İş bu Kişisel Verileri Koruma Komisyonu İç Yönergesi (“İç Yönerge”), 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’ de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”), Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’ de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’ e (“Yönetmelik”), ELİS OTOMOTİV PETROL ÜRÜNLERİ İNŞ. TUR. SAN. VE TİC. A.Ş.’nin; Kişisel Verilerin Korunması Envanteri’ ne ve Kişisel Veri Saklama ve İmha Politikasına (bundan böyle ikisi birlikte “Politikalar” olarak anılacaktır.) uygun olarak hazırlanmıştır.

KVKK, Yönetmelik ve ilgili sair mevzuat uyarınca kişisel veri işleme, saklama ve imha süreçlerinin yürütülmesi ve gerekli aksiyonların alınması amacıyla, veri sorumlusu sıfatıyla ELİS OTOMOTİV PETROL ÜRÜNLERİ İNŞ. TUR. SAN. VE TİC. A.Ş (“Şirket”) nezdinde bir Kişisel Verileri Koruma Komisyonu (“KVK Komisyonu”) kurulmuştur.

BİRİNCİ BÖLÜM

AMAÇ, KAPSAM VE DAYANAK

Amaç:

Madde 1- İşbu İç Yönerge, KVK Komisyonu’nun, görev ve sorumluluklarını, kişisel verilerin korunması düzenlemeleri ve Politikalar çerçevesinde uyması gereken esasları ve Politikalara bağlı olarak uygulayacağı prosedürleri yerine getirmesine ilişkin hususların belirlenmesi amacıyla hazırlanmıştır.

Kapsam:

Madde 2- İş bu İç Yönerge KVK Komisyonu’nun ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.

Dayanak:

Madde 3- Bu İç Yönerge, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile ilgili sair mevzuat hükümlerine dayanılarak hazırlanmıştır.

İKİNCİ BÖLÜM

TANIMLAR

Madde 4-

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Bu politika kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Veriler”i de kapsar.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.

KVK Mevzuatı: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sisteminin oluşturulmasından sorumlu ve bahse konu sistemi yöneten gerçek veya tüzel kişi.

İrtibat Kişisi: KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerinin yerine getirmek üzere atanmış gerçek kişidir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.

Veri Sahibi/ İlgili Kişi: Kişisel verileri Şirket tarafından elde edilen veya Şirket adına işleme faaliyetine konu edilen gerçek kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması kanununa ve Kişisel Verileri Koruma Kurumu’nun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.

Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.

Kurum: Kişisel Verileri Koruma Kurumu.

Kurul: Kişisel Verileri Koruma Kurulu.

İç Yönerge: Kişisel Verileri Koruma Komisyonu İç Yönergesi.

ÜÇÜNCÜ BÖLÜM

KOMİSYONUN OLUŞUMU

Kişisel Verileri Koruma Komisyonu:

Madde 5- KVK Komisyonu, KVK Mevzuatı kapsamındaki yükümlülüklerini yerine getirmek, Politikalar’ın uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Şirket yönetim kurulu başkanı veya genel müdürü tarafından atanır. KVK Komisyonu, Şirket’in KVK Mevzuatı kapsamında denetim ve uyumluluk faaliyetlerini gerçekleştirmekle görevlidir. Komisyon Üyelerinin görev dağılımları, Komisyondan üye çıkarılması, eklenmesi ve görev değişikliği veri sorumlusunun verdiği yetki ile komisyon başkanı tarafından gerçekleştirilir.

İrtibat Kişisi:

Madde 6- İrtibat Kişisi, KVK Komisyonu içerisinden seçilir ve Şirket’in Kurum ile KVK Mevzuatı’ nın gerektirdiği ilişkilerini yürütür.

