası'nda
ortaya konulan kurallara uymalıdırlar.
7
5.3.KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN
OLARAK
GERÇEKLEŞTİRİLMESİ
MİXOFİS tarafından gerçekleştirilecek kişisel veri aktarımlarında
(kişisel verilerin aktif olarak üçüncü
kişilerle paylaşılması veya kişisel verilerin üçüncü
kişilerin erişime açılması) KVK Kanunu'nun 8. ve 9.
maddelerinde düzenlenmiş olan kişisel veri aktarım
şartlarına uygun hareket edilmelidir.
5.4.KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
MİXOFİS, kişisel verilerin hukuka aykırı olarak
açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı
olarak erişimesini, veya başka şekillerde meydana
gelebilecek güvenlik eksikliklerini önlemek için,
imkanlar dahilinde, korunacak verinin niteliğine göre
gerekli her türlü tedbiri almalıdırlar.
Bu kapsamda şirket tarafından gerekli (i) idari ve (ii)
teknik tedbirler alınmalı, (iii) şirket bünyesinde
denetim sistemi kurulmalı ve (iv) kişisel verilerin kanuni
olmayan yollarla ifşası durumunda KVK
Kanunu'nda öngörülen tedbirler alınmalıdır .
5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak
ve Kişisel Verilere Hukuka Aykırı
Erişilmesini Önlemek için MİXOFİS’ın Alacağı İdari Tedbirler
• MİXOFİS, kişisel verilerin korunması hukukuna ilişkin
olarak çalışanlarını eğitilmeli ve
bilinçlendirmelidir.
• Kişisel veri lerin aktarıma konu olduğu durumlarda, şirket
kişisel verilerin aktarıldığı kişiler ile
akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı
tarafın veri güvenliğini sağlamaya yönelik
yükümlülükleri yerine getireceğine ilişkin kayıtlar
eklemelidir. Bu kapsamda, aktarılan tarafın
kişisel verilerin korunması amacıyla gerekli her türlü
tedbiri alacağı ve kendi kuruluşlarında bu
tedbirlerin uygulanmasını temin edeceği taahhüt altına
alınmalıdır.
• MİXOFİS tarafından gerçekleştirilen süreçler detaylı
olarak incelenmeli, süreç kapsamında
yürütülen kişisel veri işleme faaliyetleri her birim özelinde
tespit edilmelidir. Bu kapsamda,
yürütülen veri işleme faaliyetlerinin KVK Kanunu'nda
öngörülen kişisel veri işleme şartlarına
uygunluğunun sağlanması için atılması gereken adımlar
belirlenmelidir .
• MİXOFİS, şirket yapılarına göre KVK Kanunu' na uyumun
sağlanması için yerine getirilmesi
gereken uygulamaları tespit etmeli, bu uygulamaları iç
politikalar ile düzenlemelidir.
5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak
ve Kişisel Verilere Hukuka Aykırı
Erişilmesini Önlemek için MİXOFİS’ın Alacağı Teknik
Tedbirler
• Kişisel verilerin korunmasına ili şkin olarak,
teknolojinin imkan verdiği ölçüde teknik önlemler
alınmalı ve alınan önlemler gelişmelere paralel olarak
güncellenmeli ve iyileştirilmelidir .
• Teknik konularda, uzman personel istihdam edilmelidir.
• Alınan önlemlerin uygulanmasına yönelik düzenli
aralıklarla deneti m yapılmalıdır.
• Güvenliği temin edecek yazılım ve sistemler kurulmalıdır.
• MİXOFİS tarafından işlenmekte olan kişisel verilere erişim
yetkisi, belirlenen işleme amacı
doğrultusunda ilgili şirket çalışanı ile
sınırlandırılmalıdır.
5.4.3. MİXOFİS Kişisel Verilerin Korunmasına İlişkin Denetim
Faaliyetleri Yürütmesi
MİXOFİS tarafından kişisel verilerin korunması ve
güvenliğinin sağlanması kapsamında alınan teknik
tedbirlerin, idari tedbirlerin ve uygulamaların ilgili
mevzuata, polit ika, prosedür ve talimatlara uyumu,
işleyişi ve etkinliği MİXOFİS İç Denetim Birimleri
tarafından denetlenmelidir. MİXOFİS İç Denetim
8
Birimleri söz konusu denetim faaliyetini, kendi organizasyonu
marifetiyle gerçekleştirebileceği gibi dış
kaynaklı denetim firmalarına da yaptırabilir.
