Kişisel Verileri Koruma Politikası

ULUDAĞ İHRACATÇI BİRLİKLERİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ  4

2. AMAÇ VE KAPSAM    4

3. TANIMLAR   5

4. POLİTİKA'NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR   6

5. KİŞİSEL VERİ İŞLEME İLKELERİ 7

5.1. Kişisel Verilerin İşlenmesinde Genel İlkeler 7

5.1.1. Hukuka ve dürüstlük kuralına uygunluk- 7

5.1.2. Doğruluk ve güncellik- 7

5.1.3. Belirli, açık ve meşru amaçlarla işleme- 7

5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme- 7

5.1.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme  8

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI  8

6.1. İlgili Kişinin Açık Rızasının Bulunması 8

6.2. Kanuni Gereklilikler Nedeniyle Verilerin İşlenmesi 8

6.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Rızasını Açıklayamayan Veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin Veya Başkasının Hayatı Veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması 8

6.4. Bir Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olmak Kaydı İle Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması 9

6.5. Veri Sorumlusununu Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması 9

6.6. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi 9

6.7. Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi 9

6.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi 9

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI 9

7.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi 9

7.2. İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri İle Öngörülmesi Sebebiyle İşlenmesi 10

7.3. Sağlık Ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi Ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri İle Finansmanının Planlanması Ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı İle İşlenmesi 10

7.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler 10

8. KİŞİSEL VERİLERİN AKTARILMASI 10

8.1. Kişisel Verilerin Yurt İçinde Aktarılması 11

8.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması 11

8.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması 11

8.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verierin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması 11

8.2. Kişisel Verilerin Yurt Dışına Aktarılması 11

8.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması 11

8.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması 12

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ  12

10. VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ 12

10.1. Aydınlatma Yükümlülüğü- 12

10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü- 13

10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü- 13

10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler 13

10.2.2.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler 13

10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü- 14

10.2.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak teknik tedbirler 14

10.2.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak idari tedbirler 15

10.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi 15

10.2.4. Alınan Tedbirlere Rağmen Kişisel Verilerin Yetkisiz Kimselerce İfşası Durumunda Alınacak Tedbirler 15

11. İLGİLİ KİŞİNİN HAKLARI  15

12. YÜRÜRLÜK VE GÜNCELLEMELER   16

 

1. GİRİŞ

2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış olan Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir. KVKK, büyük ölçüde Avrupa Birliği'nin 95/46/EC sayılı direktifi ile aynı yönde düzenlemeler ihtiva etmekte olup, KVKK'nın yürürlüğe girmesi ile birlikte bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasla düzenleme altına alınmıştır.

Tüzel kişilerin verileri yürürlükte olan ilgili kanunlar ile hâlihazırda korunmakta olduğundan, KVKK ile Avrupa Birliği düzenlemeleri ile aynı doğrultuda, kişisel veri kavramı yalnızca gerçek kişiler yönünden bir koruma sağlayacak biçimde düzenlenmiştir. KVKK ile kişinin mahremiyet ve bilgi güvenliği haklarının korunması sağlanmış olup içerik olarak kişisel verilerin tanımlanması ve sınıflandırılması, kişisel verilerin işlenmesi, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi, Kişisel Verileri Koruma Kurumu'nun kurulması, şikâyet başvuru usulleri gibi hususları düzenlemektedir.

İhracatçıları örgütlendirmek suretiyle ihracatı artırmak ve dış ticaretin ülke menfaatine uygun olarak gelişmesini sağlamak konularında çalışmaları olan ULUDAĞ İHRACATÇI BİRLİKLERİ (“UİB”) sektördeki hassasiyetini kişisel verilerin güvenliği hususunda da göstermektedir.

ULUDAĞ İHRACATÇI BİRLİKLERİ'de benimsenen üstün hizmet kalitesi, bireylerin haklarına saygı, şeffaflık ve dürüstlük ilkeleri çerçevesinde, KVKK ile öngörülen yeni düzenlemeler doğrultusunda UİB iç işleyişinin KVKK, ikincil düzenlemeler, Kişisel Verileri Koruma Kurulu'nun kararları ve düzenlemeleri ve sair ilgili mevzuat kapsamında düzenlenmesi şirketimizin öncelikli konuları arasında yer almaktadır. Bu nedenle KVKK'nun getirdiği haklardan müşterilerimizi faydalandırmak ve Kanun'a uyum sürecini sağlamak için işbu Politika düzenlenerek yürürlüğe sokulmuştur.

