ŞİRKETİN KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN POLİTİKASI

1. GENEL HÜKÜMLER

Kişisel Verilerin İşlenmesi Politikası (bundan sonra – Politika), 27.07.2006 tarihli ve 152-FZ sayılı “Kişisel Veriler Hakkında” Federal Kanun’a (bundan sonra – FZ-152) uygun olarak geliştirilmiştir.

Bu Politika, kişisel verilerinin işlenmesi sırasında insan ve vatandaş hak ve özgürlüklerini, özellikle özel hayatın dokunulmazlığı, kişisel ve aile sırrı haklarını korumak amacıyla IE Gendik R. A. (bundan sonra – Operatör) nezdinde kişisel verilerin işlenme düzenini ve kişisel verilerin güvenliğini sağlama önlemlerini belirler.

Politikada aşağıdaki temel kavramlar kullanılmaktadır:

• kişisel verilerin otomatik olarak işlenmesi – kişisel verilerin bilgisayar teknolojisi araçlarıyla işlenmesi;
• kişisel verilerin bloke edilmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin netleştirilmesi için işlemenin gerekli olduğu durumlar hariç);
• kişisel veri bilgi sistemi - veri tabanlarında yer alan kişisel verilerin ve bunların işlenmesini sağlayan bilgi teknolojileri ve teknik araçların toplamı;
• kişisel verilerin anonimleştirilmesi - ek bilgi kullanılmaksızın kişisel verilerin belirli bir kişisel veri sahibine ait olduğunun belirlenmesinin imkansız hale geldiği eylemler;
• kişisel verilerin işlenmesi - kişisel verilerle otomasyon araçları kullanılarak veya kullanılmadan gerçekleştirilen, toplama, kaydetme, sistemleştirme, biriktirme, saklama, netleştirme (güncelleme, değiştirme), çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), anonimleştirme, engelleme, silme, yok etme dahil olmak üzere herhangi bir eylem (operasyon) veya eylemler dizisi;
• operatör - kişisel verilerin işlenmesini organize eden ve/veya yürüten, ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini, kişisel verilerle gerçekleştirilen eylemleri (operasyonları) belirleyen bir devlet kurumu, belediye kurumu, tüzel veya gerçek kişi;
• kişisel veriler – doğrudan veya dolaylı olarak belirli veya belirlenebilir bir gerçek kişiye (kişisel veri sahibine) ilişkin her türlü bilgi;
• kişisel verilerin sağlanması – kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine açıklanmasına yönelik eylemler;
• kişisel verilerin dağıtılması - kişisel verilerin belirsiz bir kişi çevresine açıklanmasına (kişisel verilerin aktarılması) veya kişisel verilerin sınırsız bir kişi çevresinin bilgisine sunulmasına yönelik eylemler, kitle iletişim araçlarında kişisel verilerin yayınlanması, bilgi-telekomünikasyon ağlarında yayınlanması veya kişisel verilere başka bir şekilde erişim sağlanması dahil;
• kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına, yabancı bir devletin makamına, yabancı bir gerçek veya tüzel kişiye aktarılması.
• kişisel verilerin yok edilmesi - kişisel veri bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve/veya kişisel verilerin maddi taşıyıcılarının yok edildiği eylemler;

Şirket, FZ-152 sayılı Kanun'un 18.1. maddesinin 2. fıkrası uyarınca bu Kişisel Veri İşleme Politikasını yayınlamak veya başka bir şekilde sınırsız erişim sağlamakla yükümlüdür.

2. KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ VE KOŞULLARI

2.1 Kişisel verilerin işlenmesi ilkeleri

Operatör nezdinde kişisel verilerin işlenmesi aşağıdaki ilkelere dayanarak gerçekleştirilir:

• yasallık ve adil bir temel;
• kişisel verilerin işlenmesinin belirli, önceden tanımlanmış ve yasal amaçlara ulaşmakla sınırlandırılması;
• kişisel verilerin toplanma amaçlarıyla uyumsuz olan kişisel verilerin işlenmesine izin verilmemesi;
• birbiriyle uyumsuz amaçlarla işlenen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmemesi;
• yalnızca işlenme amaçlarına uygun olan kişisel verilerin işlenmesi;
• işlenen kişisel verilerin içeriğinin ve hacminin beyan edilen işleme amaçlarına uygunluğu;
• beyan edilen işleme amaçlarına göre aşırı olan kişisel verilerin işlenmesine izin verilmemesi;
• kişisel verilerin işlenme amaçlarına göre doğruluğunun, yeterliliğinin ve güncelliğinin sağlanması;
• işlenme amaçlarına ulaşıldığında veya bu amaçlara ulaşma gerekliliği ortadan kalktığında kişisel verilerin yok edilmesi veya anonimleştirilmesi, federal yasayla aksi öngörülmedikçe, Operatör tarafından kişisel verilerdeki ihlallerin giderilmesinin imkansız olması durumunda.