Gerçekleştirilen denetim faaliyetlerinin sonuçları, ilgili MİXOFİS
Denetim Birimi tarafından, şirket
yöneticilerine raporlanmalıdır. Denetim sonuçlarına ilişkin
planlanan aksiyonların düzenli olarak takibi
süreç sahiplerinin asli sorumluluğundadır. İlgili birim de
bu rapor kapsamındaki aksiyonların takibini,
doğrulama testlerini ve denetimlerini yapmalıdır.
Denetim sonuçları ile sınırlı olmaksızın, verilerin
korunmasına ilişkin alınan tedbirlerinin
geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler
MİXOFİS’ta ilgili icra birimlerince yürütülmelidir.
5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası
Durumunda Alınması Gereken Tedbirler
MİXOFİS, işlemekte oldukları kişisel verilerin hukuka aykırı
olarak yetkisiz kimseler tarafından elde
edilmesi durumunda, vakit kaybetmeksizin durumu KVK
Kurulu'na ve ilgili veri sahiplerine bildirmelidir.
Bu yükümlülüğün yerine getirilmesi için gereken iç yapı,
Şirket bünyesinde kurgulanmalıdır.
5.5.KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER VE
YAPTIRIMLAR
MİXOFİS, KVK Kanunu'nun veri sorumluları için öngördüğü
yükümlülüklere uymalıdır. Bu kapsamda
şirketin uymakla yükümlü olduğu başlıca hususlar aşağıda
sıralanmaktadır:
5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim
Yükümlülüğü
MİXOFİS, KVK Kanunu'nun 16. maddesine uygun olarak, KVK
Kurulu tarafından ilan edilecek süre içinde
ve KVK Kurulu tarafından belirlenecek usule uygun olarak
Veri Sorumluları Sicili'ne kaydolmalıdırlar.
Kayıt başvurusunda Veri Sorumluları Sicili'ne sunulması
gereken bilgiler aşağıda yer almaktadır:
1. Veri sorumlusu statüsündeki MİXOFİS’ın ve varsa
temsilcisinin kimlik bilgileri ve adresleri,
2. Kişisel verilerin işlenme amacı,
3. Veri sahibi kişi grupları ve bu kişilere ait işlenen
kişisel veri kategorileri hakkında bilgiler,
4. Kişisel verilerin aktarılabileceği kişi veya kişi
grupları,
5. Yurt dışına aktarımı yapılabilecek kişisel veriler,
6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik
alınan tedbirler,
7. Kişisel verilerin işlenme amacının gerektirdiğ i azami
işleme süresi.
KVK Kanunu'nun 18. maddesi gereğince; Veri Sorumluları
Siciline kayıt ve bildirim yükümlülüğüne aykırı
hareket edenler hakkında 20.000 Türk lirasından 1.000.000
Türk lirasına kadar idari para cezası verilir.
5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü
MİXOFİS, KVK Kanunu'nun 10. maddesine uygun olarak, kişisel
verilerin elde edilmesi sırasında veri
sahiplerinin bilgilendirilmesini sağlamak için gerekli
süreçleri yürütmelidirler. Aydınlatma yükümlülüğü
kapsamında veri sahiplerine sunulması gereken bilgiler
aşağıda yer almaktadır :
1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. Veri sahibinin hakları olan;
5.1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
5.2. Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme,
9
5.3. Kişisel verilerin işlenme amacını ve bunların amacına
uygun kullanılıp kullanılmadığını
öğrenme,
5.4. Yurt içinde veya yurt dışında kişisel verilerin
aktarıldığı üçüncü kişileri bilme,
5.5. Kişisel verilerin eksik veya yanlış işlenmiş olması
halinde bunların düzeltilmesini isteme ve
yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
5.6. Öngörülen şartlar çerçevesinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve
yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
5.7. İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
5.8. Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması halinde zararın
giderilmesini talep etme.
KVK Kanunu'nun 18. maddesi gereğince; aydınlatma
yükümlülüğünü yerine getirmeyenler hakkında
5.000 Türk lirasından 100.000 Türk lirasına kadar idari para
cezası verilir.
5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
MİXOFİS, KVK Kanunu'nun 12. maddesine uygun olarak, kişisel
verilerin güvenliğinin sağlanmasının ve
veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin
öneminin bilinciyle;
1. Kişisel veriler in hukuka aykırı işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini
önlemek ve
3. Kişisel veriler in muhafazasını sağlamak amaçlarıyla
uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirleri
almalıdırlar.
MİXOFİS ayrıca, veri güvenliğini sağlamaya yönelik
mekanizmaların işletilmesi kapsamında gerekli
denetimleri yapmak veya yaptırmakla yükümlüdür.
