|
|
KİŞİSEL VERİLERİN İŞLENMESİ, AKTARILMASI VE KORUNMASI POLİTİKASI |
|
|
Doküman No: POL.01 Yayın Tarihi: 14.11.2019 Revizyon No: 01 Revizyon Tarihi: 29.09.2020 |
İÇİNDEKİLER
Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda çalışanlarımızdan, ziyaretçilerimizden, bizimle çalışmak isteyen adaylardan, müşterilerimizden, ürün ve hizmet tedariki yaptığımız iş birliği firmalarımızdan alınan kişisel verilerin işlenmesi, aktarılması ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri açıklamaktadır.
MESPA KVK Politikası ile MESPA bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulmasını hedeflemektedir.
MESPA KVK Politikasında kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
|
|
ŞİRKET |
: |
Mespa Sağlık Malzemeleri Sanayi ve Ticaret A.Ş. |
|
|
KVKK |
: |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ‘de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
|
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle çıklanan rıza. |
|
|
Anonim Hale Getirme |
: |
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ |
: |
10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ. |
|
|
Çalışan(lar) |
: |
MESPA çalışan(lar)ı. |
|
|
Çalışan KVK Politikası |
: |
MESPA çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “MESPA A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”. |
|
|
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik |
: |
20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete ’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik. |
|
|
Kişisel Sağlık Verisi |
: |
Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi. |
|
|
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
|
Kişisel Veri Sahibi |
: |
Kişisel verisi işlenen gerçek kişi. Örneğin; çalışanlarımız, ziyaretçilerimiz, bizimle çalışmak isteyen adaylar, müşterilerimiz |
|
|
Kişisel Verilerin Korunması Birimi |
: |
MESPA tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan birim. |
|
|
Kişisel Veri İşlemleri |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafazaedilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, yok edilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
|
KVK Kurulu |
: |
Kişisel Verileri Koruma Kurulu. |
|
|
KVK Kurumu |
: |
Kişisel Verileri Koruma Kurumu. |
|
|
Özel Nitelikli Kişisel Veri |
: |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
|
|
MESPA İş Ortakları |
: |
MESPA’nın ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
|
|
MESPA Grup Şirketleri |
: |
Mespa Medikal, Mespa Global, Hospitool şirketlerini kapsamaktadır. |
|
|
MESPA Kişisel Veri Saklama ve İmha Prosedürü |
: |
Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, MESPA tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan prosedür. |
|
|
MESPA KVK Politikası |
: |
MESPA Kişisel Verilerin işlenmesi, aktarılması ve korunması politikası. |
|
|
MESPA Tedarikçileri |
: |
Sözleşme temelli olarak MESPA’ya hizmet sunan taraflar. |
|
|
MESPA Veri Sahibi Başvuru Formu |
: |
Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu. |
|
|
Türkiye Cumhuriyeti Anayasası |
: |
9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
|
|
Türk Ceza Kanunu |
: |
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu. |
|
|
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
|
|
Veri Sorumlusu |
: |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi. |
|
|
Veri Sorumluları Sicili |
: |
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili. |
|
|
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
: |
10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ. |
MESPA KVKK Politikasının MESPA ’da ve diğer grup şirketlerinde işleyiş, faaliyet ve süreçlerinin uygulanmasında Genel Müdür sorumlu olmakla birlikte; MESPA KVKK Politikasına uygun hazırlanan yönetmelik, prosedür, form ve eğitim faaliyetlerinin uygulanmasında KVKK Kurulu sorumludur.
5.1. MESPA KVK POLİTİKASI İLE YÖNETİLEN KİŞİ GRUPLARI
MESPA KVK Politikası kapsamı dâhilinde olan ve MESPA tarafından kişisel verileri işlenen veri sahipleri aşağıda gruplandırılmaktadır:
MESPA Çalışan Adayları
MESPA ile hizmet akdi kurulmamış ancak kurulmak üzere MESPA değerlendirmesine alınan kişiler.
MESPA İş Ortakları Yetkilileri, Çalışanları
MESPA’ in ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları.
MESPA Ziyaretçileri
MESPA binasını, ofisini ve MESPA tarafından işletilen internet sitesini ziyaret eden gerçek kişiler.
Diğer Gerçek Kişiler
MESPA Çalışanları Kişisel Verilerin İşlenmesi, Aktarılması ve Korunması Politikası kapsamında olmayan tüm gerçek kişiler.
