• Alışveriş sepetiniz boş!

Genel Politikamız


• Amaç

İşbu MKS DEVO KİMYA SANAYİ TİC. A.Ş. (‘Şirket’) Kişisel Verilerin İşlenmesi ve Korunması Politikası (‘Politika’), kimyasallar ve teknolojik hizmetleri alanında faaliyet gösteren Şirketimizin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘Kanun’) kapsamında düzenlenen ve korunan kişisel verilerin işlenmesinde ve korunmasında, mevzuata uyumu teminen benimsediği ilke ve prensipleri düzenlemektedir.

• Kapsam

İşbu Politika, Şirketimizin müşterilerinin, potansiyel müşterilerinin, bunların çalışanlarının, Şirketimiz çalışanlarının, çalışan adaylarının, hissedarlarının, yetkililerinin, ziyaretçilerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerini kapsamaktadır.

Ayrıca, işbu Politika ile benimsenen ilke ve prensipler, Şirketimizin işlediği kişisel verileri işleyen, kişisel verilere erişimi olan, Şirket’e kişisel veri sağlayan veya Şirket’ten veri alan tüm çalışanlara, çalışan adaylarına, taşeron çalışanlarına, Şirket’in bağlı şirketlerinin çalışanlarına ve bunların yetkililerine uygulanır.

• Tanımlar

İşbu Politikada kullanılan terimler, Kanun’un ‘Tanımlar’ başlıklı 3. maddesinde düzenlenen anlamları ifade eder.

• KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR

Şirketimiz, kişisel verilerin işlenmesinde, Anayasa’nın 20. maddesi ile Kanun başta olmak üzere, tüm mevzuata uygun olarak belirlenmiş ve benimsenmiş olan aşağıdaki esaslara riayet etmektedir.

• Kişisel Verilerin İşlenmesinde Temel İlkeler

Şirketimiz, kişisel verilerin işlenmesinde, Kanun’un 4. Maddesine uygun olarak; • Hukuka ve dürüstlük kuralına uygunluk, • Kişisel verilerin doğru ve gerektiğinde güncel olması, • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi, • Kişisel verilerin işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü işlenmesi, • Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

ilkelerine riayet etmektedir. Bu kapsamda, Şirketimiz, bunlarla sınırlı olmamak üzere, kişisel verilerin hangi amaçlarla ve ne kadar süre işleneceğini henüz işlenmesine başlanılmadan belirlemekte, ileride gerçekleşmesi muhtemel durumlara göre yönelik işleme faaliyeti gerçekleştirmemektedir. Ayrıca, veri minimizasyonu çalışmaları yapmakta, kişisel verilerin saklanması için mevzuatta öngörülen süreleri tespit etmekte veya mevzuatta öngörülen bir süre olmaması halinde işleme amacına göre azami süreyi tespit etmekte ve kişisel verileri bu sürelerden sonra silmekte, yok etmekte veya anonim hale getirmektedir. Bunların yanı sıra, burada belirtilen temel ilkelerin gerçekleştirilebilmesi adına, güncel teknolojiyi takip etmekte ve gerekli değişiklikler için periyodik kontroller gerçekleştirmektedir.

• Kişisel Verilerin İşlenme Şartları

Anayasa’nın 20. maddesinin 3. fıkrasına göre; “Kişisel veriler, ancak kanunda öngörülen

hallerde veya kişinin açık rızasıyla işlenebilir.”

Şirketimizin kişisel veri işleme şartları da, Anayasa’nın ilgili hükmüne uygun olarak, (i) ilgili kişinin açık rızasının bulunması veya (ii) kişisel verilerin işlenmesinin Kanun ile düzenlenmiş olmasıdır.

Kişisel verilerin işlenmesi şartları Kanun’un 5. maddesinde düzenlenmiştir. Kanun’un 5. maddesinin 1. fıkrasında, açık rıza şartı yeniden belirtilmiş; 2. fıkrasında ise diğer şartlar 7 farklı alt bent halinde tahdidi olarak sıralanmıştır. Kişisel veriler, bu şartlardan bir veya birkaçına göre işlenebilecektir.

