ALBAYRAK HOLDİNG ve GRUP ŞİRKETLERİ

KVKK YÖNERGESİ

AMAÇ

Hukuk düzenine ve tabi olduğu tüm yasal/idari düzenlemelere uyumlu çalışmayı ilke edinmiş olan Albayrak Holding AŞ ve Grup Şirketleri (“Şirket”) tarafından hazırlanan işbu yönergenin amacı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca Şirket nezdinde işlenen kişisel verilere ilişkin başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen çalışanların yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

HEDEF

İşbu yönerge ile, Şirketin Kişisel Verilerin Korunması Kanunu ve kişisel verilerin korunmasına ilişkin diğer yasal düzenlemelerin hayata geçirilmesinde sürekliliği sağlamak ve kurum kültürünü standart hale getirme hususları hedeflenmektedir.

KAPSAM

Bu yönerge hükümleri, Şirkete bir hizmet akdi ile hizmet ifa eden yönetici ve diğer personel ile bir sözleşme ile danışmanlık/tedarik/taşeron ilişkisi bulunan tüm kişiler hakkında uygulanır ve adı geçenler bu yönerge hükümlerine uygun davranmakla yükümlü ve sorumludur.

TANIMLAR

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anayasa 1982 tarihli T.C. Anayasası.
Anonim Hale Getirme/Anonimleştirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İç Yönerge, Yönerge İşbu Kişisel Verilerin Korunmasına İlişkin İç Yönerge
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Komite Kişisel Verileri Koruma Komitesi
Kurul Kişisel Verileri Koruma Kurulu.
Kurum Kişisel Verileri Koruma Kurumu
KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha İşlemi Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika KVK Politikası.
Şirket, Albayrak Holding Grup Şirketleri, Grup Şirketleri https://www.albayrak.com.tr/sektorler-ve-sirketler
Veri Sahibi/İlgili Kişi Başvuru Formu Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veriyi Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Veriyi Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.

 İLKE

Şirket yöneticileri ve çalışanları KVKK ve ilgili mevzuata özen göstermek ve uygun davranmakla yükümlüdür. Bu çerçevede olmak üzere kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

1.Kişisel Verilerin İşlenme Şartları

Şirket nezdindeki kişisel veriler ilgili kişinin açık rızası veya kişisel veri işleme şartlarına uygun şekilde işlenir.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

2.Özel Nitelikli Kişisel Verilerin İşlenme Şartları

  1. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
  2. Özel nitelikli kişisel veriler ilgilinin açık rızası ile işlenebilir.
  3. Sağlık ve cinsel hayat dışındaki kişisel veriler ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
  4. Sağlık ile ilgili kişisel veriler işyeri hekimi, işyeri hekiminin bulunmaması halinde bu konu ile ilgili olarak görevlendirilmiş İK yetkilisi ve ilgili birim müdür ya da şefi tarafından işlenebilir.
  5. Özel nitelikli kişisel veriler fiziki ortamlarda ikinci kilit/şifreleme, dijital ortamlarda da en düşük güvenlik önlemli olarak ikinci şifre sistemi kullanılarak muhafaza edilir ve bunlara ancak yetkili personel tarafından erişilir.

3.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

  1. KVKK ve ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen Şirketimiz tarafından veya ilgili kişinin haklı talebi olması halinde silinir, yok edilir veya anonim hâle getirilir.
  2. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin mevzuatta yer alan hükümler saklı olup silinmemesini gerektiren bir yasal yükümlülüğün mevcudiyeti halinde bu yükümlülük ortadan kalktıktan sonra silme, yok etme veya anonim hale getirme uygulaması icra edilir.
  3. Şirket, silme, yok etme ve anonim hale getirmeye ilişkin bir imha politikası hazırlar ve bu politika gereğince işlem yapılır.
  4. Şirket her yıl Ocak ayı ve Temmuz aylarında olmak üzere kişisel veri envanterlerinin periyodik olarak inceler, anonim hale getirilmesi, silinmesi veya imha edilmesi gereken kişisel verilerle ilgili gerekli işlemleri gerçekleştirir.
  5. Kişisel verilerin silinmesi, yok edilmesi ve imhasına ilişkin süreçlerden ilgili departman yetkilisi sorumludur. Departman yetkilisi Kişisel Verileri Koruma Komitesi ile bu konuda iş birliği yapar.

