ANKARA TİCARET ODASI

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI

POLİTİKASI

İÇİNDEKİLER

1. BÖLÜM - GİRİŞ, TANIMLAR, POLİTİKA’NIN AMACI VE KAPSAMI ................ 5

1.1. GİRİŞ ..................................................................................................................... 5

1.2. TANIMLAR ............................................................................................................ 5

1.3. POLİTİKA’NIN AMACI ........................................................................................... 7

1.4. POLİTİKA’NIN KAPSAMI ...................................................................................... 7

2. BÖLÜM - KİŞİSEL VERİLERİN İŞLENMESİ ................................................... 8

2.1. GENEL İLKELER KAPSAMINDA İŞLENMESİ ........................................................ 8

2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI ........................................................... 8

2.2.1. İLGİLİ KİŞİNİN AÇIK RIZASININ BULUNMASI .............................................. 8

2.2.2. KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ ........................................................ 9

2.2.3. FİİLÎ İMKÂNSIZLIK SEBEBİYLE İLGİLİNİN AÇIK RIZASININ ALINAMAMASI

……………………………………………………………………………………………………………….9

2.2.4. SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN İLGİ OLMASI ..... 9

2.2.5. ODANIN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMESİ ......................... 9

2.2.6. KİŞİSEL VERİ SAHİBİNİN KİŞİSEL VERİSİNİ ALENİLEŞTİRMESİ ................ 9

2.2.7. BİR HAKKIN TESİSİ VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU

OLMASI ...................................................................................................................... 9

2.2.8. ODA’NIN MEŞRU MENFAATİ İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI ..... 9

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ............................................. 10

2.4. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI ................................................ 10

2.4.1. VERİ SORUMLUSUNA BAŞVURU VE ODANIN BAŞVURUYA CEVAP VERME

USÛLÜ ....................................................................................................................... 11

3. BÖLÜM - KİŞİSEL VERİLERİN AKTARILMASI ............................................ 13

3.1. KİŞİSEL VERİLERİN AKTARILMASI .................................................................... 13

3.2. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA

AMAÇLARI .................................................................................................................... 13

3.3. KİŞİSEL VERİLERİN AKTARILMASININ ŞARTLARI ........................................... 14

3.4. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI ............................................ 14

4. BÖLÜM - KİŞİSEL VERİLERİN KATEGORİZASYONU .................................. 14

4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU ......................................................... 14

4.2. İLGİLİ KİŞİ KATEGORİZASYONU ....................................................................... 16

5. BÖLÜM - KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI ................... 16

5.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN ALINAN

TEKNİK VE İDARİ TEDBİRLER .................................................................................... 16

5.1.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN

ALINAN TEKNİK TEDBİRLER ................................................................................... 16

5.1.2. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN

ALINAN İDARİ TEDBİRLER ...................................................................................... 17

5.2. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN

TEKNİK VE İDARİ TEDBİRLER .................................................................................... 17

5.2.1. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN

TEKNİK TEDBİRLER ................................................................................................. 17

5.2.2. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN

İDARİ TEDBİRLER .................................................................................................... 18

5.3. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN ALINAN

TEKNİK VE İDARİ TEDBİRLER .................................................................................... 18

5.3.1. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN ALINAN

TEKNİK TEDBİRLER ................................................................................................. 18

5.3.2. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN ALINAN

İDARİ TEDBİRLER .................................................................................................... 18

5.4. KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA ALINAN TEDBİRLERİN

DENETİMİ ..................................................................................................................... 19

5.5. KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI VEYA VERİ İHLALİ

DURUMUNDA ALINACAK TEDBİRLER ........................................................................ 19

5.6. ODA ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ ...................... 20

5.7. ÜYELER, İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN

KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI

VE DENETİMİ .............................................................................................................. 20

6. BÖLÜM - KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ

VE ANONİMLEŞTİRİLMESİ ŞARTLARI ........................................................... 20

6.1. SAKLAMA VE İMHA POLİTİKASI ........................................................................ 20

7. BÖLÜM - POLİTİKA’NIN YÖNETİŞİM YAPISI, YÜRÜTME VE YÜRÜRLÜK .. 21

7.1. POLİTİKA’NIN YÖNETİŞİM YAPISI ................................................................... 21

7.2. GÜNCELLEME VE UYUM .................................................................................. 22

7.3. YÜRÜRLÜK, YAYIM VE DAĞITIM .................................................................... 22

ANKARA TİCARET ODASI

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. BÖLÜM

GİRİŞ, TANIMLAR, POLİTİKA’NIN AMACI VE KAPSAMI

1.1. GİRİŞ

Kişisel verilerin korunması, Ankara Ticaret Odası (“Oda”) için büyük hassasiyet arz etmekte

olup Odamızın öncelikleri arasındadır.

Bir anayasal hak olan kişisel verilerin korunması konusunda Oda, işbu Politika ile çalışanların,

çalışan adaylarının, üyelerinin, oda yetkililerinin, ziyaretçilerinin, işbirliği içinde olduğu

kurumların çalışanları, üyeleri ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin

korunmasına gerekli özeni göstermekte ve bunu bir kurum politikası hâline getirmektedir.

