KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKASI

 

 

1.     TANIMLAR VE KISALTMALAR

Kurum : MİNT FİLM YAPIMCILIK ANONİM ŞİRKETİ

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Politika: Kişisel Veri İşleme ve Koruma Politikası.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

2.   AMAÇ VE KAPSAM

Kişisel Veri İşleme ve Koruma Politikası (“Politika”), Kurum bünyesinde gerçekleştirilmekte olan kişisel verilerin Kanuna uygun olarak işlenmesi ve korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kurum; çalışanlar, tedarikçi çalışanları, kiracı çalışanları, çalışan adayları, stajyerler, stajyer adayları, oyuncu adayları, film ekibi üyeleri, müşteri çalışanları ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, Kanun ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Kurum tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

Bu politika, Kurum tarafından, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili kişisel veri politikaları, prosedürleri ve planları ile birlikte uygulanmaktadır.

3.   SORUMLULUK ve GÖREV DAĞILIMLARI

Kurumun tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan kişisel verilerin işlenmesi ve korunması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin işlenmesi ve korunması konularında görev alanların ünvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki gibidir.

 

Unvan Görev
Yönetim Kurulu Politikayı onaylayarak yürürlüğe girmesini sağlar. Üst Yönetimin ve çalışanların Politikaya uygun hareket etmesinden sorumludur. Politikanın uygulanması için gerekli bütçeyi oluşturarak destek ve kaynak sağlar.
Üst Yönetim Politikanın işletilmesi ve yürütülmesi kapsamında yapılan çalışmaların takibinden sorumludur. Politikanın yürütülmesi için gerekli kararları alma ve uygulama faaliyetlerini yürütür.
KVKK Sorumlusu Politikanın oluşturulmasından ve onaylanması sonrasında ilgili ortamlarda yayınlanmasından sorumludur. Politikanın uygulanmasında Üst Yönetimin karar verdiği ve kaynak sunduğu teknik çözümlerin uygulanması faaliyetlerini yürütür.
İnsan Kaynakları

Muhasebe ve Finans

İdari İşler ve Güvenlik

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

 

4.   KİŞİSEL VERİLERİN İŞLENMESİ

4.1.          Kişisel Verilerin İşlenmesinde Uyulacak İlkeler

Kişisel veriler, ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

4.2.          Kişisel Verilerin İşlenme Şartları

Kanunun 5 inci maddesine uygun olarak, Kurumda kişisel veriler yalnızca aşağıdaki şartların varlığı durumunda işlenir.

  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin Kurum bünyesinde hangi amaçlarla işlenebileceği, Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.

 

4.3.          Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kanunun 6 ıncı maddesine uygun olarak, Kurumda özel nitelikli kişisel veriler yalnızca aşağıdaki şartların varlığı durumunda işlenir.

  • İlgili kişinin açık rızasının alınması,
  • Sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenmesi,
  • Sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmesi.

 

4.4.          Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Kurum tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin hususlar Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.

 

4.5.          Kişisel Verilerin Aktarılması

Kanunun 8 inci maddesine uygun olarak, Kurumda kişisel veriler yalnızca aşağıdaki şartların varlığı durumunda aktarılabilir.

  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin aktarıldığı alıcı grupları veri sicil kaydında yer almaktadır.

 

4.6.          Kişisel Verilerin Yurtdışına Aktarılması

Kanunun 9 uncu maddesine uygun olarak, Kurumda kişisel veriler yalnızca aşağıda belirtilen şartların varlığı halinde yurtdışına aktarılabilir.

  • İlgili kişinin açık rızasının alınması,
  • 2 Kişisel Verilerin İşlenme Şartları ve 4.3 Özel Nitelikli Kişisel Verilerin İşlenme Şartları bölümlerinde belirtilen diğer şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
  • Yeterli korumanın bulunması durumunda,
  • Yeterli korumanın bulunmaması durumunda Kurumun ve ilgili yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak Veri Aktarım Tahhütnamesini imzalayarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın

yurt dışına aktarılabilir.

 

5.      AYDINLATMA YÜKÜMLÜLÜĞÜ

Kanunun 10 uncu maddesine göre, kişisel verilerin elde edilmesi sırasında Kurum ilgili kişilere aşağıdaki konularda bilgi vermekle yükümlüdür.

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Kurum, Kişisel Veri İşleme Envanterinde yer alan kayıtlarla tutarlı olacak kişisel verisi işlenen tüm ilgili kişileri aydınlatır.

