Veri Aktarım Politikası
1- Giriş ve Politikanın Amacı
[Brp Birpa Kimya Sanayi Ticaret Anonim Şirketi'’nin iş süreçleri, personeller arasında, personel ve tedarikçi/ziyaretçi/müşteri arasında veya personel ile (harici) üçüncü taraflar arasında bilgi paylaşımını gerektirir. Bu politika, Şirket tarafından muhafaza edilen bilgilerin kaybedilmesi, yetkisiz bir şekilde ifşa edilmesi, değiştirilmesi veya kaldırılması riskini en aza indirmeyi amaçlamaktadır.
2- Politikanın Kapsamı
Bu politika, bilgi paylaşımını, bu verileri paylaşmak için kullanılan yöntemleri ve fiziksel veya elektronik formatta bulunan her türlü bilgiyi kapsar.
Bu politika, Veri İşleyenleri veya müşterek Veri Sorumlularının bilgi paylaşımını kapsamaktadır, bilgiler, iş birliği içinde olduğumuz araştırma şirketleri, sistem sağlayıcıları, hizmet sağlayıcıları, diğer iştiraklerimiz ve benzer kuruluşlar dahil ancak bunlarla sınırlı olmamak üzere pek çok üçüncü tarafla paylaşılmakta ve işlenmektedir.
3- Kısaltmalar ve Tanımlar
KVKK: Kişisel Verilerin Korunması Kanunu
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını, araçlarını ve Veri İşleyen için yasal olarak bağlayıcı bir sözleşmenin yürürlükte olmasını sağlamak için gereklilikleri belirler. ‘Veri Sorumlusu’, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan gerçek veya tüzel kişi, kamu makamı veya diğer organizasyonlar anlamına gelir.
Veri İşleyen: Veri İşleyen, bir Veri Sorumlusu adına kişisel verilerin işlenmesinden ve kişisel veriler ile ilgili işlem aktivitelerinin kayıtlarının tutulmasından sorumludur. Kendilerinden kaynaklı bir veri ihlali yaşanması halinde yasal sorumlulukları olacaktır.
"Veri İşleyen", gerçek veya tüzel kişi, kamu idaresi, başka bir kurum anlamına gelir.
Müşterek Veri Sorumluları: Her iki tarafın veri işleme hakkında karar vermesi gerektiğinde Müşterek Veri Sorumluluğu doğar; Bu sorumluluk, uygun bir sözleşme / anlaşmada açıkça belirtilmeli ve kararlaştırılmalıdır.
4- Sorumluluklar
Brp Birpa Kimya Sanayi Ticaret Anonim Şirketi “Veri Sorumlusu” dur. Şirket tüzel kişiliği mevcut veri koruma mevzuatına uyum için nihai sorumluluğa sahiptir.
4.1 Bilgi Kullanıcıları
Şirket’in tüm çalışanları, tüm ilgili veri koruma yasa, mevzuat, tebliğ ve bu politikaya uymaktan sorumludur. Bilgilerin ilgili bireyler veya üçüncü kişilerle paylaşılması kararının alındığı durumlarda, alıcının bilginin gizliliğini ve mahremiyetini anlaması ve herhangi bir bilgi paylaşım sözleşmesinin hükümlerine uyması bilginin aktarıldığı tarafın sorumluluğundadır.
4.2 Yöneticiler ve Denetleyici Rolleri
Yöneticiler ve denetleyici rolleri olan tüm çalışanlar, bilginin yalnızca ilgili kişilerle paylaşılmasını ve veri paylaşım anlaşmasının yürürlükte olduğunu, bu koşulların yerine getirildiğini sağlamaktan sorumludur.
4.3 Sistem Sahipleri
Sistem sahipleri / yöneticileri, bilgi sahibi olan sistemlerin, yalnızca ilgili kişiler tarafından onaylanan bilgilerin veya yalnızca sorumlu kişilerce, 3.kişi veya kurumlarla paylaşılmasından sorumludur.
4.4 Yasal Hizmetler / Hukuk Birimi
Yasal Hizmetler / Hukuk Birimi, sözleşmeler ve veri paylaşımı konularında hukuki danışmanlık sağlamaktan sorumludur ve kişisel verilerin paylaşılmasını gerektiren durumlarda sözleşmeler üzerinde
Veri Koruma Görevlisi / KVKK Ekip Lideri ile yakın bir şekilde çalışacaktır.
