Page 8 - NUROL BAE SYSTEMS HAVA SİSTEMLERİ A.Ş. (BNA) KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
P. 8
Kişisel veriler;
a) İşbu Politika’nın 5 inci maddensinde ve/veya ulusal kanunda,
b) Yeterli önlemler alınmak kaydıyla, işbu Politika’nın 2.5. maddenin ikinci paragrafında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili Veri Sahibinin açık rızası aranmaksızın aktarılabilir.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Kişisel veriler, 5 inci maddenin
ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin
aktarılacağı yabancı ülkede;
a)Yeterli korumanın bulunması,
b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin
bulunması,kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.Türkiye’de yeterli
korumanın bulunduğu ülkeler Kişisel Verileri koruma Kurulunca belirlenerek ilan edilir.
7. TARAFLARCA VERİ İŞLEME
Taraflarca veri işleme, BNA sürecinin sorumluluğu devredilmeden bir hizmet sağlayıcının veri işlemek
için görevlendirilmesidir. Bu durumda hem şirket dışı hizmet sağlayıcılar hem de BNA ile veri işleme
konusunda bir anlaşma yapılmalı veya aralarındaki sözleşmeye veri korumaya ilişkin hükümler
eklenmelidir. Bu anlaşma kapsamında, şirket, veri işlemenin doğru yapılmasında tüm sorumluluğu
hizmet sağlayıcı ile müştereken üstlenir. Hizmet sağlayıcı ise bu kişisel verileri sadece şirketin
talimatları doğrultusunda işleyebilir.
Sipariş verirken şirketin ve ilgili departmanın, veri işleme sırasında aşağıda belirtilen kurallara
uyulduğunu temin etmesi gerekmektedir.
1. Hizmet sağlayıcı, gerekli teknik ve organizasyonel güvenlik önlemlerini sağlayabilme yeteneğine
göre seçilmelidir.
2. Sipariş yazılı olarak yapılmalıdır. Veri işlemede takip edilmesi gereken talimatlar ve hizmet sağlayıcı
ile görevlendirmeyi yapan şirketin sorumlulukları net bir şekilde dokümante edilmelidir.
3. Veri koruma için Hukuk ve Hukuki Süreçler Direktörü tarafından sağlanan sözleşme standartları
dikkate alınmalıdır.
4. Şirket, veri işlenmesine başlamadan önce hizmet sağlayıcının yükümlülüklerini yerine
getirebileceğinden emin olmalıdır. Hizmet sağlayıcı, özellikle veri koruma konusundaki yetkinliklerini
gerekli hallerde uygun bir sertifikasyon sunarak belgeleyebilir. Veri işlemedeki riske bağlı olarak,
sözleşme süresince düzenli aralıklarla hizmet sağlayıcının gerçekleştirdiği işlemler düzenli olarak
denetlenmelidir.
5. Taraflarca veri işlemenin ülke dışında yapılması durumunda, yurtdışına veri aktarımı ve verinin
yurtdışında işlenmesi ile ilgili ulusal düzenlemeler dikkate alınmalıdır. Özellikle Avrupa Ekonomik
Alanı ülkelerindeki kişisel verilerin üçüncü bir ülkede işlenebilmesi, hizmet sağlayıcının işbu
Politika’dakine eşit düzeyde veri koruma standardını sağladığını kanıtlayabilmesi halinde
mümkündür.
Bu durumda uygun veri korumanın belgelenmesi için aşağıdaki yöntemler kullanılabilir: