1. GİRİŞ
Kişisel verilerin korunması MED-MAR TUZ A.Ş (“Şirketimiz”) olarak önem verdiğimiz değerlerimizdendir. Şirketimiz tarafından yürütülmekte olan iş faaliyetleri kapsamında işlenen tüm kişisel verilerin mevzuata uygun bir şekilde işlenmesi için Şirketimiz elinden gelen tüm çalışmaları gerçekleştirmektedir. İşbu metinde Şirketimiz tarafından kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVK Kanunu”) uyumluluğuna ilişkin detaylı bilgiler açıklanmaktadır böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.
2. KAPSAM
İşbu Genel Bilgilendirme Metni, Şirketimiz tarafından kişisel verileri işlenen tüm veri sahiplerine ilişkindir. Ancak Şirketimiz çalışanlarının kişisel verilerine ilişkin bilgiler işbu metin içerisinde değerlendirilmemektedir. Bahsi geçen veri sahiplerinin yer aldığı tablo aşağıda yer almaktadır.
KİŞİSEL VERİ SAHİBİ KATEGORİSİ AÇIKLAMA
Çalışan / Stajyer Adayı : İş başvurusunda bulunmuş veya CV bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler anlamına gelmektedir.
Yetkilisi / Hissedarı : Şirketimizin ticari faaliyetlerini yürütürken şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişiler anlamında gelmektedir.
Müşteri : Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan, kullanmış olan veya kullanmak amacıyla başvuran veya başvurusu değerlendirme aşamasında olan veya gerçek kişiler veya tüzel kişilerin çalışanı, yetkilisi veya hissedarı olan gerçek kişiler anlamına gelmektedir.
Tedarikçi Çalışanı / Yetkilisi / Hissedarı : Şirketimiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirketimize mal ve/veya hizmet sağlayan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişiler anlamına gelmektedir.
Ziyaretçi : Şirketimiz yerleşkelerini, internet sitelerini ziyaret eden veya Şirketimizin misafir internet ağına katılmış gerçek kişiler anlamına gelmektedir.
3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVK Kanunu uyarınca kişisel verilerin işlenmesi belirli şartlar altında hukuka uygun olarak değerlendirilmektedir. Bunlardan ilki kişisel veri sahibinin açık rıza vermesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirketimiz tarafından işlenmektedir.
Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
3.1 Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri, Şirketimiz tarafından mevzuatta öngörülen çerçevede işlenebilecektir.
3.2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
3.4. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.5. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
3.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.7. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kanun kapsamında hassasiyet arz eden kişisel verilere özel önem atfedilmiştir. Kanun’un tanımladığı “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
5. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
5.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
5.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
5.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
5.6. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar
Muhafaza Etme
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
6. İşlenen Kişisel Veri Kategorileri ve İşlenme Amaçları
Şirketimiz tarafından yürütülen iş faaliyetlerinin yerine getirilmesi kapsamında Kanun ve ilgili mevzuat hükümlerine uygun bir şekilde işlenen kişisel veriler ve özel nitelikli kişisel verilerin işlenme amaçları aşağıda sıralanmaktadır:
1. Şirketimiz iş sürekliliğinin sağlanması,
2. Şirketimiz yerleşkelerinin güvenliğinin sağlanması,
3. Şirketimiz bilgi güvenliği süreçlerinin yürütülmesi,
4. Şirketimiz risk ölçümleme süreçlerinin yürütülmesi,
5. Şirketimiz tarafından ürün ve hizmet tedarikine ilişkin süreçlerin yürütülmesi,
6. Şirketimiz tarafından ürün ve hizmetlerin ilgili kişilere sunulması ve buna ilişkin pazarlama süreçlerinin yürütülmesi,
7. Şirketimiz işe alım süreçlerine yönelik insan kaynakları politikalarının yürütülmesi,
8. Şirketimiz ile iş ilişkisi içerisinde olan tarafların ticari, hukuki ve teknik güvenliğinin sağlanması
9. Şirketimizin stratejilerinin belirlenmesi,
10. Şirketimizin finansal/muhasebesel değerlerinin yönetimi,
11. Şirketimizin hukuki yükümlülüklerinin yerine getirilmesi.
7. Kişisel Verilerin Aktarılması
Şirketimiz Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere ve ikincil mevzuatta öngörülen ilke ve usuller doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri ve özel nitelikli kişisel verileri üçüncü taraflara aktarabilmektedir.
Kişisel veriler, Kanun ve ikincil mevzuatta öngörülen ilke ve usuller doğrultusunda Şirketimiz tarafından veri sahiplerinin açık rızalarının alınmasına gerek olmaksızın aşağıdaki durumlarda üçüncü taraflara aktarılabilecektir:
1. Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
2. Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
3. Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
4. Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
5. Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
6. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
7. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Kişisel veriler yurt dışına aktarılacak ise yukarıda yer alan şartlara ek olarak Kişisel Verileri Kormuma Kurulu (“Kurul”) tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılır.
Şirketimiz tarafından kişisel verilerin aktarıldığı tarafların ve aktarım amaçlarının yer aldığı tablo aşağıda yer almaktadır.
AKTARILAN TARAF AKTARIM AMACI
Tedarikçiler Şirketimiz iş faaliyetlerinin yürütülmesi kapsamında birtakım konularda hizmet almakta olduğu tedarikçiler ile yalnızca söz konusu hizmetin sağlanması amacıyla sınırlı olarak gerekli olan kişisel verileri paylaşmaktadır.
Kanunen Yetkili Kamu Kurumları ve Özel Kuruluşlar İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları ile kişisel veriler paylaşılmaktadır.
Hukuki yükümlülüklerimizin gerektirdiği denetimlerin gerçekleştirilmesi amacıyla çalışılmakta olan bağımsız denetçiler ile kişisel veriler paylaşılmaktadır.
8. Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Şirketimiz Aydınlatma Yükümlülüğünün Yerine Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirerek Kanun’un 10’uncu maddesinde yer alan aydınlatma yükümlülüğünü yerine getirmektedir.
9. Kişisel Verilerin Saklanması ve İmhası
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
10. Kişisel Veri Güvenliği
Kanun’un 12’nci maddesinde kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, kişisel verinin niteliğine göre gerekli tedbirlerinin alınmasına yönelik öngörülmüş olan yükümlülük Şirketimiz tarafından yerine getirilmektedir. Bu kapsamda gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, çalışanlara bu konuda eğitimler vermekte, denetimleri yapmakta veya yaptırmaktadır.
