İÇİNDEKİLER

• 1. Amaç ve Kapsam
• 2. Hedef
• 3. Tanımlar
• 4. Roller ve Sorumluluklar

1. AMAÇ VE KAPSAM

Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugüne benimsemiş olan Gül Termal Rulo, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.

Gül Termal Rulo Kişisel Verilerin İşlenmesi ve Korunması Politikası ("Gül Termal Rulo KVK Politikası") ile Gül Termal Rulo tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.

Gül Termal Rulo'nun, kişisel verilerin korunmasına verdiği önem doğrultusunda, Gül Termal Rulo KVK Politikası ile Gül Termal Rulo tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVK Kanunu") yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda Gül Termal Rulo'nun yerine getirmesi gerekenler ortaya konulmaktadır. Gül Termal Rulo tarafından Gül Termal Rulo KVK Politikası düzenlemelerinin uygulanması ile Gül Termal Rulo'nun benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.

2. HEDEF

Gül Termal Rulo, şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır.

Gül Termal Rulo KVK Politikası, şirket tarafından KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. Gül Termal Rulo KVK Politikası ile, şirket tarafından önem verilen, KVK Kanunu'na uyum sürecinin benimsenmesi ve özenle yürütülmesinin temini hedeflenmektedir.

3. TANIMLAR

Gül Termal Rulo KVK Politikası'nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
• Çalışan KVK Politikası: Gül Termal Rulo çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği politika.
• Kişisel Sağlık Verilerinin İşlenmesine ilişkin Yönetmelik: 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete'de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.
• Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.
• Kişisel Verileri Koruma Birimi: Gül Termal Rulo tarafından kişisel verilerin korunması mevzuatında uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında şirket bünyesindeki koordinasyonu sağlayacak olan birim.
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
• KVK Kanunu: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete'de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
• KVK Kurulu: Kişisel Verileri Koruma Kurulu.
• KVK Kurumu: Kişisel Verileri Koruma Kurumu.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
• Gül Termal Rulo/Şirket: Gül Termal Rulo.
• Gül Termal Rulo İş Ortakları: Gül Termal Rulo'nun ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar.
• Gül Termal Rulo Tedarikçileri: Sözleşme temelli olarak Gül Termal Rulo'ya hizmet sunan taraflar.
• Gül Termal Rulo Veri Sahibi Başvuru Formu: Veri sahiplerinin, KVK Kanunu'nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
• Gül Termal Rulo Çalışanı Veri Sahibi Başvuru Formu: Gül Termal Rulo çalışanı olan veri sahiplerinin, KVK Kanunu'nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
• Gül Termal Rulo Çalışan KVK Politikası: Gül Termal Rulo bünyesinde dahili şirketlerin çalışanlarının kişisel verilerinin korunmasında ve işlenmesinde benimsenen ilkelerin düzenlendiği politika.
• Türkiye Cumhuriyeti Anayasası: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Anayasa.
• Türk Ceza Kanunu: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Kanun.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
• Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

4. ROLLER VE SORUMLULUKLAR

Gül Termal Rulo KVK Politikası'nın tüm Gül Termal Rulo'nun işleyiş, faaliyet ve süreçlerinde uygulanmasından, Gül Termal Rulo CEO'su sorumlu olmakla birlikte; Gül Termal Rulo KVK Politikası'na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Gül Termal Rulo bünyesinde uygulanmasında, Gül Termal Rulo Mali ve İdari İşler Direktörlüğü Hukuk İşleri Birimi tavsiye kaynağı ve rehber olacaktır.

Gül Termal Rulo genelindeki tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, Gül Termal Rulo KVK Politikası'na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Gül Termal Rulo Mali ve İdari İşler Direktörlüğü ve Pazarlama Direktörlüğü ekipleriyle iş birliği yapmakla yükümlüdürler.

Gül Termal Rulo'nun tüm organ ve departmanları Gül Termal Rulo KVK Politikası'na uyulmasını gözetmekle sorumludur.