Odamız bu kapsamda; kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun

(“Kanun”) 12’nci maddesine uygun olarak işlemekte, işlenen kişisel verileri korumak ve

bunlara hukuka aykırı olarak erişilmesini önlemek için gerekli teknik ve idari tedbirleri

almakta ve bu maksatla gerekli denetimleri yapmakta veya yaptırmaktadır.

1.2. TANIMLAR

Bu politikada geçen;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan

rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette

kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Çalışan Adayı : Ankara Ticaret Odası’na herhangi bir yolla iş başvurusunda bulunmuş ya da

özgeçmiş ve ilgili bilgilerini Ankara Ticaret Odası’nın incelemesine açmış olan gerçek kişileri,

Çalışan: Ankara Ticaret Odası’na herhangi bir yolla iş başvurusunda bulunarak görev almış

ve almakta olan kişisel verileri Ankara Ticaret Odası’nda işlenmiş veya işlenmekte olan gerçek

kişileri,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İş Ortağı : Ankara Ticaret Odası’nın faaliyetlerini yürütürken bizzat veya birimleri ile birlikte

muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları,

İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Üyeleri ve Yetkilileri : Ankara

Ticaret Odası’nın her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı gibi, ancak

bunlarla sınırlı olmaksızın) çalışan, bu kurumların üyeleri ve yetkilileri dahil olmak üzere,

gerçek kişileri,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde

edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,

sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her

türlü işlemi,

Kriz Koordinasyon Ekibi: Genel Sekreter, Genel Sekreter Yardımcısı ve Uyum Ekibinin

oluşturduğu ekibi,

Oda: Ankara Ticaret Odasını,

Oda Organı : Ankara Ticaret Odası’nın Meslek Komiteleri, Meclis, Yönetim Kurulu ve

Disiplin Kurulunu,

Özel nitelikli (hassas) kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi

inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,

sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve

genetik verileri,

Uyum Ekibi: Oda birimlerinin denetimi için yönetim kurulu tarafından atanan Uyum

Ekibini,

Üçüncü Kişi : Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri

Politika kapsamında işlenen gerçek kişileri, (Örn. Kefil, Üyeler, refakatçi, aile bireyleri ve

yakınlar, eski çalışanlar).

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen

gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt

sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt

sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,(Ankara

Ticaret Odası)

Ziyaretçi : Ankara Ticaret Odası’nın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş

olan veya internet sitelerimizi ziyaret eden gerçek kişileri,

İfade eder.

Bu politikada yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

1.3. POLİTİKA’NIN AMACI

Politika’nın amacı; ilgili mevzuatta öngörülen düzenlemelerin Oda uygulamaları bağlamında

somutlaştırılmasından yola çıkılarak Kanun’da öngörülen yürürlük sürelerine uygun olarak

gerekli hazırlıkları yaparak kişisel verilerin hukuka uygun surette işlenmesi, korunması,

saklanması, aktarılması ve imhasına ilişkin sistemi kurmaktır.

İşbu Politika ile kişisel verilerin işlenmesi prosedürüne ilişkin esaslar tespit edilmiş, kişisel

verileri işlenen ilgili bütün kişilerin prosedür hakkında bilgi sahibi olabilmesi mümkün

kılınarak şeffaflık sağlanmış ve kişisel verilerin işlenmesi, korunması, saklanması, imhası ve

anonim hale getirilmesine ilişkin usul ve esasları düzenlemektedir.

1.4. POLİTİKA’NIN KAPSAMI

İşbu Politika Oda birimlerinde çalışanlarımızın, çalışan adayları stajyerlerimizin, üyelerimizin,

yetkililerimizin, ziyaretçilerimizin ve işbirliği içinde olduğumuz kurumların çalışanları,

üyeleri, firma yetkilileri ile üçüncü kişilerin; tamamen veya kısmen otomatik olan ya da

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen

tüm kişisel veriler kapsama girmektedir.

Oda tarafından ;

ü İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi,

ü Odada personel temin süreçlerinin yürütülmesi,

ü Oda raporlama ve risk yönetimi işlemlerinin icrası/takibi,

ü Odanın hukuk işlerinin icrası/takibi,

ü Odaya intikal eden talep ve şikâyetlerin yönetimi,

ü Oda güvenliğinin sağlanması,

ü Oda faaliyetlerinin öngörülen prosedürler ve ilgili mevzuata uygun olarak

yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,

ü Oda üyelerinin hukuki işlemlerinin gerçekleştirilmesi konusunda destek olunması,

ü Oda itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,

ü Üye ilişkilerinin yönetilmesi,

ü Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,

ü Ziyaretçi kayıtlarının oluşturulması ve takibi,

ü Odaca düzenlenen eğitim organizasyonlarının takibi

amaçları doğrultusunda ve sayılan amaçlarla sınırlı olmak üzere işlenen kişisel veriler işbu

Politika’nın kapsamındadır.

2. BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİ

2.1. GENEL İLKELER KAPSAMINDA İŞLENMESİ

Oda, Anayasa’nın 20’nci ve Kanun’un 4’üncü maddesine uygun olarak kişisel verileri;

ü hukuka ve dürüstlük kurallarına uygun,

ü doğru ve gerektiğinde güncel,

ü belirli, açık ve meşru amaçlar güderek,

ü işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde,

işlemekte, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar

muhafaza etmektedir.

Oda, kişisel verilerin işlenmesinde hukuki düzenlemelerle getirilen ilkeler ile genel güven ve

dürüstlük kuralına uygun hareket etmektedir. İlgili kişinin temel haklarını ve meşru

menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.

Oda, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemekte

olup söz konusu amaçların gerçekleştirilmesine elverişli biçimde işlemekte ve amacın

gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden

kaçınmaktadır.

Bu kapsamda, Oda “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde” ilkesine uygun

olarak güvenlik kamerası ile izleme faaliyeti gerçekleştirmektedir. Güvenlik kameralarının

izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve

bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını

aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi

tutulmamaktadır.

2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin işlenme şartları Kanun’un 5’inci maddesinde sayılmış olup, buna göre

aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi

mümkündür.

2.2.1. İLGİLİ KİŞİNİN AÇIK RIZASININ BULUNMASI

Kanun’un 5’inci maddesinin ikinci fıkrası uyarınca ilgili kişinin açık rızasının alınması kişisel

veri işleme şartlarından birisidir. Oda tarafından veri işleme faaliyetinin gerçekleştirilmesinde

öncelikle aşağıda belirtilen veri işleme şartlarından birine dayanılıp dayanılamayacağı

değerlendirilmekte olup bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna

gidilmektedir.

2.2.2. KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ

Oda, ilgili kişinin kişisel verilerini, kanunda açıkça öngörülmesi hâlinde hukuka uygun olarak

işlemektedir. Bu kapsamda, Oda bünyesinde yer alan birimler; 6102 sayılı Türk Ticaret

Kanunu, 5174 sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu, Ticaret

Sicili Yönetmeliği, 4857 sayılı İş Kanunu, 4734 sayılı Kamu İhale Kanunu, 213 sayılı Vergi Usûl

Kanunu ve sair kanunlarda açıkça belirtilen düzenlemelere istinaden ilgili kişilerin kişisel

verilerini açık rıza alınmaksızın işlemektedir.

2.2.3. FİİLÎ İMKÂNSIZLIK SEBEBİYLE İLGİLİNİN AÇIK RIZASININ

ALINAMAMASI

Fiilî imkânsızlık sebebiyle rızasını açıklayamayacak durumda olan veya rızasına hukukî

geçerlilik tanınamayacak olan kişinin kendisinin yahut başka bir kişinin hayatı veya beden

bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması hâlinde, Oda

tarafından veri sahibinin kişisel verileri açık rıza alınmaksızın işlemektedir.

2.2.4. SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN İLGİ OLMASI

Odanın; mal ve hizmet alımlarına veya faaliyet sahası kapsamındaki sair çalışmaların

yürütümüne ilişkin sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması

kaydıyla, sözleşmenin diğer tarafını teşkil eden gerçek kişilerin ve tüzel kişilerin yetkili

temsilcilerinin kişisel verileri, ilgili birimince açık rıza alınmaksızın işlenmektedir.

2.2.5. ODANIN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMESİ

Oda, hukuki yükümlülüklerinin yerine getirilmesi için ilgili kişilerin kişisel verilerini açık rıza

alınmaksızın işlemektedir.

2.2.6. KİŞİSEL VERİ SAHİBİNİN KİŞİSEL VERİSİNİ ALENİLEŞTİRMESİ

Oda, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir surette kamuya açıklanan)

kişisel verilerini, işlendiği amaçla bağlantılı, sınırlı ve ölçülü biçimde alenileştirme amacına

uygun olarak açık rıza alınmaksızın işlemektedir.

2.2.7. BİR HAKKIN TESİSİ VEYA KORUNMASI İÇİN VERİ İŞLEMENİN

ZORUNLU OLMASI

Oda; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hâlinde,

ilgili kişinin kişisel verileri, açık rıza alınmaksızın işlemektedir.

2.2.8. ODA’NIN MEŞRU MENFAATİ İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI

İlgili kişilerin temel hak ve hürriyetlerine zarar vermemek kaydıyla, Oda; meşru menfaatleri

için veri işlemesinin zorunlu olduğu durumlarda, ilgili kişinin kişisel verilerini açık rıza

alınmaksızın işlemektedir.

Bu kapsamda; Oda, “meşru menfaati için veri işlemenin zorunlu olması” işleme şartına

dayanarak güvenlik kamerası ile izleme faaliyeti gerçekleştirmektedir. Oda internet sitesinde

işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların

girişlerine izleme yapılacağına veya ses kaydı yapılacağına dair bildirim yazısı asılmaktadır

(yerinde aydınlatma).

Yine bu kapsamda Oda, “meşru menfaati için veri işlemenin zorunlu olması” işleme şartına

dayanarak binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri

işleme faaliyetinde bulunulmaktadır. Misafir olarak Oda binalarına gelen kişilerin isim ve soy

isimleri elde edilirken misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel

veri sahipleri bu kapsamda aydınlatılmaktadırlar.

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel

verilerin işlenmesine Oda tarafından ayrıca önem verilmektedir. Bu kapsamda Oda, özel

nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup

olmadığını tespit etmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri

işleme faaliyeti yürütülmektedir.

İlgili kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer

inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik

tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler gibi özel nitelikli kişisel veriler ancak

ilgili kişinin açık rızası alınarak işlenebilmektedir.

