A. POLİTİKA, KAPSAM,
AMAÇ
Safiye BEKAR - OKYANUS DİJİTAL TELEVİZYON SERVİSİ (“Şirket”) Yönetim Kurulu, Kişisel Verileri Koruma (“Politika”) doğrultusunda kişisel
verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin
Korunması Kanunu (“Kanun”) ve sair
mevzuat tarafından getirilmiş ilke ve kurallara
uymayı ve Şirket tarafından verileri işlenen bireylerin hak ve
özgürlüklerini korumayı taahhüt etmektedir. Yönetim Kurulu bu amaçla,
uygulanmak ve geliştirilmek üzere yazılı bir Kişisel Veri Koruma Politikası ve
Sistemi benimsemiştir.
1. Kapsam
Bu Politika hükümleri, Şirket bünyesinde yapılan ticari faaliyet konuları
ve çalışma alanları ile bu işlemlere ilişkin satış, pazarlama, lojistik,
depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları,
hukuk, iç denetim ve bilgi işlem dahil olmak üzere ancak sayılanlarla sınırlı
kalmamak kaydıyla tüm departman ve birimlerin faaliyetlerinden elde edilen kişisel
verilerin Kanun kapsamında toplanması, işlenmesi, saklanması, korunması,
gizliliğinin ve bütünlüğünün bozulmaması için Şirket’in kullandığı prosedür ve
süreçler ile bunlara ilişkin tüm bilgi sistemlerini ve alt bilgileri,
kontratları, çevre ve fiziksel alanlar ile tüm bunlar için üretilen sistem ve
düzenlemeleri kapsamaktadır. Bu doğrultuda Politika, Şirket’in tüm çalışanları,
ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli çalışanları ile destek
hizmeti veren üçüncü tarafların çalışanlarını kapsamaktadır.
2.
Kişisel Veri Koruma Politikası ve Sisteminin Amaçları
Kişisel Veri Koruma
Politikası ve Sisteminin amacı, Şirket’in kişisel
verilerin yönetiminde kendi standartlarını oluşturması ve
gerçekleştirmesinin sağlanması, organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, Şirket’in
kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının
tesis edilmesi, Şirket’in kişisel verilerin korunması alanındaki uluslararası sözleşmeler,
anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu
yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.
3.
Veri Koruma İlkeleri
Şirket, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine
uyacaktır. Şirket’in benimsediği veri
koruma ilkeleri şunları içermektedir;
·
Kişisel verileri yalnızca
meşru kurumsal amaçlar
bakımından açıkça gerekli
olması halinde işlemek,
·
Bu amaçlar için gerekli asgari
ölçekte kişisel veriyi
işlemek ve gereğinden fazla veriyi işlememek,
·
Bireylere kişisel verilerinin kimler tarafından ve ne şekilde
kullanıldığı konusunda açık bilgi
vermek,
·
Yalnızca ilgili ve uygun kişisel verileri işlemek,
·
Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
·
Şirket tarafından işlenen kişisel veri kategorilerinin envanterini tutmak,
·
Kişisel verileri doğru ve gerektiğinde güncel tutmak,
·
Kişisel verileri yalnızca
yasal düzenlemeler, Şirket’in
hukuki yükümlülükleri veya meşru
kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
·
Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
·
Tüm kişisel verileri güvenli tutmak,
·
Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek,
·
Mevzuat uyarınca izin verilen istisnaları uygulamak,
·
Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak,
·
Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların Şirket’in
kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek,
·
Kişisel verilerin korunması
sistemiyle ilgili özel yetki ve sorumluluklara sahip personel/leri
belirlemek.
4. Bildirimler
·
Şirket, veri sorumlusu olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında
Kişisel Verilerin Korunması Kurulu’nu
bilgilendirir. Şirket, kişisel veri envanterinde işlediği tüm kişisel
veri kategorilerini belirler.
·
Bildirim, Kurul tarafından belirlenecek usul ve yöntem uyarınca
yapılır. Yapılan bildirimin bir kopyası Şirket’in
Kişisel Veri Koruma Komitesi
(“Komite”) tarafından saklanır.
