KVKK Politikası

KİŞİSEL VERİLERİ KORUMA VE İŞLEME ESASLARI

Politika, Kapsam ve Amaç

1.Politika

ECE PİKNİK ÜRÜNLERİ KÖMÜR VE PLASTİK ÜRETİM İTHALAT İHRACAAT ANONİM ŞİRKETİ (Bundan böyle ‘’ECE’’ olarak anılacaktır.) Yönetim Kurulu ve yönetimi, Bilgi Güvenliği Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve ECE tarafından verileri işlenen bireylerin hak ve özgürlüklerini korumayı taahhüt etmektedir. Yönetim Kurulu, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.

2.Kapsam

Politika hükümleri, ECE’nin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika ECE’nin tüm birimlerini, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.

3. Amaç

ECE’nin kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, ECE’nin kabul edilebilir bir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; ECE’nin kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, Kanunlar, Sözleşmeler ve Meslek Kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.

2.Veri Koruma İlkeleri

ECE, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. ECE’nin benimsediği veri koruma ilkeleri şunları içermektedir:

Kişisel verileri yalnızca meşru kurumsal amaçlar için açıkça gerekli olması halinde işlemek,
Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,
Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek,
Yalnızca ilgili ve uygun kişisel verileri işlemek,
Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
İşlenen kişisel veri kategorilerinin envanterini tutmak,
Kişisel verileri doğru ve gerektiğinde güncel tutmak,
Kişisel verileri yalnızca yasal düzenlemeler, ECE’nin hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
Tüm kişisel verileri güvenli tutmak,
Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek,
Mevzuat uyarınca izin verilen istisnaları uygulamak,
Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak,
Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların ECE’nin kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek,

Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip personelleri belirlemek.

3.Bildirimler

ECE, veri sorumlusu olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında Kişisel Verilerin Korunması Kurulu’nu (Bundan sonra KVK Kurulu olarak belirtilecektir.) bilgilendirir.

Bildirimler KVK Kurulu’nca belirlenecek usul ve yöntem uyarınca yapılır ve yapılan bildirimin bir kopyası ECE Kişisel Veri Koruma Komitesi (Bundan sonra KVK Komitesi olarak belirtilecektir.) tarafından saklanır.

İlgili mevzuat veya KVK Kurulu’nca gerekli görülmesi halinde bildirimler periyodik olarak tekrarlanır.

KVK Komitesi, KVK Kuruluna yapılan bildirimde meydana gelebilecek potansiyel değişiklikleri tespit etmek amacıyla ECE’nin veri işleme faaliyetlerini ve bunlardaki değişiklikleri yıllık olarak gözden geçirir ve gerekmesi halinde KVKK Kurulu’nu bilgilendirir.

ECE’nin tüm birimlerini, destek hizmeti veren firma personellerini, stajyer ve sözleşmeli personelin bu politikayı ihlal edici her türlü eylemine ECE’nin disiplin mevzuatı uygulanacak ve söz konusu ihlalin suç veya kabahat oluşturması halinde durum en kısa süre içerinde ilgili makamlara bildirilir.

ECE’nin kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları ve ECE ile birlikte çalışan tüm üçüncü taraflar bu politikayı okumaya ve politikaya uymaya davet edilir. Hiçbir üçüncü taraf, kişisel verilerin korunması konusunda en az ECE’nin ki kadar güçlü standartlara sahip yükümlülükleri ve bunlara ilişkin ECE’nin denetim hakkını içeren yazılı bir gizlilik anlaşması yapılmaksızın ECE tarafından işlenen kişisel verilere erişim sağlayamaz.

Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel nitelikli (hassas) kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

KVKK Kurulu: Kişisel Verileri Koruma Kurulunu,

KVKK Kurumu: Kişisel Verileri Koruma Kurumunu,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Görev ve Sorumluluklar

5.1) ECE, KVKK uyarınca veri sorumlusudur.

5.2) Üst Yönetim, yönetici ve denetçi pozisyonlarında olanlar başta olmak üzere tüm personeller, ECE bünyesinde kişisel verilerin işlenmesinde doğru uygulamaların geliştirilmesi ve teşvik edilmesinden ve ayrıca bireysel görev tanımlarında yer verilmiş bu konuya ilişkin diğer yükümlülüklerden sorumludur.

