1. Tanımlar
Kısaltma |
Açıklama |
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu |
Prosedür |
6698 Sayılı Kanun’a Göre Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü |
Başvuru Formu |
Veri Sahibi ’nin Kanun m.13 uyarınca gerçekleştireceği başvurularda kullanılmak üzere Prosedür ’ün eklerinde sunulan ya da bu ekler temel alınarak Şirket tarafından kaleme alınan form |
Kurum |
Kişisel Verileri Koruma Kurumu |
Kurul |
Kişisel Verileri Koruma Kurulu |
Çalışanlar |
Şirket Çalışanları |
Şirket |
TERMOKAR MAKİNA VE SOĞUTMA SAN. TİC. LTD. ŞTİ. |
Veri İşleyen |
Şirket birim personelleri,tedarikçiler, danışman şirketler, taşeron şirketler dâhil fakat bunlarla sınırlı olmamak üzere Kanunda tanımlı şekilde, Şirket’in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Sahibi |
Kişisel verisi işlenen gerçek kişi |
Kişisel Veri |
Kanun kapsamında bulunduğu sürece, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Ön Değerlendirme Ekibi |
Şirket’e iletilen başvuruların ilk olarak yönlendirileceği ekip |
Başvuru Yanıtlama Birimi |
Başvuruların yanıtlanmasından sorumlu ekip |
Veri Kategorizasyonu |
Veri Envanteri içerisinde yer verilmiş olan veri sahibi, kişisel veri ve paylaşılan taraf bilgilerine ilişkin kategori bilgileri |
Veri Envanteri |
Şirket’in tüm veri işleme süreçleri ve amaçlarının envanterinin tutulduğu ortak server alanında yer alan doküman |
Süreç |
Veri Envanterinde yer alan her bir veri işleme faaliyeti |
2. Başvurunun Alınması
2.1. Başvurunun Şekli
2.1.1.Yazılı Başvuru.
Kanun 13’üncü maddesi, başvurunun “yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle” yapılacağını öngörmüştür. Kurul tarafından ,yazılı olarak , şirket web sitesi üzerinden veya şirket kep adresinden başvuru süreci tesis edilmelidir.
Yazılı şekle uyulması için aşağıda önerilen yöntemler kullanılabilir:
2.1.2. Fiziksel başvuru:
Başvuruların şirket içerisinde elden alınabileceği süreçler kurgulanır.
2.1.3. Noter kanalıyla başvuru:
Noter kanalıyla başvurunun resmi kanallardan yapılması sağlanır.
2.1.4. Elektronik ortamda “güvenli elektronik imzalı” başvuru ve web sitesi üzerinden başvuru:
Kanun yazılı başvuru ifadesini kullandığından «güvenli elektronik imza» ve şirket web adresi kullanarak da elektronik ortamda yazılılık şartı sağlanabilecektir.
Bu noktada başvuruların kayıt altına alınması ve ilgili kişiye gecikmeksizin ulaştırılabilmesi için Şirket içinde muhatap kişinin belirlenmesi, bu yönde gelecek başvuruların muhaberat tarafından hızlıca ilgisine iletebilmesi için ilgili prosedürün kurgulanması önerilmektedir.
2.2. Başvurunun İçeriği
2.2.1.Başvuranın Kimliğinin Tespiti:
Veri Sahibi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin, Şirket nezdinde işlenen kişisel verilerin sahibi olup olmadığı tespit edilir.
· Başvuruyu işleme alabilmek ve doğru kişiye sonucu iletebilmek için başvuranın kimlik bilgileri (Veri Sahibi ‘nin adı, soyadı, T.C. Kimlik numarası, iş veya ikametgâh adresi) tespit edilir.
· Elektronik ortamdan yapılan başvurularda yazılılık şartını sağlamak üzere, Veri Sahibi ‘nin başvurularında 5070 Sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza kullanılmalıdır. Güvenli elektronik imzaya dayalı nitelikli elektronik sertifika ile de başvurucunun kimliği hukuken tespit edilebilecektir.
· Şirket’in başvuruları almak için standart bir form kullanması önerilmektedir (Ek-1 ve Ek-2’de başvuru formu önerileri sunulmaktadır.).
Şarta bağlı olan taleplerle ilgili bu şartın nasıl gerçekleştiği yolunda veri sahibinden (örneği başvuru formunda gösterildiği şekilde) ekstra bilgi istenmeli ve bu iddiasını kanıtlayacak vesikalar Kanun uyarınca geçerli olmayan kanallardan da (ör. Çağrı Merkezi, internet sitesi, mail vb.) başvurular alınabilir. Bu kanallardan başvuru alındığı takdirde veri sahibi Prosedür uyarınca tasarlanan geçerli başvuru kanallarına yönlendirecek uyarı ve yönlendirme metinleri dizayn edilmelidir.
