1. AMAÇ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KANUN”) ve ikincil mevzuat uyarınca; veri sorumlusu olarak, Uludağ Enerji Dağıtım ve Perakende Satış Hizmetleri Anonim Şirketi [ULUDAĞ] tarafından ilgili kişilere ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na [KANUN] uyumlu bir şekilde işlenmesini ve korunmasını sağlamak adına uygulama kurallarını ve yükümlülükleri tanımlamak üzere hazırlanmıştır.
2. KAPSAM
2.1 Kişisel Verilerin İşlenmesi ve Korunması Politikası [Politika/KVİK]; ULUDAĞ’ın kişisel veri işlediği kayıt ortamlarına dâhil olan tüm departmanlarını, çalışanlarını ve Şirket’in akdi olarak sorumlu kıldığı üçüncü kişileri kapsamaktadır.
2.2 Politika/KVİK; Şirket’in sadece kişisel veriler üzerinde uygulayacağı tüm işleme ve koruma faaliyetlerini kapsamaktadır.
2.3 Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda ULUDAĞ, politikayı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
3. DAYANAK
Politika/KVİK; 07/04/2016 yürürlük tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuata dayanılarak hazırlanmıştır.
4. TANIMLAR
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kurum: Kişisel Verileri Koruma Kurumu’dur.
KurulKişisel Verileri Koruma Kurulu’dur.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
İlgili Kişi:
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili Bilgi Sistemidir (VERBİS).
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri kayıt sistemi: Kişisel verilerin belirli kıstaslara göre yapılandırılarak işlendiği kayıt sistemidir.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanarak açıklanan ve veri işleme amacıyla sınırlı olarak verilen onaydır.
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
5.1 Kişisel Verilerin İşlenmesine Dair Temel İlkeler
Kişisel veriler, KANUN’un 4 üncü maddesinde sayılan ilkelere uygun olarak ve 5 inci ve 6 ncı maddelerinde belirtilen şartlar ile uyumlu bir şekilde işlenmektedir. ULUĞ, KANUN’un 4 üncü maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar doğrultusunda, amaçla bağlantılı, sınırlı ve ölçülü biçimde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ederek kişisel verilerin işlenmesine uygun hareket edilmektedir. Buna göre;
5.2 Kişisel Verileri İşleme Şart ve Amaçları
5.2.1 ULUDAĞ kişisel verileri KANUN’un 5 inci ve 6 ncı maddelerinde belirtilen kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir. Bu amaçlar ve koşullar aşağıdaki gibidir:
5.2.2 Bu kapsamda ULUDAĞ, kişisel verileri aşağıdaki amaçlarla işlemektedir:
5.2.3 Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KANUN kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak ULUDAĞ tarafından ilgilinin açık rıza beyanı istenilmektedir.
6. KİŞİSEL VERİLERİN KORUNMASINA VE GÜVENLİĞİNE İLİŞKİN HUSUSLAR
6.1 ULUDAĞ, Kanun’un 12 nci maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli teknik ve idari tedbirleri almaktadır.
6.2 Bu kapsamda ULUDAĞ, Kişisel Verileri Koruma Kurulu [KURUL] tarafından yayımlanmış kurul kararları ve rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
6.3 ULUDAĞ tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına özen ve ihtimam gösterilmektedir. Bu kapsamda, ULUDAĞ tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da uygulanmakta ve ULUDAĞ bünyesinde gerekli denetimler sağlanmaktadır.
6.4 Özel nitelikli kişisel verilerin işlenmesi, saklanması, aktarılması, imha edilmesi ile güvenliğine yönelik kuralların tanımlanması, yeterli önlemlerin alınması ilgili ayrıntılı bilgiye “Form-… ULUDAĞ Özel Nitelikli Kişisel Veri Yönetim Politikası” nda yer verilmiştir.
6.5 Kişisel verilerin güvenliğine ilişkin yükümlülüklerin yerine getirilmesi açısından ve güvenliğin risk teşkil ettiği durumlarda hızlı bir şekilde hareket edilmesi adına, ULUDAĞ gerekli teknik ve idari tedbirleri almak ve hukuka aykırı erişimi engellemekle yükümlü olmasıyla beraber; yine de üçüncü kişilerin kişisel verilere hukuka aykırı erişimi söz konusu olmuş ise; kişisel verilerin korunmasına ilişkin ilgili mevzuata ve KURUL kararlarına uygun şekilde ilgililerin zarar görmemesi için teknik ve idari tedbirleri alır.
6.6 Şirket bünyesinde kullanılmakta olan veri kayıt sistemlerinin KANUN ve ilgili mevzuata uygun şekilde oluşturulduğu ve kullanıldığı takip edilerek denetlenir ve bu konuda yetkili kılınan kişi veya kurula raporlama yapılır.
6.7 ULUDAĞ, kişisel verilerin yetkisiz bir şekilde ifşasının engellenmesine yönelik tedbirler almakta ve buna ilişkin prosedür/plan oluşturmaktadır. Buna ek olarak, söz konusu durumlarda ULUDAĞ, veri sorumlusu olarak, kişisel verileri yetkisiz bir şekilde ifşa edilen kişileri ve Kurulu bilgilendirmekle yükümlüdür.
6.8 ULUDAĞ, verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilere kişisel verilerin hukuka uygun bir şekilde korunmasına ilişkin bilgi vermekte ve veri işleyenlerde farkındalık yaratmakta; aynı zamanda bu kişilerle akdedilen sözleşmeler çerçevesinde kişisel verilerinin hukuka uygun şekilde korunmasına yönelik hükümler belirlemektedir.
6.9 ULUDAĞ, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin korunmasını sağlamaya yönelik farkındalığın arttırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. ULUDAĞ, çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda ULUDAĞ, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
7. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
7.1 ULUDAĞ kişisel verilerin aktarılması konusunda KANUN’da öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmektedir. ULUĞ tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılmamaktadır.
7.2 KANUN ve ilgili diğer mevzuatın zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum ve kuruluşa aktarılabilir. Ayrıca, KANUN’un 8 inci maddesinde öngörülen şekilde, KANUN’un 5 inci maddesinin ikinci fıkrasında (örneğin bir sözleşmenin kurulması veya ifası için zorunlu olması ya da hukuki bir yükümlülüğümüzün yerine getirilmesi gibi) veya özel nitelikli kişisel veriler için KANUN’un 6 ncı maddesinin üçüncü fıkrasında öngörülen durumlarda ilgilinin rızası olmaksızın aktarılabilir.
ULUDAĞ, kişisel verileri kanunda öngörülen şartlara uygun olarak ve gerekli tüm güvenlik önlemlerini alarak Türkiye’de bulunan üçüncü kişilere aktarabilir.
7.3 ULUDAĞ’ın, kişisel verileri Türkiye’de üçüncü kişilere aktarabilmesine ilaveten, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, yurt dışına da aktarabilmesi mümkündür. Bu durumda, KANUN’da belirtilen kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işleme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp sağlanmadığını KANUN’un amir hükmüne göre Kurul belirleyecek olup; yeterli korumanın bulunmaması durumunda ise, hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması gerekmektedir.
7.4 Kamu tüzel kişilerinin, hukuken yetkili özel kişi veya kuruluşlarının ilgili mevzuat kapsamında talep ettikleri bilgiler KANUN’un 8 inci maddesinin birinci fıkrası uyarınca paylaşılabilmektedir. Buna göre, Politika/KVİK’te belirtilen amaçlarla, kişisel verilerin aktarılabileceği diğer kişi veya kuruluşlar ise şunlardır; işlenen bütün kişisel verilerin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerini önlemek gibi veri güvenliği tedbirlerinin alınmasında ULUDAĞ ile müşterek ve müteselsil sorumlu olmak üzere bağlı ortaklıklar ve/veya doğrudan/dolaylı yurtiçi/yurtdışı iştirakler ile ULUDAĞ olarak faaliyetleri yürütmek üzere ilgili sözleşmeler kapsamında hizmet alınan, işbirliği içinde olunan, program ortağı olan yurt içi/yurt dışı kuruluşlar ve diğer üçüncü kişilerdir.
7.5 İşlenen ve aktarılan ya da aktarım sonucu alınan kişisel verilerin, ULUDAĞ’ın KANUN’ dan kaynaklanan sorumluluk ve yetki kapsamında kendi adına kişisel verileri işleyen gerçek veya tüzel kişilerce, yetkisiz erişim ve kullanımını engelleyecek tedbirleri alır.
7.6 KANUN’un 8 ve 9 uncu maddeleri uyarınca düzenlenmiş ikincil mevzuat içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve ULUĞ içerisinde ve/veya ULUDAĞ tarafından uyulması gereken esasları belirlemek amacıyla “Politika-… ULUDAĞ Kişisel Veri Aktarım Politikası” nda yer verilmiştir. Özel nitelikli kişisel veriler yönünden “Politika-… ULUDAĞ Özel Nitelikli Kişisel Veri Yönetim Politikası” nda yer alan hükümler saklıdır.
8. KİŞİSEL VERİLERİN SAKLANMA VE İMHASINA İLİŞKİN HUSUSLAR
KANUN’un 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine istinaden KURUL tarafından hazırlanmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e dayanılarak kişisel verilerin saklanması ve imha edilmesi hakkında uyulması gereken esasları belirlemek ve KANUN’un 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü bir Veri Sorumlusu olan ULUDAĞ’ın kişisel veri işleme envanterine uygun şekilde hazırlanan “Politika-… ULUDAĞ Kişisel Veri Saklama ve İmha Politikası” nda yer verilmiştir.
