I. PROSEDÜRÜN AMACI
Bu Açık Rıza Esasları Prosedürünün (“Prosedür”) amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”)’a dayalı olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) tebliğ ve rehberleri dikkate alınarak özel verilerin korunmasına ilişkin yükümlülüklerin yerine getirilmesi için İş Gıda A.Ş. (“Şirket”) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.
II. PROSEDÜRÜN KAPSAMI
PROSEDÜR, Şirket nezdinde tutulan, Kanun ile tanımlanan Kişisel Verileri ve Özel Nitelikli Kişisel Verileri, tüm Şirket çalışanlarını, yöneticilerini, danışmanlarını ve Kişisel Veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, dış hizmet sağlayıcılarını ve Şirket’in sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır. Prosedür Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan Kişisel Verileri kapsamaktadır. Prosedür’ de aksi belirtilmedikçe Kişisel Veriler ve Özel Nitelikli Kişisel Veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.
III. TANIMLAR
Açık Rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”yı
İlgili kişi: Kişisel Verisi işlenen gerçek kişiyi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Verileri işleme faaliyetlerini; Kişisel Verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Komite: Kişisel Verilerin korunması kapsamında Şirket’in başta İnsan Kaynakları, Bilgi Teknolojileri ve ilgili diğer departmanlarından temsilcilerinden oluşan, Yönetim Kurulu tarafından görevlendirilmek suretiyle yetkilendirilmiş olan komiteyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleri vs. ile ilgili verileri ile biyometrik ve genetik verilerini,
Veri kayıt sistemi: Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Şirket: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, yani veri sorumlusu sıfatını taşıyan İş Gıda A.Ş.’yi, ifade eder.
IV. PROSEDÜR İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
V. AÇIK RIZA ALINMA İLKELERİ
Kanun çerçevesinde Açık Rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık Rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi Açık Rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık Rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.
Açık Rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, Açık Rızanın yazılı şekilde alınmasına gerek yoktur. Açık Rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
Kanunun 3. maddesinde yer verilen Açık Rıza tanımı kapsamında, Açık Rızanın 3 unsuru bulunmaktadır:
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki Açık Rızalar “blanked consent” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.
Açık Rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen Açık Rıza geri alınabilir. Bu bağlamda Kişisel Verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu Açık Rızasını geri alabilir.
Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, Açık Rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
VI. AÇIK RIZA ALINMASI SÜRECİNDE AYDINLATMA YAPILMASI ZORUNLULUĞU
Kanun, Kişisel Verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde Kişisel Verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
Veri işleme faaliyetinin ilgili kişinin Açık Rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, Kişisel Verisinin işlendiği her durumda aydınlatılmalıdır.
Buna göre kişiden Açık Rıza alınmadan önce aydınlatma yapılması gerekmektedir.
VII. ÖZEL VERİLER VE AÇIK RIZA İLİŞKİSİ
Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım Kişisel Veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri ile ilgili veriler ile biyometrik ve genetik verilerdir.
Özel nitelikli Kişisel Veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilir:
Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınır ve buna ilkelere uygunluk sağlanır (Kanun m. 4)
VII. ÖZEL VERİLERİN İŞLENMESİNDE GÖZÖNÜNDE TUTULACAK KURALLAR
KİŞİLERİN IRKI, ETNİK KÖKENİ | Kişilerin etnik kökeninin kural olarak işlenmemesi esastır. İş görüşmelerinde bu konuda sorular sorulmaması gerekmektedir. İK personeli bu konuda bilgilendirilecek ve eğitilecektir. |
KİŞİLERİN SİYASİ DÜŞÜNCESİ, FELSEFİ İNANCI | Kişilerin siyasi düşüncesi, felsefi inancının kural olarak işlenmemesi esastır. İş görüşmelerinde bu konuda sorular sorulmaması gerekmektedir. İK personeli bu konuda bilgilendirilecek ve eğitilecektir. |
KİŞİLERİN DİNİ, MEZHEBİ VEYA DİĞER İNANÇLARI | Kişilerin din bilgileri de kural olarak işlenmeyecektir. Ramazan aylarında yemeğe gidecek personelin önceden öğrenilmesine ilişkin sorular sorulmayacak, eski kimliklerdeki din haneleri karartılarak yeniden sisteme taranacaktır. |
KİŞİLERİN KILIK VE KIYAFETİ | Kişilerin kılık kıyafeti de kural olarak işlenmeyecektir. Dini inançlarıyla bağlantılı olarak özel olarak giyinen kişilere (örneğin başörtüsü takan) saygı gösterilecek, bu özelliği ile ilgili kesinlikle bir kayıt alınmayacaktır. |
KİŞİLERİN DERNEK, VAKIF VERİLERİ | Dernek vakıf üyeliği gibi veriler de kural olarak işlenmeyecek, iş görüşmelerinde bu konuda soru sorulmayacaktır. İK Personeli de bu konuda eğitilecektir. |
