1. Giriş
GMG Endüstriyel Mutfak Ekipmanları (GMG ) olarak, kişisel verilerin korunması yönünde çıkan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca yürürlükte bulunan tüm mevzuata uygun olarak hazırladığımız GMG Endüstriyel Mutfak Ekipmanları KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI, şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin genel ilke ve prensiplerini içermektedir.
Kanunda açıklanan içeriklere uyum bakımından GMG kişisel veri sahiplerini bu politika aracılığıyla bilgilendirerek gerekli şeffaflığı sağlamaktadır. Kişisel verilerinizin korunması ve işlenmesi konusundaki sorumluluğumuzun farkında oluşumuz neticesinde hazırladığımız işbu politikanın kapsamında verileriniz işlenmekte ve korunmaktadır.
2. Amaç
GMG Endüstriyel Mutfak Ekipmanları KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI, şirketimizin veri sorumlusu sıfatıyla, kişisel verilerini işlediği ve koruduğu ilgili kişilerin aydınlatılması, amacıyla hazırlanmıştır. Bu politikamızın konusu, GMG’in müşterileri, şirket yetkilileri ve hissedarları, çalışanları, potansiyel müşterileri, çalışan adayları, iş ortakları ve tedarikçileri, eski personelleri, ziyaretçileri ve sair üçüncü kişileri Kanun kapsamında politikalarımız hakkında bilgilendirmektir.
3. Tanımlar
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
GMG Paslanmaz Teknolojileri San. Ve Tic. A.Ş.
Kişisel Veri Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örn: Ad, soyad, TC.no, e-posta, gsm no, kredi kartı no, vb.
Özel Nitelikli (Hassas) Kişisel Veri Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Örn: Irk, etnik köken, siyasi düşünce, felsefi inanç, sağlık verisi, mezhep, vb.
İlgili Kişi Kişisel verisi işlenen gerçek kişiyi ifade eder.
Kişisel Verilerin İşlenmesi Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Veri Sorumlusu Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri İşleyen Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.
Anonim Hale Getirme Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir.
Politika GMG Paslanmaz Teknolojileri San. Ve Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’dır.
Veri Kayıt Sistemi Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunudur.
Kurum Kişisel Verileri Koruma Kurumu
Kurul Kişisel Verileri Koruma Kurulu
4. Kişisel Verilerin İşlenmesinde Uygulanacak Temel İlkeler
Kanun’un 4. Maddesi uyarınca kişisel veriler, Kanun ve diğer ilgili mevzuatta öngörülen usul ve esaslara uygun bir şekilde işlenmelidir. Bu nedenle GMG kişisel verilerin işlenmesi ile ilgili olarak aşağıdaki temel ilkelere uymakla yükümlüdür.
4.1. Hukuka ve dürüstlük kurallarına uygun olunması:
GMG, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda GMG, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işler.
4.2. Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama:
GMG, işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlar ve bu doğrultuda gerekli tedbirleri alır. GMG, kişisel veri sahiplerinin kişisel verilerini düzeltmeleri ve güncelleştirmeleri talepleri ardından gereğini yapar.
4.3. Belirli, açık ve meşru amaçlar için işleme:
GMG, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işler. Bu kapsamda GMG kişisel verilerin hangi amaçla işleneceğini belirler ve belirtilen amaçlar dışında işlemez. GMG, tarafından belirlenen veri işleme amaçları meşru ve hukuka uygundur.
4.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:
GMG, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmez.
4.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme:
GMG kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza eder. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.
5. Kişisel Verilerin İşlenme Şartları
Kişisel veriler, Kanun’un 5. Maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
6. Veri Sorumlusunun Yükümlülükleri
6.1. Kişisel veri sahibini aydınlatma yükümlülüğü:
Kişisel verilerin elde edilmesi sırasında Veri Sorumlusu sıfatıyla GMG, ilgili kişinin verilerini ne şekilde işleyeceği konusunu aydınlatması gerekmektedir. Bu bağlamda, Kanun’un 10. Maddesinde, bilgilendirmede yer alması gereken asgari hususlar şu şekilde sayılmıştır;
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusu ve varsa temsilcisinin (veri işleyen = irtibat kişisi) kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
d) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
e) İlgili kişinin sahip olduğu haklar konusunda bilgi vermekle yükümlüdür.