İlgili kişilerin sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verileri;

ü kamu sağlığının korunması,

ü koruyucu hekimlik,

ü tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

ü sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amaçlarıyla, ilgili kişinin açık rızası alınmaksızın işyeri hekimi ve yardımcı sağlık personeli

tarafından işlenmektedir.

2.4. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI

Oda, Kanun’un 10’uncu maddesine uygun olarak kişisel verilerin elde edilmesi sırasında, ilgili

kişileri aydınlatmaktadır. Bu kapsamda, ilgili kişilere aydınlatma metinlerinde;

1) veri sorumlusunun kim olduğu,

2) kişisel verilerin hangi amaçla işleneceği,

3) kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4) kişisel verileri toplamanın yöntemi ve hukuki sebebi,

konusunda bilgi verilmekte; Kanun’un 11’inci maddesinde ilgili kişinin veri sorumlusuna

başvurarak kendisi ile ilgili kişisel verilerinin;

a) işlenip işlenmediğini öğrenme,

b) işlenmişse buna ilişkin bilgi talep etme,

c) işlenme amacına uygun kullanılıp kullanılmadığı öğrenme,

d) yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

e) eksik veya yanlış işlenmiş olması hâlinde, bunların düzeltilmesini işleme,

f) Kanun’un 7’nci maddesinde öngörülen şartlar çerçevesinde, silinmesini veya yok

edilmesini isteme,

g) düzeltme, silme ve yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere

bildirilmesini isteme,

h) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle

kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

i) kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde, zararın

giderilmesini talep etme,

haklarına sahip olduğu bildirilmektedir.

Oda, aydınlatma yükümlülüğünü; Oda güvenliğinin, çalışanların, üyelerin ve ziyaretçilerin

güvenliğinin sağlanması maksadıyla bina nizamiyesinde ve bina içerisinde kamera kaydının

yapıldığı alanların girişlerine asılan tabelalar ve aydınlatma metni, web sitesine konulan

aydınlatma metinleri ve çağrı merkezi açılış kaydında yapılan bildirim ile yerine getirmektedir.

Oda, ilgili kişilerin haklarını kullanılabilmesi için Kanun’un 13’üncü maddesine uygun olarak

başvuru yollarını göstermekte, iç işleyişe ilişkin mekanizmaları oluşturmakta, her türlü idari

ve teknik tedbirleri almaktadır.

2.4.1. VERİ SORUMLUSUNA BAŞVURU VE ODANIN BAŞVURUYA CEVAP

VERME USÛLÜ

İlgili kişi; kişisel verilerinin Oda tarafından işlenmesinden dolayı, Kanun’un 11’inci

maddesinde öngörülen haklarına ilişkin taleplerini, kimliğini tespit edecek bilgi ve belgelerle

birlikte Veri Sorumlusuna Başvuru Usûl ve Esasları Hakkında Tebliğ’in 5’inci maddesi

gereğince aşağıda belirtilen veya Kurul’un belirlediği yöntemleri kullanmak suretiyle Odaya

iletebilecektir. İlgili kişi; www.atonet.org.tr adresinde bulunan başvuru formunu doldurmak

suretiyle, Söğütözü Mahallesi 2176. Cadde No: 1/1 Çankaya/ANKARA adresine bizzat,

iadeli taahhütlü mektup, KEP adresine kayıtlı e-posta adresi üzerinden veya noter aracılığıyla

iletilebilecektir.

Başvuru Yöntemi

Başvurunun Yapılacağı

Adres

Başvuru

Gönderiminde

Belirtilecek Bilgi

Şahsen başvuru (başvuru

sahibinin bizzat gelerek

kimliğini tevsik edici belge

ile başvurması), iadeli

taahhütlü mektup veya

noter aracılığıyla

Söğütözü Mah. 2176. Cad. No:

1/1 Çankaya/ANKARA

Başvuru kapağına

“Kişisel Verilerin

Korunması Kanunu

Kapsamında Bilgi

Talebi” yazılacaktır.

“Güvenli Elektronik İmza”

ile imzalanarak Kayıtlı

Elektronik Posta (KEP)

yoluyla

ankaraticaretodasi@hs01.kep.tr

E-postanın konu

kısmına “Kişisel

Verilerin Korunması

Kanunu Kapsamında

Bilgi Talebi” yazılacaktır

İlgili kişinin, talebini usûlüne uygun olarak Odaya iletmesi durumunda Oda, talebin niteliğine

göre en geç otuz gün içinde talebi ücretsiz sonuçlandıracaktır. Ancak Kanun’un 13’üncü

maddesi ve Veri Sorumlusuna Başvuru Usûl ve Esasları Hakkında Tebliğ hükümleri gereğince

başvuruya cevap verilmesi işlemi ayrıca bir maliyeti gerektirir ise Oda, başvuran ilgili kişiden

Kurulca belirlenen tarifedeki ücreti alabilecektir. Oda’ya kişisel veri işlenmesi faaliyetine

ilişkin yapılan başvurularda değerlendirme ve cevaplama usulü “Başvuru ve Cevap Prosedürü”

nde düzenlenmiştir.