Prosedürde belirlenen yollarla alınmayan başvurular için
· Eğer başvurucunun kimliği tespit edilmiş ve
· Formla istenen bilgiler sağlanmış ise
bu tür yolarla yapılan başvurular da değerlendirmeye alınabilir.
Bu niteliği taşımayan başvurular da değerlendirilerek formda istenen bilgiler elde edilene kadar başvurucu ile iletişimde bulunulmalı; usule uyulmadığı gerekçesiyle başvurunun reddedildiği belirtilmelidir.
2.3. Diğer Durumlar
2.3.1. Vekil veya Yasal Temsilci Tarafından Yapılan Başvuru
Kanun’da Veri Sahibi ‘nin Veri Sorumlusuna talepte bulunabileceği belirtilmiş olsa dahi başvuruyu Veri Sahibi ‘nin vekili veya kanuni temsilcinin yapmasını engelleyen bir kural bulunmamaktadır. Bu nedenle, bazı başvurular Veri Sahibi tarafından doğrudan yapılmayabilir.
Böyle bir durumda, başvuruda bulunan kişinin başvuruda bulunma yetkisinin varlığı kontrol edilmelidir. Örneğin başvuru, Veri Sahibi ‘nin avukatı tarafından gönderilebilir. Böyle bir durumda, avukatın yetkisini teyit etmek amacıyla avukattan vekaletname sureti talep edilmelidir.
Çocukların Kişisel Veri’lerini ilgilendiren talepler için başvuru yasal temsilci tarafından yapılabilecektir. Böyle bir durumda da mutlaka yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilmelidir.
2.3.2. Toplu Başvuru Yapılması
Şirket’in yapısına veya ticari niteliğine göre işlenen Kişisel Veri’lere ilişkin olarak birden fazla Veri Sahibi tarafından topluca başvuru iletilmesi mümkün olabilir. Örneğin, bir vekaletname ile birkaç kişinin Kişisel Veri’ si hakkında başvuruda bulunabilecektir.
Toplu başvuru durumunda Şirket’in her bir kişi için başvuruyu ayırarak ayrı ayrı değerlendirme yapması önerilmektedir. Böyle bir durumda aşağıdaki aksiyonlar alınmalıdır:
· Veri Sahibi kişilerin adına başvuru yapan üçüncü kişinin yetkisinin teyit edilmesi,
· Veri Sahibi’ nin kimliğinin teyit edilmesi.
2.3.3. Başvuru Ücreti
Kanun’da Veri Sorumlusu’nun kendisine iletilen talebi ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin ayrıca bir maliyeti gerekmesi halinde Kurul’un belirleyeceği esaslar doğrultusunda bir ücretlendirme yapılmasının da mümkün olabileceği ifade edilmiştir.
Kurulun belirlediği ücret tarifesi uygulanacaktır.
3. Başvuru Değerlendirme Süreci
Veri Sahibi tarafından yapılan başvurularda yer alan taleplerde sunulması gereken arasında eksik bilgi olabilir, üçüncü kişilere ait bilgilere yer verilebilir veya çeşitli sebeplerle başvurunun reddedilmesi gerekebilir. Bu itibarla, tüm bu olasılıkların Şirket tarafından değerlendirilmesi gerekmektedir.
Üçüncü kişilere ait kişisel verileri paylaşmadan bilgi edinme talebinin yanıtlanması mümkün olmayan durumlarda aşağıdaki üç adımlı değerlendirme süreci uygulanabilecektir:
· Bilgi edinme talebinin, üçüncü kişiye ait kişisel verileri paylaşmadan yanıtlanması mümkün mü? (ör: 3. Kişiye ait bilginin üstünün kapatılması veya silinmesi gibi)
· Üçüncü kişi kendisi hakkında kişisel veri paylaşılmasına açık rıza vermiş midir?
· Üçüncü kişinin açık rızası alınamıyor ise, açık rıza alınmadan kişisel veri paylaşılması makul müdür?
Öncelikle, Kişisel Veri’ si açıklanmak durumunda kalınan Veri Sahibi’nden açık rıza alınması yoluna başvurulur.
Üçüncü kişi verilerinin paylaşılmasına rıza vermiyorsa, üçüncü kişinin bilgileri tamamen ayıklanarak başvuru yanıtlanır.
Eğer Kişisel Veri’ si açıklanacak üçüncü kişi Verisi Sahibi’ ne ulaşmak mümkün değilse, üçüncü kişi kişisel verisi içeren bilginin paylaşılması konusunda hassas davranılmalıdır. Gerekli olması halinde, üçüncü kişi Kişisel Veri’ si içeren bilgiler de paylaşılabilecektir.
3.1. Başvuruların Değerlendirme Süreleri
Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekmektedir.
Başvuruların zamanında cevaplandırılabilmesi için Şirket içerisinde taleplerin işlenmesine ilişkin prosedürler geliştirilir. Bu prosedürlerde asgari olarak aşağıdaki sürelerin öngörülmesi gerekmektedir:
Bir başvuru geldikten sonra, başvurunun ilgili departmanlara gönderilmesi için azami 3 günlük süre
Gönderilen departmanların gelen talebe ilişkin yanıt vermesi için azami 1 hafta süre
3.2. Örnek Değerlendirme Süreçleri
3.2.1. Kanun m. 11/1 (a), (b), (c), (ç) uyarınca gelen başvurular
Gelen başvuru Ön Değerlendirme Ekibi tarafından kaydedilerek incelemeye alınır.
Kişinin kimlik bilgileri kontrol edilerek başvuru yapmaya yetkili olup olmadığı tespit edilir.
Başvuru Formu’nda yer alan bilgilerden hareketle Veri Envanterindeki ilgili “Süreç” tespit edilir. İlgili “Süreç” tespit edilirken Veri Envanterindeki Veri Kategorizasyonu ile Başvuru Formu’nda verilen bilgiler karşılaştırılır. Veri Kategorizasyonu ve Veri Sahibi Kategorizasyonundan ilgili kategorilerde bulunan Süreçlere sorgu indirgenir. Bu süreçte yer alan veri işleme amaçları ve paylaşılan taraflar bilgileri cevabın oluşturulmasında kullanılır.
Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan Veri Sahibi bilgileri Şirket veri tabanları üzerinde aratılarak gerçek test uygulanır. Gerçek test sonuçları ile Veri Envanteri adımları karşılaştırılır, gerçek test sonucunda Veri Envanterinde yer almama ihtimali bulunan veriler tespit edilmesi durumunda Veri Envanteri güncellenerek sorgu tekrarlanır.
Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’ nin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa «Başvuru sahibi ile ilgili kişisel veri kaydı yoktur; başvuru sahibi hakkında kişisel veri işlenmemektedir cevabı», Başvuru Yanıtlama Birimi’ne dönülür.
Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’ nin başvuru formunda belirttiği kişisel verilere rastlanıyorsa; Veri Sahibi’ nin talebi doğrultusunda, iii. başlıklı adımda belirtilen şekilde Veri Envanterinde yer alan veri işleme amacı, paylaşılan taraf ve paylaşma amacı bilgilerinden uygun olanlarına cevap metni içerisinde yer verilir.
vii. Yukarıda anılan aşamalarda, yapılan işlemler, işlem ve zaman olguları, oluşan olay kayıtları, evraklar ve sorgu sonuçları Başvuru Değerlendirme Ekibi tarafından kayıt altına alınır ve bu konuda oluşturulan elektronik dizinde saklanır.
3.2.2. Kanun m. 11/1 (d) uyarınca gelen başvurular
Veri Sahibi’ nin ya da temsilcisinin sağladığı Kişisel Veriler ve bunları tevsik eden belgeler, Şirket kayıtlarında yer alan bilgilerle bilgiler karşılaştırılır ve talep kapsamında hatalı ya da eksik olduğu belirtilen bilgiler incelenir.
Eğer sağlanan Kişisel Veriler ve tevsik edici belgelerdeki bilgiler MERNİS ve Adres Kayıt Sistemi gibi yerlerdeki bilgilerle de uyuşuyorsa kayıtların düzeltilmesi notu alınır. Gerekli düzeltmenin yapılması için veri tabanından sorumlu olan birime konu iletilir.
Bu aşamada “Başvurunuzun incelenerek başvurunuzda belirttiğiniz bilgi ve belgelere dayalı olarak kişisel verileriniz güncelleştirilmiştir” notu Başvuru Yanıtlama Birimi’ne gönderilir.
3.2.3. Kanun m. 11/1 (e) uyarınca gelen başvurular
Veri Envanterinde hangi Süreçlerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.
Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise «Talebiniz üzere Şirketimiz nezdindeki kişisel verileriniz silinmiş ve/veya anonimleştirilmiştir» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir ve paralelde kişisel verilerin silinmesi ve anonimleştirilmesi işlemi başlatılır.
Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise “Yapmış olduğunuz başvuru neticesinde gerekli incelemeler yapılarak […] kişisel veri işleme faaliyetlerinin kişisel veri işlemeye temel olan hukuki amacın ortadan kalkmasından dolayı gerçekleştirilmediğini tespit ettiğimizi bildirmek isteriz. Bu çerçevede ilgili iş birimlerimizin de hukuki amacı ortadan kalkan veri işleme faaliyetinde bulunmaması için gerekli tedbirler alınmıştır. Bununla birlikte kişisel verileriniz Şirketimiz kanuni yükümlükleri çerçevesinde […] Amaçlarla ilgili mevzuatlarda öngörülen sürelerle işlenmek, saklanmak ve talep vukuunda açıklanmak zorunda olup; ancak bu yükümlülüğünü ortaya koyan mevzuatlar kapsamında yetkili kurum ve kuruşlardan gelen resmi taleplerin yanıtlanması ve/veya şirketimizin kanuni yükümlülükleri yerine getirmek amacıyla işlenecektir. Bu nedenle bahsi geçen amaçlar çerçevesinde kişisel verilerinizin işlenmesi kanuni yükümlülüğümüz olduğundan dolayı kişisel verilerinizin silinmesi veya anonimleştirilmesi talebinizi yerine getiremediğimizi ancak yukarıda belirttiğimiz şekilde sadece bu amaçlarla işleneceğini bildirmek isteriz” notu Başvuru Yanıtlama Birimi’ne gönderilir.
3.2.4. Kanun m. 11/1 (f) uyarınca gelen başvurular
İndirgenen süreçlerde Süreç Kartı’nın paylaşılan kişiler bölümünden kategorik halde paylaşılan kişiler tespit edilir.
Eğer silme veya anonimleştirme talebi kabul görmüşse; ilgili üçüncü kişilerden bu talebin yerine getirilmesi talep edilir. Paralelde veri sahibine iletilmek üzere «Uygun bulunan silme veya anonimleştirme talebinize istinaden kişisel verilerinizin aktarıldığı kişilerdeki kişisel verileriniz silinmiş veya anonimleştirilmiştir» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.
3.2.5. Kanun m. 11/1 (g) uyarınca gelen başvurular
Veri Sahibi’ nin ya da temsilcisinin sağladığı bilgi ve belgelerle, münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve Veri Sahibi’ nin aleyhine sonuç doğurduğu iddia ettiği süreç incelemeye alınır.
Yapılan inceleme neticesinde otomatik Süreçte ve bu Süreç içerisinde işlenen Kişisel Verilerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa «Yapılan incelemeler neticesinde; Şirketimiz nezdindeki kişisel verileriniz kullanılarak oluşturulan raporlarda bir eksiklik ve yanlışlık tespit edilmemiş olduğunuzdan itirazınız reddedilmiştir.» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.
Eğer kişinin sağladığı bilgiler mevcut değerlendirme sürecindeki verilerde; dolayısıyla otomatik olarak oluşturulan sonuçta bir değişiklik yaratıyor ve kişi lehine bir sonuç yaratıyorsa bu sonuç cevap yapılarak, kişinin itirazının değişen sonuca göre kayıt altına alındığı ve sistemlerin bu şekilde güncellendiği bilgisi hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.
3.2.6. 6. Kanun m. 11/1 (ğ) uyarınca gelen başvurular
Veri Sahibi’ nin ya da temsilcisinin sağladığı bilgiler ışığında zarar talebi, hukuk ve ilgili birimlerin katılımıyla incelemeye alınır.
Bu inceleme neticesinde ortaya çıkan sonuç ve cevap tanzim edilerek Başvuru Yanıtlama Birimi’ne gönderilir.
3.2.7. Başvuruların Yanıtlanması
Tüm başvurular, Başvuru Yanıtlama Birimi tarafından yanıtlanır.
30 Gün İçinde Cevap Verilmesi: Şirket çalışan tarafından yapılan başvuruda yer alan talepleri inceler. Talebin niteliğine göre Şirket, en kısa sürede veya her halde en geç otuz (30) gün içinde talebi yerine getirmekle yükümlüdür. Bu süre içerisinde herhangi bir cevabın verilmemesi halinde başvuru sahibi Kurul’a şikâyette bulunabilecektir.
4. Şirket Cevabında Bulunması Gereken Bilgiler:
· Talebi Yapan Kişi
· Talepler
· Talepler Neticesinde Sağlanan Bilgi ve Belgeler
· Talebin Alınma tarihi
· Taleple ilgili ekstra bilgi ve belge talep edilmiş ise; bu taleplerin tarihi ve ilgili cevapların alınması tarihi
· Taleple ilgili yapılan işlemler
· Taleplere Karşı Şirketin Cevapları
· Talep Yanıtlama Tarihi
· Yetkili İmza
Noter kanalıyla yapılan başvurulara verilen yanıtlar: Cevap, Şirket antetli kâğıda basılarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetki olarak atadığı kişi tarafından iki nüsha imzalanır. Cevap posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.
Elektronik imza ile verilen yanıtlar: Cevap Şirket antetli ve elektronik imzalı olarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetkili olarak atadığı kişi tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.
İlgili başvuruyla ilişkin oluşan olay kayıtları, evraklar ve sonuçları bu konuda oluşturulan elektronik dizinde saklanır. Yazılı gönderi kaydının da arşivde kopyası saklanır.