+44 750 330 6780
+44 750 330 6780

KVK Komitesi İç̧ Yönergesi

Webtures'ın tüm yerel ve global hukuki süreçleri Karataş & Partners Hukuk Bürosu aracılığıyla yürütülmektedir.

Şimdi Başlayın

KVK KOMİTESİ İÇ̧ YÖNERGESİ


İşbu Kişisel Verileri Koruma Komitesi İç Yönergesi (“İç Yönerge”), Esentepe Mahallesi Milangaz Cad. Kartal Vizyon St. A-2 Bl. No: 77/219 Kartal/İstanbul adresinde mukim 0800053943700021 Mersis numaralı WEBTURES DİJİTAL BİLİŞİM ANONİM ŞİRKETİ’nin (“WEBTURES”) 01.01.2022 tarihli, WEBTURES bünyesinde kişisel verilerin korunmasına yönelik gerekli idari ve teknik tedbirlerin alınması, yetkililerin ve sorumluların belirlenmesi ile görev paylaşımlarının ve iş yürütümünün dikkatle gerçekleştirilmesi amacıyla Kişisel Verilerin Korunması Kurulu oluşturulması kararına istinaden, 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”), Anayasa’nın ve Türk Ceza Kanunu’nun kişisel verilerin korunmasına ilişkin hükümlerine, Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (“Yönetmelik”), WEBTURES Kişisel Verilerin Korunması Politikası’na, WEBTURES Bilgi Güvenliği, Kişisel Verilerin Güvenliği ve İletişim Talimatı ve WEBTURES Kişisel Veri Saklama ve İmha Politikası’na (bundan böyle ikisi birlikte “Politikalar” olarak anılacaktır.) uygun olarak hazırlanmıştır. Bu kapsamda KVKK ve Yönetmelik uyarınca kişisel veri saklama ve imha süreçlerinin yürütülmesi ve gerekli aksiyonların alınması amacıyla, veri sorumlusu sıfatıyla WEBTURES (“WEBTURES/Şirket”) nezdinde bir Kişisel Verileri Koruma Komitesi (“Komite”) kurulmuştur.

BİRİNCİ BÖLÜM

AMAÇ, KAPSAM VE DAYANAK

Amaç:

Madde 1- İşbu İç Yönerge; Komite’nin, WEBTURES bünyesinde kişisel verilerin korunmasına yönelik gerekli idari ve teknik tedbirlerin alınması, KVKK hükümlerine, Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına uyum çalışmalarının gerçekleştirilmesi, kişisel verilerin korunmasında görevli yetkililerin ve sorumluların belirlenmesi ile görev paylaşımlarının ve iş yürütümünün gerçekleştirilmesi ve Politikalar’a bağlı olarak uygulayacağı prosedürleri yerine getirmesine ilişkin hususların belirlenmesi amacıyla hazırlanmıştır.

Kapsam:

Madde 2- İşbu İç Yönerge Komite’nin ve üyelerinin Kişisel veriler ile ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.

Dayanak:

Madde 3- Bu iç yönerge; aşağıda yer verilen mevzuata göre hazırlanmıştır.

Kanun:

  • 26/09/2004 tarihli ve 5237 sayılı “Türk Ceza Kanunu”
  • 24/03/2016 tarihli ve 6698 sayılı “Kişisel Verilerin Korunması Kanunu”

Yönetmelik:

  • 28/10/2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanmış olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”
  • 16/11/2017 tarih ve 30242 sayılı Resmi Gazete’de yayımlanmış olan “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik”
  • 30/12/2017 tarih ve 30286 sayılı Resmi Gazete’de yayımlanmış olan “Veri Sorumluları Sicili Hakkında Yönetmelik”
  • 28/04/2019 tarih ve 30758 sayılı Resmi Gazete’de yayımlanmış olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik”
  • 28/04/2019 tarih ve 30758 sayılı Resmi Gazete’de yayımlanmış olan “Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik”
  • 21/06/2019 tarih ve 30808 sayılı Resmi Gazete’de yayımlanmış olan “Kişisel Sağlık Verileri Hakkında Yönetmelik”

Tebliğ:

  • 10/03/2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanmış olan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”
  • 10/03/2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanmış olan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”

İKİNCİ BÖLÜM

TANIMLAR

Madde 4- İç Yönerge’de yer verilen tanımlar aşağıda sıralanmıştır.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği’ne uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu’nu ifade eder.