KVK Kanunu'nun 18. Maddesi gereğince; veri güvenliğine
ilişkin yükümlülükleri yerine getirmeyenler
hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına
kadar idari para cezası verilir.
5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine
Getirme Yükümlülüğü
MİXOFİS; kişisel verilerin, temel hak ve özgürlüklere uygun
şekilde işlenmesini sağlamak adına faaliyette
bulunan ve KVK Kurumu'nun icra organı olan KVK Kurulu
tarafından verilen kararlara uygun hareket
etmelidirler.
KVK Kanunu'nun 18. maddesi gereğince; KVK Kurulu tarafından
verilen kararları yerine getirmeyenler
hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına
kadar idari para cezası ver ilir.
5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
MİXOFİS, veri sorumlusu sıfatıyla KVK Kanunu'nun 13. maddesi
gereğince, veri sahiplerinin kişisel
verilerine ilişkin taleplerini, talebin niteliğine göre en
kısa sürede ve en geç otuz (30) gün içinde
sonuçlandırmalıdırlar.
KVK Kanunu'nun 11.maddesi uyarınca, kişisel veri sahipleri
veri sorumlularına başvurarak kendileri ile
ilgili aşağıda yer alan konularda talepte bulunabilirler:
1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına
uygun kullanılıp kullanılmadığını
öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin
aktarıldığı üçüncü kişileri bilme,
10
5. Kişisel verilerin eksik veya yanlış işlenmiş olması
halinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildiri lmesini isteme,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel verilerin silinmesini veya yok
edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması halinde zararın
giderilmesini talep etme.
KVK Kanunu'nun 14. maddesi gereğince; veri sahibinin
başvurusunun reddedilmesi, veri sahibine
iletilen cevabın yetersiz bulunması veya KVK Kanunu'nda
belirtilen 30 günlük süre içinde başvuruya
cevap verilmemişse, başvuruda bulunan kişisel veri sahibinin
30 gün içinde KVK Kurulu'na şikayet hakkı
bulunmaktadır.
5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde
Etme Yükümlülüğü
MİXOFİS, KVK Kanunu'nun 4. maddesi gereğince, kişisel
verileri hukuka ve dürüstlük kuralına uygun bir
biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde
edilmesi ve aktarılması faaliyetleri de hukuka
uygun olarak yürütülmelidir.
KVK Kanunu'nun 18. Maddesi gereğince, veri güvenliğine
ilişkin yükümlülükleri yerine getirmeyenler
hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına
kadar idari para cezası verilir.
Türk Ceza Kanun'nun 136. maddesi gereğince, kişisel
verileri, hukuka aykırı olarak bir başkasına veren,
yayan veya ele geçiren kişi, iki yıldan, dört yıla kadar
hapis cezası ile cezalandırılır. Türk Ceza
Kanunu'nun 140. maddesi gereğince; tüzel kişiler hakkında
bunlara özgü güvenlik tedbirlerine
hükmolunur.
5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere
Uygun Davranma Yükümlülüğü
MİXOFİS KVK Kanunu'nun 7. maddesi gereğince; hukuka uygun
olarak işlenmiş olmasına rağmen işleme
sebebi ortadan kalkan kişisel verilerin silinmesi, anonim
hal getirilmesi veya yok edilmesine yönelik
gerekli iç sistemlerini kurmalıdırlar.
Türk Ceza Kanunu'nun 138. maddesi gereğince; kanunların
belirlediği sürelerin geçmiş olmasına karşın
verileri sistem içinde yok etmekle yükümlü olanlara
görevlerini yerine getirmediklerinde bir yıldan iki
yıla kadar hapis cezası verilir . Türk Ceza Kanunu'nun 140.
maddesi gereğince; tüzel kişiler hakkında
bunlara özgü güvenlik tedbirlerine hükmolunur.
6. POLİTİKA'YA VE KVK KANUNU'NA UYUM İÇİN MİXOFİS TARAFINDAN
YERİNE GETİRİLECEK
TEMEL HUSUSLAR
MİXOFİS, KVK Kanunu'na ve yol gösterici nitelikte olan MİXOFİS
KVK Politikası'na uyum için belirli
birtakım sistemleri kendi bünyelerinde kurgulamalıdırlar. Bu
kapsamda Şirket arafından öncelikle
yerine getirilmesi gerekenler aşağıda yer almaktadır :
11
6.1.KVK KANUNU İLE ÖNGÖRÜLEN YÜRÜRLÜK SÜRELERİNE RİAYET
ETMEK
7 Nisan 2016 7 Nisan 2016 tarihinden itibaren MİXOFİS
aşağıda yer alan düzenlemelere uygun
davranmalıdır:
(1) Kişisel verilerin işlenmesi ile ilgili temel
ilkeler
(2) Kişisel verilerin işlenme şartları
(3) Veri sahiplerinin aydınlatılması
(4) Veri güvenliğinin sağlanması.
