RUBİK ELEKTRONİK PARA VE ÖDEME HİZMETLERİ ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHA POLİTİKASI
1. Amaç
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanmıştır. KVKK, kişisel verileri işlenen gerçek kişilerin, Anayasa’da düzenlenen özel hayatın gizliliği de dâhil olmak üzere temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek için düzenlenmiştir.
Rubik Elektronik Para ve Ödeme Hizmetleri Anonim Şirketi (Rubikpara) için müşterilerinin, potansiyel müşterilerinin, çalışanlarının, çalışan adaylarının, iş birliği içinde olduğu kurumların ve çalışanlarının, paydaşlarının, iş ortaklarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verilerinin gizliliği ile güvenliği büyük önem taşımaktadır.
Rubikpara, KVKK’na uyum için gerekenlerin gereği gibi, özenle ve dikkatle yerine getirilmesini ve uluslararası standartlarda bir veri işleme, koruma ve imha prosedürü oluşturulmasını hedeflemektedir. İşbu Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası (Politika)’nın temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verileri Rubikpara tarafından işlenen gerçek kişileri bu kapsamda bilgilendirerek şeffaflığı sağlamaktır.
2. Kapsam
İşbu Prosedür, Rubikpara bünyesinde bulunan tüm kişisel ve özel nitelikli kişisel verilerin toplanması, saklanması, veri güvenliği, aktarılması, anonimleştirilmesi, imhası ve sair şekillerde işlenmesi ile ilgili faaliyetlerin yürütülmesi için, KVKK ve kişisel/özel nitelikli kişisel verilere ilişkin ilgili diğer mevzuat ve bu alandaki uluslararası standartlar kapsamında hazırlanmıştır.
3. Tanımlar ve Kısaltmalar
Rubikpara: Rubik Elektronik Para ve Ödeme Hizmetleri Anonim Şirketi,
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay,
Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesi,
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu,
Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi, örneğin; müşteriler, tedarikçiler, ziyaretçiler, çalışanlar ve çalışan adayları,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Gerekçede, bir kişinin belirli veya belirlenebilir olması mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesi,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
Veri İşleyen: Rubikpara’nın verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler,
anlamlarına gelmektedir.
4. Uygulama
4.1 Kişisel Verilerin Toplanması
İşlenen kişisel veriler ve özel nitelikli kişisel veriler, Rubikpara hizmetlerinin türü ve niteliğine göre değişebilmektedir. Kişisel veriler otomatik ya da otomatik olmayan yöntemlerle, ofisler, danışma, kurum içi yazılımlar, iş ilişkisi içerisinde olduğu kurumlar, paydaşlar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilmektedir.
Rubikpara’ya ait hizmetlerden yararlanıldığı müddetçe kişisel veriler işlenebilecek, verilerin doğruluğunu ve yeniliğini sağlamak amacıyla gerektiğinde güncellenebilecektir. Ayrıca, hizmetlerden yararlanmak amacıyla, Rubikpara’nın ofis, iş yeri veya internet sayfaları ve/veya sair sosyal ve dijital mecraları ziyaret edildiğinde veya Rubikpara’nın düzenlediği etkinlik, seminer, organizasyon, eğitim gibi faaliyetlere katılım sağlandığında kişisel veriler toplanıp, işlenebilecektir.
4.2 Kişisel Verilerin İşlenmesi
Rubikpara, kişisel verileri, ticari ve iş stratejilerinin belirlenmesi, uygulanması ve insan kaynakları süreçlerinin yürütülmesi amaçlarıyla ve kişisel verilerin elde edilmesi esnasında bildirilecek diğer sair amaçlarla, KVKK Madde 5 ve Madde 6’da belirtilen işleme şartlarına uygun şekilde işleyebilecektir.