5- Açıklamalar
5.1 Brp Birpa Kimya Sanayi Ticaret Anonim Şirketi bir Veri Sorumlusudur: Veri işlemenin amaçlarını, yöntemini ve ilgili mevzuata uyulmasını sağlamaktan ve ilgili kararları almaktan sorumludur. Veri Sorumlusu olarak,
5.2 Brp Birpa Kimya Sanayi Ticaret Anonim Şirketi aynı zamanda bir Veri İşleyen olarak da hareket edebilir, böyle durumlarda her bir tarafın sorumluluklarını ve yükümlülüklerini tanımlamak Veri Sorumlusunun görev sorumluluğundadır. Çalışan personel, bu anlaşmaları imzalamadan önce Şirket’in tüm gereklilikleri yerine getireceğinden ve uygun sorumluluk düzeyini kabul edebileceğinden emin olmalıdır.
5.3 Brp Birpa Kimya Sanayi Ticaret Anonim Şirketi kendi adına kişisel verileri işlemek için bir Veri İşleyen kullandığı zaman, tüm personellerin her bir tarafın sorumluluklarını ve yükümlülüklerini ortaya koyan yazılı bir sözleşme imzalandığından emin olmalıdır.
5.3.1 Sözleşmeler, veri işleme güvenliğini sağlamak için, Veri İşleyenlerin uygun önlemleri almasını ve ilgili kişilerin KVKK kapsamı altındaki hakları ile ilgili maddeler içermelidir.
5.3.2 Herhangi bir kişisel veri paylaşılacağı durumlarda sözleşmeler KVKK gerekliliklerini karşılamalıdır.
5.3.3 Veri Sorumluları, Veri konusu kişi grubunun (İlgili Kişilerin) haklarının ve verilerinin KVKK kapsamında karşılandığı ve işlendiği konusunda Veri İşleyene gerekli garantiyi sağlamalıdır.
5.3.4 Veri İşleyenler, bir Veri Sorumlusunun sadece yazılı talimatları ile hareket etmelidir. KVKK kapsamında bazı doğrudan sorumluluklara sahip olacaklardır ve uymadıkları takdirde cezalara veya diğer yaptırımlara tabi olabilirler.
5.3.5 Veri İşleyenlerle açık ve kapsamlı sözleşmeler yapmak, herkesin veri koruma yükümlülüklerini anladığından emin olunmasına yardımcı olur.
5.4 Tüm personel, verilerin yurtdışına aktarımı konularında bu politikanın 6. Bölümünde tanımlanan uygun yöntemlere göre hareket ettiklerinden emin olmalıdır.
6- Yurtdışına Aktarım
6.1 KVKK, kişisel verilerin Kişisel Verileri Koruma Kurulu’nun güvenli ülke kategorisi dışındaki üçüncü şahıslara veya uluslararası kuruluşlara kişisel verilerin aktarılması ile ilgili kısıtlamalar getirmektedir.
6.2 Bu kısıtlamalar, KVKK tarafından kişilerin korunma düzeyinin zarar görmemesini sağlamak için yürürlüktedir.
6.3 Kişisel veriler, Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.
6.4 Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;
» İlgili kişinin açık rızasının bulunması,
» Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler) durumlarında gerçekleşebilir.
6.5 Kişisel verilerin aktarıldığı kurumun yeterli koruma sağladığı durumlarda kişisel verilerinizi transfer edebilirsiniz. Bireylerin KVKK’da tanımlanan haklarını kullanabilme konularında zorluk yaşamamaları sağlanmalıdır.
6.6 Aşağıdakiler için yeterli güvenceler sağlanabilir:
» Kamu makamları veya yetkili kurumlar arasında yasal olarak bağlayıcı bir anlaşma;
» Kişisel Verileri Koruma Kurumu tarafından kabul edilen aktarım hükümleri ve standart veri koruma maddeleri;
» KVK Kurumu tarafından onaylanmış rehber/tebliğ/mevzuat/prosedür:
» Kişisel verilerin korunması ya da veri güvenliği konularında sertifikalandırma;
» KVKK tarafından onaylanmış sözleşme hükümleri
7- Kişisel Verilerin İşlenmesi Genel ilkeler
6698 Sayılı Kişisel Verilerin Korunması Kanunu Md. 4
(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
8- Yürütme
Bu politika, bunlarla sınırlı olmamakla birlikte, ilgili diğer şirket politikaları ve dokümanları ile birlikte kullanılmalıdır:
» Kişisel Verilerin Korunması ve İşlenmesi Politikası
9- Dış Referans Kısa Yolları
Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Tebliğler, Kurul Kararları ve sair mevzuatlar.