6.2. İlgili kişilerin başvurularını yanıtlama yükümlülüğü:
İlgili kişiler, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin Kanunda yer alan haklarını kullanabilirler.
Bu kapsamda, GMG, kişisel veri sahiplerinin haklarının yerine getirilmesi için Kanun’un 13. Maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almıştır.
Kanun’un 11. Maddesine göre ilgili kişinin hakları;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanun’da öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) d ve e bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
GMG, Kanun’da yazdığı şekilde, başvuruda yazan talepleri en kısa sürede ve en geç 30 gün içinde sonuçlandırır. İlgili kişi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması ve ya süresinde yanıt alamaması halinde 30 gün içinde Kurul’a şikâyette bulunabilir.
6.3. Kişisel verilerin güvenliğini sağlama yükümlülüğü:
Kanun’un 12. Maddesi gereği, veri sorumlusu sıfatıyla GMG;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önleyeceğini,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önleyeceğini,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacağını temin eder.
GMG, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
GMG, İç Denetim birimi tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasını sağlar.
GMG ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, GMG bu durumu en kısa sürede ilgilisine ve Kurula bildirecektir.
6.4. Veri sorumluları siciline kaydolma yükümlülüğü:
GMG, Kanun’un 16. Maddesi gereğince kişisel veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde veri sorumluları siciline kayıt olacaktır.
GMG’in sunacağı bilgiler Kanun’da da yazdığı üzere aşağıdaki gibi olacaktır:
a) Veri sorumlusu ve varsa temsilcisinin (veri işleyen = irtibat kişisi) kimlik ve adres bilgileri,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
7. Özel Nitelikli (Hassas) Kişisel Verilerin İşlenmesi
GMG, “Özel Nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’un 6. Maddesi’ndeki düzenlemeye uygun olarak davranmaktadır. GMG, yeterli önlemleri almak koşuluyla özel nitelikli kişisel verileri kişisel veri sahibinin açık rızası var ise işlemektedir.
Kanun’un 6. Maddesi’nin 3. Fıkrasında; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” dendiğinden böyle bir veri tutulması halinde veri sahibinin açık rızası aranmaz.
8. Kişisel Veri İşleme Amaçları
GMG’in kişisel verileri işleme amaçları aşağıdaki maddelerde açıklanmıştır;
• GMG insan kaynakları politikalarının ve süreçlerinin planlanması ve yürütülmesi,
• GMG ve GMG ile iş ilişki içerisinde olan kişilerin hukuki veya teknik güvenliği ile iş sürekliliğinin temini,
• GMG tarafından sunulan ürün ve hizmetlerin kişisel veri sahiplerinin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek kişisel veri sahiplerine önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası,
• GMG tarafından sunulan ürün ve hizmetlerden kişisel veri sahiplerini faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi,
• GMG tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
• GMG 'in ticari ve/veya iş stratejilerinin planlanması ve/veya icrası.
9. Kişisel Verilerin Güvenliğinin Sağlanması
GMG, veri güvenliğinin sağlanması konusuna azami dikkat ve özeni göstermekte olup, işbu kapsamda Kanun’un 12. Maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler almaktadır.
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.
Bu bağlamda şirketimiz tarafından asgari şekilde aşağıdaki aksiyonlar alınmaktadır;
1. GMG, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede (a) belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
2. GMG, İç Denetim birimleri tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasını sağlar.
3. GMG bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir. SİSTEM, şirket içi eğitimler, politika ve prosedürler ile çalışanlarının Kanun’a uyumunu sağlar.
4. GMG bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanmamaktadırlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
5. GMG tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, ilgili kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da ayrı olarak “taahhütname” alınmaktadır.
6. GMG, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını, çalınmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri almaktadır.