İşleme amaçları aşağıda belirtilenlerle sınırlı olmamak üzere;
· Şirket faaliyetlerini yürütmek,
· Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
· Satış, Pazar araştırmaları ve istatistiksel çalışmalar yapabilmek,
· İş başvurularını değerlendirmek,
· Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,
· Yasal raporlama yapmak,
· Faturalandırma yapmak,
· Rubikpara özelinde bulunan ilgili tüm kurum ve kuruluşlar ile iletişimi sağlamak,
· Kurumsal iletişimi sağlamak,
· Kişiye özel uygun iş ilanı ve istihdam ile ilgili bilgileri sunmak,
· Elektronik posta ile bülten göndermek ya da bildirimlerde bulunmaktır.
4.2.1 Hukuka ve dürüstlük kurallarına uygun işleme
Rubikpara, KVKK’nun 4. maddesi uyarınca kişisel verileri hukuka ve dürüstlük kuralına uygun olarak işler, veri sahiplerine karşı “şeffaflık” ilkesini benimser ve kişisel veri sahiplerine kendi bilgilerinin kullanımı hakkında bilgilendirmede bulunur. Bilgilendirmede, açıklık ve dürüstlük esas alınır, toplanan kişisel verilerin işlenme ve kullanım amacı hakkında net bilgi verilir ve veriler bu çerçevede işlenir.
4.2.2 Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama
Rubikpara, işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu sebeple kişisel verilerin doğru ve güncel tutulması açısından meydana gelen değişiklikler ilgili birimlerce gerçekleştirilir.
4.2.3 Belirli, açık ve meşru amaçlarla işleme
Rubikpara, kişisel verileri meşru ve hukuka uygun sebeplerle toplar ve işler. Rubikpara, kişisel verileri, yürütmekte olduğu faaliyetlerle/süreçlerle bağlantılı olarak, makul çerçevede ve gerekli olduğu ölçüde işler.
4.2.4 Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
Rubikpara, işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemekten kaçınır. Bu çerçevede, veri işleme faaliyetinin en aza indirilmesi esastır.
4.2.5 Kanuni düzenlemeler tarafından öngörülen ve ticari meşru menfaatlerimiz süresince kişisel verilerin saklanması
Rubikpara, işlediği kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya mevzuatta bir süre öngörülmemiş ise kişisel veri işleme amacının gerektirdiği süre kadar muhafaza eder.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zaman aşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zaman aşımı süresinin sona ermesinin ardından tanımlanan süreler sonunda kişisel veriler, silinecek, yok edilecek veya anonim hale getirilecektir.
4.2.6 Özel nitelikli kişisel verilerin işlenmesi
Özel nitelikli kişisel veriler kanunlarda öngörülen ve Rubikpara’nın öngördüğü idari ve teknik tedbirler alınarak ve açık rıza var ise veya mevzuatın zorunlu kıldığı hallerde işlenir. Sağlık özel nitelikli kişisel verisi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekte olduğundan, RUBİK tarafından çalışanların verisi dışında işlenmez. Çalışanlara ait bu tür veriler ise kanunlarda öngörülen kişilerce işlenebilir.
4.3 Kişisel Verilerin Aktarımı
4.3.1 Kişisel verilerin yurt içine aktarımı
Kişisel veriler, işbu Prosedür’de belirtilen amaçların yerine getirilmesine yönelik olarak, iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olmak Rubikpara’nın iş ortaklarına ve hissedarlarına, kanunen yetkili kamu kurumları ve kuruluşlarına, kanunen yetkili özel hukuk kişilerine, Rubikpara’nın tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak Rubikpara’nın tedarikçilerine, hizmet alınan kişilere veya diğer üçüncü kişilere ve/veya yurtdışına, KVKK Kanunu Madde 8 ve Madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde gerekli güvenlik önlemleri alınarak aktarılabilecektir.
4.3.2 Kişisel verilerin yurt dışına aktarımı
Rubikpara tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere “Yeterli Korumaya Sahip Yabancı Ülke” veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir. Rubikpara, bu doğrultuda KVKK’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edecektir.
Kişisel verilerin hukuka uygun olarak aktarılmasına ilişkin alınan tedbirler
4.3.2.1 Teknik tedbirler
· Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için şirket içi teknik organizasyonu yapmak,
· Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik alt yapıyı oluşturmak,
· Oluşturulan teknik alt yapının süreçlerini takip etmekte ve denetimlerini yapmak,
· Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
· Riskli durumlar için koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya< donanımsal güvenlik ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmak,
· Teknik konularda uzman çalışanlar istihdam etmek.