5.3) KVK Komitesi, kişisel veri koruma sisteminin yönetilmesi ve KVKK ve sair ilgili mevzuata uyumun sağlanması ve belgelenmesi konularında görevli birim olarak kurulmuştur ve bu konularda Yönetim Kuruluna karşı sorumludur.

5.3.1 KVK Komitesi

KVK Komitesi üyeleri yönetim kurulu tarafından kişisel verilerin korunması mevzuatı ve uygulamaları konularında uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır ve doğrudan Yönetim Kurulu’na rapor sunar.

KVK Komitesi, Bilgi Güvenliği Komitesi üyeleri ve Hukuk Müşaviri,… (bunlar başka kişiler olacaksa ünvanları yazılmalıdır) ’nden oluşur. Komitenin başkanı ECE Genel Müdürü ………….. ’dür .

,Komite her iki haftada bir düzenli olarak veya gerek görülmesi halinde toplanır.

5.3.2 KVK Komitesi Görev ve Sorumlulukları

5.3.2.1 Yönetim Kurulu’nu Kişisel Verilerin Korunması mevzuatı ve gelişmeler konusunda bilgilendirmelidir.

5.3.2.2 ECE’nin politikalarının ve prosedürlerinin güncel olduğunu ve veri işleme denetimlerinin planlandığı takvime uygun olarak yapıldığını ve bunların ilgili mevzuatla uyumlu olduğunu sağlamakla sorumludur.

5.3.2.3 Kişisel veri koruma konularında tüm ilgili personelle birlikte hareket eder.

5.3.2.4 Komite’nin ana görev ve sorumlulukları şunlardır:

ECE’nin ilgili partnerleri ve destek hizmeti sağlayan tedarikçilerine kişisel veri koruma mevzuatı ve uyum konularında bilgi ve tavsiye vermek.
ECE’nin personeline kişisel veri koruma mevzuatı uyarınca sahip oldukları yükümlülükler konusunda bilgi ve tavsiye vermek.
ECE’nin veri işleme faaliyetlerinin kişisel veri koruma mevzuatı ile uyumluluğunu gözlemlemek.
ECE’nin kişisel veri koruma politikası ve ilgili prosedür ve süreçleri geliştirmesine ve sürdürmesine katkı sağlamak.
Kişisel veri koruma mevzuatına uyum bağlamında şirket içinde sorumlulukları tayin etmek.
Kişisel veri işleme süreçlerine dahil olan tüm personel için gerekli eğitim ve farkındalığın verilmesini sağlamak.
Düzenli denetimler yaparak Kişisel veri koruma mevzuatı ile uyumu gözlemlemek ve Yönetim Kurulu’na raporlamak.
KVK Kurulu ile işbirliği ve irtibat halinde hareket etmek.
KVK Kurulu nezdinde ECE’nin irtibat noktası ve temsilcisi olarak işlev görecek sorumluları belirlemek.
Şirket bünyesinde Bilgi Güvenliği Politikası’na uyumu gözlemlemek ve gerektiğinde ilgililere bilgi ve tavsiye vermek.
Kişisel veri ihlali olaylarının ve soruşturmalarının Kurul’a bildirilmesi için resmi prosedür geliştirmek.
İş sürekliliği planı sürecinde katkı sağlamak.
Kurumsal kayıtların saklanması konusunda bilgi ve tavsiye vermek.
Şirket bünyesinde kişisel verilerin hangi ölçekte toplandığını, tutulduğunu ve kullanıldığını ve bunların ilgili mevzuata uygun olarak saklanma koşularını temin etmek.
Kişisel verilerin korunmasına ilişkin uygunluk, makullük, güvenlik uygulamaları ve gerekli olabilecek diğer kontrollere ilişkin gözetim ve değerlendirmeleri yapmak.
Kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaya yönelik kontrolleri belirlemek ve uygulamak, gerekli olabilecek ilave kontrolleri önermek.
Şirket içinde kişisel veriler bakımından potansiyel risk oluşturduğu konuları ve ilgili önerilerini Yönetim Kurulunun gündemine sunmak.

5.3.2.5 KVK Komitesi ECE’nin kişisel verilerin toplanması, işlenmesi ve saklanmasıyla ilgili tüm sistemlerde denetleme yetkisine sahiptir. KVK Komitesi görevlerini yerine getirirken tüm personelden sistemlere ve kayıtlara erişim dahil olmak üzere işbirliği sağlama talebinde bulunabilir. Bu işbirliğinin sağlanmaması durumunda Komite durumu Yönetim Kuruluna rapor eder.