2. AMAÇ VE KAPSAM

2.1. Politika ile UİB tarafından KVKK'na uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin UİB bünyesinde, UİB çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.

2.2. Politika ile öngörülen temel düzenlemeler doğrultusunda UİB işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.

2.3. Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için UİB'in yükümlü olduğu hususları düzenlenmektedir. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile UİB'in kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. UİB'in tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.

2.4. Politika'ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, UİB içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.

3. TANIMLAR

3.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İlgili kişinin bilgilendirildiğini ve aydınlatıldığını ispat yükü veri sorumlusu üzerinde olacağından ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması şirket iç prosedürlerine göre yapılacaktır.

3.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Kişisel verilerin KVKK kapsamını ve Açık Rıza'yı ihlal etmeyen çeşitli amaçlarla, ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için UİB içerisinde gerekli önlemler alınacaktır.

3.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

UİB'in bireysel müşterilerinin, Potansiyel müşterilerinin, Çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), Çalışan adaylarının, Tedarikçi kurum temsilcilerinin, Müşteri kurum temsilcilerinin, Stajyerlerin ve stajyer adaylarının,  İş ortaklarının, Hissedarlarının, Ziyaretçilerin, İnternet siteleri ziyaretçilerinin, İş başvurusu yapanların, İlişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, Üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında UİB tarafından ele alınacaktır.

3.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir. UİB içinde bu veriler sınıflandırmaya tabi tutulmuş, her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar düzenlenmiştir.

3.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

3.6. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

3.7. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında belirlenmiştir.

3.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

KVKK kapsamında UİB veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Kayıt esnasında, Veri Sorumlusu sıfatı ile yürütülecek işlemleri yürütmek üzere UİB içerisinde KVKS Yönetim Temsilcisi atanacak olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan bu KVKS Yönetim Temsilcisi sorumlu olacaktır. Karar alınmasını gerektiren durumlarda KVKS Yönetim Temsilcisi, Hukuk Danışmanı'nın da görüşünü aldıktan sonra yönetime tavsiye niteliğindeki kararını sunacak, yönetimin onayını müteakip alınan karar uygulamaya konulacaktır.

4. POLİTİKA'NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR

4.1.   UİB, Veri Sorumlusu sıfatı ile işbu Politikanın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.

4.2. İşbu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin UİB bünyesinde uygulanmasından Hukuk Danışmanı ve iç denetim biriminin de desteği ile KVKS Yönetim Temsilcisi yetkili ve sorumlu olacaktır.

4.3. UİB genelinde tüm çalışanlar, iş ortakları, misafirler ve ilgili tüm üçüncü şahıslar Politika'ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde KVKS Yönetim Temsilcisi ile işbirliği yapmakla yükümlüdür.

4.4.  Tüm UİB departmanları ve organları,  -tüm personeli ile birlikte- Politika 'ya uygun hareket etmek ve Politika'nın hükümlerine uyulmasını sağlamak ile yükümlüdür.

4.5. İşbu Politika, UİB içinde tüm personel için ortak bilgi işlem sistemlerine yüklenerek her zaman erişilebilir olacaktır. Ayrıca işbu Politika UİB internet sitesinde yayınlanır. Politika'da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır. Politika'nın ilanı ve değişikliklerin ilanı süreçlerini KVKS Yönetim Temsilcisi yürütecektir.

4.6. Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde  UİB , Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını kabul etmektedir. KVKS Yönetim Temsilcisi, bu nitelikte bir çelişki meydana gelmesi halinde Politika'nın mevzuat hükümlerine uygun biçimde güncellenmesine ilişkin süreçleri yönetmek ile yükümlüdür.

5. KİŞİSEL VERİ İŞLEME İLKELERİ

5.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

UİB, KVKK'nın 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

5.1.1. Hukuka ve dürüstlük kuralına uygunluk

 UİB, Veri Sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun'un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

5.1.2. Doğruluk ve güncellik

UİB, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu sıfatı ile şirkete bildireceği talepler ve UİB'in bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için UİB tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

5.1.3. Belirli, açık ve meşru amaçlarla işleme

UİB tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

UİB tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

5.1.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler UİB tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda silinmesinin sağlanması için gerekli idari ve teknik tedbirler alınacaktır.

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK'nin 5. Maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. UİB tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

6.1. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesinde ana kural ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır.   UİB, ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.

6.2. Kanuni Gereklilikler Nedeniyle Verilerin İşlenmesi

KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir.

6.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Rızasını Açıklayamayan Veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin Veya Başkasının Hayatı Veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması

KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür.  UİB, anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.