2.2 Kişisel verilerin işlenmesi koşulları

Operatör, aşağıdaki koşullardan en az birinin varlığı durumunda kişisel verileri işler:

• kişisel verilerin işlenmesi, kişisel veri sahibinin kişisel verilerinin işlenmesine rıza göstermesiyle gerçekleştirilir;
• kişisel verilerin işlenmesi, Rusya Federasyonu'nun uluslararası bir anlaşması veya yasası tarafından öngörülen amaçlara ulaşmak, operatöre Rusya Federasyonu mevzuatı tarafından yüklenen işlev, yetki ve görevlerin yerine getirilmesi için gereklidir;
• kişisel verilerin işlenmesi, adaletin yerine getirilmesi, bir mahkeme kararının, başka bir organ veya yetkilinin icra mevzuatına uygun olarak icra edilmesi gereken bir işlemin yerine getirilmesi için gereklidir;
• kişisel verilerin işlenmesi, kişisel veri sahibinin taraf olduğu veya lehtar ya da kefil olduğu bir sözleşmenin ifası için, ayrıca kişisel veri sahibinin girişimiyle bir sözleşme akdedilmesi veya kişisel veri sahibinin lehtar ya da kefil olacağı bir sözleşme için gereklidir;
• kişisel verilerin işlenmesi, operatörün veya üçüncü kişilerin hak ve yasal çıkarlarının kullanılması veya kişisel veri sahibinin hak ve özgürlüklerinin ihlal edilmemesi koşuluyla toplumsal açıdan önemli amaçlara ulaşmak için gereklidir;
• kişisel veri sahibinin kendisi veya talebi üzerine sınırsız sayıda kişinin erişimine açılan kişisel verilerin (bundan sonra - kamuya açık kişisel veriler) işlenmesi gerçekleştirilir;
• federal yasaya göre yayınlanması veya zorunlu olarak açıklanması gereken kişisel verilerin işlenmesi gerçekleştirilir.

2.3 Kişisel verilerin gizliliği

Operatör ve kişisel verilere erişim sağlayan diğer kişiler, federal yasayla aksi öngörülmedikçe, kişisel veri sahibinin rızası olmaksızın kişisel verileri üçüncü kişilere açıklamamak ve dağıtmamakla yükümlüdür.

2.4 Kamuya açık kişisel veri kaynakları

Bilgi sağlama amacıyla, Operatör nezdinde, rehberler ve adres defterleri de dahil olmak üzere, kişilerin kamuya açık kişisel veri kaynakları oluşturulabilir. Kişinin yazılı rızası ile kamuya açık kişisel veri kaynaklarına soyadı, adı, baba adı, doğum tarihi ve yeri, pozisyonu, iletişim telefon numaraları, e-posta adresi ve kişisel veri sahibi tarafından bildirilen diğer kişisel veriler dahil edilebilir.

Kişi hakkındaki bilgiler, kişinin talebi üzerine veya mahkeme ya da diğer yetkili devlet organlarının kararıyla herhangi bir zamanda kamuya açık kişisel veri kaynaklarından çıkarılmalıdır.

2.5 Özel nitelikli kişisel veriler

Operatör tarafından ırk, milliyet, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, cinsel hayat ile ilgili özel nitelikli kişisel verilerin işlenmesine şu durumlarda izin verilir:

• kişisel veri sahibi, kişisel verilerinin işlenmesine yazılı olarak rıza göstermişse;
• kişisel veriler, kişisel veri sahibi tarafından kamuya açık hale getirilmişse;
• kişisel verilerin işlenmesi, devlet sosyal yardımı, iş hukuku, Rusya Federasyonu devlet emeklilik güvencesi emeklilik mevzuatı, işçi emekliliği mevzuatına uygun olarak gerçekleştiriliyorsa;
• kişisel verilerin işlenmesi, kişisel veri sahibinin veya diğer kişilerin hayatını, sağlığını veya diğer hayati çıkarlarını korumak için gerekliyse ve kişisel veri sahibinin rızasını almak mümkün değilse;
• kişisel verilerin işlenmesi, tıbbi teşhis koyma, tıbbi ve tıbbi-sosyal hizmetler sunma amacıyla tıbbi-profilaktik amaçlarla gerçekleştiriliyorsa, bu verilerin işlenmesinin tıbbi faaliyetlerde profesyonel olarak bulunan ve Rusya Federasyonu mevzuatına göre tıbbi sırrı saklamakla yükümlü bir kişi tarafından yapılması koşuluyla;
• kişisel verilerin işlenmesi, kişisel veri sahibinin veya üçüncü kişilerin haklarını tesis etmek veya kullanmak için, ayrıca adaletin yerine getirilmesiyle bağlantılı olarak gerekliyse;
• kişisel verilerin işlenmesi, zorunlu sigorta türleri ve sigorta mevzuatına uygun olarak gerçekleştiriliyorsa.

Özel nitelikli kişisel verilerin işlenmesi, federal yasayla aksi belirtilmedikçe, işlenmelerine neden olan sebepler ortadan kalktığında derhal durdurulmalıdır.

Sabıka kaydına ilişkin kişisel verilerin işlenmesi, Operatör tarafından yalnızca federal yasalarla belirlenen durumlarda ve usulde gerçekleştirilebilir.

2.6 Biyometrik kişisel veriler

Bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden ve kimliğinin tespit edilmesini sağlayan bilgiler - biyometrik kişisel veriler - Operatör tarafından yalnızca kişinin yazılı rızası olması durumunda işlenebilir.

2.7 Kişisel verilerin işlenmesinin başka bir kişiye devredilmesi

Operatör, federal yasayla aksi öngörülmedikçe, kişisel veri sahibinin rızasıyla, bu kişiyle akdedilecek bir sözleşme temelinde kişisel verilerin işlenmesini başka bir kişiye devretme hakkına sahiptir. Operatör adına kişisel verileri işleyen kişi, FZ-152'de öngörülen kişisel verilerin işlenmesi ilke ve kurallarına uymakla yükümlüdür.

2.8 Kişisel verilerin sınır ötesi aktarımı

Operatör, kişisel verilerin aktarılması planlanan yabancı devletin, kişisel veri sahiplerinin haklarının yeterli düzeyde korunmasını sağladığından, böyle bir aktarıma başlamadan önce emin olmakla yükümlüdür.

Kişisel veri sahiplerinin haklarının yeterli düzeyde korunmasını sağlamayan yabancı devletlerin topraklarına kişisel verilerin sınır ötesi aktarımı şu durumlarda gerçekleştirilebilir:

• kişisel veri sahibinin kişisel verilerinin sınır ötesi aktarımına yazılı rızasının bulunması;
• kişisel veri sahibinin taraf olduğu bir sözleşmenin ifası.

3. KİŞİSEL VERİ SAHİBİNİN HAKLARI

3.1 Kişisel veri sahibinin kişisel verilerinin işlenmesine rızası

Kişisel veri sahibi, kişisel verilerini sağlama kararını alır ve bunların işlenmesine özgürce, kendi iradesiyle ve kendi çıkarına rıza gösterir. Kişisel verilerin işlenmesine rıza, federal yasayla aksi belirtilmedikçe, kişisel veri sahibi veya temsilcisi tarafından alındığı gerçeğini teyit etmeye olanak tanıyan herhangi bir biçimde verilebilir.

Kişisel veri sahibinin kişisel verilerinin işlenmesine rızasının alındığına veya FZ-152'de belirtilen gerekçelerin varlığına dair kanıt sunma yükümlülüğü Operatöre aittir.

3.2 Kişisel veri sahibinin hakları

Kişisel veri sahibi, federal yasalarla bu hakkı kısıtlanmadıkça, Operatörden kişisel verilerinin işlenmesine ilişkin bilgi alma hakkına sahiptir. Kişisel veri sahibi, kişisel verilerin eksik, güncelliğini yitirmiş, yanlış, yasa dışı olarak elde edilmiş veya beyan edilen işleme amacı için gerekli olmaması durumunda Operatörden kişisel verilerinin düzeltilmesini, engellenmesini veya yok edilmesini talep etme ve haklarını korumak için yasal önlemler alma hakkına sahiptir.