KİŞİLERİN SENDİKA ÜYELİĞİ VERİLERİ | Sendika üyeliği konusu kesinlikle çalışan adaylarından istenmeyecek ve sorulmayacak, ancak işyerinde sendika ve toplu iş sözleşmesi düzeni olması durumunda, bunlar kanun gereği işlenecektir. |
KİŞİLERİN CİNSEL HAYATI | Kişilerin cinsel hayatı ile ilgili veriler de işyeri hekimi ve yetkili sağlık personeli dışında işlenmeyecektir. Kişilerin cinsel hayatına yönelik sorular iş görüşmelerinde kesinlikle sorulmayacak, bu konuda İK personeli bilgilendirilecek ve eğitilecektir. |
KİŞİLERİN CEZA MAHKÛMİYETİ VE GÜVENLİK TEDBİRLERİYLE İLGİLİ VERİLERİ | Kişilerden sabıka kayıtlarının ancak özel bir gereklilik durumunda talep edilmesi esas olmalı, bu durumda da ilgiliden rıza alarak işlem yapılmalıdır. Ancak ülkemizin içinde bulunduğu OHAL ve terör olayları nedeniyle geçici bir süreliğine bu uygulama genelleştirilebilecek, ancak bu verilerin korunması konusunda işbu Prosedür ve Özel Verilerin Korunması Prosedürü hükümlerine uygun hareket edilecektir. |
KİŞİLERİN BİYOMETRİK VE GENETİK VERİLERİ | Biyometrik ve genetik veriler kural olarak işlenmeyecek, ancak istisnai durumlarda (özel güvenlik gerekleri gibi), parmak izi retina gibi sistemler uygulanabilecektir. Bu durumda, Özel Verilerin Korunması Prosedürü hükümlerine GÖRE veriler saklanacak, kişilerin Açık Rızaları alınmak suretiyle işleme yapılacaktır. |
KİŞİLERİN SAĞLIK VERİLERİ | Sağlık verileri kural olarak yetkili sağlık personeli tarafından işlenecektir. Bu konuda sağlık verileri ile ilgili kayıtlar (özellikle sağlık raporları) İK biriminde tutulmayacak, bunlar sağlık personelinde bulunacaktır. İlgililerin bu verileri sağlık personeline teslim etmesi sağlanacak, İK personeli de bu konuda eğitilecektir. Engelli Raporları Ve Hastalık izinleri ile ilgili belgeler İK tarafından işlenmesi gerekli olduğundan, bunlarla ilgili olarak Açık Rıza alınarak işlem yapılacaktır. |
IX. AÇIK RIZA GEREKTİREN DİĞER DURUMLAR
İşbu Prosedürde öngörülenlerle sınırlı olmamak kaydıyla aşağıdaki durumlarda Açık Rıza alınarak işlem yapılması gerekli bulunmaktadır:
SOSYAL MEDYA VE GENEL OLARAK MEDYA PAYLAŞIMLARI | Çalışanların ve diğer ilgililerin resimlerinin ve bilgilerinin sosyal medya ve genel olarak paylaşımı konusunda (örn. Şirket dergileri) Açık Rıza alınmalıdır. |
DOĞUM/EVLİLİK GÜNÜ KUTLAMALARI | Çalışanların özel günlerinin kutlanması gibi uygulamalarda (Şirketin intranet ortamı gibi) Açık Rıza alınmalıdır. |
PAZARLAMA SÜREÇLERİ | Kişilere yapılacak pazarlama aktiviteleri (pazarlama amaçlı SMS, mail) kural olarak Açık Rıza ile yürütülmeli, bu konuda elektronik ticaret mevzuatı hükümleri de dikkate alınarak süreç yürütülmelidir. Bu noktada B2B / B2C yapı dikkate alınmalı, kurul kararları göz önündü tutularak işlem yapılmalıdır. |
YURT DIŞI VERİ PAYLAŞIMI | Kanunun 9. maddesine göre yurtdışına veri aktarımı; İlgili kişinin Açık Rızasının bulunması, Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir. Kanun, Kişisel Verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca Kişisel Verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür. İlgili kişinin Açık Rızasının bulunması durumunda Kişisel Verilerin yurtdışına aktarılması mümkündür. Açık Rıza dışındaki hallerde, Kanun Kişisel Verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir. A) Yeterli korumanın bulunması halinde Kişisel Veriler; Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde yurtdışına aktarılabilmektedir. Özel nitelikli Kişisel Veriler ise, Kişisel Verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki Kişisel Veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir. Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin Açık Rızası aranmaksızın yurtdışına aktarılabilecektir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir. B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için; Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri, Kurulun izninin bulunması gerekmektedir. Kanunda öngörülen bu durumlar dışında (güvenli ülke, taahhüt alınması) Kişisel Verilerin yurt dışı ile paylaşımı Açık Rızaya dayanmalıdır. |
DİĞER ŞİRKETLERLE (Örn. Grup Şirketleri) VERİ PAYLAŞIMI | Paylaşılan verinin niteliği ve sürece göre ilgiliden Açık Rıza alınması gerekebilecektir. |
X. PROSEDÜRÜN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR
İşbu PROSEDÜR tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve sair Şirket nezdinde Kişisel Veri işleyen herkes için bağlayıcı olacaktır.
Şirket çalışanlarının Prosedürün gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Prosedür’ e aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunulan bir üst amire bildirilecektir.
Prosedür’e aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
Prosedür gereklerinin yerine getirilmesi için Şirket tarafından; Kurulun öngördüğü tedbirler de dahil olmak üzere gerekli tüm güvenlik önlemleri alınacaktır.
XI. YÜRÜRLÜK VE GÜNCELLEME
Prosedür yayınlanma tarihi itibari ile yürürlüğe girecektir. Prosedürün Şirket genelinde duyurulması ve gerekli güncellemelerin yapılması Komite’nin sorumluluğundadır.