Kişisel Verilerin İşlenmesi ve Korunması Politikası
1.GİRİŞ
Veri sorumlusu olarak MERT PAZARLAMA TİCARET VE SANAYİ LİMİTED ŞİRKETİ (“Şirket”) müşterilerinin, çalışanlarının ve ilişki içerisinde olduğu diğer gerçek kişilerin kişisel verilerinin korunmasına büyük önem vermektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası ile hedeflenen amaç; ilişki içerisinde olduğumuz tüm gerçek kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır. Bu Kapsamda 6698 Sayılı Kanun ve ilgili yasal mevzuat gereğince kişisel verilerin işlenmesi ve korunması için gereken tüm idari ve teknik tedbirleri almaktayız. Bu Politika’da kişisel verilerin işlenmesi süreçlerinde Şirketimizin benimsediği aşağıda yazılı temel prensipler açıklanacaktır:
- • Kişisel verilerin rızaya dayalı olarak işlenmesi,
- • Kişisel verilerin hukuka uygun biçimde işlenmesi,
- • Kişisel verileri doğru ve güncel tutma,
- • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
- • Kişisel verileri amaçla bağlantılı ve sınırlı işleme,
- • Kişisel verileri işlendikleri amaç için gerekli olan süre boyunca muhafaza etme,
- • Kişisel veri sahiplerini bilgilendirme,
- • Kişisel verilerin korunması için gerekli tedbirleri alma,
- • Kişisel verilerin işlenmesinde, saklanmasında ve üçüncü kişilere aktarılmasında ilgili mevzuata ve Kişisel Verilerin Korunması Kurulu’nun yapmış olduğu düzenlemelere uygun davranma,
- • Özel nitelikli kişisel verilerin işleme ve koruma hususlarının ayrıca düzenlenmesi.
2.TANIMLAR
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
- Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
- Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.
- Çalışan Adayı: Herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini açmış olan gerçek kişiler. İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri: Her türlü iş ilişkisi içerisinde bulunulan kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
- İş Ortağı: Ticari faaliyetlerini yürütürken bizzat veya Grup Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteri, personel, bayi çalışanı.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, T.C. kimlik numarası, e-posta, adres, doğum tarihi, telefon numarası vb.
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. Tedarikçi: Ticari faaliyetlerini yürütürken emir ve talimatlarına uygun, sözleşme temelli olarak hizmet sunan taraflar.
- Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler (Örneğin; aile bireyleri, eski çalışanlar).
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin; bayiler, verilerini tutan bilişim firması vb.
- Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
- Verilerin Silinmesi: Şirket içindeki tüm ilgili kullanıcıların, kişisel veriye erişimin engellenecek şekilde şifrelenmesi ve sadece veri koruma sorumlusunun bu şifreye sahip olması durumunu ifade etmektedir.
- Verilerin Yok (İmha) edilmesi: Kişisel verinin bir daha geri döndürülemeyecek bir biçimde fiziksel olarak veya teknolojik yöntemlerle tamamen ortadan kaldırılması durumunu ifade etmektedir.
- Ziyaretçi: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket internet sitesini ziyaret eden gerçek kişiler.
3. POLİTİKA’NIN AMACI
Bu Politika’nın amacı Şirketimiz tarafından hukuka uygun biçimde işlenen ve işlenecek olan kişisel verilerinizin işlenmesinde ve korunmasında hangi yöntemleri benimsediğimiz konusunda açıklamalarda bulunarak müşterilerimizi, çalışanlarımızı, çalışan adaylarımızı ve ilişki içerisinde olduğumuz tüm gerçek kişileri bilgilendirerek şeffaflık sağlamaktır.
4. POLİTİKA’NIN KAPSAMI
Bu Politika müşterilerimizi, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin ve ilişki içinde olduğumuz tüm gerçek kişilerin otomatik olan ya da otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
5. POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen işbu Politika 01.01.2020 tarihinde yürürlüğe girmiştir. Kişisel Verilerin Korunması ve İşlenmesi Politikamız, Şirketimizin internet sitesinde yayımlanır ve ilgililerin erişimine sunulur.
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasanın 20. maddesine ve Kişisel Verilerin Korunması Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun, doğru ve güncel, açık ve meşru amaçlarla sınırlı olarak kişisel verilerinizi işlemektedir. Şirketimiz çalışanlarına, çalışan adaylarına, ziyaretçilere ve müşterilerine ait kişisel verileri işlerken Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak kişisel veri sahiplerini aydınlatmakta, bilgilendirmekte ve gerektiğinde rızalarını talep etmektedir.
Şirketimiz kişisel verileri işlerken aşağıda yer alan kriterleri esas almaktadır:
- - Hukuka ve Dürüstlük Kuralına Uygun İşleme
- - Kişisel Verilerin Doğru ve Güncel Olması
- - Belirli, Açık ve Meşru Amaçlarla İşleme
- - İşlendikleri Amaçla Sınırlı ve Ölçülü Olma
- - Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Uygun Olan Süre Kadar Saklama
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaç ve koşullar şunlardır:
- • Kimlik teyidi,
- • İletişimin sağlanması,
- • Hizmet kalitesini arttırmak amacıyla çalışmalar yapmak,
- • Soru ve şikayetlere cevap verilebilmesi,
- • Veri güvenliğini sağlamak amacıyla gerekli idari ve teknik tedbirlerin alınabilmesi,
- • Resmi merciler tarafından talep edilmesi durumunda paylaşılabilmesi,
- • Bilgilerin tutarlılığına ilişkin denetimlerin yapılabilmesi,
- • Müşteri memnuniyetinin ölçülebilmesi,
- • Çalışanlar bakımından özlük dosyasının oluşturulması, işin gerekliliklerine uygun olarak sürekli değiştirilebilmesi,
- • Şirket kapsamında yapılacak etkinlikler.
8. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket olarak Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktayız. Bu kapsamda Şirketimiz veri sorumlusu olarak kişisel verileri hangi amaçlarla işleyeceğimizi, işleyeceğimiz kişisel verileri kimlere hangi amaçlarla aktarabileceğimiz, kişisel verileri toplama yöntemimiz ve hukuki sebebi ile kişisel veri sahiplerinin sahip olduğu haklar konusunda aydınlatma yapmaktadır. Bu kapsamda hazırlamış olduğumuz aydınlatma metinleri ile ziyaretçilerimizi, müşterilerimizi, çalışan adaylarımızı ve diğer gerçek kişileri süreç hakkında bilgilendirmekteyiz.
9. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine aydınlatma beyanları ile bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel veri sahiplerine yol göstermektedir.
- Kişisel veri sahipleri aşağıda yer alan haklara sahiptir:
- • Kişisel verilerinin işlenip işlenmediğini öğrenme,
- • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- • Kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
- • Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- • Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
10. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
Şirket, Kişisel Verileri Koruma Kanunu’nun 13. Maddesi uyarınca ilgililerin taleplerine karşı veri sorumlusu olarak cevap vermekle yükümlüdür. Bu yükümlülük gereğince Şirket’e yapılacak yazılı başvurulara verilecek yanıtlar için hukuki ve sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin Şirketin Yenigöl Mah. Menekşe Sokak No:17 Muratpaşa Antalya adresine veya Şirket’in mert@mertpazarlama.net e-posta adresine yazılı başvuruda bulunmaları halinde Şirket, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin işlenme süreçleri, amaçları ve aktarımı da dahil Kişisel Verilerin Korunması Kanunu’nun ilgili maddesindeki tüm hakları talep edebileceklerdir.
11. ŞİRKET ÇALIŞANLARININ KİŞİSEL VERİ İŞLEME SÜRECİ HAKKINDA BİLGİLENDİRİLMESİ
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafaza edilmesine yönelik farkındalığın artırılması için tüm çalışanlarına gerekli eğitimlerin verilmesini sağlamaktadır.
12. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve işlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla birtakım tedbirler almakta ve denetimler yapmaktadır.
12.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için şirketin teknolojik imkanlarına ve uygulama maliyetine göre teknik ve idari tüm tedbirleri almaktadır.
12.1.1. Teknik Tedbirler
• Şirketimiz bünyesinde kişisel veri işleme faaliyetleri, kurulan teknik sistemler vasıtasıyla denetlenmektedir.
12.1.2. İdari Tedbirler
- • Şirket çalışanlarımız kişisel verilerin hukuka uygun işlenmesi ve korunması konusunda bilgilendirilmekte ve çalışanlarımıza eğitimler verilmektedir.
- • Yetkisiz kişilerin kişisel verilere erişimi engellenmektedir.
- • Şirketimizin yürütmekte olduğu kişisel veri işleme faaliyetleri, tüm iş birimlerimizin detaylı şekilde analiz edilmesi sonucu oluşturulmuş kişisel veri envanterine uygun olarak yürütülmektedir.
- • Şirketimiz bünyesinde yürütmekte olduğumuz kişisel veri işleme faaliyetleri ve yasal mevzuatın aradığı şartlara uygunluğun sağlanması için yerine getirilecek yükümlülüklerimiz, şirketimiz tarafından yazılı politika ve prosedürlere bağlanmış olup her iş birimimiz bu hususta bilgilendirilmiştir.
- • Kişisel verilerin hukuka uygun şekilde işlenmesi faaliyetlerimiz kapsamında iş birimlerimiz bazında belirlediğimiz hukuksal gerekliliklerin sağlanması için çalışanlarımıza iç eğitimler verilmektedir.
- • Şirketimiz ile çalışanları arasındaki hizmet sözleşmeleri ve ilgili belgelere kişisel veriler ile ilgili bilgilendirme ve ek hükümler koyulmaktadır.
- • Şirketimiz, çalışanlarından gizlilik taahhütnameleri almaktadır.
12.2. Kişisel Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilere yetkisiz kişilerce erişilmesini ve kişisel verilerin yetkisiz kişilere aktarılmasını önlemek için korunacak verinin niteliği, teknolojik imkanlar ve uygulama maliyetine göre teknik ve idari tedbirleri almaktadır.
12.2.1. Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek amacıyla alınan başlıca teknik tedbirler aşağıdaki gibidir:
- • Teknolojik gelişmeler takip edilerek siber güvenlik alanında teknik önlemler alınmakta, alınan önlemler periyodik olarak yenilenmektedir.
- • Şirket bünyesindeki her birim özelinde belirlenen kişisel verilere hukuki uyum gereksinimleri çerçevesinde erişim ve yetkilendirme yapılmaktadır.
- • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak kontrol edilmektedir. Eski çalışanlarımızın hesapları kapatılarak kişisel verilere erişimi engellenmektedir.
- • Alınan teknik önlemler ilgili kullanıcılara raporlanmakta, böylece risk teşkil eden hususlar gözden geçirilerek çözüm üretilmektedir.
- • Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarları içeren yazılımlar ve donanımlar kullanılmaktadır.
- • Teknik konularda uzman personel istihdam edilmektedir.
12.2.2. İdari Tedbirler
- • Özellikle kişisel veri işleyen kullanıcılar ve tüm çalışanlarımız kişisel verilere hukuka aykırı erişimi engellemek için alınacak idari tedbirler konusunda eğitilmektedir.
- • Şirketimizdeki her birim özelinde, hukuki uyumu sağlamak amacıyla kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.
- • Şirketimiz ile çalışanlarımız arasında imzalanan sözleşmelerde hukuka uygun kişisel veri işleme faaliyetinin kapsamı anlatılmakta ve bu hususlara uygun davranılacağına dair taahhütler alınmaktadır.
- • Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile; kişisel verilerin aktarıldığı kişilerin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içerek ek sözleşme yapılmaktadır.
12.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Dış denetim firmalarınca Şirket içinde alınan idari ve teknik tedbirlerin denetimi yapılmaktadır.
13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Kişisel Verilerin Korunması Kanunu’nda birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde ilgililerin mağduriyetine sebep olabilme riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz, Kişisel Verilerin Korunması Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen kişisel verilerin korunmasında son derece hassasiyet göstermektedir. Bu kapsamda Şirket tarafından kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesindeki denetimler titizlikle yapılmaktadır.
Şirket bünyesinde işyeri hekimliği hizmeti sebebiyle, çalışanların sağlık verileri işlenmekte olup; bu verilere erişebilen personele gerekli eğitimler verilmekte ve bu personelin erişim yetkisi, kapsam ve süreleri belirlenmekte ve denetimler yapılmakta, bu personellerden gizlilik taahhütnamesi alınmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziken saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece revir personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
14. KİŞİSEL VERİLERİN AKTARILMASI
Şirket olarak hukuka uygun olan veri işleme amaçlarımız doğrultusunda, gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini Kanunun gerektirdiği hallerde ve / veya kişinin açık rızasıyla üçüncü kişilere aktarabileceğiz.
Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu tespit edilip ilan edilen yabancı ülkelere veya yeterli koruma olmaması halinde Türkiye’deki veri sorumlularının yeterli korumayı yazılı olarak taahhüt ettiği ve Kişisel Verilerin Korunması Kurulu’nun izin verdiği yabancı ülkelere kişisel veriler aktarılabilmektedir. Aktarım sebeplerimiz aşağıda açıklanmıştır:
- • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- • Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- • Kişisel veri aktarımı bir hakkın tesisi, kullanılması ve korunması için zorunlu ise,
- • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
- • Kişisel veri sahibinin yurt dışı aktarıma ilişkin onayı varsa
Şirketimiz Kişisel Verileri Koruma Kanunu’nun 10. Maddesine uygun olarak kişisel verilerin aktarıldığı üçüncü kişi gruplarını kişisel veri sahibine bildirmektedir. Aşağıda yer alan üçüncü kişi gruplarına kişisel veri aktarımı yapmaktayız:
- - İş ortaklarımız
- - Banka ve sigorta şirketleri
- - Seyahat acentaları
- - Çalışanlara sağlık hizmeti sağlayan kurum ve kuruluşlar
- - Oteller
- - Eğitim firmaları
- - Hukuken yetkili kamu kurum ve kuruluşlarına
- - Hissedarlar
16. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz ilgili mevzuatta öngörülmesi durumunda kişisel verileri bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca işlenmesi gerektiğine dair mevzuatta açık bir hüküm bulunmadığı takdirde Şirketimiz, kişisel verinin niteliğine, veri işleme faaliyetine bağlı olarak ve sektörün teamüllerine uygun olarak veriyi saklamaktadır. Daha sonra verinin niteliği gereği Şirketimiz tarafından oluşturulmuş işbu Politika uyarınca kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.