4.3.2.2 İdari tedbirler
· Çalışanların kişisel verilerinin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmek ve gerekli eğitimleri vermek,
· Çalışanlar ile yapılan sözleşmelerde ve/veya Şirket prosedürlerinde, Çalışanlar tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almak,
· Veri işleyenler veya veri işleyenlerin ortaklarının kişisel verilerin işlenmesi faaliyetlerini denetlemek.
4.4 Kişisel Verilerin Saklanması
4.4.1 Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması
Rubikpara, kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklamaktadır.
Kişisel verileri birden fazla amaç ile işlediği hallerde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler Rubikpara tarafından mevzuat hükümlerine uygun şekilde silinmekte, yok edilmekte veya anonimleştirilerek saklanmaktadır.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.4.2 Kişisel verilerin saklanmasına ilişkin alınan tedbirler
4.4.2.1 Teknik tedbirler
· Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturmak,
· Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almak,
· Teknik uzmanlığı olan çalışanlar istihdam etmek,
· Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmek,
· Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurmak.
4.4.2.2 İdari tedbirler
· Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanları bilgilendirerek farkındalık yaratmak,
· Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin düzenlemelere yer vermek.
4.5 Kişisel Verilerin Güvenliği
4.5.1 Rubikpara, kişisel verilerin güvenlik tedbirleri
· Hukuka aykırı işlenmesini önlemek,
· Hukuka aykırı erişimini önlemek,
· Hukuka uygun olarak saklanmasını sağlamak,
Amacıyla teknolojik olanaklar ve uygulama maliyetlerine göre gereken idari ve teknik tedbirleri almaktadır.
4.5.2 Kişisel verilerin hukuka aykırı işlenmesini önlemek için alınan idari tedbirler
· Çalışanları kişisel verilerin hukuka uygun olarak işlenmesi hakkında eğitmek ve bilgilendirmek,
· Rubikpara’nın yürüttüğü faaliyetleri detaylı olarak tüm iş birimleri özelinde değerlendirmek, söz konusu değerlendirme sonucunda ilgili birimlerin gerçekleştirdiği ticari faaliyetler özelinde kişisel verileri işlemek,
· Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin gerekli güvenlik tedbirlerinin almasına ilişkin düzenlemelere yer vermek,
· Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK Kurul’una durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak,
4.5.3 Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik tedbirler
· Teknik uzmanlığı olan çalışanlar istihdam etmek,
· Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
· Şirket içerisinde erişim yetkilendirme prosedürleri oluşturmak,
· Şirket içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmak ve periyodik olarak denetimlerini yapmak,
· Çalışanları kişisel verilere erişim, yetkilendirme hususlarında eğitmek ve bilgilendirmek,
· Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak üzere teknolojik gelişmeler dâhilinde güvenlik sistemleri kurmak.
4.6 Kişisel Verilerin Silinmesi, Yok Edilmesi-İmha ve Anonimleştirilmesi
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda Rubikpara, kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir. KVKK’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
4.6.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi-İmha Teknikleri
Kişisel ve özel nitelikli kişisel veriler şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar ve bu süreden sonra sadece olası hukuki uyuşmazlıklarda delil teşkil etmesi amacıyla uygulamada gerekliliği ortaya konulan süreler kadar saklamaktadır. Belirtilen sürelerin sona ermesinden sonra söz konusu kişisel veriler mevzuat ve iç düzenlemelerde tanımlandığı şekilde silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.6.1.1 Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
4.6.1.2 Yazılımdan Güvenli Olarak Silme
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
4.6.1.3 Uzman Tarafından Güvenli Olarak Silme
Rubikpara, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
4.6.2 Kişisel Verileri Anonim Hale Getirme Teknikleri
4.6.2.1 Maskeleme
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
4.6.2.2 Toplulaştırma
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
4.6.2.3 Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
4.6.2.4 Veri Karma
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
4.7 Kişisel Veri Sahibinin Hakları
Kişisel Veri Sahibi, KVKK Madde 11 uyarınca:
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
4.7.1 Kişisel verilere ilişkin hakların kullanılması
Kişisel Veri Sahipleri, KVKK’nun uygulanmasıyla ve KVKK madde 11 kapsamındaki yukarıda sayılan haklarına ait taleplerini “…” adresinde bulunan “VERİ SAHİPLERİNİN KVKK KAPSAMINDA HAKLERINI KULLANMALARI İÇİN BAŞVURU FORMU”nun ıslak imzalı bir nüshasını Rubikpara’nın iletişim adreslerine, posta, elektronik posta yahut iadeli taahhütlü mektup vasıtasıyla veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle iletmelidir.