6.4. Bir Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olmak Kaydı İle Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler UİB tarafından işlenecektir.

6.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

KVKK gereği Veri Sorumlusu sıfatına haiz UİB'in mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, UİB tarafından kişisel veriler işlenecektir.

6.6. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, UİB tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.

6.7. Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde UİB tarafından işlenecektir.

6.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz UİB'in meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak   UİB'in meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

KVKK'nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler kişilerin; etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. UİB içindeki tüm iş süreçleri ve dokümanlar incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılmıştır. UİB tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

7.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu bağlamda öncelikli ilke olarak UİB tarafından özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızası temin edilmeye çalışılacaktır. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. UİB, özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütecektir.

7.2. İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri İle Öngörülmesi Sebebiyle İşlenmesi

Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK hükmü doğrultusunda işlenebilecektir. Bu durumda UİB tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.

7.3. Sağlık Ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi Ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri İle Finansmanının Planlanması Ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı İle İşlenmesi

KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir UİB tarafından, mevzuat hükümleri doğrultusunda sır saklama yükümlülüğü altında bulunulan durumlarda, bu mevzuat hükümlerinin gerektiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.

7.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler

Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Veri Koruma Kurulu tarafından belirlenecek önlemlerin alınması zorunludur. UİB, Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir. Kişisel Veri Sorumlusu Ekibi, Kurul'un belirleyeceği güvenlik önlemlerini takip etmek ve UİB içindeki iş süreçlerine Kurul'un belirlediği bu önlemleri uygulamakla yükümlüdür.

8. KİŞİSEL VERİLERİN AKTARILMASI

KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması UİB'in sorumluluğunda KVKS Yönetim Temsilcisi tarafından bu süreçler takip ve koordine edilecektir.

8.1. Kişisel Verilerin Yurt İçinde Aktarılması

8.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması

KVKK'nin 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. UİB tarafından ilgili kişinin hangi kişisel verilerinin yurt içinde üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek kişisel veriler aktarılacaktır.

8.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika'nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK'nin 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.

8.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması açık rıza bulunmasa dahi, verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle mümkündür. Bu durumda UİB, işbu Politika'nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, alınacak önlemler KVKS Yönetim Temsilcisi tarafından takip edilerek UİB iç süreçlerine dahil edilmesi sağlanacaktır. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da söz konusu önlemleri almış olması zorunludur. Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon, ilgili departman ile KVKS Yönetim Temsilcisi gözetiminde gerçekleştirilir.

8.2. Kişisel Verilerin Yurt Dışına Aktarılması

8.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması

KVKK'nin 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle UİB tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. UİB tarafından ilgili kişinin hangi kişisel verilerinin yurt dışında üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Veri Koruma Kurulu'nun yayınlayacağı güvenli ülke listesi dikkate alınarak kişisel veriler aktarılacaktır.

8.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika'nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK'nin 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu'nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür.

KVKK'nin 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, KVKS Yönetim Temsilcisi tarafından takip edilecek ve UİB iç süreçlerine dahil edilecektir.

Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurulun izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika'ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili kişinin talebine istinaden bizzat UİB tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.  UİB verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.

10. VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ

10.1. Aydınlatma Yükümlülüğü

UİB, kişisel verilerin elde edilmesi sırasında, verisi işlenen ilgili kişiyi, KVKK'nın 10. maddesi doğrultusunda aşağıdaki hususlarda aydınlatacaktır:

a. Veri sorumlusunun ve varsa temsilcisinin kimliği,

b. Kişisel verilerin hangi amaçla işleneceği,

c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

d. İlgili kişinin sahip olduğu haklar

UİB'in söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri ve veri toplama kanalları gözden geçirilmiş, tespit edilen hususlar bir sınıflandırmaya tabi tutulup envantere aktarılmış, veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de gerekli düzenlemeler yapılmış, iletişim kanalları oluşturulmuştur.

10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü

Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında UİB kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbiri almakla da yükümlüdür.

Bu bağlamda UİB kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş, bu sistemlerin gözetimini ve denetimini yapmak üzere ilgili personeli belirlemiş ve prosedürlerini oluşturmuştur.   UİB, gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.

10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler

a. UİB departmanları tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmuştur. Bu yapıların işletilmesinden KVKS Ekibi  sorumludur, gerekli koordinasyon, takip, denetim ve değerlendirmelerden ise KVKS Yönetim Temsilcisi sorumludur.

