KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
AMAÇ
Bu Politikanın amacı, Miltaş Turizm İnşaat Ticaret .A.Ş.’nin (Şirket) faaliyetlerini yürütürken kişisel verilerin ilgili mevzuata uygun olarak işlenmesinin ve korunmasının sağlanması ve bu kapsamda uyulacak usul ve esasların belirlenmesidir.
KAPSAM
Bu Politika Şirket çalışanlarını, aktif ve potansiyel müşterileri, tedarikçileri, iş ortaklarını, ziyaretçileri ve Şirket ile ilişki içinde bulunan diğer gerçek kişileri kapsar.
DAYANAK
Bu Politika 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) gereğince hazırlanmıştır.
TANIMLAR
Bu Politikada geçen;
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi,
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
ifade eder.
GENEL ESASLAR
A. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Şirket kişisel verileri KVKK ve ilgili diğer mevzuatta öngörülen usul ve esaslara uygun olarak işler. Bu çerçevede, Şirket tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanır.
Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca Şirket’in veri işleme süreçleri, Türkiye Cumhuriyeti Anayasası ve KVKK başta olmak üzere ilgili tüm mevzuata uygun olarak ve dürüstlük kurallarının gerektirdiği sınırlar içinde yürütülür.
Doğru ve gerektiğinde güncel olma: Şirket tarafından işlenen kişisel verilerin doğru ve güncel olması için gerekli tedbirler alınır ve veri sahiplerinin verilerini güncellemelerine imkân tanınarak işlenen verilerin gerçek durumu yansıtması sağlanır.
Belirli, açık ve meşru amaçlar için işlenme: Şirket yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işler, bu amaçlar dışında veri işleme faaliyetinde bulunmaz. Bu bağlamda Şirket yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve veri sahipleri açısından gerekli olması halinde kişisel veri işler.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli şekilde, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenir, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılır.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Bu bağlamda Şirket, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyar, süre belirtilmemiş ise verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamaz. (Bu hususta detaylı bilgilere “Ç” maddesinde yer verilmiştir)
B. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Şirket kişisel verileri aşağıda belirtilen koşullara uygun olarak işler.
Kanun'da sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işler. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilecektir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Veri sahipleri açısından kritik önem teşkil eden özel nitelikli kişisel verilerin işlenmesinde ise özel hassasiyet gösterilir. Özel nitelikli kişisel veriler veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, mevzuatta öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda belirtilen sebeplerin varlığı halinde açık rıza alınmaksızın işlenebilir:
Kamu sağlığının korunması
Koruyucu hekimlik
Tıbbî teşhis
Tedavi ve bakım hizmetlerinin yürütülmesi
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
Özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemler alınır.
C. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket tarafından elde edilen kişisel veriler, aşağıda belirtilen kategoriler dâhilinde işlenir:
Şirket iç operasyonları
Strateji planlama ve iş ortakları / tedarikçi yönetimi
Müşteriyle ilgili süreç ve operasyonlar
İnsan kaynakları operasyonları
Pazarlama operasyonları
Hukuksal, teknik ve idari sonucu olan faaliyetler
Yukarıda yer verilen kategoriler bilgilendirme amaçlı olup, Şirket’in gelecekteki ticari faaliyetlerini yürütebilmesi için başka kategoriler dâhilinde de kişisel veri işlenmesi söz konusu olabilir. Bu gibi durumlarda Şirket, ilgili metinlerde güncelleme yaparak en hızlı şekilde bilgilendirme yapar.
Ç. KİŞİSEL VERİLERİN SAKLANMASI
Elde edilen kişisel veriler, Şirket’in ticari faaliyetlerini yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanır. Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilir. İlgili mevzuat uyarınca, kişisel verilerin daha uzun süre saklanmasına izin verilen veya zorunlu tutulan haller dışında, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından işbu Politika’ya uygun olarak hazırlanan Miltaş Turizm İnşaat Ticaret A.Ş. Kişisel Veri Saklama ve İmha Politikası çerçevesinde re’sen veya bu Politika’nın 1 no’lu ekinde yer alan “veri sahibi başvuru formu” aracılığıyla ve kullanılabilecek farklı teknikler1 ile veri sahiplerinin talebi üzerine veriler silinir, yok edilir ya da anonimleştirilir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler hiçbir şekilde tekrar kullanılamayacak ve geri getirilemeyecek şekilde imha edilir.
1 Fiziksel olarak yok etme, yazılımdan kalıcı olarak silme, maskeleme, veri türetme, toplulaştırma, veri karma, uzman tarafından silme vb.
Ancak veri sorumlusunun meşru menfaatinin bulunduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen prosedüre göre silinir, yok edilir veya anonim hale getirilir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamaz.
D. KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE AKTARILMASI
Şirket kişisel verilerin üçüncü taraflarla paylaşılması hususunda diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uyar. Bu çerçevede, kişisel veriler, Şirket tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmaz. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler Şirket tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülmesi halinde, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbî teşhis,
Tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amaçlarıyla açık rıza temin edilmeksizin aktarılabilir. Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulur.
Kişisel verilerin paylaşıldığı/paylaşılabileceği taraflar, işbu Politika’nın 2 no’lu ekinde yer almaktadır. Söz konusu listeler bilgilendirme amaçlı hazırlanmış olup, herhangi bir değişikliğin meydana gelmesi halinde