4.7.2 Başvurunun değerlendirilmesi
4.7.2.1 Başvurunun cevaplandırılma süresi
Kişisel verilere ilişkin talepler, niteliğine göre en kısa sürede ve her halükârda en geç 30 (otuz) gün içinde ücretsiz olarak karşılanacaktır. Başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep edilmesi söz konusu olabilecektir.
4.7.2.2 Başvuruyu reddetme hakkı
Kişisel veriler ile ilgili başvurular;
· Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
· Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
· Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
· Başvurunun haklı bir nedene dayanmaması,
· Başvurunun ilgili mevzuata aykırı bir istem içermesi,
· Başvuru usulüne uyulmaması,
hallerinde Rubikpara tarafından gerekçelendirilmek suretiyle reddedilir.
4.7.3 Başvurunun değerlendirilme usulü
Cevaplandırma süresinin başlayabilmesi için yapılan taleplerin yazılı ve ıslak imzalı, noter vasıtasıyla tebligat veya kayıtlı elektronik posta (KEP) üzerinden gönderilmesi veya KVK Kurulu’nun belirlediği diğer yöntemlerle başvuranın kimliğinin belgelendirilmiş kayıtlarla gönderilmesi gerekmektedir.
Talep kabul edilir ise ilgili işlem uygulanır ve yazılı veya elektronik ortamda bildirim yapılır.
Talebin reddi halinde ise, gerekçesi açıklanarak yazılı veya elektronik ortamda başvuru sahibine bildirilir.
4.7.4 Kişisel Verileri Koruma Kurulu’na olan şikâyet hakkı
Başvurunun reddedilmesi, verdiğimiz cevabı yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
4.8 Kişisel Verilerin Toplanması, İşlenmesi, Aktarılması, Saklanması, Güvenliği Ve İmha
Prosedürünü Yürütme Sorumluluğu
Bu prosedür, RUBİK bünyesinde bulunan tüm departmanlar ve bu departmanlara bağlı süreç sahipleri tarafından takip edilir.
Kişisel verilerin RUBİK adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde veri sorumlusu olarak RUBİK ile veri işleyen kişiler müştereken sorumlu olurlar.
RUBİK; veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; iş ortakları, hizmet sağlayıcı, tedarikçi ve yüklenicileri tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin ilgili mevzuat hükümlerine uygunluğunu denetler.
4.9 Prosedürün Uygulaması ve Yayınlanması
Departmanlardan süreçlerindeki değişikliklere ve yeni gelen taleplere istinaden, Genel Müdür tarafından atanmış KVK Kurulu tarafından revizyon yapılır, Genel Müdür onayına sunularak, onay sonrası yayınlanır.
Prosedür’ün tamamının veya belirli maddelerinin güncellenmesi durumunda, güncellemeler yayınlandıkları tarihte yürürlüğe girer. Prosedür en güncel hali ile kurum içerisinde ve “…” sitesinde yayınlanır ve kişisel veri sahiplerinin erişimine sunulur.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Prosedür arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
İşbu Prosedür en az yılda bir kez gözden geçirilir ve ihtiyaç halinde güncellenir.
4.10 Prosedürün Yürürlülüğü
Prosedür, Genel Müdür’ün onayı ile 08/03/2021 tarihinde yürürlüğe girmiştir. Prosedür basılı kâğıt (kontrollü kopya) ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.