7. GMG, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve Kurul’a bildirir.
10. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Kanun’un 7. Maddesi bu konuyu düzenlemektedir. Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, re’sen veya ilgili kişinin talebi üzerine GMG tarafından silinir, yok edilir veya anonim hale getirilir.
Kanun kapsamında anonim hale getirme, “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış olup GMG anonim hale getirme faaliyetlerini yürürlükteki mevzuata uygun bir şekilde gerçekleştirmektedir.
GMG’in kişisel veri işleme süreçlerinde uyguladığı yöntemlerin detayları, GMG “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Prosedüründe” yazılmıştır.
11. Kişisel Verilerin Aktarılması
GMG , Kanun’un 8. Maddesinde yer aldığı gibi, işlediği kişisel verileri ilgili kişinin açık rızası olmaksızın yurt içinde başka bir gerçek ya da tüzel kişiye aktarımını yapmaz. Aktarımın gerekçeleri dışında başka bir konuda ilgili kişinin kişisel verisi 3. bir başka kurum ile paylaşılmaz.
GMG, Kanun’un 5. Maddesi’nin 2. Fıkrasındaki şartlardan birinin varlığı halinde, verilerin aktarılması konusunda ilgili kişinin açık rızasını almak zorunda değildir.
GMG, yeterli önlemleri almak kaydıyla, Kanun’un 6. Maddesi’nin 3. Fıkrasındaki durumlar için verilerin aktarılması konusunda ilgili kişinin açık rızasını almak zorunda değildir.
GMG tarafından saklanan verileriniz, hak ve yetki sahibi kamu kurum ve kuruluşlarının hukuki süreçlerinde kullanılmak üzere bilgi talepleri olması durumunda ilgili resmi mercilerle paylaşılabilmektedir.
GMG’in yurt dışına kişisel veri aktarımı yoktur.
Konuyla ilgili olarak “Kişisel Verilerin Aktarılması Prosedürü” oluşturulmuştur.
12. Kişisel Verilerin Gizliliği
GMG bünyesindeki kişisel veriler “gizliliğe” tabidir. Çalışanların verileri izinsiz olarak toplaması, işlemesi ya da kullanması yasaktır. Çalışanların kişisel verileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmektedir. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder. Çalışan sözleşmelerinde de konu hakkında maddelere yer verilmiştir.
13. Şirket İçi Kontrol ve Denetimler
GMG, şirket içi kişisel veri işleme ve saklama faaliyetlerinin Kişisel Verilerin Korunması ve İşlenmesi Politikasına ve Kişisel Verilerin Korunması Kanunu’na uygunluğunu ve uyumunu düzenli veri koruma denetimleri ve diğer kontrollerle sağlamaktadır.
14. Kişisel Verilerin Korunması Hususunda Şirket İçi Eğitimler
GMG bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir. GMG, şirket içi eğitimler, politika ve prosedürler ile çalışanlarının Kanun’a uyumunu sağlar.
• Kişisel verilerin korunması konusundaki gelişmeleri takip eder; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunur,
• KVKK Kurumu ile Komite arasında olacak ilişkileri yönetir.
15.Kişisel Verilerin Korunması Komitesi
GMG, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamındaki süreçleri yönetmek üzere, Kişisel Verilerin Korunması ve İşlenmesi Politikasının (Politika), Kanun’a uyumu için üst yönetim tarafından belirlenen aksiyonların yerine getirilmesinden sorumlu olacak “Kişisel Verilerin Korunması Komitesi” (Komite) oluşturmuştur.
GMG’in, Kanun kapsamındaki her türlü işlemi Yönetim Kurulu’nun onayı ile bu Komite tarafından yürütülür.
Kişisel Verilerin Korunması Komitesi Sorumlulukları
• Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirler,
• Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunar; uygulanmasını gözetir ve koordinasyonunu sağlar,
• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar verir, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunur,
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlar; iyileştirme önerilerini üst yönetimin onayını sunar,
• Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlar,
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlar,
• Şirketin Kanun kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunur,
• Kişisel verilerin korunması konusundaki gelişmeleri takip eder; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunur,
• KVKK Kurumu ile Komite arasında olacak ilişkileri yönetir.