4.Kişisel Verilerin Üçüncü Kişilere Aktarılması

  1. Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılmaz.
  2. Kişisel veriler KVKK’nın 5. maddenin ikinci fıkrasında, 6. maddesinin üçüncü fıkrasında ve bu yönergenin 1. ve 2. maddesinde belirlenen şartların gerçekleşmesi ve yeterli önlemler alınmak kaydıyla, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
  3. İlgili kişiler; Şirket tarafından işlenen, özel nitelikli kişisel veriler dahil tüm kişisel verilerin Şirket’in hissedarlarına, ortaklarına, tedarikçilerine aktarımı konusunda bilgilendirilir.

5.Kişisel Verilerin Yurt Dışına Aktarılması

  1. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
  2. Kişisel veriler, KVKK’nın 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
  3. Yeterli korumanın bulunması,
  4. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

6.Şirketin Veri Sorumlusu Olarak Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veya daha öncesinde, Şirket tarafından yetkilendirilen çalışan veya yöneticiler, ilgili kişilere;

  1. Şirketin kimliği
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Bu yönergenin 7. maddesinde sayılan diğer hakları,

konusunda bilgi verir.

Bu bilgi öncelikli olarak Şirketin internet sitesinde, diğer başvuru kanallarında ve kişisel veri işlenen mecralarda herkesin görüp okuyabileceği biçimde gerektiğinde katmanlı olarak internet sitesine yönlendirmek şekliyle ilgili kişilere sunulur.

7.İlgili Kişinin Hakları

İlgili kişiler, Şirket’e başvurarak kendisiyle ilgili;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini istemele,
  6. Yasada öngörülen hükümler çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemele,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemele,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

İlgili kişinin bu yönergede sayılan hakları ile ilgili olarak internet sitesinde yayınlanan aydınlatma metni ve diğer mecralarda yazılan/yayınlanan aydınlatma metinlerinde başvuru yolları ve diğer prosedür hakkında gerekli açıklamalar yapılır.

İlgili kişinin usulüne uygun başvurusunun tebliğinden itibaren en geç 30 gün içinde ilgili kişiye talepleri hakkında Şirket tarafından bir cevap verilir. Bu konu ile ilgili süreçlerin takibinden ve yönetilmesinden İrtibat Kişisi sorumludur.

8.Veri Güvenliğine İlişkin Yükümlülükler

Şirket gerek kişisel verilerin işlenmesinde ve gerekse kişisel verilerle ilgili olarak yetki ve sorumluluk verilen personeli;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,

amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kişisel verilerin Şirket adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişiler uyarılır, kendilerinden yazılı taahhüt alınır ve sözleşmelerine bu konu eklenir.

Kişisel verilerin işlenmesi ve korunması ile yetkilendirilen ve sorumlu kılınan çalışanlar kendi görev ve yetki alanlarında bu yönerge hükümlerinin uygulanmasını sağlamak amacıyla gerekli çalışmaları yapar. Bu konuda üst düzey yöneticiler gerekli denetimleri yapmak veya yaptırmak zorundadır.

9.Gizlilik

Şirket çalışanları ve yöneticileri öğrendikleri kişisel verileri KVKK ve ilgili mevzuat ile bu yönerge hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

10.Bildirim

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde, konudan haberdar edilen İrtibat Kişisi durumu en kısa sürede ilgilisine ve üst yönetime bildirir. Yaşanan ihlal İrtibat Kişisi tarafından aynı zamanda Kurul’a da bildirilir.