2.1. İlgili Kişinin Açık Rızası

İlgili kişinin açık rızasının bulunması, Anayasa’nın yukarıda alıntılanan maddesi ve Kanun’un 5. maddesinin 1. fıkrası uyarınca, kişisel verilerin işlenmesinin şartlarından biridir.

Şirketimiz de, ilgili kişinin kişisel verilerini, açık rızasının bulunması halinde, kişinin rızasının amaç ve sınırları ile bağlantılı ve ölçülü şekilde işlemektedir.

2.2. Kanunlarda Açıkça Öngörülmesi

Kanunlarda açıkça öngörülen hallerde kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilmektedir.

Örn;

5651 s. İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun Madde 5/3

2.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olan hallerde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.


Örn; Şirketimiz sınırları içinde rahatsızlık geçiren ziyaretçinin revire/hastaneye kaldırılması ve iletişim bilgilerinin kaydedilmesi

2.4. Bir Sözleşmenin Kurulması veya İfasıyla İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.

Örn; Şirketimiz hizmetlerinden yararlanan bir kişinin işlem sonrasında düzenlenen belgeye imzasının alınması

2.5. Hukuki Yükümlüğün Yerine Getirilmesi İçin Zorunlu Olması

Şirketimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olduğu hallerde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.

Örn; BTK gibi kamu kurumlarınca sorulan sorulara cevap verilmesi, istenen belgelerin gönderilmesi

2.6. Kişisel Verilerin Veri Sahibi Tarafından Alenileştirilmiş Olması

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.

Örn; Şirketimize iş başvurusu yapan kişinin aranması

2.7. Bir Hakkın Tesisi veya Korunması için Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.

Örn; Şirketimize CİMER üzerinden başvuru yapan kişilerin sorularının cevaplanması için bilgilerinin alınması

2.8. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu olan Şirketimizin meşru menfaatleri gereği zorunluluk olan hallerde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir.

Örn; Ziyaretçi kayıtları tutulması ve kamera kaydı alınması

• KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ESASLAR

Kişisel verilerin korunmasına ilişkin temel esaslar Kanun’un 12. maddesinde düzenlenmiştir.

Şirketimiz, kişisel verilerin korunmasında, bu madde başta olmak üzere, tüm mevzuata uygun olarak belirlenmiş ve benimsenmiş olan aşağıdaki esaslara riayet etmektedir.

Veri Güvenliği

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesi ile kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla alınacak veri güvenliğine ilişkin teknik, idari ve fiziki tedbirler almaktadır.

• Veri Güvenliğine İlişkin Teknik Tedbirler

• Bilgi Güvenliği Yönetim Sistemi kapsamında, bilginin gizliliğini, bütünlüğünü ve kesintisiz kullanılabilirliğini (erişilebilirliğini) sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, yönetimce kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler yürütmektedir. • Siber güvenliğin sağlanması adına, bunlarla sınırlı olmamak üzere, güvenlik duvarı ve ağ geçidi önlemlerinin alınması; Çalışanların, tehdit teşkil eden internet sitelerine veya online servislere erişiminin önlenmesi; kullanılmayan yazılım ve servislerin bilgisayarlardan silinmesi; yazılım ve donanımların güvenlik açıklarına karşı en güncel sürümde olmasının sağlanması gibi önlemler almaktadır. • Kişisel veri güvenliğinin takibi adına; bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, Tüm kullanıcıların log kayıtlarının tutulması gibi önlemler alınmaktadır.

• Kişisel veri içeren ortamların güvenliğinin sağlanması adına; kişisel verilerin saklandığı cihazların veya basılı evrakın çalınması, kaybolması, zarara uğraması gibi risklerin öngörülmesi ve hem bu riskleri önleyecek tedbirlerin alınması hem de bu risklerin gerçekleşmesi halinde zararların en aza indirilmesi için gerekli önlemler alınmaktadır.

• Kişisel verilerin bulutta depolanması halinde; ilgili bulut depolama sistemlerinin ve sağlayıcılarının veri güvenliği tedbirleri incelenmekte, veri depolama hizmeti sağlayıcılarına iletilecek (yüklenecek) kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, veri depolama hizmeti sağlayıcılarına erişilebilecek kişilerin, yerlerin, internet ağlarının sınırlandırılması ve denetlenmesi gibi önlemler alınmaktadır.