·
İlgili mevzuat veya Kurul tarafından gerekli
görülmesi halinde bildirimler periyodik olarak tekrarlanır.
·
Komite, Kurul’a yapılan bildirimde meydana gelebilecek potansiyel değişiklikleri tespit etmek amacıyla
Şirket’in veri işleme faaliyetlerini ve bunlardaki değişiklikleri yıllık olarak
gözden geçirir ve gerekmesi halinde Kurul’u bilgilendirir.
·
Şirket’in tüm çalışanları, stajyer ve sözleşmeli
çalışanları ile destek hizmeti veren üçüncü taraflar çalışanlarının Politika’yı
ihlal edici her türlü eylemine Şirket’in disiplin mevzuatı uygulanır. Söz
konusu ihlalin suç veya kabahat oluşturması halinde durum en kısa süre içerinde
ilgili makamlara bildirilir.
Şirket ’in kişisel verilere erişimi ve/veya erişme ihtimali bulunan çözüm
ortakları ve Şirket ile birlikte çalışan tüm üçüncü taraflar Politika’yı okumaya ve Politika ’ya uymaya davet edilir. Hiçbir üçüncü
taraf, kişisel verilerin korunması konusunda
en az Şirket’inki kadar güçlü standartlara sahip
yükümlülükleri yerine getirmeksizin ve bunlara ilişkin
Şirket ‘in denetim hakkını içeren yazılı bir gizlilik anlaşması yapılmaksızın Şirket tarafından işlenen
kişisel verilere erişim
sağlayamaz.
B. TANIMLAR
KVKK: 6698 sayılı
Kişisel Verilerin Korunması
Kanunu’nu,
KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,
KVK Kurumu:
Kişisel Verileri Koruma
Kurumu’nu,
KVK Komitesi: Şirket bünyesindeki Kişisel Verileri
Koruma Komite ’sini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verilerini,
Açık Rıza: Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Envanter: Şirket için önemli, gerekli
ve işlenecek nitelikteki her türlü bilgi varlığını,
Kişisel Verilerin İşlenmesi: Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi,
Veri İşleyen: Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişiyi,
Veri Sorumlusu: Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri Kayıt
Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt
sistemini,
Anonim Hâle Getirme:
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesini,
Yok Etme: Kişisel verilerin, hiç kimse
tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz
hale getirilmesi işlemini ifade eder.
C. GÖREV VE
SORUMLULUKLAR
1. Şirket, Kanun
uyarınca veri sorumlusudur.
2. Yönetim Kurulu ile yönetici,
birim sorumlusu, pozisyonlarında olanlar başta olmak üzere tüm çalışanlar,
Şirket bünyesinde kişisel verilerin işlenmesi konusunda doğru uygulamaların
geliştirilmesi ve teşvik edilmesinden ve ayrıca bireysel görev tanımlarında yer
verilmiş bu konuya ilişkin diğer yükümlülüklerden sorumludur.
3. Komite,
kişisel veri koruma sisteminin yönetilmesi ile Kanun ve sair ilgili mevzuatlara
ve düzenlemelere uyumun sağlanması ve belgelenmesi konularında görevli birim
olarak kurulmuş olup bu konularda Yönetim Kurulu’na karşı sorumludur.
4. KVK Komitesi
Komite üyeleri, Yönetim Kurulu tarafından kişisel verilerin korunmasına
ilişkin mevzuat ve düzenlemeler ile uygulamalar konularında uzmanlık ve tecrübe sahibi
olmaları dikkate alınarak atanır. Komite, faaliyetleri
hakkında doğrudan Yönetim Kurulu’na rapor sunar.
Komite her 6 (altı)
ayda bir düzenli
olarak veya gerek görülmesi halinde
toplanır.
4.1.
KVK Komitesi Görev ve Sorumlulukları
·
Komite, Yönetim Kurulu’nu Kişisel Verilerin Korunması mevzuatı ve gelişmeleri
konusunda bilgilendirmelidir.
· Komite, Şirket’in politikalarının ve prosedürlerinin güncel old