11.İdari ve Teknik Tedbirler

Şirket, veri güvenliğinin sağlanmasına ilişkin her türlü idari ve teknik tedbirleri alır ve bu süreçte bilgi işlem sorumlusu/sorumluları, ilgili İrtibat Kişisi ve Kişisel Verilerin Korunması Komitesi aktif rol alarak koordineli bir biçimde çalışır. Bu konuda alınması gereken idari ve teknik tedbirlere ilişkin olarak son durum bilgisi, bilgi işlem sorumlusu/sorumluları ve İrtibat Kişisi ve/veya Kişisel Verilerin Korunması Komitesi tarafından her yılın Şubat ayı içinde Şirket üst yönetimine yazılı rapor sunulur.

Bilgi işlem sorumlusu Kurul tarafından yayınlanan İdari ve Teknik Tedbirler rehberine uygun önlemleri almak üzere çalışmalar yapar. Bilgi işlem sorumlusu tarafından;

  1. Mevcut risk ve tehditlerin belirlenmesi, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.
  2. Çalışanların bilgi ve kişisel veri güvenliğine yönelik eğitilmesine ve farkındalık sahibi olmasına yönelik çalışmalar yapılmalıdır.
  3. Siber güvenliğin sağlanması konusunda çalışmalar yapılmalıdır.
  4. Kişisel veri içeren ortamların güvenliğinin sağlanması konusunda çalışmalar yapılmalıdır.
  5. Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde devreye sokulmak üzere verilerin yedeklenmesi sağlanmalıdır.
  6. Özellikle Kurul tarafından tavsiye niteliğinde sunulan,
  7. Yetki Matrisi
  8. Yetki Kontrol Erişim Logları
  • Kullanıcı Hesap Yönetimi
  1. Ağ Güvenliği Uygulama Güvenliği
  2. Şifreleme
  3. Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  1. Veri Maskeleme
  2. Veri Kaybı Önleme Yazılımları
  3. Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs
  • Sistemleri Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi

gibi teknik tedbirlerin alınması konusunda gerekli çalışmalar yapılır.

12.Kişisel Verilerin Korunması Komitesi

  1. Albayrak Holding AŞ ve Grup Şirketleri tarafından KVKK ile ilgili mevzuat ve Kurul kararlarına uyum konusundaki süreçlerin ve yaşanan/yaşanabilecek ihlallerin takibi ve yönetimi ile bu yönerge hükümlerini uygulamak ve uygulamayı takip ve denetleme ile görevlendirilmek üzere Kişisel Verilerin Korunması Komitesi kurulur. Komite, Albayrak Holding AŞ ve Grup Şirketleri arasından seçilecek başkanlığında en az üç kişiden oluşur. Komite tarafından yerine getirilecek yükümlülükler ile ilgili bir veya birden fazla kişi görevlendirilebilir.
  2. Ayrıca her şirket, kendi arasında bir üst düzey yönetici başkanlığında en az üç kişiden oluşan Kişisel Verilerin Korunması komitesi kurar. Bu yönergede komite ile ilgili tüm atıflar hem şirket hem de Grup Şirketlerin kişisel verilerin korunması komiteleri için geçerlidir.
  3. Komite, Kişisel Veri İşleme Envanteri Hazırlanması, Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) Gizlilik Taahhütnameleri Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim ile Bilgi İşlem Müdürlüğü tarafından alınması gerekli olduğu yazılı olarak bildirilen idari ve teknik tedbirlerin alınması ve uygulanması konularından sorumludur. İşbu yükümlülüklerin yerine getirilmesi için Yönetim Kurulu’nun yetkili olması halinde durum Yönetim Kurulu’na, Genel Müdürün yetkili olması halinde durum genel müdüre yazılı olarak bildirilir. Şirketin mali ve teknik imkânları dâhilinde Komite talepleri uyarınca işlem yapılır.
  4. Komite, ilgili departman sorumluları ile birlikte kişisel verileri envanterlerinin periyodik inceleme ve imha süreçlerini takip eder.
  5. Komite kendi arasında görev dağılımı yapabilir.