Mal, iş, hizmetlerin piyasada tanıtımı amacıyla potansiyel tüketici ile iletişim araçları kullanılarak doğrudan temas kurulması yoluyla kişisel verilerin işlenmesi ve siyasi propaganda amacıyla işlenmesi, yalnızca kişisel veri sahibinin önceden rızası olması koşuluyla mümkündür. Şirket, böyle bir rızanın alındığını kanıtlamadığı sürece, söz konusu kişisel veri işleme, kişisel veri sahibinin önceden rızası olmaksızın gerçekleştirilmiş sayılır.

Operatör, kişisel veri sahibinin talebi üzerine kişisel verilerinin yukarıda belirtilen amaçlarla işlenmesini derhal durdurmakla yükümlüdür.

Federal yasalarda öngörülen durumlar veya kişisel veri sahibinin yazılı rızası dışında, yalnızca kişisel verilerin otomatik olarak işlenmesine dayanarak kişisel veri sahibi hakkında yasal sonuçlar doğuran veya hak ve yasal çıkarlarını başka şekilde etkileyen kararlar alınması yasaktır.

Kişisel veri sahibi, Operatörün kişisel verilerini FZ-152'nin gerekliliklerini ihlal ederek işlediğini veya hak ve özgürlüklerini başka bir şekilde ihlal ettiğini düşünüyorsa, Operatörün eylem veya eylemsizliklerini Kişisel Veri Sahiplerinin Haklarını Koruma Yetkili Organına veya mahkemede şikayet etme hakkına sahiptir.

Kişisel veri sahibi, hak ve yasal çıkarlarını koruma, mahkeme yoluyla zararların tazmin edilmesi ve/veya manevi tazminat talep etme hakkına sahiptir.

4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Operatör tarafından işlenen kişisel verilerin güvenliği, kişisel verilerin korunması alanındaki federal mevzuatın gerekliliklerini sağlamak için gerekli olan yasal, organizasyonel ve teknik önlemlerin uygulanmasıyla sağlanır.

Kişisel verilere yetkisiz erişimi önlemek için Operatör aşağıdaki organizasyonel ve teknik önlemleri uygular:

• kişisel verilerin işlenmesi ve korunmasının organizasyonundan sorumlu yetkililerin atanması;
• kişisel verilere erişimi olan kişilerin listesinin sınırlandırılması;
• veri sahiplerinin, federal mevzuatın ve Operatörün kişisel verilerin işlenmesi ve korunmasına ilişkin düzenleyici belgelerinin gereklilikleri hakkında bilgilendirilmesi;
• bilgi taşıyıcılarının muhasebesi, saklanması ve dolaşımının organizasyonu;
• işlenirken kişisel verilere yönelik güvenlik tehditlerinin belirlenmesi, bunlara dayalı olarak tehdit modellerinin oluşturulması;
• tehdit modeline dayalı bir kişisel veri koruma sisteminin geliştirilmesi;
• bilgi koruma araçlarının hazır olup olmadığının ve etkinliğinin kontrol edilmesi;
• kullanıcıların bilgi kaynaklarına ve bilgi işleme için yazılım ve donanım araçlarına erişiminin sınırlandırılması;
• kişisel veri bilgi sistemlerinin kullanıcı eylemlerinin kaydedilmesi ve muhasebesi;
• antivirüs araçları ve kişisel veri koruma sistemini geri yükleme araçlarının kullanılması;
• gerekli durumlarda ağlar arası güvenlik duvarları, izinsiz giriş tespit sistemleri, güvenlik analizi ve kriptografik bilgi koruma araçlarının uygulanması;
• Operatörün topraklarına giriş kontrol rejiminin organizasyonu, kişisel verileri işleyen teknik araçların bulunduğu binaların korunması.

5. SON HÜKÜMLER

Operatörün bir kişisel veri operatörü olarak diğer hak ve yükümlülükleri, Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatıyla belirlenir.

Kişisel verilerin işlenmesini ve korunmasını düzenleyen normları ihlal etmekten suçlu bulunan Operatör yetkilileri, federal yasalarla belirlenen şekilde maddi, disiplin, idari, hukuki veya cezai sorumluluğa tabidir.