5.4 ECE’nin kişisel veri işleyen tüm personeli Kişisel Verilerin Korunması mevzuatına uygun davranmak sorumluluğundadır.

5.5 İnsan Kaynakları birimi, tüm personelin kişisel verilerin korunması alanında sahip olduğu sorumlulukları bilmesi ve gerekli farkındalığa sahip olması için gerekli bildirim ve eğitimlerin gerçekleştirilmesinden sorumludur.

5.6 ECE personelleri, şirkete kendileri tarafından sağlanan veya kendilerine ilişkin olan tüm kişisel verilerin doğruluğunu ve güncelliğini sağlamakla yükümlüdür.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

Tüm kişisel veri işleme faaliyetleri kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmiş ve veri koruma ilkeleriyle uyumlu olarak yapılması gerekmektedir:

Hukuka ve Dürüstlük Kurallarına Uygun İşleme: ECE, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.
Kişisel Verilerin Doğru ve Gerektiğinde Güncelliğini Temin Etme: ECE, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamak için dönemsel kontroller yapmakta, bu çerçevede gereken idari ve teknik tedbirleri almakta, gerekli süreçleri yürütmektedir. Bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmaları Şirket bünyesinde kurmaktadır.
Kişisel Verileri Amaçla Bağlantılı, Sınırlı ve Ölçülü Bir Biçimde İşleme: ECE, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemektedir. Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir. Bu çerçevede ECE, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmaktadır.
Belirli, Açık ve Meşru Amaçlarla İşleme: ECE, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme: ECE, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Bu doğrultuda ECE, Türk Ceza Kanunu’nun 138. maddesi ve KVK Kanunu’nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmektedir. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Veri Sahiplerinin Hakları

Veri sahipleri haklarındaki ECE nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki haklara sahiptir;

7.1 Kişisel verisinin işlenip işlenmediğini öğrenme,

7.2 Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

7.3 Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

7.4 Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

7.5 Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

7.6 KVKK veya bu politika uyarınca işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel verilerin silinmesini veya yok edilmesini isteme,

7.7 İsteği üzerine yapılan düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

7.8 İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

7.9 Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, kişisel verilerine erişme ve yukarıda sayılan haklarını kullanma talebinde bulunabilirler. Bu talepler İrtibat Sorumlusu/KVK Komitesine iletilir ve Komite tarafından 30 gün içerisinde cevap verme işlemi yerine getirilir. Taleplerin alınması, iletilmesi ve sonuçlandırılmasına ilişkin süreçler talep yönetim prosedürü uyarınca gerçekleştirilir.

KVKK Politikası

KİŞİSEL VERİLERİ KORUMA VE İŞLEME ESASLARI

Politika, Kapsam ve Amaç

1.Politika

2.Kapsam

3. Amaç

2.Veri Koruma İlkeleri

ECE, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. ECE’nin benimsediği veri koruma ilkeleri şunları içermektedir:

Kişisel verileri yalnızca meşru kurumsal amaçlar için açıkça gerekli olması halinde işlemek,

Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,

Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek,

Yalnızca ilgili ve uygun kişisel verileri işlemek,

Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,

İşlenen kişisel veri kategorilerinin envanterini tutmak,

Kişisel verileri doğru ve gerektiğinde güncel tutmak,

Kişisel verileri yalnızca yasal düzenlemeler, ECE’nin hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,

Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,

Tüm kişisel verileri güvenli tutmak,

Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek,

Mevzuat uyarınca izin verilen istisnaları uygulamak,

Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak,

Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların ECE’nin kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek,

Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip personelleri belirlemek.

3.Bildirimler

ECE, veri sorumlusu olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında Kişisel Verilerin Korunması Kurulu’nu (Bundan sonra KVK Kurulu olarak belirtilecektir.) bilgilendirir.

Bildirimler KVK Kurulu’nca belirlenecek usul ve yöntem uyarınca yapılır ve yapılan bildirimin bir kopyası ECE Kişisel Veri Koruma Komitesi (Bundan sonra KVK Komitesi olarak belirtilecektir.) tarafından saklanır.

İlgili mevzuat veya KVK Kurulu’nca gerekli görülmesi halinde bildirimler periyodik olarak tekrarlanır.

KVK Komitesi, KVK Kuruluna yapılan bildirimde meydana gelebilecek potansiyel değişiklikleri tespit etmek amacıyla ECE’nin veri işleme faaliyetlerini ve bunlardaki değişiklikleri yıllık olarak gözden geçirir ve gerekmesi halinde KVKK Kurulu’nu bilgilendirir.

Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

KVKK Kurulu: Kişisel Verileri Koruma Kurulunu,

KVKK Kurumu: Kişisel Verileri Koruma Kurumunu,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Görev ve Sorumluluklar

5.1) ECE, KVKK uyarınca veri sorumlusudur.

5.3) KVK Komitesi, kişisel veri koruma sisteminin yönetilmesi ve KVKK ve sair ilgili mevzuata uyumun sağlanması ve belgelenmesi konularında görevli birim olarak kurulmuştur ve bu konularda Yönetim Kuruluna karşı sorumludur.

5.3.1 KVK Komitesi

KVK Komitesi üyeleri yönetim kurulu tarafından kişisel verilerin korunması mevzuatı ve uygulamaları konularında uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır ve doğrudan Yönetim Kurulu’na rapor sunar.

KVK Komitesi, Bilgi Güvenliği Komitesi üyeleri ve Hukuk Müşaviri,… (bunlar başka kişiler olacaksa ünvanları yazılmalıdır) ’nden oluşur. Komitenin başkanı ECE Genel Müdürü ………….. ’dür .

,Komite her iki haftada bir düzenli olarak veya gerek görülmesi halinde toplanır.

5.3.2 KVK Komitesi Görev ve Sorumlulukları

5.3.2.1 Yönetim Kurulu’nu Kişisel Verilerin Korunması mevzuatı ve gelişmeler konusunda bilgilendirmelidir.

5.3.2.2 ECE’nin politikalarının ve prosedürlerinin güncel olduğunu ve veri işleme denetimlerinin planlandığı takvime uygun olarak yapıldığını ve bunların ilgili mevzuatla uyumlu olduğunu sağlamakla sorumludur.

5.3.2.3 Kişisel veri koruma konularında tüm ilgili personelle birlikte hareket eder.

5.3.2.4 Komite’nin ana görev ve sorumlulukları şunlardır:

ECE’nin ilgili partnerleri ve destek hizmeti sağlayan tedarikçilerine kişisel veri koruma mevzuatı ve uyum konularında bilgi ve tavsiye vermek.

ECE’nin personeline kişisel veri koruma mevzuatı uyarınca sahip oldukları yükümlülükler konusunda bilgi ve tavsiye vermek.

ECE’nin veri işleme faaliyetlerinin kişisel veri koruma mevzuatı ile uyumluluğunu gözlemlemek.

ECE’nin kişisel veri koruma politikası ve ilgili prosedür ve süreçleri geliştirmesine ve sürdürmesine katkı sağlamak.

Kişisel veri koruma mevzuatına uyum bağlamında şirket içinde sorumlulukları tayin etmek.

Kişisel veri işleme süreçlerine dahil olan tüm personel için gerekli eğitim ve farkındalığın verilmesini sağlamak.

Düzenli denetimler yaparak Kişisel veri koruma mevzuatı ile uyumu gözlemlemek ve Yönetim Kurulu’na raporlamak.

KVK Kurulu ile işbirliği ve irtibat halinde hareket etmek.

KVK Kurulu nezdinde ECE’nin irtibat noktası ve temsilcisi olarak işlev görecek sorumluları belirlemek.

Şirket bünyesinde Bilgi Güvenliği Politikası’na uyumu gözlemlemek ve gerektiğinde ilgililere bilgi ve tavsiye vermek.

Kişisel veri ihlali olaylarının ve soruşturmalarının Kurul’a bildirilmesi için resmi prosedür geliştirmek.

İş sürekliliği planı sürecinde katkı sağlamak.

Kurumsal kayıtların saklanması konusunda bilgi ve tavsiye vermek.

Şirket bünyesinde kişisel verilerin hangi ölçekte toplandığını, tutulduğunu ve kullanıldığını ve bunların ilgili mevzuata uygun olarak saklanma koşularını temin etmek.

Kişisel verilerin korunmasına ilişkin uygunluk, makullük, güvenlik uygulamaları ve gerekli olabilecek diğer kontrollere ilişkin gözetim ve değerlendirmeleri yapmak.

Kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaya yönelik kontrolleri belirlemek ve uygulamak, gerekli olabilecek ilave kontrolleri önermek.

Şirket içinde kişisel veriler bakımından potansiyel risk oluşturduğu konuları ve ilgili önerilerini Yönetim Kurulunun gündemine sunmak.