İÇİNDEKİLER

• 5. POLİTİKA ESASLARI
• 5.1. GÜL TERMAL RULO TARAFINDAN BENİMSENEN TEMEL İLKELER
  • 5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
  • 5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
  • 5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
  • 5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
• 5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ
• 5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ
• 5.4 KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
  • 5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Gül Termal Rulo'nun Alacağı İdari Tedbirler
  • 5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Gül Termal Rulo'nun Alacağı Teknik Tedbirler
  • 5.4.3. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler
  • 5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler
• 5.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER VE YAPTIRIMLAR
  • 5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü
  • 5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü
  • 5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
  • 5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
  • 5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü
  • 5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü
  • 5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü

5. POLİTİKA ESASLARI

5.1. GÜL TERMAL RULO TARAFINDAN BENİMSENEN TEMEL İLKELER

Gül Termal Rulo tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:

5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

Gül Termal Rulo, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmelidirler.

5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Gül Termal Rulo, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamalı, bu çerçevede alınması gereken idari ve teknik tedbirleri almalı, gerekli süreçleri yürütmelidirler. Şirket bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmalıdır.

5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

Gül Termal Rulo, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir) gerekmektedir. Bu nedenle, Gül Termal Rulo, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmalıdırlar.

5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Gül Termal Rulo, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmelidirler. Bu doğrultuda Şirket, Türk Ceza Kanunu'nun 138. maddesi ve KVK Kanunu'nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmelidir. Gül Termal Rulo bünyesine dahil şirketler, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidirler. İleride kullanılma ihtimaline dayanılarak kişisel veriler saklanmamalıdır.

5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

Gül Termal Rulo kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu'nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik'te belirlenen veri işleme şartlarına uygun hareket etmelidirler.

Şirket bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemelidirler.

Şirket, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler.

Gül Termal Rulo bünyesine dahil şirketler, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile Gül Termal Rulo KVK Politikası'nda ortaya konulan kurallara uymalıdırlar.

5.3.KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

Gül Termal Rulo tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu'nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Gül Termal Rulo, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar.

Bu kapsamda şirket tarafından gerekli (i) idari ve (ii) teknik tedbirler alınmalı, (iii) şirket bünyesinde denetim sistemi kurulmalı ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu'nda öngörülen tedbirler alınmalıdır.

5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Gül Termal Rulo'nun Alacağı İdari Tedbirler

• Gül Termal Rulo, kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını eğitilmeli ve bilgilendirmelidir.
• Kişisel verilerin aktarıma konu olduğu durumlarda, şirket kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklemelidir. Bu kapsamda, aktarılan tarafiın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşlarında bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmalıdır.
• Gül Termal Rulo tarafiından gerçekleştirilen süreçler detaylı olarak incelenmeli, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmelidir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu'nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenmelidir.
• Gül Termal Rulo, şirket yapılarına göre KVK Kanunu'na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit etmeli, bu uygulamaları iç politikalar ile düzenlemelidir.

5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Gül Termal Rulo'nun Alacağı Teknik Tedbirler

• Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmalı ve alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir.
• Teknik konularda, uzman personel istihdam edilmelidir.
• Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.
• Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.
• Gül Termal Rulo tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.

5.4.3. Gül Termal Rulo Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetleri Yürütmesi

Gül Termal Rulo tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Gül Termal Rulo İç Denetim Birimleri tarafından denetlenmelidir.

Gül Termal Rulo iç Denetim Birimleri söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilir.

Gerçekleştirilen denetim faaliyetlerinin sonuçları, ilgili Gül Termal Rulo Denetim Birimi tarafından, şirket yöneticilerine raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır. İlgili birim de bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapmalıdır.

Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler Gül Termal Rulo'da ilgili icra birimlerince yürütülmelidir.

5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler

Gül Termal Rulo, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu'na ve ilgili veri sahiplerine bildirmelidir. Bu yükümlülüğün yerine getirilmesi için gereken iç yapı, Şirket bünyesinde kurgulanmalıdır.