Oda, Kanun’un 28’inci maddesinde sayılan istisnalar kapsamında;

ü kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere

uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta

yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

ü kişisel verilerin; resmî istatistik ile anonim hâle getirilmek suretiyle araştırma,

planlama ve istatistik gibi amaçlarla işlenmesi,

ü kişisel verilerin; millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,

ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek yahut

suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla veyahut

ifade özgürlüğü kapsamında işlenmesi,

ü kişisel verilerin; millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini

veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş

kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari

faaliyetler kapsamında işlenmesi,

ü kişisel verilerin; soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin

olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

ü kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli

olması,

ü ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

ü kişisel veri işlemenin; kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu

kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme

veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması

için gerekli olması,

ü kişisel veri işlemenin; bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve

mali çıkarlarının korunması için gerekli olması,

ilgili kişinin başvurusunu reddedebilecektir.

İlgili kişi; verilen cevabı yetersiz bulması veya Oda tarafından başvuruya süresinde cevap

verilmemesi hâllerinde, Kanun’un 14’üncü maddesi uyarınca, Odanın cevabını öğrendiği

tarihten itibaren otuz gün ve herhâlde başvuru tarihinden itibaren altmış gün içerisinde Kurula

şikâyette bulunabilecektir.

3. BÖLÜM

KİŞİSEL VERİLERİN AKTARILMASI

3.1. KİŞİSEL VERİLERİN AKTARILMASI

Oda; işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel

verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.

Oda; Kanun’un 10’uncu maddesi hükmü gereğince, kişisel verilerin aktarıldığı kişi gruplarını,

ilgili kişiye bildirmektedir.

Oda, Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak işbu Politika kapsamındaki veri

sahiplerinin kişisel verilerini;

ü Odanın iş ortaklarına/ tedarikçilerine,

ü Oda üyelerine,

ü Yetkili kamu kurum ve kuruluşlarına,

ü Yetkili özel hukuk

kişilerine, aktarabilir.

3.2. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE

AKTARILMA AMAÇLARI

Veri Aktarımı

Yapılabilecek Kişiler

Tanımı

Veri Aktarım Amacı

İş Ortağı/Tedarikçiler

Oda’nın; faaliyetlerinin

yürütümü kapsamında, mal

veya hizmet alımı ve sair

amaçlarla iş ortaklığı

kurduğu kişiler

İş ortaklığının kurulma

amacının yerine getirilmesini

temin etmek maksadıyla sınırlı

olarak

Üyeler

Oda üyesi olan gerçek ve

tüzel kişiler

İlgili mevzuat hükümlerine göre

Oda’nın ilgili Kanun, etkinlik

yönetimi ve kurumsal iletişim

süreçleri kapsamında yürüttüğü

faaliyetlerin amaçlarıyla sınırlı

olarak

Yetkili Kamu Kurum ve

Kuruluşları

İlgili mevzuat hükümlerine

göre Oda’dan bilgi ve belge

almaya yetkili kamu kurum

ve kuruluşları

İlgili kamu kurum ve

kuruluşlarının hukuki yetkisi

dahilinde talep ettiği amaçla

sınırlı olarak

Yetkili Özel Hukuk Kişileri

İlgili mevzuat hükümlerine

göre Oda’dan bilgi ve belge

almaya yetkili özel hukuk

kişileri

İlgili özel hukuk kişilerinin

hukuki ilişkiden kaynaklanan

yetkisi dahilinde talep ettiği

amaçla sınırlı olarak

3.3. KİŞİSEL VERİLERİN AKTARILMASININ ŞARTLARI

Oda; meşru ve hukuka uygun amaçları doğrultusunda;

ü kanunda kişisel verinin aktarılacağına ilişkin açık bir düzenleme varsa,

ü kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için

zorunlu ise ve kişisel veri sahibi fiilî imkânsızlık nedeniyle rızasını açıklayamayacak

durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,

ü bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla

sözleşmenin taraflarına ait kişisel verinin aktarılması gerekliyse,

ü Oda’nın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunluysa,

ü kişisel veriler, kişisel veri sahibi tarafından alenileştirilmişse,

ü kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunluysa,

ü kişisel veri sahibinin temel hak ve hürriyetlerine zarar vermemek kaydıyla, Odanın

meşru menfaatleri için kişisel veri aktarımı zorunluysa,

ilgili kişinin rızası olmaksızın kişisel verileri üçüncü kişilere aktarabilir.

3.4. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Oda tarafından, Kanun’un 9’uncu maddesi gereğince, kişisel veri işleme şartlarına uygun

olarak ve aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip

ülkelerden olması ya da veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri

ve Kurulun izninin bulunması şartıyla kişisel veriler, ilgili kişinin açık rızası aranmaksızın yurt

dışına aktarılabilecektir.

4.BÖLÜM

KİŞİSEL VERİLERİN KATEGORİZASYONU

4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU

Oda; işbu Politika kapsamındaki ilgili kişilerin, aşağıda belirtilen kategorilerdeki kişisel

verilerini, Kanun’un 10’uncu maddesi uyarınca ilgili kişileri bilgilendirmek suretiyle

işlemektedir.

KİŞİSEL VERİ

KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin

bulunduğu verilerdir: Ad-soyad, T.C. kimlik numarası,

uyruk bilgisi, anne-baba adı, doğum yeri, doğum tarihi,

cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve

pasaport gibi belgeler ile vergi numarası, SGK numarası,

imza bilgisi, taşıt plakası vb. bilgiler

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; telefon numarası, adres, e-posta

adresi, faks numarası, IP adresi gibi bilgiler

Fiziki Mekan Güvenlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; fiziki mekâna girişte, fiziki

mekânın içerisinde kalış sırasında alınan kayıtlar ve

belgelere ilişkin kişisel veriler; kamera kayıtları ve

güvenlik noktasında alınan kayıtlar vb.