10.2.2.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler

a.   UİB, tüm personelinin KVKK ve kişisel verilerin hukuka uygun işlenmesi konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracaktır. Ayrıca ilgili uygulama içerikleri ve eğitim faaliyetlerini düzenleyecektir, eğitime katılımı belgelendirecektir.  

b.   UİB, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün UİB ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.

c.  UİB, oluşturulacak kişisel veri envanteri kapsamında kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. UİB personelinin tümünün UİB'in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, departmanlara göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.

ç.   UİB'in tüm faaliyetleri analiz edilerek departman özelinde kişisel veri işleme faaliyetleri belirlenmiştir. UİB, departmanların işleyişlerinin KVKK ve işbu Politika'ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak personele tebliğ edilecektir, güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe girer, bağlayıcı olması için personele tebliğ edilmiş olma şartı aranmaz. Departmanların KVKK'ye uygun çalışması için yapılacak denetimler ve düzenlenecek dokümanların koordinasyonu, departman yöneticileri ile KVKS Yönetim Temsilcisi ile birlikte yürütülecektir.

10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü

10.2.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak teknik tedbirler

a.   UİB, teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek ve sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir. UİB, Kişisel Verileri Koruma Kurulu'nun teknik düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.

b.  UİB, departman bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirmeye yönelik teknik çözümleri devreye alacak olup bu konuda Kişisel Verileri Koruma Kurulu'nun teknik standartlar getirmesi durumunda bu teknik standartları sağlayacak yazılım ve donanım çözümlerini uygulamaya alacaktır.

c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği KVKS EUİBi tarafından ilgilisine ve KVKS Yönetim Temsilcisi'ne raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.

ç.   UİB, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kuracaktır.

d. Veri güvenliği açısından teknik konularda bilgili personel istihdam edilecektir.

e. Kişisel verilere hukuka uygun olarak erişilmesi için departman bazında çıkarılacak kriterler doğrultusunda erişim yetkileri tanımlanmalı, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır. Teknik tedbirler yönünden her departmana ilişkin ayrı ayrı prosedürler düzenleme ve denetimler gerçekleştirme süreçleri KVKS Yönetim Temsilcisi, KVKS Ekibi, ilgili departman yöneticileri ve Bilgi İşlem Departmanı tarafından yürütülecektir.

f.   UİB, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlayacak, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu politika ile getirilen güvenlik önlemlerini ve verilerin KVKK'ya uyumlu bir şekilde saklaması için gerekli sözleşmeleri yapacaktır.

10.2.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak idari tedbirler

a. Tüm UİB personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanmalıdır.

b.   UİB, oluşturulacak kişisel veri envanteri doğrultusunda kişisel verilere erişimi, işlenme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır. UİB personelinin tümünün UİB 'in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenmelidir.

c.  UİB, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün UİB ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemelidir.

d.  UİB, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.

e. Kişisel verilerin hukuka aykırı olarak erişilmesini ve hukuka aykırı olarak işlenmesini önlemek üzere performans göstergeleri ve hedefler belirlemiştir.

10.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi

UİB, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulanmıştır. İlgili denetimin sonuçları  UİB'in iç işleyişi kapsamında KVKS Yönetim Temsilcisi raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

UİB tarafından; departmanların, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmış, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların taUİBi, doğrulama testleri ve denetimleri yapılmaktadır.

UİB, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK'nin 12. maddesi uyarınca sorumludur. Bu nedenle UİB, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler alacaktır. Yine UİB tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirecektir.

11. İLGİLİ KİŞİNİN HAKLARI

KVKK'nin 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu olan UİB 'e karşı aşağıdaki haklara sahiptir:

a. Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,

b.  İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,

c. Kişisel verilerin aktarıldığı kişileri bilmek,

ç. Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,

d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

e. Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.

Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle UİB'e iletmesi durumunda, KVKK'nin 13. maddesi uyarınca UİB talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun UİB 'in hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilecektir.

UİB tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır.   UİB, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği UİB tarafından gecikmeksizin yerine getirilir.

İlgili Kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul'a şikâyet hakkı bulunduğu konusunda UİB gerekli uyarıları yapar.

12. YÜRÜRLÜK VE GÜNCELLEMELER

İşbu Politika,  UİB Yönetimi tarafından onaylandığı tarihte yürürlüğe girecektir. Politika'da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar KVKS Yönetim Temsilcisi tarafından yapılacak ve değişiklikler UİB Genel Müdürü'nün onayı ile yürürlüğe girecektir.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu'nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda UİB bu Politika'yı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politika'nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi UİB Yönetim Kurulu'na aittir.