Üyeler: Madde 7-

ÜYE                                          KVK KOMİSYONDAKİ GÖREVİ

(Genel Müdür – Yönetim Krl. Bşk. Vekili)    

Komisyon Başkanı Yönetim ve iletişimden sorumlu

  • Komisyon üyelerinin görev dağılımının düzenlenmesi ve koordinasyonun sağlanması
  • Komisyon üyeleri tarafından iletilen iş süreçlerine yönelik hususlara ilişkin gerekli aksiyonların alınması

Komisyon Üyesi (SSH Müdürü)

                                      – İş süreçlerinde meydana gelebilecek değişikliklere istinaden envanterin güncellenmesi

Komisyon Üyesi (VW-DOD Satış Müdürü)

– İş süreçlerinde meydana gelebilecek değişikliklere istinaden envanterin güncellenmesi

Komisyon Üyesi (Skoda Satış Müdürü)

                                      – İş süreçlerinde meydana gelebilecek değişikliklere istinaden envanterin güncellenmesi

Sistem Sorumlusu (Bilgi İşlem Sorumlusu)

Bilgi Teknolojileri ve veri güvenliği sorumlusu

  • Bilgi Güvenliği Politikaları kapsamında teknik tedbirlere ilişkin süreçlerin yürütülmesi

Güvenlik Koordinatörü (İdari İşl. Yetkilisi)

Kişisel Veri İşleme Envanteri Sorumlusu

  • İş süreçlerinde meydana gelebilecek değişikliklere istinaden envanterin güncellenmesi
  • VERBİS sisteminde yapılacak değişikliklerin kontrolü, takibi ve kayıt altına alınması

İnsan Kaynakları Sorumlusu (Muhasebe)

İlgili Kişi Başvuru Süreçleri Sorumlusu

  • İlgili kişi başvurularının KVK Komisyonu içerisinde koordinasyonunun sağlanması

DÖRDÜNCÜ BÖLÜM

GÖREV VE SORUMLULUKLAR

Madde 8- Kişisel verilerin KVK Mevzuatına uygun şekilde işlenmesi, saklanması ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden KVK Komisyonu sorumludur. Bu kapsamda, gerekli prosedür KVK Komisyonu tarafından oluşturulur ve anılan prosedürün Şirket çalışanları tarafından uygulanması sağlanır.

8.1. KVK Mevzuatında herhangi bir değişiklik meydana gelirse, yeni düzenlemelere uyum için şirket içi aksiyonların alınması KVK Komisyonu tarafından sağlanır.

8.2. KVK Komisyonu aşağıdaki hususların yerine getirilmesinde görevlidir:

Kişisel verilerin envanterini hazırlar. (KVKK m. 16 (3))

Kişisel verilerin envanterinin periyodik olarak günceller. (KVKK m. 16 (4))

Kişisel verilerin envanterinin Veri Sorumluları Sicili’ne bildirir ve güncel tutulmasını sağlar. (KVKK m. 16 (4))

Veri Sorumluları Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m. 16)

8.3. Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVK Mevzuatı kapsamında uyumluluğunu denetler ve teyit eder. Üçüncü tarafları denetler veya denetletir.

8.4. KVK Komisyonu, üçüncü kişi veya kurumlar tarafından Şirket’in KVK Mevzuatı ve/veya Avrupa Mevzuatı (GDPR) yeterliliğine ilişkin soruların yanıtlanması ile görevlidir.

Madde 9- KVK Komisyonu, Şirket içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. KVK Komisyonu, kişisel verilerin korunması kapsamında belirli periyotlarla denetimlerin yapılmasını ve yaptırılmasını sağlamakla yükümlüdür.

9.1. KVK Komisyonu, kişisel veriler ile ilgili süreçleri hakkında üst yönetime periyodik olarak raporlama yapmak ve mevcut ile olası risklerin görüşülmesini sağlamakla yükümlüdür. Kişisel verilerin korunması aksiyon planında öngörülen hususlara ilişkin ilgili birimleri periyodik olarak e-posta aracılığıyla duyuru ile bilgilendirir.

Madde 10- KVK Komisyonu, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesi ve gerektiğinde açık rızanın alınması ve muhafazasını sağlamakla yükümlüdür.

KVK Komisyonu kişisel verilerin elde edilmesi sırasında,

  • Veri sorumlusunun kimliğinin açıklanmasını sağlamak,
  • Kişisel verilerin işlenme amaçlarının, belirli, meşru ve açık amaçlar için olmasını sağlamak, denetlemek.
  • İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklamak,
  • Veri toplama yöntemi ve hukuki sebebini açıklamak ile yükümlüdür.

10.2. KVK Komisyonu, kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınma yöntemlerini belirlemek, uygulatmak ve uygulanmasını denetlemek ile yükümlüdür.

10.3. KVK Komisyonu, özel nitelikli kişisel verilerin kayıt altına alınması durumunda ilgili hukuki işleme yöntemlerini belirlemek, uygulatmak ve uygulanması için gerekli aksiyonların alınması ile yükümlüdür.

Madde 11- KVK Komisyonu, ilgili kişi başvurularını değerlendirir ve başvurulara cevap verilebilmesi kapsamında Kişisel Veri Olay Yönetimi Prosedürüne uygun hareket edilebilmesi için Şirket içerisinde koordinasyonu ve iletişimi sağlamakla yükümlüdür. Ayrıca, Kurul ile iletişimin halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlamakla yükümlüdür.

KVK Komisyonu, ilgili kişinin, İlgili Kişi Başvuru Formu veya diğer yöntemlerle veri sorumlusuna başvurması halinde, aşağıdaki hususların yerine getirilmesi için en geç 30 takvim günü içinde ilgili kişiye cevap verilmesinden sorumludur: (KVKK m. 13(2))

  • Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi (KVKK m. 11 (1) (a))
  • Kişisel veri ile ilgili bilgi talep etmesi (KVKK m. 11 (1) (b))
  • İşlenme amacının açıklanması (KVKK m. 11 (1) (c))
  • Yurt içi veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişilerin açıklanması (KVKK m. 11 (ç) ve (f))
  • Kişisel verilerin yanlış veya eksik işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında bilgi verilmesi (KVKK m. 11 (1) (d))
  • Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında bilgi verilmesi (KVKK m. 11 (1) (e))
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında bilgi verilmesi (KVKK m. 11 (1) (g))
  • Kişisel verinin kanuna aykırı olarak işlenip işlenmediğini kontrol etme ve kişiden gelen taleplerin takip edilmesi ve sonuçlandırılması (KVKK m. 11 (1) (ğ), KVKK m. 12 (1) (a))

Madde 12- KVK Komisyonu, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVK Mevzuatına ve Politikalara uyum yönünde bir eksikliğin veya riskin tespit edilmesi halinde, giderilmesi için gerekli önlemleri almakla yükümlüdür. Bu kapsamda KVK Komisyonu, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapmak ve gerektiğinde ilgili Politikaları güncellemekle yükümlüdür.

Madde 13- KVK Komisyonu, kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirlemek ve ilgili Politikaları güncellemek ile yükümlüdür. KVK Komisyonu, gerçekleştirilen güncellemeleri kayıt altına alır.

13.1. KVK Komisyonu, KVK Mevzuatı uyarınca, altı ayı geçmeyecek periyotlarda işlenen kişisel verileri denetlemek ve İmha Kayıt Formu ile gerekli imha sürecinin yerine getirilmesini sağlamak ile görevlidir.

13.2. KVK Komisyonu, imha prosedürü ile ilgili bütün işlemlerin, İmha Kayıt Formu ile kayıt altına alınmasını sağlamak ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmasını sağlamak ile görevlidir.

Madde 14- Kurul’un isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkan sağlatır. (KVKK m. 15 (3))

14.1. Şikayet durumunda veya herhangi bir nedenle Kurul’un tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar. (KVKK m. 15 (5))

Madde 15- KVK Komisyonu, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Şirket çalışanlarının periyodik olarak farkındalık eğitimi ile bilgilendirilmesini sağlar.

BEŞİNCİ BÖLÜM

ÇEŞİTLİ HÜKÜMLER

İç Yönergenin Kabulü ve Değişiklikler

Madde 16- İşbu İç Yönerge, Şirket tarafından yürürlüğe konulur. İç yönergede yapılacak değişiklikler ve yönerge düzenlemesi de aynı usule tabidir.

Yürürlük

Madde 17- Şirket Kişisel Verileri Koruma Komisyonunun 01.01.2020 tarih ve 1 sayılı 16 (on altı) maddeden oluşan işbu İç Yönergesi 01.01.2020 tarihinde yürürlüğe girer.