• Bilgi teknolojileri sistemlerinin tedariği, geliştirmesi ve bakımı kapsamında; mevcut

sistemlerin doğru veri girişini kontrol etme ve doğru girilmiş bilginin işlem sırasında bozulmamasını sağlaması için uygulamaların içinde kontrol mekanizmaları kurulması, veri kaybına sebebiyet verebilecek hataların önlenmesi, donanımsal hatalarda cihazların üçüncü kişi firmalara gönderilmesi gereği doğduğunda veri depolayan parçaların gönderilmesinden sakınılması veya gerekli önlemler alınması gibi önlemler alınmaktadır.

Veri Güvenliğine İlişkin İdari Tedbirler

Şirketimiz, kişisel verilerin korunması adına, çalışanlarına farkındalık eğitimleri vermekte, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır. Mevzuattaki değişiklikleri takip ederek gerekli güncellemelerde bulunma, kişisel veri aktarımı yapılması halinde veri aktarılan kişilerle ile yapılan sözleşmelerde kişisel veri sahiplerinin verilerinin korunması adına özel hükümler eklenmekte periyodik denetimler yapılarak riskler tespit edilmekte, kişisel verilerin mümkün olduğunda az tutulmasına çaba gösterilmekte ve sair idari tedbirler alınmaktadır.

• Veri Güvenliğine İlişkin Fiziki Tedbirler

Şirketimiz, kişisel verilerin korunması adına, Şirketimize ait tesis ve binalarda güvenlik önlemleri almakta, kişisel verilerin tutulduğu dolap, çekmece, arşiv gibi ortamlarda yetkilendirmeler yapmakta, kişisel verilerin tutulduğu elektronik cihazların da güvenliğine yönelik tedbirler alınmaktadır.

• Kişisel Verilerin Kanuni Olmayan Yollarla Başkaları Tarafından Elde Edilmesi Halinde Alınacak Tedbirler

Şirketimiz, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu olarak bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Şirketimiz herhangi bir ihlal halinde, kural olarak, ihlalin tespitinden itibaren 72 saat içinde Kurul bildirimini yapmayı öngörmektedir.

• Veri Tabanı Sistemleri

Şirketimiz, verilerin hangi kanallardan, hangi yöntemlerle toplandığının, ne kadar süre ile tutulduğunun, kimler ile paylaşıldığının analiz edilebileceği, bir kişinin verisinin bu analizden yola çıkılarak kayıtlarda ne şekilde işlenmekte olduğunun tespit edilebileceği ve ayrıca silme, yok etme, anonimleştirme faaliyetlerinin gerçekleştirilmesine imkan tanıyacak veri tabanı sistemleri kurmakta ve yönetmektedir.

Bu veri kayıt sistemi genel anlamda aşağıdaki amaçlara hitap etmektedir;
• Hangi verilerin, hangi birimlerde, hangi amaçlarla, hangi sürede tutulabildiğini gösteren ve kontrol eden bir veri tabanı sistemi,
• Veri sorumlusunun elinde mevcut olan verilerin analiz edilebilmesi ve gereksiz verilerin silinmesi sürecinin işletilebilmesi
• Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerinin yönetilebilmesi,
• Veri sahibinin bilgi taleplerinin cevaplanabilmesi (bu itibarla, bir kişinin verisinin veri sorumlusunun kayıtlarında nasıl tutulduğu, hangi kaynaklardan toplandığı, kimler tarafından erişebildiği, kimler ile paylaşıldığı, ne kadar süre ile tutulduğu, veri sahibine aydınlatma metni verilip verilmediği, rızasının alınıp alınmadığı gibi soruların cevapları bulunabilmelidir)
• Veri sahibinin verilerinin silinmesini, yok edilmesini, anonimleştirilmesini, üçüncü kişiler ile paylaşılmamasını vs. talep etmesi halinde, veri sahibinin bu taleplerinin karşılanabilmesi.