 

6.      İLGİLİ KİŞİNİN HAKLARI

Kanunun 11 inci maddesine göre ilgişi kişiye kişisel verilerinin işlenmesine ilişkin aşağıda yer alan haklar tanınmıştır.

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini istemişse veya kişisel verilerin silinmesini veya yok edilmesini istemişse, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kurum, ilgili kişinin kişisel verilerinin işlenmesine ilişkin haklarını kullanmak üzere talep ve şikayetlerini iletebilmesi için gerekli kanalları açar, ilgili kişiyi bu hususta bilgilendirir ve ilgili kişiden gelen başvuruları Kişisel Veri Başvuruları Yönetim Prosedürüne uygun olarak yönetir.

 

7.      KİŞİSEL VERİLERİ GÜVENLİĞİNİN SAĞLANMASI

Kanunun 12 inci maddesine uygun olarak Kurum, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.

Kurumun kişisel verilerin güvenliğine yönelik aldığı teknik ve idari tedbirler Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.

Kurum, özel nitelikli kişisel verilerin işlenmesinde aldığı teknik ve idari güvenlik tedbirleri Özel Nitelikli Kişisel Veri Güvenliği Politikasında belirtilmiştir.

Kurum, Kanununa uyum için yayınlanan politikalara ve işletilen süreçlere ilişkin olarak çalışanların farkındalığının arttırılması çalışmalarını Kişisel Verilerin Korunması Farkındalık Planına uygun olarak yürütür. Kurumun kişisel verileri risklerinin yönetimini de kapsayacak şekilde BT risk yönetimine dair hükümleri BT Risk Yönetim Politikası ile belirlenmiştir. Kişisel veri risk kayıtları ve risk aksiyonları Kişisel Veri Risk Kataloğunda kayıt altına alınır ve risklerin azaltılması için gerekli çalışmalar yapılır.

Kurum, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, güvenlik tedbirlerinin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Kurum, kişisel verileri kendi adına işleyen, veri işleyen veya veri sorumlusu rolüne sahip kurumlarla yaptığı sözleşmeleri Kanunun yükümlülüklerini dikkate alarak düzenler.

Kurum, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar veya yaptırır.

Kurum çalışanlarının, Kurumun veri işleyenlerinin ve bunların çalışanlarının kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklaması ve işleme amacı dışında kullanması yasaktır. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Kurum bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirir. İhlal bildirimi süreci, Veri İhlali Müdahale Planına uygun olarak yürütülür.

 

8.      VERİ SORUMLULARI SİCİLİ

Kanunun 16 ıncı maddesine göre; Veri Sorumluları Sicili Kişisel Verileri Koruma Kurumu tarafından kamuya açık olarak tutulur ve kişisel verileri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Veri Sorumluları Sicili Hakkında Yönetmelik‘in 16 ıncı maddesinde KVK Kurulunun veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisine göre veri sorumluları siciline kayıt yükümlüğü ile ilgili istisna getirebileceği belirtilmiştir. KVK Kurumu tarafından 27.12.2019 tarihinde yayınlanan Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında 2019/387 Sayılı Kurul Karar Özeti’ne göre ise Kurum’un veri sicil kaydı zorunluluğu yoktur. Bunun nedeni Kurumun aşağıda ifade edilen sicile kayıt yükümlülük şartlarının en az birini taşımasıdır.

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
  • Kamu kurum ve kuruluşu veri sorumluları

Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Veri sorumluları siciline kayıt başvurusunda bildirimi yapılan bilgilerde meydana gelen değişiklikler derhâl Kişisel Verileri Koruma Kuruluna bildirilir.

Kurum, işlediği kişiler veriler için kişisel veri işleme envanteri oluşturur. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü maddesinde yer alan tanıma göre, kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter, olarak tanımlanmıştır.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan  Veri Sorumluluları Sicili Hakkında Yönetmelik uyarınca, Kurumun kişisel veri işleme envanterinin ve Veri Sorumluları Sicil Bilgi Sistemi (“VERBIS”) kaydının yönetilmesine dair süreç, KVIE ve Veri Sorumluları Sicili Kaydı Yönetim Prosedürüne göre yürütülür.

 

9.   POLİTİKANIN GÖZDEN GEÇİRİLMESİ

Kurum Politikayı ihtiyaç duyuldukça gözden geçirir ve gerekli bölümleri günceller.

 

10.POLİTİKANIN UYGULAMA SORUMLULUĞU

Politika, Yönetim Kurulu tarafından onaylanlandığında yürürlüğe girmiş kabul edilir. Politika çalışanlara duyurulur.