5.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER VE YAPTIRIMLAR

Gül Termal Rulo, KVK Kanunu'nun veri sorumluları için öngördüğü yükümlülüklere uymalıdır. Bu kapsamda şirketin uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

Gül Termal Rulo, KVK Kanunu'nun 16. maddesine uygun olarak, KVK Kurulu tarafından ilan edilecek süre içinde ve KVK Kurulu tarafından belirlenecek usule uygun olarak Veri Sorumluları Siciline kaydolmalıdırlar.

Kayıt başvurusunda Veri Sorumluları Siciline sunulması gereken bilgiler aşağıda yer almaktadır:

KVK Kanunu'nun 18. maddesi gereğince; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

1. Veri sorumlusu statüsündeki Gül Termal Rulo'nun ve varsa temsilcisinin kimlik bilgileri ve adresleri,
2. Kişisel verilerin işlenme amacı,
3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri hakkında bilgiler,
4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
5. Yurt dışına aktarımı yapılabilecek kişisel veriler,
6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,
7. Kişisel verilerin işlenme amacının gerektirdiği azami işleme süresi.

5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü

Gül Termal Rulo, KVK Kanunu'nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır :

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• • Veri sahibinin hakları olan;
  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

KVK Kanunu'nun 18. maddesi gereğince; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Gül Termal Rulo, KVK Kanunu'nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;

1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.

Gül Termal Rulo ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmak veya yaptırmakla yükümlüdür.

KVK Kanunu'nun 18. Maddesi gereğince; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

Gül Termal Rulo; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu'nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.

KVK Kanunu'nun 18. maddesi gereğince; KVK Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

Gül Termal Rulo, veri sorumlusu sıfatıyla KVK Kanunu'nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar.

KVK Kanunu'nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:

1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

KVK Kanunu'nun 14. maddesi gereğince; veri sahibinin başvurusunun reddedilmesi, veri sahibine iletilen cevabın yetersiz bulunması veya KVK Kanunu'nda belirtilen 30 günlük süre içinde başvuruya cevap verilmemişse, başvuruda bulunan kişisel veri sahibinin 30 gün içinde KVK Kurulu'na şikayet hakkı bulunmaktadır.

5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü

Gül Termal Rulo, KVK Kanunu'nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmelidir.

KVK Kanunu'nun 18. Maddesi gereğince, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Türk Ceza Kanun'nun 136. maddesi gereğince, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan, dört yıla kadar hapis cezası ile cezalandırılır. Türk Ceza Kanunu'nun 140. maddesi gereğince; tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü

Gül Termal Rulo KVK Kanunu'nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hal getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdırlar.

Türk Ceza Kanunu'nun 138. maddesi gereğince; kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Türk Ceza Kanunu'nun 140. maddesi gereğince; tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

6. POLİTİKA'YA VE KVK KANUNU'NA UYUM İÇİN GÜL TERMAL RULO TARAFINDAN YERİNE GETİRİLECEK TEMEL HUSUSLAR

Gül Termal Rulo, KVK Kanunu'na ve yol gösterici nitelikte olan Gül Termal Rulo KVK Politikası'na uyum için belirli birtakım sistemleri kendi bünyelerinde kurgulamalıdırlar. Bu kapsamda Şirket tarafından öncelikle yerine getirilmesi gerekenler aşağıda yer almaktadır:

6.1. KVK KANUNU İLE ÖNGÖRÜLEN YÜRÜRLÜK SÜRELERİNE RİAYET ETMEK

7 Nisan 2016	7 Nisan 2016 tarihinden itibaren Gül Termal Rulo aşağıda yer alan düzenlemelere uygun davranmalıdır: (1) Kişisel verilerin işlenmesi ile ilgili temel ilkeler (2) Kişisel verilerin işlenme şartları (3) Veri sahiplerinin aydınlatılması (4) Veri güvenliğinin sağlanması.
7 Ekim 2016	7 Ekim 2016 tarihinden itibaren Gül Termal Rulo aşağıda yer alan düzenlemelere uygun davranmalıdır: (1) Kişisel verilerin aktarımı şartları (2) Veri Sahibi başvurularının sonuçlandırılması (3) Veri Sorumluları Siciline kayıt ve bildirim.
7 Nisan 2017	7 Nisan 2017 tarihinden itibaren KVK Kanunu'na ilişkin Yönetmelikler yürürlüğe girecektir ve Şirket tarafından bu düzenlemelere uygun hareket edilmelidir.
7 Nisan 2018	7 Nisan 2016 tarihinden önce işlenmiş kişisel veriler 7 Nisan 2018 tarihine kadar Şirket tarafından KVK Kanunu'na uyumlu hale getirilmelidir. Uyumlu hale getirilmemiş kişisel veriler silinmeli veya anonim hale getirilmelidir.