Finansal Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; Odanın kişisel veri sahibi ile

kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her

türlü finansal sonucu gösteren bilgi, belge ve kayıtlara

ilişkin işlenen kişisel veriler ile banka hesap numarası,

IBAN numarası, kredi kartı bilgisi, finansal profil,

malvarlığı verisi, gelir bilgisi gibi veriler

Görsel/İşitsel Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziki

Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç),

ses kayıtları ile kişisel veri içeren belgelerin kopyası

niteliğindeki belgelerde yer alan veriler

Özlük Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; Oda ile çalışma ilişkisi içerisinde

olan gerçek kişilerin özlük haklarının oluşmasına temel

olacak bilgilerin elde edilmesine yönelik işlenen her türlü

kişisel veri

Talep/Şikayet Yönetimi Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait

olduğu açık olan; kısmen veya tamamen otomatik şekilde

veya veri kayıt sisteminin bir parçası olarak otomatik

olmayan şekilde işlenen; Odaya yöneltilmiş olan her türlü

talep veya şikâyetin alınması ve değerlendirilmesine

ilişkin kişisel veriler

4.2. İLGİLİ KİŞİ KATEGORİZASYONU

İlgili Kişi Kategorisi

Açıklaması

Oda Üyeleri

Oda ile herhangi bir akdî ilişkisi olup

olmadığına bakılmaksızın Odanın

birimlerinin yürüttüğü operasyonlar

kapsamında, iş ilişkileri üzerinden kişisel

verileri elde edilen gerçek ve tüzel kişi

yetkilileri.

Ziyaretçiler/Üçüncü Kişiler

Odanın sahip olduğu fiziki ortamlara

çeşitli amaçlarla girmiş olan veya internet

sitelerimizi ziyaret eden gerçek kişiler.

İşbu Politika kapsamına girmeyen diğer

gerçek ve tüzel kişiler (mesela: üye, kefil,

refakatçi, aile fertleri ve yakınlar, eski

çalışanlar)

Çalışanlar

Ankara Ticaret Odası’na herhangi bir yolla

iş başvurusunda bulunarak görev almış ve

almakta olan kişisel verileri Ankara Ticaret

Odası’nda işlenmiş veya işlenmekte olan

gerçek kişiler.

Çalışan Adayları

Odaya iş başvurusunda bulunmuş veya

özgeçmiş ve ilgili bilgilerini Odanın

incelemesine açmış olan gerçek kişiler.

Oda Yetkilileri

Odanın yönetim kurulu üyeleri ve diğer

yetkilileri

İşbirliği İçinde Olduğumuz Kurumların

Çalışanları, Üyeleri ve Yetkilileri

Odanın işbirliği içinde olduğu kurumlarda

çalışanlar, bu kurumların yetkilileri ile

gerçek kişi üyeleri

5. BÖLÜM

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

5.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK

İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

5.1.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN

ALINAN TEKNİK TEDBİRLER

Oda, kişisel verilerin hukuka uygun işlenmesini sağlamak için teknolojik imkânları kullanarak

gerekli teknik ve idari tedbirleri almaktadır.

Oda tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik

tedbirler aşağıda sıralanmıştır:

ü Oda bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, kurulan teknik

sistemlerle denetlenmektedir.

ü Alınan teknik önlemler, periyodik olarak iç denetim mekanizması gereği ilgilisine

raporlanmaktadır.

ü Teknik konularda bilgili personel istihdam edilmektedir.

5.1.2. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN

ALINAN İDARİ TEDBİRLER

Oda tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari

tedbirler aşağıda sıralanmıştır:

ü Çalışanlar, Kişisel Verilerin Korunması Hukuku ve kişisel verilerin hukuka uygun

olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.

ü Birim bazında belirlenen hukuki uyum gerekliliklerinin sağlanması için ilgili

birimlerde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların

denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler kurum içi

politikalar ve eğitimler yoluyla hayata geçirilmektedir.

ü Oda ile çalışanlar arasındaki hukuki ilişkinin çerçevesini çizen sözleşme ve belgelere;

Odanın talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa

etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda

çalışanlarda farkındalık yaratılmakta ve denetimler yürütülmektedir.

5.2. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN

ALINAN TEKNİK VE İDARİ TEDBİRLER

5.2.1. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN

ALINAN TEKNİK TEDBİRLER

Oda tarafından kişisel verilere hukuka aykırı erişimi engellemek için alınan başlıca teknik

tedbirler aşağıda sıralanmıştır:

ü Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik

olarak güncellenmekte ve yenilenmektedir.

ü Birim bazında belirlenen hukuki uyum gerekliliklerine uygun olarak erişim ve

yetkilendirme teknik çözümleri devreye alınmaktadır.

ü Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.

ü Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine

raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik

çözüm üretilmektedir.

ü Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar

kurulmaktadır.

ü Teknik konularda bilgili personel istihdam edilmektedir.

ü Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli

olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması

sağlanmaktadır.

