MEHTAP ORMAN ÜRÜNLERİ MADENCİLİK TEKS.PLAS.SAN.T.C A.Ş
KİŞİSEL VERİ AKTARIM POLİTİKASI
-1- Kişisel Veri Aktarım Politikasının Amacı ve Kapsamı
MEHTAP ORMAN ÜRÜNLERİ MADENCİLİK TEKS.PLAS.SAN.T.C A.Ş, veri sorumlusu olarak kişisel verilerin aktarılması süreçlerinde verilerin hukuka ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun olarak aktarılması amacıyla işbu Kişisel Veri Aktarım Politikasını (“Politika”) hazırlamaktadır.
Politika, Kanun’un 8 ve 9. maddeleri uyarınca kişisel verilerin yurtiçi ve yurtdışı aktarımından sorumlu olan Şirketimiz tarafından uyulması gereken
esasları belirleyecektir. Politika; Şirketimizin tüm departmanlarını ve çalışanlarını, birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsamaktadır. Nitekim, işbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır. Kişisel Verilerin Korunması Kurumu’nun (“Kurum”) yönetmelik ve tebliğler ile yeni düzenlemeler getirmesi durumunda, Şirketimiz kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır. Politikanın Şirketimiz tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Şirketimiz uygulayacağı adımları, gerek görülmesi durumunda Hukuk Birimi’ne ve Üst Yönetime danışarak, yeniden belirleyecektir.
-2- Şirketin Yurtiçi Veri Aktarımı
Şirketimiz tarafından yurtiçinde kişisel veri aktarımı yapılmaktadır. Şirketimiz,Kanun’da belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verileri, Kanun’un 8. maddesi uyarınca ilgili kişinin açık rızasını almak suretiyle yurtiçinde üçüncü kişilere aktarılabilecektir. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir. Bu kapsamda,aşağıdaki hallerden birinin bulunması durumunda Şirketimiz tarafından ilgili kişinin açık rızasına gerek olmaksızın kişisel veriler aktarılabilecektir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Şirketimiz tarafından aşağıdaki hallerden birinin bulunması durumunda ise yine ilgili kişinin açık rızasına gerek olmaksızın özel nitelikli kişisel veriler yurtiçinde aktarılabilecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
-3- Şirket Yurtdışı Veri Aktarımı
Şirkettarafından yurtdışına kişisel veri aktarımı yapılmamaktadır. Sadece müşteri işlemleri Google tabanlı yürütülmektedir.
-4- Kişisel Verilerin Fiziksel Ortamda Aktarılması
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. Politikanın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa işbu Politikaya bağlı kalmak zorundadır. Çalışan, politikaya aykırı bir aktarım yaptığında veya aktarımın yapıldığına şahit olduğu durumlarda, durumu İrtibat Kişisi’ne bildirmekle yükümlüdür.
Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edene yüklenemez. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.
Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Aktaran kişi, istisnaların uygulama alanından emin olamıyorsa İrtibat Kişisi’ne danışarak aktarım yapmalıdır.
Kişisel veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında; kişisel veri, doküman üzerinde aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım; dosyaların fiziki boyutuna bağlı olarak, veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir olmalıdır. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca İrtibat Kişisi’nin bilgisi ve onayı dâhilinde yapılabilir.
Şirketimiz, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, Şirketimizi kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda Şirketimize durumu aktarır.
Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak Şirketten alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir.
Şirketimiz tarafından yurtdışına veri aktarımı yapılmamak ile birlikte yapılması durumunda fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Kurum tarafından hazırlanacak olan Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde İrtibat Kişisi’nin bilgisine başvurulacaktır.
-5- Kişisel Verilerin Dijital Ortamda Aktarılması
Dijital ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. Politikanın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece dijital ortamda bir kişisel veri aktarımı yapıyorsa işbu Politikaya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu İrtibat Kişisi’ne bildirmekle yükümlüdür.
Dijital ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edene yüklenemez. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa İrtibat Kişisi’ne danışarak aktarım yapmalıdır. Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır. Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda İrtibat Kişisi bilgilendirilmelidir.
-5.1- Elektronik Posta
Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin mevcut bulunduğu Departmanın Sorumlusu elektronik postanın alıcıları arasında yer almalıdır. Departman Sorumlusu bilgisi dâhilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır.
Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise İrtibat Kişisi’ne bilgi vererek onay almalıdır.
-5.2- Taşınabilir Medya
Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer
edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir. Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki
verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz. Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir.
-5.3- Ağ Üzerinden Paylaşım
Kişisel veriler, Şirketin ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dâhilinde İrtibat Kişisi’ne bilgi verilir ve onayı olduğu durumlarda aktarım gerçekleştirilir.
Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.
-6-ŞirketTarafından Kişisel Verilerin Aktarılabileceği Kişi Grupları
Kişi Grupları ->Kamu Kurum ve Kuruluşları
Tanım ->İlgili mevzuat hükümlerine uygun olarak Şirketimizin bilgi ve belgelerini talep eden kamu kurum ve kuruluşları
Aktarım Amacı ->İlgili kamu kurum ve kuruluşlarının talep ettiği amaçla sınırlı olarak
Kişi Grupları ->Özel Hukuk Kişileri
Tanım ->Hizmet/mal alımı veya satımı yaptığımız özel hukuk tüzel kişisinden
Aktarım Amacı ->Hukuki ilişkinin amacıyla sınırlı olarak
-7- Politikanın Uygulanması
Bu Politika, Şirket nezdinde kişisel verilerin korunması ve işlemesine ilişkin yürürlüğe konmuş tüm politika ve prosedürler ile birlikte ele alınmalıdır.
Politikanın uygulanmasından tüm çalışanlar sorumludur. Politikaya aykırı hareket eden çalışanlar Disiplin Yönetmeliği hükümlerine tabi olacaktır.
Şirket, Politika üzerinde yaptığı değişiklikler ile güncellenen Politikayı e- posta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.
Bu politikadaki hiçbir içerik hukuki tavsiye değildir ve hukuki tavsiye olarak kabul edilemez. Söz konusu metinler hazırlanırken o tarihteki yasal mevzuat esas alınmış olup; ileriki tarihte gerçekleşen mevzuat değişiklikleri çerçevesinde farklılıklar meydana gelebilir. Belirlenen süreler örnek olması amacıyla politikada yer almaktadır.