BAYSALLAR ULUSLARARASI NAKLİYAT TİCARET VE SANAYİ A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

GİRİŞ
Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda Baysallar Uluslararası Nakliyat Ticaret ve San. A.Ş. tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır. Bu Politika ile şirket tarafından yerine getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda “KVKK” öngörülen düzenlemelere uyum sağlanması amacıyla uygulanacak usul ve esaslar belirlenmektedir.

AMAÇ
Bu Politika topluluk düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla şirket özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.

Baysallar Uluslararası Nakliyat Ticaret ve San. Anonim Şirketi belirlenen ilkeler doğrultusunda KVKK’ya uygun şekilde düzenlemeleri yapacak, veri güvenliğinin temini için yönetici ve çalışanları ile konuya hassasiyetle yaklaşacaktır.

I. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
Bu Politika, Baysallar Uluslararası Nakliyat Ticaret ve San. A.Ş.’nin KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacağına ilişkin yol gösterici bir nitelik taşımaktadır.

Şirket bu Politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.

Şirket bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalık kazanmaları için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve şirketin iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

KVKK’ya uyumluluğun sağlanması için şirket tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, şirket tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır. Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde belirtilmiştir.

1.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
Şirket kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket eder. Bu kapsamda kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işler.

1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlar ve bu doğrultuda gerekli tedbirleri alır.



1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işler. Bu kapsamda kişisel verilerin hangi amaçla işleneceğini belirleyerek ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunar. Kişisel veriler, belirtilen amaçlar dışında işlemez. Şirket tarafından belirlenen veri işleme amaçlarının meşruluğu ve hukuka uygunluğu her daim gözetilir.

1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemelidir.

1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza eder. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza eder.

II. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak, KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenir. Bu kapsamda kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirilir ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri derhal durdurulur.

Özel nitelikli veriler ancak Kanun’un izin verdiği hallerde ve alınmasının zaruri olduğu durumlarda işlenmektedir. Özel nitelikli veri toplanırken ilgilinin açık rızası alınmaktadır.

Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerine uygun hareket edilmektedir.

III. ŞİRKETİN YÜKÜMLÜLÜKLERİ

3.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Şirket, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatmaktadır. Bu kapsamda ilgiliye aşağıdaki hususlarda bilgi verilmektedir:
(1) Veri sorumlusu olarak şirketin ve varsa temsilcisinin kimliği,
(2) Kişisel verilerin hangi amaçla işleneceği,
(3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
(5) Kişisel veri sahibinin sahip olduğu haklar.
(6)

3.2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.

Bu kapsamda şirket, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri alır.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.

İlgililerce yazılı olarak yapılacak talepler, talebin niteliğine göre en çok 30 gün içinde Şirket tarafından cevaplanır.

3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Baysallar Uluslararası Nakliyat Ticaret ve San. A.Ş. işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.

3.3.1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması
Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler alınır:
• Şirket bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilerek, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır.
• Kişisel veri işleme haritası uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenir.
• Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanır.
• Şirket çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilir.
• Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılarak ve gerekli idari tedbirler şirketin iç politikaları ve eğitimleri yoluyla hayata geçirilir.
• Şirket ile çalışanları, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulur.
• Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılır, çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri engellenir.

3.3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması
Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler alınmaktadır:
• Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınarak, alınan önlemler periyodik olarak güncellenmektedir.
• Şirket tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanarak devreye alınmaktadır.
• Alınan teknik önlemler periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmaktadır.
• Şirket çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmekte ve teknik konularda bilgili personel istihdam edilmektedir.
• Şirket çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmaktadır.
• Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmektedir.

IV. ŞİRKET BÜNYESİNDE ORGANİZASYONEL YAPILANMA
Şirket bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanmalıdır.

Bu kapsamda Komite veya atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:
• Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
• Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
• Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
• Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,
• Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
• Kurum ve Kurul ile olan ilişkileri yönetmek.
 

EK-1 TANIMLAR

 

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

 

Anonim Hale Getirme

 

:

Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme,

toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Kişisel Veri Sahibi

:

Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

 

Kişisel Veri

 

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

 

Özel Nitelikli Kişisel Veri

 

:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. Kurul kararı gereğince Kan grubu özel nitelikli veridir.

 

 

 

Kişisel Verilerin İşlenmesi

 

 

 

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

Veri İşleyen

 

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması.

 

Veri Sorumlusu

 

:

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.