5.2.2. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN

ALINAN İDARİ TEDBİRLER

Oda tarafından kişisel verilere hukuka aykırı erişimi engellemek için alınan başlıca idari

tedbirler aşağıda sıralanmıştır:

ü Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik

tedbirler konusunda eğitilmektedir. Kanun’a ve Polika’ya aykırı işlem ve davranışlara

ilişkin usul ve esaslar Disiplin Prosedürü’nde düzenlenmiştir.

ü Çalışanlar; öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına

açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüklerin

görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu

doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

5.3. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN

ALINAN TEKNİK VE İDARİ TEDBİRLER

5.3.1. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN

ALINAN TEKNİK TEDBİRLER

Oda tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik

tedbirler aşağıda sıralanmıştır:

ü Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun

sistemler kullanılmaktadır.

ü Teknik konularda uzman personel istihdam edilmektedir.

ü Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik

önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk

teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

ü Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir

biçimde yedekleme programları kullanılmaktadır.

ü Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz

erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

Oda, Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendi uyarınca, “meşru menfaati için veri

işlemenin zorunlu olması” işleme şartına dayanarak güvenlik kamerası ile izleme faaliyeti

gerçekleştirmektedir. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza

edilen kayıtlara yalnızca sınırlı sayıda Oda çalışanının erişimi bulunmaktadır. Kayıtlara erişimi

olan sınırlı sayıda Oda çalışanları, gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini

koruyacağını beyan etmektedir.

5.3.2. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI İÇİN

ALINAN İDARİ TEDBİRLER

Oda tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari

tedbirler aşağıda sıralanmıştır:

ü Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda

eğitilmektedirler. Kanun’a ve Polika’ya aykırı işlem ve davranışlara ilişkin usul ve

esaslar Disiplin Prosedürü’nde düzenlenmiştir.

ü Oda tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle

dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak

aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı

kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve

kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer

verilmektedir.

5.4. KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA ALINAN

TEDBİRLERİN DENETİMİ

Oda, Kanun’un 12’nci maddesine uygun olarak kendi bünyesinde gerekli denetimleri yapmakta

veya yaptırmaktadır. Bu denetimlerin sonuçları, Odanın iç işleyişi kapsamında konu ile ilgili

birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler

yürütülmektedir.

5.5. KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI VEYA VERİ

İHLALİ DURUMUNDA ALINACAK TEDBİRLER

Oda, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,

Kanun'un 12’nci maddesinin beşinci fıkrası ve Kişisel Verileri Koruma Kurulu’nun 24.01.2019

tarih ve 2019/10 sayılı kararı gereğince, ihlal durumunu öğrendiği tarihten itibaren,

gecikmeksizin ve en geç 72 saat içinde Kurul’a (https://ihlalbildirim.kvkk.gov.tr/) bildirim

yapacaktır.

Uyum Ekibi başkanı söz konusu durumu Genel Sekreterliğe bildirecektir. Genel Sekreterlik,

Kurula iletecek olup Kurul tarafından gerekli görülmesi halinde, Kurulun internet sitesinde

veya uygun göreceği başka bir yöntemle ilan edilecektir. Söz konusu süreci takip eden Yönetim

Kurulu’nun ilk toplantısında veri ihlali sürecine ilişkin bildirim yapılacaktır.

Veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa

süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri

sorumlusunun kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim

yapılacaktır.

Ayrıca “Veri İhlali Müdahale Planı” hazırlanarak belirli aralıklarla bu planı gözden

geçirilecektir. Bu planda, veri sorumlularının kendi içlerinde kimlere raporlama yapacakları,

Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi

hususunda, sorumluluğun kimde olacağı gibi konular yer almaktadır.

5.6. ODA ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE

İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI

VE DENETİMİ

Oda, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak

erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması

için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Oda’nın iş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dahil olmuş

çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli

sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile

çalışılmaktadır.

Oda’nın iş birimlerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalığın

artırılmasına yönelik yürütülen eğitim sonuçları Oda’ya raporlanmaktadır. Oda, bu doğrultuda

ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları

değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Oda, ilgili mevzuatın

güncellenmesine uygun olarak eğitimlerini güncellemekte ve yenilemektedir.

5.7. ÜYELER, İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN

KORUNMASI VE İŞLENMESİ KONUSUNDAKİ

FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ

Oda, kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye, verilere hukuka aykırı olarak

erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması

için üyelerine, iş ortaklarına ve tedarikçilerine eğitimler ve seminerler düzenlenmesini

sağlamaktadır.

Oda üyelerinin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi

konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Oda’ya

raporlanmaktadır. Oda, bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme

oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya

yaptırmaktadır. Oda, ilgili mevzuatın güncellenmesine uygun olarak eğitimlerini

güncellemekte ve yenilemektedir.

6. BÖLÜM

KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE

ANONİMLEŞTİRİLMESİ ŞARTLARI

6.1. SAKLAMA VE İMHA POLİTİKASI

Oda; Kanun’un 7’nci maddesi uyarınca kişisel verileri, işlenmesini gerektiren sebeplerin

ortadan kalkması hâlinde, resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim

hâle getirir. Kişisel verilerin saklanmasına, silinmesine, yok edilmesine ve

anonimleştirilmesine ilişkin hususlar, 28.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de

yayımlanarak yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle

Getirilmesi Hakkında Yönetmelik”in 5’inci maddesinin birinci fıkrası gereğince “Ankara

Ticaret Odası Saklama ve İmha Politikası” hazırlanmıştır.