6.2. GÜL TERMAL RULO KVK YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK POLİTİKASI'NDA AÇIKLANAN YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK

Gül Termal Rulo tarafından Gül Termal Rulo KVK Politikası'nın 5.5. başlığı altında açıklanmış olan temel yükümlülüklere uygun hareket edilmelidir.

6.3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLE TEMEL POLİTİKALARI OLUŞTURMAK

Gül Termal Rulo kendi iç işleyişlerini ve KVK Kanunu'nda öngörülen düzenlemeleri dikkate alarak Kişisel Verilerin Korunması ve İşlenmesi Politikası oluşturmalıdırlar.

Gül Termal Rulo tarafından oluşturulacak olan bu politikanın dili sade ve veri sahipleri tarafından anlaşılabilir olmalıdır.

6.4.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN ŞİRKET TARAFINDAN POLİTİKА, TÜZÜK/İÇ TÜZÜK, YÖNETMELİK, PROSEDÜR VE KILAVUZLAR HAZIRLANMASI

Kişisel verilerin korunması hukukuna uyumun sağlanmasının temini amacıyla, Gül Termal Rulo tarafından, kamuya sunulmak veya şirket içinde kullanılmak üzere gerekli dokümanlar hazırlanmalıdır.

Bu kapsamda hazırlanacak olan dokümanlar, Gül Termal Rulo tarafından uygulanan dokümantasyon modeline uygun olarak düzenlenmelidir.

Gül Termal Rulo tarafından kamuya sunulacak politikalarda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde sunulmalıdır.

6.5. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

Gül Termal Rulo KVK Politikası ve ilişkili diğer politikaları yönetmek üzere, şirket bünyesinde Kişisel Verilerin Korunması Birimi kurulmalı ya da kişisel verilerin korunmasından sorumlu bir kişi atanmalıdır. Bu kapsamda ilgili birim veya kişi tarafından yürütülecek temel faaliyetler aşağıda sıralanmaktadır:

1. Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin onayına sunulması,
2. Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesinin sağlanması,
3. Gül Termal Rulo'nun yükümlülüklerini (Gül Termal Rulo KVK Politikası Başlık 5.5.) yerine getirip getirmediğinin takibi,
4. KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.

Birimin oluşumu ve görev dağılımı Yönetim Kurulu tarafından belirlenir. Birim kurulması yerine kişisel verilerin korunmasından ve işlenmesinden sorumlu bir kişi atanmasına karar verilmişse, bu kişinin atanması sürecini de aynı şekilde Şirket üst yönetimi yürütür. Yukarıda belirtilen asgari görevlere ek olarak, Şirket'in ihtiyaçları ve yürüttükleri faaliyetler göz önüne alınarak birim ve atanacak sorumlu kişiye birtakım ek görev ve sorumluluklar verilebilir.

7. YÜRÜRLÜK VE GÖZDEN GEÇİRME

İşbu Politika dokümanı, Gül Termal Rulo Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu politikanın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Gül Termal Rulo Yönetim Kurulu tarafından GülTermal Rulo CEO'suna yetki verilmiştir. Gül Termal Rulo CEO'sunun onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.

İşbu politikaya bağlı olarak düzenlenecek; bu Politikanın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir. Yönetmelikler Gül Termal Rulo CEO'su onayıyla yayımlanarak yürürlüğe konulacaktır.

İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Gül Termal Rulo CEO'sunun onayına sunularak güncellenir.