5.2. MESPA TARAFINDAN YÜRÜTÜLEN İŞ FAALİYETLERİ KAPSAMINDA KİŞİSEL VERİLERİ İŞLEME AMAÇLARI
|
ANA AMAÇLAR |
|
ALT AMAÇLAR |
|
|
MESPA’nın kısa / orta / uzun vadede ticari politikalarının tespiti, planlanması ve uygulanması |
1. |
Şirket dışı eğitim faaliyetlerinin planlanması ve icrası |
|
|
|
2. |
İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi |
|
|
MESPA'in İnsan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi |
1. |
Çalışan temin süreçlerinin yürütülmesi |
|
|
|
2. |
Stajyer ve öğrenci temin, yerleştirmesi ve operasyon |
|
|
|
3. |
süreçlerinin planlanması ve icrası İnsan kaynakları süreçlerinin planlanması |
|
|
|
4. |
Şirket çalışanları için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi |
|
|
|
5. |
Çalışanların iş faaliyetlerinin takibi ve denetimi |
|
|
|
6. |
Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası |
|
|
|
7. |
Çalışan çıkış işlemlerinin planlanması ve icrası |
|
|
|
8. |
Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi |
|
|
|
9. |
Şirket içi eğitim faaliyetlerinin planlanması ve icrası |
|
|
|
10. |
İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi |
|
|
|
11. |
Ücret yönetimi |
|
|
|
12. |
Şirket içi oryantasyon aktivitelerinin planlanması ve icrası |
|
|
MESPA'in Yürüttüğü Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi İçin Şirket Bünyesindeki İş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve bu Doğrultuda Faaliyetlerin Yürütülmesi |
1. |
Finans ve muhasebe işlerinin takibi |
|
|
|
2. |
Yatırımcı ilişkilerinin yürütülmesi |
|
|
|
3. |
Kurumsal iletişim faaliyetlerinin planlanması ve icrası |
|
|
|
4. |
İş faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleştirilmesi planlanması ve icrası |
|
|
|
5. |
Etkinlik yönetimi |
|
|
|
6. |
Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi |
|
|
|
7. |
Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası |
|
|
|
8. |
İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası |
|
|
|
9. |
İş ortakları ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası |
|
|
MESPA Grup Şirketleri’nin insan kaynakları faaliyetlerinin tasarlanmasına, planlanmasına ve icrasına destek olunması |
1. |
MESPA Grup Şirketleri’nin insan kaynakları stratejilerinin planlanması konusunda destek olunması |
|
|
|
2. |
MESPA Grup Şirketleri çalışanlarının transfer, geçici görevlendirme, terfi ve işten ayrılmalarının takibi ve duyurulması |
|
|
|
3. |
MESPA Grup Şirketleri çalışanlarının çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması |
|
|
|
4. |
MESPA Grup Şirketleri çalışan temin süreçlerine destek olunması |
|
|
MESPA Grup Şirketleri’nin ticari itibarının ve oluşturduğu güvenin korunması |
1. |
Talep ve şikayet yönetimi |
|
|
|
2. |
Topluluk ve topluluk değerlerinin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi |
|
6.1. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ
6.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
6.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin faaliyetleri yürütürken teknik imkanlar dahilinde gerekli mekanizmaları kurmaktadır.
6.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verilerin işlenme amaçlarını açık ve hukuka uygun amaçlar dâhilinde yürütmektedir.
6.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
6.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
6.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politikanın 6.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel veri sahibinin, özgürce, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak açık rızasının belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak işlenmesidir. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
6.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
MESPA tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, MESPA tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir. Özel nitelikli kişisel veriler, MESPA tarafından, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
Kişisel Sağlık Verilerinin İşlenmesi
MESPA tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir.
Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi MESPA tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir
6.4. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Şirketimiz, Kanun’un 10. Maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
6.4.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler: Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6.4.2. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle şirketimize iletebileceklerdir. Bu doğrultuda https://mespa.com.tr//kvkk.html adresinden ulaşılabileceklerdir. MESPA ’ya ulaşan talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içerisinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
6.5. KİŞİSEL VERİLERİN AKTARILMASI
6.5.1. Kişisel Veri Aktarım Şartlarına Uygunluk
MESPA tarafından gerçekleştirilecek kişisel veri aktarımlarında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
Kişisel Verilerin Yurtiçinde Aktarılması
MESPA tarafından, KVK Kanunu’nun 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. MESPA KVK Politikası Bölüm 6.1. uygun olarak hareket edilmektedir.