7. BÖLÜM

POLİTİKA’NIN YÖNETİŞİM YAPISI, YÜRÜTME VE YÜRÜRLÜK

7.1. POLİTİKA’NIN YÖNETİŞİM YAPISI

Oda, Kanun’daki düzenlemelerine uygun hareket edilmesi ve işbu Politika’nın yürürlüğünün

sağlanması için yönetişim yapısı kurmuştur.

Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt sürecinde; veri sorumlusu olarak Kanunun

uygulanması bakımından yerine getirmesi gereken yükümlülükler ile ilgili üst yönetici olarak

Genel Sekreteri,

İrtibat kişisi olarak ise evrak girişlerinden sorumlu birim yöneticisi olan Destek Hizmetleri

Müdür Yardımcısı görevlendirilmiştir.

İşbu Politika’nın tatbikini sağlamak üzere “Kişisel Verilerin Korunması Uyum Ekibi”

oluşturulmuştur.

Uyum Ekibi; Hukuk Müşavirliği, Bilgi Teknolojileri ve Sistemleri Müdürlüğü, Kurumsal

İletişim ve Basın-Yayın Müdürlüğü, İnsan Kaynakları Müdürlüğü, Ticaret Sicili Müdürlüğü ve

Satın Alma Müdürlüğü birim amirlerinden oluşmaktadır. Uyum Ekibi’nin görevleri aşağıda

belirtilmiştir:

1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaların belirlenmesi ve bu

politikalara ilişkin değişikliklerin hazırlanması hususundaki teklifleri, Oda Yönetim

Kurulunun onayına sunulmak üzere Genel Sekreterlik’e iletmek.

2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların tatbik ve denetiminin ne

şekilde yerine getirileceğine karar vermek ve bu çerçevede Oda içi görevlendirmede

bulunulması ve koordinasyonun sağlanması için gereken hususları, Yönetim Kurulunun

onayına sunulmak üzere Genel Sekreterlik’e iletmek.

3. Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit

ederek işbu hususları, uygulamasının gözetilmesi ve koordinasyonun sağlanması için

Yönetim Kurulunun onayına sunulmak üzere Genel Sekreterlik’e iletmek.

4. Kişisel verilerin korunması ve işlenmesi konusunda Oda ve Odanın işbirliği içerisinde

olduğu kurumlar nezdinde farkındalığı arttırmak.

5. Kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin

alınmasını temin etmek, iyileştirme önerilerini Yönetim Kurulunun onayına sunulmak

üzere Genel Sekreterlik’e iletmek.

6. Kişisel verilerin korunması ve işlenmesi ile ilgili politikaların uygulanması konusunda,

ilgili kişilerin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda

bilgilendirilmelerinin sağlanmasına yönelik etkinlikler düzenlenmesine dair teklifleri,

Genel Sekreterlik’e iletmek.

7. İlgili kişilerin başvurularını, karara bağlanmak üzere Genel Sekreterlik’e iletmek.

8. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu

gelişmelere ve düzenlemelere uygun olarak Odada yapılması gerekenlere ilişkin

önerilerini Genel Sekreterlik’e iletmek.

9. Kurum ve Kurul ile ilişkileri Genel Sekreterlik’in koordinasyonunda yürütmek.

10. Yönetim Kurulunun ve Genel Sekreterlik’in kişisel verilerin korunması ve işlenmesi

konusunda vereceği diğer görevleri ifa etmek.

11. Düzenli denetimler yaparak Kişisel Verilerin Korunması Kanunu ile uyumu

gözlemlemek ve Yönetim Kuruluna raporlamak

12. Kişisel Verileri Koruma Kurulu ile işbirliği ve irtibat içinde hareket etmek.

13. Veri ihlal krizi anlarında Kriz Koordinasyon Ekibi olarak görev yapmaktadır.

7.2. GÜNCELLEME VE UYUM

Oda, Kanun’da yapılan değişiklikler ile Kurum ve Kurul kararları doğrultusunda ‘’Ankara

Ticaret Odası Kişisel Verilerin Korunması ve İşlenmesi Politikası’’nda değişiklik yapma

hakkını saklı tutar. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk olması

halinde yürürlükteki mevzuatın uygulanacağını kabul etmektedir.

7.3. YÜRÜRLÜK, YAYIM VE DAĞITIM

İşbu Politika, 08.09.2020 tarihli Yönetim Kurulu Kararı ile yürürlüğe konulmuştur. Politika,

Oda’nın https://www.atonet.org.tr/ internet sitesinde yayımlanır.

İşbu Politika, Oda’nın bütün birimlerine EBYS üzerinden bildirilecek; üyelere, ziyaretçilere ve

ilgili diğer kişilere web sitesi veya diğer uygun vasıtalarla duyurulacaktır.

Odanın kişisel verileri işleme faaliyetlerine ilişkin hazırlanan Saklama ve İmha Politikası,

Disiplin Prosedürü, Başvuru ve Cevap Prosedürü, Veri İhlali Acil Eylem Planı işbu Politika’ya

ek olup ayrılmaz parçası niteliğindedir. Oda’nın yükümlülüğünde bulunan aydınlatma

metinleri mevzuata uygun olarak Genel Sekreterlik tarafından hazırlanır ve ilgili kişilere

duyurulur.