7 Ekim 2016 7 Ekim 2016 t arihinden itibaren MİXOFİS
aşağıda yer alan düzenlemelere uygun
davranmalıdır :
(1) Kişisel veriler in aktarım ı şartları
(2) Veri Sahibi başvurularının sonuçlandırılması
(3) Veri Sorumluları Siciline kayıt ve bildirim.
7 Nisan 2017 7 Nisan 2017 tarih inden itibaren KVK
Kanunu'na ilişkin Yönetmelikler yürürlüğe
girecektir ve Şirket tarafından bu düzenlemelere
uygun hareket edilmelidir.
7 Nisan 2018 7 Nisan 2016 tarihinden önce işlenmiş kişisel
veriler 7 Nisan 2018 tarihine kadar Şirket tar
afından KVK Kanun'a uyumlu hale
getirilmelidir. Uyumlu hale getirilmemiş kişisel
veriler silinmeli veya anonim hale
getirilmelidir.
6.2.MİXOFİS KVK YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK
POLİTİKASI'NDA AÇIKLANAN
YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK
MİXOFİStarafından MİXOFİS KVK Politikası'nın 5.5. başlığı
altında açıklanmış olan temel yükümlülüklere
uygun hareket edilmelidir.
6.3.KİŞİSEL VERİLERİ N KORUNMASI VE İŞLENMESİ POLİTİKASI İLE
TEMEL POLİTİKALARI
OLUŞTURMAK
MİXOFİS kendi iç işleyişlerini ve KVK Kanunu'nda öngörülen
düzenlemeleri dikkate alarak Kişisel
Verilerin Korunması ve İşlenmesi Politikası
oluşturmalıdırlar.
MİXOFİS tarafından oluşturulacak olan bu politikanın dili
sade ve veri sahipleri tarafından anlaşılabilir
olmalıdır.
6.4.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN
ŞİRKET TARAFINDAN POLİTİKA,
TÜZÜK/İÇ TÜZÜK, YÖNETMELİK, PROSEDÜR VE KILAVUZLAR HAZIRLANMASI
12
Kişisel verilerin korunması hukukuna uyumun sağlanmasının
temini amacıyla, MİXOFİS tarafından,
kamuya sunulmak veya şirket içinde kullanılmak üzere gerekli
dokümanlar hazırlanmalıdır.
Bu kapsamda hazırlanacak olan dokümanlar, MİXOFİS tarafından
uygulanan dokümantasyon modeline
uygun olarak düzenlenmelidir.
MİXOFİS tarafından kamuya sunulacak politikalarda
gerçekleştirilecek değişiklikler, veri sahiplerinin
kolaylıkla erişim sağayabileceği biçimde sunulmalıdır.
6.5.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU
BİRİMİN TESPİTİ
MİXOFİS KVK Politikası ve ilişkili diğer politikaları
yönetmek üzere, şirket bünyesinde Kişisel Verilerin
Korunması Birimi kurulmalı ya da kişisel verilerin
korunmasından sorumlu bir kişi atanmalıdır. Bu
kapsamda ilgili birim veya kişi tarafından yürütülecek temel
faaliyetler aşağıda sıralanmaktadır:
(1) Kişisel verilerin korunması ve işlenmesine ilişkin
dokümantasyonun hazırlanmasının takibi
ve dokümanların ilgili kişilerin onayına sunulması,
(2) Kişisel verilerin korunması ve işlenmesine ilişkin
dokümanların uygulanmasının temini ve
gerekli denetimlerin yürütülmesinin sağlanması,
(3) MİXOFİS’ın yükümlülüklerini (MİXOFİS KVK Politikası
Başık 5.5.) yerine getirip getirmediğinin
takibi,
(4) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.
Birimin oluşumu ve görev dağılımı Yönetim Kurulu tarafından
belirlenir. Birim kurulması yerine kişisel
verilerin korunmasından ve işlenmesinden sorumlu bir kişi
atanmasına karar verilmişse, bu kişinin
atanması sürecini de aynı şekilde Şirket üst yönetimi
yürütür. Yukarıda belirtilen asgari görevlere ek
olarak, Şirket'in ihtiyaçları ve yürüttükleri faaliyetler
göz önüne alınarak Birim ve atanacak sorumlu
kişiye birtakım ek görev ve sorumluluklar verilebilir.