Kişisel Verilerin Yurtdışına Aktarılması
MESPA tarafından, KVK Kanunu’nun 9. maddesi gereğince kişisel veriler; kişisel veri işleme şartlarına (Bkz. MESPA KVK Politikası Bölüm 6.1. uygun olarak ve aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulunun izninin bulunması ile yurtdışına aktarılabilmektedir.
MESPA Tarafından Kişisel Verilerin Aktarıldığı Kişi Grupları
MESPA, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak MESPA KVK Politikası kapsamı dahilinde olan veri sahiplerinin (Bkz. MESPA KVK Politikası Bölüm 5.2.) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarabilir:
MESPA Grup Şirketleri’ne, Grup Şirketleri’nin katılımını gerektiren ticari faaliyetlerin yürütülmesinin temini amacıyla sınırlı olarak, MESPA İş Ortakları’ na, iş ortaklığının kurulması ve sürdürülmesinin temini amacıyla sınırlı olarak, MESPA Tedarikçileri’ ne, tedarikçiden temin edilen ve MESPA’ nın ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak, Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak, Üçüncü kişilere kişisel veri aktarım şartlarına uygun olarak.
6.6. MESPA TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
Talebinizin değerlendirilmesi kapsamında ek bilgiye ihtiyaç duyulması halinde sizinle iletişim kurabilecektir. Başvurunuz ücretsiz olarak sonuçlandırılacak olup, ayrıca bir maliyet gerektirmesi durumunda ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edilebilecektir. Bu formun eksiksiz olarak doldurulmasının ardından imzalanarak; Yukarıda belirtilen haklarınız ile ilgili yazılı olarak başvurmanız halinde, talebinizin niteliğine göre en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir.
6.7. MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER
KVK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır: Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
6.8. MESPA TARAFINDAN YÜRÜTÜLEN KİŞİSEL VERİ İŞLEME FAALİYETLERİ KAPSAMINDA İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE PAYLAŞILAN TARAF KATEGORİLERİ
6.8.1. Kişisel Veri Kategorileri
|
KİŞİSEL VERİ KATEGORİLERİ |
AÇIKLAMA |
|
|
Kimlik Bilgisi |
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad- soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
|
|
İletişim Bilgisi |
İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası |
|
|
Lokasyon Verisi |
MESPA araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri vb. |
|
|
Aile Bireyleri ve Yakın Bilgisi |
MESPA iş birimleri tarafından yürütülen operasyonlar çerçevesinde sunduğumuz ürün, hizmetlerle ilgili veya şirketin, veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler. |
|
|
Fiziksel Mekan Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, giriş çıkış kayıt sistemi ve güvenlik noktasında alınan kayıtlar v.b. |
|
|
İşlem Güvenliği Bilgisi |
MESPA’nın ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler. (örneğin log kayıtları) |
|
|
Finansal Bilgi |
MESPA ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler. |
|
|
Çalışan Adayı Bilgisi |
MESPA çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirket’imizin insan kaynakları ihtiyaçları doğrultusunda Çalışan Adayı olarak değerlendirilmiş veya Şirket’imizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
|
|
Özlük Bilgisi |
Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri. |
|
|
Pazarlama Bilgisi |
Ürün ve hizmetlerimizin kişisel ver sahibinin kullanın alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlanmasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yapılan rapor ve değerlendirmeler |
|
|
Işlem Bilgisi |
Şirketimizin iş faaliyetleri kapsamında elde etmiş olduğu anket bilgisi, çağrı merkezi kayıtları, giriş çıkış kayıtları, seyahat bilgileri, kişilik envanteri, vize bilgisi gibi veriler |
|
|
Görsel İşitsel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan;fotoğraf ve kamera kayıtları (fiziksel mekan güvenlik bilgisi kapsamına giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası halindeki belgelerde yer alan veriler |
|
|
Eğitim Bilgisi |
Kimliği belirlenebilir bir gerçek kişiye ait eğitim bilgisi |
|
|
Medeni Durum Bilgisi |
Medeni hal, evlilik tarihi bilgisi vb medeni durum bilgisi teşkil eden veriler |
|
|
Hukuki İşlem ve Uyum Bilgisi |
MESPA’nın hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve MESPA uyum kapsamında işlenen kişisel veriler. |
|
|
Denetim ve Teftiş Bilgisi |
MESPA’nın kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler. |
|
|
Özel Nitelikli Kişisel Veri |
KVK Kanunu’nun 6. maddesinde belirtilen veriler (örneğin;kişilerin ırkı, etnik kökeni,siyasi düşüncesi, felsefi inancı, dini, mezhebi ve diğer inançları, kılık kıyafeti, dernek, vakıf, sendika üyeliği, sağlığı,kan grubu, cinsel hayatı,cinsel tercihleri, cezai mahkümiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik veriler). |
|
|
Talep/Şikayet Yönetimi Bilgisi |
MESPA’ya yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
|
6.8.2. Paylaşılan Taraf Kategorileri
MESPA, KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak MESPA KVK Politikası kapsamı dahilinde olan veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilir:
MESPA Grup Şirketleri’ ne, MESPA Tedarikçileri’ ne, MESPA İştirakleri’ ne, MESPA İş Ortakları’ na, Yetkili kamu kurum ve kuruluşlar ile yetkili özel hukuk kişilerine, Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere. Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve olası veri aktarım amaçları aşağıda belirtilmektedir.