• Verilerin Silinmesi, Yok edilmesi ve Anonim Hale Getirilmesi Süreçleri

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri bakımından;
• Şirketimiz kayıtlarında bulunan verilerin içinden gereksiz veya tutulmasının hukuka aykırı olduğu verilerin tespit edilmesi ve bu verilere kimlerin hangi yollardan erişebildiği tespit edilmesi ile bu kanalların kapatılmasıdır.
• Bulut depolama hizmeti sağlayıcıları gibi, üçüncü kişi bir hizmet sağlayıcısından hizmet alınıyor olması halinde, bu hizmet sağlayıcısının kayıtlarında tutulan veriler silindikten sonra, bu hizmet sağlayıcısının verileri geri getirebilme yetkisi (teknik imkanı) olup olmadığının denetlenmesi,
• Taşınabilir veri kayıt cihazlarında tutulan verilerin şifreli olarak depolanması ve silinebilir olması
• Yok etme bakımından yalnızca kayıtlardan silmenin yeterli olmaması, kayıt ortamlarının da de-manyetize, fiziksel deformasyon ya da üzerine yazma gibi yöntemlerle de geri döndürülemez hale getirilmesi işlemlerinin yapılması,
• Anonim hale getirme bakımından, verinin, tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişi ile ilişkilendirilemeyecek hale getirilmesi işlemlerinin yapılması gibi önlemler alınmaktadır.

• Veri Sahibinin Başvuru ve Taleplerinin Toplanması ve Yönetilmesi

Kanun, veri sahibinin veri sorumlusuna başvuru hakkını getirmiş ve veri sorumlusunun da bu başvurulara 30 gün içinde cevap verme ve veri sorumlusunu taleplerini sonuçlandırma yükümlülüğünü düzenlemiştir.

Bu kapsamda, kişisel verileri Şirketimizce işlenen ilgili kişilerin, Kanun’un 11. maddesi uyarınca, Şirketimize başvurarak; • Kişisel verilerinin işlenip işlenmediğini öğrenme, • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • Kanun’un 7. maddesinde öngörülen şartlar (Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel verinizin işlenmesini gerektiren sebeplerin ortadan kalkması hâli) çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme, • Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakları bulunmaktadır. Kanun’un 28. maddesinde öngörülen istisnai haller saklıdır.

Kişisel veri sahiplerinin, bu haklarına ilişkin taleplerini www.mksdevo.com adresinde yer alan “Başvuru Formu”nu doldurmak ve bu formda yer alan yöntemleri kullanmak suretiyle iletmesi mümkündür.

Talepler en kısa sürede ve her halde en geç otuz (30) gün içinde kural olarak ücretsiz, ancak istisnaen ek bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret karşılığında sonuçlandırılmaktadır.

• ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN ESASLAR

Kanun’un 6. maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak düzenlenmiştir.

Özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesi kişilerin daha ciddi mağduriyetlerine veya ayrımcılığa sebep olabilmektedir. Şirketimiz bu bilinç ile, bu veri türlerinin işlenmesinde ve korunmasında Kanun’un atfettiği özel öneme uygun olarak en üst düzeyde özen göstermektedir.

• Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Esaslar

Şirketimiz tarafından; özel nitelikli kişisel veriler, • Kişisel veri sahibinin açık rızası var ise veya • Kişisel veri sahibinin açık rızası yok ise; • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

• Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Esaslar

Özel nitelikli kişisel verilerin işlenmesinde, yukarıda açıklanan işleme şartları mevcut olsa dahi, Kurul tarafından belirlenen yeterli önlemlerin alınması da şarttır.

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak;

düzenli eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, tahsis edilen envanterin iade alınması gibi süreçler yürütülmektedir.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik

ortamlar bakımından; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gibi önlemler alınmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel

ortamlar bakımından; verilerin bulunduğu ortamın niteliğine göre elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı yeterli güvenlik önlemlerinin alınması, bu ortamlara yetkisiz giriş çıkışların engellenmesi gibi önlemler alınmaktadır.

Özel nitelikli kişisel veriler aktarılırken; verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gibi önlemler alınmaktadır.

• KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE GEREKLİ HALLERDE RIZASININ ALINMASI

Anayasa’nın 20. Maddesine göre, herkesin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkı vardır. Kanun’un 11. maddesi de, veri sorumlularına, veri sahiplerini aydınlatma yükümlülüğü getirmiştir. Bu yükümlülük, kişisel verilerin elde edilmesi halinde, veri doğrudan veri sahibinden elde edilmiyor ise makul süre içinde ve her halükarda en geç ilk iletişim anında yerine getirilmelidir.

Bu kapsamda, Şirketimiz, Kanun’a uygun süresi içinde, kişisel veri sahiplerini veri sorumlusu olarak Şirketimizin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin haklarına ilişkin aydınlatma yapılmaktadır.

Ayrıca, kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının gerekli olduğu durumlarda, veri sahiplerinin belirli bir konuya ilişkin ve özgür iradeyle açıklanan rızalarının alınması adına, kapsamlı aydınlatmalar yapılmaktadır.

KİŞİSEL VERİLERİN AKTARILMASI

Kanun’un tanımlar maddesine göre, kişisel verilerin aktarılması da ‘kişisel verilerin işlenmesi’ faaliyetidir. Bu itibarla, kişisel verilerin aktarılmasında, en temelde, yukarıda B ve C başlıkları altında yapılan açıklamalarımız geçerlidir. Diğer yandan, verilerin aktarılmasında, Kanun’un 8. ve 9. maddesi hükümlerine uygun hareket edilmektedir. Şirketimiz bu kapsamda, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, üçüncü kişilere (bağlı şirketlere, iş ortaklarına, çalışanlara, taşeron veya tedarikçilere, kamu kurumlarına) aktarım gerçekleştirmektedir.

Kanun’un 8. maddesinin 3. fıkrasında diğer kanunlarda yer alan hükümlere göre aktarım durumları saklı tutulmuştur. Buna göre, örneğin; Şirketimiz ile iş akdi sona eren çalışanın başka bir işyerinde çalışmaya başlaması ve yeni işveren tarafından çalışanın sağlık dosyasının talep edilmesi halinde, sağlık verileri yeni işverene aktarılmaktadır (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği).

Kişisel Verilerin Yurtdışına Aktarılması

Şirketimiz, verinin işlenme amacına uygun olarak ve gerekli güvenlik önlemleri alınmak kaydıyla, yurtdışına aktarım gerçekleştirmektedir. Şirketimiz, yurtdışına aktarımı (i) ilgili kişinin açık rızası halinde veya (ii) açık rızanın olmadığı durumlarda, diğer işleme şartlarının mevcut ise, Kurul tarafından açıklanan yeterli korumanın bulunduğu ülkelere, yeterli korumanın bulunmaması durumunda Şirketimiz ve aktarımın yapılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması kaydıyla yapmaktadır.

• KİŞİSEL VERİLERİN KORUNMASINA VE İŞLENMESİNE DAİR SÜREÇLERİ YÖNETİLMESİ

Şirketimiz, kişisel verilerin korunması ve işlenmesine dair süreçleri yönetmek ve Kanun’un diğer tüm gereklerini yerine getirmek üzere, şu temel süreçleri takip etmektedir yerine getirmektedir:
• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve değişiklikleri hazırlamak ve yürürlüğe koymak
• Politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek, Şirket için görevlendirmelerde bulunmak
• Kişisel verilerin korunması ve işlenmesi konusunda Şirket içi farkındalığı arttırmak, eğitimler tasarlamak ve uygulanmasını sağlamak
• Riskleri tespit ederek gerekli önlemlerin alınmasını takip etmek
• Kişisel veri sahiplerinin başvurularını takip etmek ve karara bağlamak
• Kişisel Verileri Koruma Kurulu ile olan irtibatı ve gerekli bildirim süreçlerini yönetmek.

• UYGULAMA VE YÜRÜRLÜK

İşbu Politika’da düzenlenen hususlar, Kanun’a ve ikincil mevzuata tabi olup, Politika ile mevzuat hükümleri arasında çelişki olması halinde, mevzuat hükümleri uygulanacaktır. İşbu Politika, www.mksdevo.com adresinde yayımlanır ve yayınlandığı tarihten itibaren yürürlüktedir.