9. İLGİLİ KİŞİNİN AYDINLATILMASI
9.1 ULUDAĞ, Kanun’un 10 uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır.
Bu kapsamda ULUDAĞ ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Anayasanın 20 nci maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11 inci maddesinde ilgili kişinin hakları arasında “bilgi talep etme” hakkı da yer almaktadır. ULUDAĞ, bu kapsamda, Anayasanın 20 nci ve Kanun’un 11 inci maddelerine uygun olarak ilgili kişinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. ULUDAĞ Şirketleri’nin internet sayfalarında yukarıda ifade edilen hususlara ilişkin bilgiler yer almaktadır.
9.2 Bunlarla beraber, ilgili kişilerin KANUN’un 11 inci maddesinde belirtilen haklarını kullanmaları için 13 üncü maddede belirtilen şekilde ULUDAĞ’a yapılan başvuru taleplerinde izlenecek adımların belirlenmesi ve bu hususta Kanun’a tam uyumlu hale gelinmesi amacıyla ULUDAĞ; Prosedür-… Kişisel Verilerle İlgili Başvuru Talebi ve Yönetim Prosedürü ile hazırlanmış, gerekli hususlar burada belirlenmiştir.
10. İLGİLİ KİŞİNİN HAKLARI
Kanun’un 11 inci maddesi hükümleri uyarınca, ilgili kişilerin kişisel verilerine ilişki olarak aşağıdaki hakları bulunmaktadır.
11. İLGİLİ KİŞİNİN HAKLARINI KULLANMASI
İlgili kişi, KANUN’un 11 inci maddesi kapsamında sayılı haklara ilişkin taleplerini, www.uludagenerji.com.tr adresinde yer alan “Kişisel Veriler Hakkında Başvuru Formu” nu kullanarak; bu formu Üniversiteler Mah. 1606. Cadde C-3 Blok No:4/C-263 Çankaya – ANKARA kurumsal adresine bizzat elden iletebilir, noter kanalıyla ulaştırabilir, Şirket sistemlerimizde kayıtlı kişisel e-posta adresinizden kvkbasvuru@uludagenerji.com.tr veya kayıtlı elektronik posta (KEP) adresini kullanmak suretiyle uludagenerji@hs01.kep.tr adresine, iletebilmektedir. Örnek başvuru formuna www.uludagenerji.com.tr resmi web sitesinde yer alan link aracılığıyla ulaşabilmektedir.
12. ULUDAĞ’IN BAŞVURULARA CEVAP VERME USULÜ VE SÜRESİ
12.1 İlgili kişiler, belirtilen haklarının kullanılmasına yönelik ULUDAĞ’a ilgili başvuru kanalları üzerinden ulaştıktan sonra, başvurular en kısa sürede ve en geç 30 gün içinde ücretsiz olarak veya Kurul tarafından ücrete ilişkin yayınlanan tarifedeki koşulların oluşması durumunda tarifedeki ücreti karşılığında sonuçlandıracaktır.
12.2 ULUDAĞ, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Bu doğrultuda ilgili kişi tarafından ULUĞ’a kimliği teyit ve tevsik edici belgelerin ibraz edilmesi gerekmektedir. ULUDAĞ, ilgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişine başvurusu ile ilgili soru yöneltebilir.
12.3 İlgili kişi tarafından yapılan talepler veri sorumlusu tarafından kabul edilir veya gerekçesi açıklanarak reddedilir ve yazılı veya elektronik ortamda cevap bildirilir. Başvurunun kabul edilmesi halinde ULUĞ tarafından gereği yerine getirilir. Kişisel verilerinin işlenmesi/ değiştirilmesi/ silinmesi talebine ilişkin bazı durumlarda hukuki yükümlülüklerden dolayı veya KANUN’un 5 inci ve 6 ncı maddeleri uyarınca belirlenmiş diğer nedenler doğrultusunda talebe olumlu yanıt verilmemektedir. Bu durumda verilecek ret cevabında sebepleri ayrıntılı bir şekilde gerekçelendirilerek hukuki dayanağı bildirilecektir.
12.4 Başvurunun ULUDAĞ tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; ilgili kişinin cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunma hakkı bulunmaktadır.
13. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI
İşbu politika, yayımlandığı tarihte yürürlüğe girer, KANUN kapsamındaki aydınlatma yükümlülüğü ile birlikte kişisel verileri bulunan kullanıcılara bildirilir ve ULUDAĞ resmi sitesinde yayımlanır.
14. POLİTİKA’DA YAPILAN DEĞİŞİKLİKLER
14.1 Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, ULUDAĞ Politikayı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
14.2 ULUDAĞ, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.