|
VERİ AKTARIMI YAPILABİLECEK KİŞİLER |
|
TANIMI |
|
VERİ AKTARIM AMACI |
|
|
|
İş Ortağı |
|
MESPA’nın, ticari faaliyetlerini yürütürken şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülneesi gibi amaçlarla iş ortaklığı kurduğu taraflar |
|
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
|
|
|
Tedarikçi |
|
MESPA’in ticari faaliyetlerinin yürütülmesi kapsamında, MESPA’nın veri işleme ve talimatlarına uygun ve sözleşme temelli olarak MESPA’ya hizmet sunan taraflar |
|
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak |
|
|
|
MESPA Grup Şirketleri |
|
MESPA Grup Şirketleri oluşturan tüm şirketler oluşturan tüm şirketler |
|
Şirket’in ticari faaliyetlerine ilişkin stratejilerinin planlanması ve faaliyetlerinin sürdürülmesi ile denetim gibi amaçlarla sınırlı olarak |
|
|
|
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
|
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
|
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
|
|
|
Hukuken Yetkili Özel Hukuk Kişileri |
|
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri |
|
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
|
|
6.9. MESPA TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
MESPA tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda MESPA tarafından gerekli her türlü idari ve teknik tedbirler alınmakta, şirket bünyesinde denetim sistemi kurulmakta ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.
6.9.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için MESPA Tarafından Alınan İdari Tedbirler
– MESPA, kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.
– Kişisel verilerin aktarıma konu olduğu durumlarda, MESPA tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.
– MESPA tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenir, bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
– MESPA, KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit eder, bu uygulamaları iç politikalar ile düzenler.
6.9.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için MESPA Tarafından Alınan Teknik Tedbirler
– MESPA tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.
–Teknik konularda, uzman personel istihdam edilir.
–Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
–Güvenliği temin edecek yazılım ve sistemler kurulur.
– MESPA bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
6.9.3. MESPA Tarafından Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütülmesi
MESPA tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Kişisel Verilerin Korunması Birimi Sorumlusu tarafından denetlenir. Kişisel Verilerin Korunması Birimi Sorumlusu söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi gerekli gördüğü hallerde dış kaynaklı denetim firmalarına da yaptırabilir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Kişisel Verilerin Korunması Birimi Sorumlusu, MESPA Yönetim Kurulu ‘na raporlanır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin sorumluluğundadır. Süreç sahipleri periyodik olarak takip ve ilerleme durumlarını Kişisel Verilerin Korunması Birimi Sorumlusu’na raporlar. Kişisel Verilerin Korunması Birimi Sorumlusu denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler ilgili yürütülür.
6.9.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
MESPA tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.
6.10. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ
MESPA tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan “Kişisel Verilerin Korunması Birimi” kurulmuştur. Kişisel Verilerin Korunması Birimi, MESPA birimleri ve departmanları arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur.
Bu Politika dokümanı, MESPA Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da MESPA Yönetim Kurulu tarafından Kişisel Verilerin Korunması Birimine yetki verilmiştir. Kişisel Verilerin Korunması Birimi Sorumlusu onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.
İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir. Yönetmelikler Yönetim Kurulu onayıyla yayımlanarak yürürlüğe konulacaktır.
İşbu Politika her halükârda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Yönetim Kurulu onayına sunularak güncellenir.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile MESPA KVK Politikası arasında çelişki bulunması halinde, MESPA yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
MESPA KVK Politikası, MESPA internet sitesinde (www.mespa.com.tr) yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, MESPA KVK Politikası’nda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.