İç Yönerge: Kişisel Verileri Koruma Komitesi İç Yönergesi’ni ifade eder.

İlgili Kişi/Kişisel Veri Sahibi: Kişisel verileri WEBTURES tarafından veya WEBTURES adına işlenen gerçek kişi’yi ifade eder. 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat’ı ifade eder.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi’yi ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi (“VERBİS”)’ini ifade eder.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi/VERBİS) yöneten kişi’yi ifade eder.

Veri Temsilcisi/İrtibat Kişisi: KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişi’yi ifade eder.

Ziyaretçi: WEBTURES’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler’i ifade eder.

ÜÇÜNCÜ BÖLÜM

KOMİTENİN OLUŞUMU

Kişisel Verileri Koruma Komitesi:

Madde 5- Komite, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere WEBTURES Yönetim Kurulu tarafından atanır. Komite; WEBTURES’ın KVK mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir. Komite Üyelerinin görev dağılımları, komiteden üye çıkarılması veya eklenmesi veri sorumlusunun verdiği yetki ile komite başkanı tarafından gerçekleştirilir.  

Veri Sorumlusu Temsilcisi:

Madde 6– Veri Sorumlusu Temsilcisi, Komite içerisinden seçilir ve Kurum tarafından WEBTURES’a yöneltilen talepleri WEBTURES’a iletmesi, WEBTURES’dan gelecek cevabın Kurum’a iletilmesi, WEBTURES’a yönelecek başvuruların WEBTURES adına alınması ve WEBTURES’a iletilmesi, WEBTURES’ın cevabının İlgili Kişiler’e iletilmesi dahil olmak üzere WEBTURES’ın Kurum ile olan ilişkilerini ve WEBTURES’ın KVK Mevzuatı’na uyumluluk sürecini yürütür.

Üyeler:

Madde 7-

ÜYE

KOMİTE İÇERİSİNDEKİ GÖREVİ

Komite Başkanı-yönetişim ve iletişimden sorumlu

Bilgi Teknolojileri ve veri güvenliğinden sorumlusu

KVKK Risk Yönetimi, Politika ve Prosedürlerden sorumlusu

KVKK uyum ve denetim sorumlusu

İş süreçlerinin planlanması-Raporlama sorumlusu 

KVKK uyum ve denetim sorumlusu

DÖRDÜNCÜ BÖLÜM

GÖREV VE SORUMLULUKLAR

Madde 8- Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden Komite sorumludur. KVK Mevzuatı’nda veya Kurul kararlarında bir değişiklik meydana gelirse, WEBTURES’ın yeni düzenlemelere uyum için şirket içi aksiyonların alınmasını sağlar.

8.2. Kişisel verilerin envanterini hazırlar. (KVKK m.16/3)  

Kişisel verilerin envanterini periyodik olarak günceller. (KVKK m.16/4)

Kişisel verilerin envanterinin sicile bildirir ve güncel tutulmasını sağlar. (KVKK m.16/4)

Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m.16)

8.3. Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (KVKK m.8)

8.4. Kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir (Örnek: Call center, e-ticaret, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordro ve özlük işleri takip eden personel müdürlüğü, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)

Madde 9- Komite, WEBTURES içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak WEBTURES içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Komite kişisel verilerin korunması kapsamında belirli periyotlarda İç Denetim Müdürlüğünce denetimlerin yapılmasını sağlar. KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumu hem risklerin görüşülmesini sağlar. Toplantı kararlarını ıslak imza ile alarak dosyalar. KVK ile ilgili birimleri periyodik olarak portaldan / mail / duyuru ile bilgilendirir.

Madde 10- Komite, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.

Komite kişisel verilerin elde edilmesi sırasında; 

  • Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10) 
  • Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem müşterilere duyurulmasını sağlar. (KVKK m.4/2.c)
  • İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c)
  • Veri toplama yöntemi ve hukuki sebebi açıklar. (KVKK m.10/1.ç)

10.1. Komite kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler ve uygulatır, denetler. (KVKK m.5/1) 

10.2. Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (KVKK m.6)

10.3. Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (KVKK m.9/2 ve 9/3)

Madde 11- Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınacak mı alınmayacak mı belirler. Aşağıda açık rıza alınmayacak durumlar belirlenmiştir. Her durumda aşağıdaki kurumlarla hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır. (KVKK m.5/2) 

  • Fiili imkânsızlıklar durumunda açık rıza alınamaması
  • Kendisinin veya bir başkasının hayatı veya beden bütünlüğü söz konusu olduğunda
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
  • Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Kişi, kendi verisini alenileştirmiş olması durumunda
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
  • Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi durumunda
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda

11.2. Kişisel veri yurtdışına aktarılacak ise açık rıza da alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (KVKK m.9/4)

11.3. Veriyi paylaşan bu veriyi paylaştığı yer ve amacını yazılı ve onaylı olarak yapılmasını sağlatır. Öneri verinin rızası alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk ve veri sorumlusu onayı ile alındıktan sonra paylaşılmasını sağlatır.

Madde 12- Komite, İlgili Kişiler’in başvurularını değerlendirir ve başvurulara cevap için Şirket içerisinde koordinasyonu sağlar. Kurul ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlar. 

Kişisel veri sahibinin başvurması halinde aşağıdaki kişi haklarının yerine getirilmesini en geç 30 takvim günü içinde sağlar: (KVKK m.13/2)

  • Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi (KVKK m.11/1.a)
  • Kişisel veri ile ilgili bilgi talep etme (KVKK m.11/1.b)
  • İşlenme amacını açıklama (KVKK m.11/1.c)
  • Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri açıklama (KVKK m.11/1.ç ve f)
  • Kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (KVKK m.11/1.d)
  • Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (KVKK m.11/1.e)
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (KVKK m.11/1.g)
  • Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma (KVKK m.11/1.ğ, KVKK m.12/1.a)

Madde 13- Komite, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’ya ve Politikalara uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Komite, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.

Madde 14- Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (KVKK m.4/2.d)

14.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek periyotlarda işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini sağlar.

14.3. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmasını sağlar.

14.4. Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (KVKK m.7)

  • İşlenmesini gerektiren sebeplerin ortadan kalkması halinde 
  • Süresi dolması halinde 
  • Veri sahibinin talebi halinde

Madde 15- Komite, WEBTURES’ın çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve Politikalarda belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK Düzenlemelerine ve Politikalara uygun şekilde eylem planı oluşturur. Komite konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.

Madde 16- Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (KVKK m.15/3)

16.2. Şikâyet durumunda veya herhangi bir nedenle Kurulun tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar. (KVKK m.15/5)

Madde 17- Komite, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla WEBTURES çalışanlarının bilgilendirilmesini sağlar. Şirkette kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Temsilcisi ve Komite müteselsilen sorumludur. Özel nitelikli kişisel verilere erişim yetkisinin verildiği sınırlı çalışanlara ait liste ve listenin takibi Komite tarafından yapılır.

BEŞİNCİ BÖLÜM

ÇEŞİTLİ HÜKÜMLER

İç Yönergenin Kabulü Ve Değişiklikler

Madde 18- İşbu İç Yönerge, WEBTURES tarafından yürürlüğe konulur. İç yönergede yapılacak değişiklikler ve yönerge düzenlemesi de aynı usule tabidir.

Yürürlük

Madde 19- WEBTURES Kişisel Verileri Koruma Komitesinin 01.01.2022 tarih ve 1 sayılı 19 (on dokuz) maddeden oluşan işbu İç Yönergesi 01.01.2022 tarihinde yürürlüğe girer.

Yükselmeye hazır mısınız?