13.İrtibat Kişisi Görev Yetki ve Sorumlulukları

  1. Yönetim Kurulu’nun verdiği yetkiye dayalı olarak Genel Müdür tarafından Kişisel Verileri Koruma Komitesi üyeleri arasından bir İrtibat Kişisi atanır.
  2. İrtibat Kişisi öncelikli olarak şirket adına VERBİS kayıt işlemlerini ve Kurul ile ilişkileri yürütmekle sorumludur.
  3. İrtibat Kişisi ilgili kişinin yasal taleplerini Komite ile birlikte değerlendirmek ve Komite’nin talimatları doğrultusunda Şirket adına gerekli cevapları vermekle yükümlüdür.
  4. İrtibat Kişisi Şirket’in kişisel veri envanterinin oluşturulmasını sağlar, ilgili birimleri takip eder ve envanter uyarınca yapılması gereken çalışmaların neler olduğunu Komite ile birlikte tespit ederek ilgili birimler ile ve üst yönetimle paylaşır.
  5. İrtibat Kişisi kişisel verilerin korunması ile ilgili idari ve teknik tedbirlerinin alınması konusunda bilgi işlem departmanı ve komite ile iş birliği yapar.
  6. İrtibat Kişisi KVKK ve ilgili mevzuata ilişkin Şirket çalışanlarına yönelik farkındalık eğitimlerini Komite ile birlikte planlar.
  7. İrtibat Kişisi aydınlatma metinlerinin hazırlanıp yayımlanması, sözleşmelere kişisel verilerin korunmasına ilişkin özel maddelerin eklenmesi, gizlilik sözleşmeleri ve düzenlemelerinin gerçekleştirilmesi için Komite ile birlikte çalışır.
  8. İrtibat Kişisi veri minimizasyonunun sağlanması için Komite ile birlikte çalışır.

14.Farkındalık Eğitimleri

Şirket, Kişisel Verilerin Korunması mevzuatı ve yeni gelişmeler ışığında kişisel verilere temas eden çalışanlarına düzenli farkındalık eğitimleri verilmesini sağlar ve gerek yeni giren personel gerekse mevcut personelin bu konuda yetkinliğinin oluşmasını sağlar.

15.Kişisel Veri Envanteri

Şirket, işlemiş olduğu kişisel verilere ilişkin kişisel veri envanteri hazırlar. Gerekli görülmesi halinde bu konuda kişisel veri envanteri hazırlama yönergesi oluşturulur.

Hazırlanan kişisel veri envanterleri her yıl Ocak ve Temmuz ayları içerisinde gözden geçirilerek ekleme ve çıkartmalar yapılır.

16.Veri Sorumluları Sicil Bilgi Sistemi

a) Şirket veri sorumlusu sıfatını haiz olması nedeniyle Sicil’e kaydolmak zorundadır. (Son yıllık mali bilançosu 25 milyon Türk Lirası ve çalışan sayısı 50 kişinin altında olan şirketler için Şirket veri sorumlusu sıfatını haiz olması nedeniyle dilerse VERBİS’e kayıt yaptırabilir.)

b) Sicil’e kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
  • Kişisel verilerin hangi amaçla işleneceği.
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler.
  • Kişisel veri güvenliğine ilişkin alınan tedbirler.
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
  • Verilen bilgilerde meydana gelen değişiklikler derhâl Kurul’a bildirilir.

c) Sicil’e kayıt ile ilgili her türlü işlem İrtibat Kişisi tarafında ifa edilir.

 

17.Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumuna Karşı Alınacak Tedbirler

Şirketimiz, işlediği kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde ilgili kişiye ve Kurula bildirecektir.

Kurul tarafından gerekli görülmesi halinde bu durum, Kurulun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

18.Yürürlük

İşbu yönerge Albayrak Holding AŞ ve Grup Şirketleri’nin yönetim organları tarafından onayı ile ilgili şirketlerin genel müdürleri tarafından yürütülür.