1. GİRİŞ
1.1. Genel Olarak
Kişisel verilerin gizliliğinin, güvenliğinin sağlanması ve ilgili hukuki düzenlemelere uyum MEGA HİZMET’in (‘‘Veri Sorumlusu”) en önemli öncelikleri arasında yer almakta olup, bu konuda azami özen gösterilmektedir.
Kişisel verilerin işlenmesine ve korunmasına dair işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (‘‘Politika’’) ve Veri Sorumlusu bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; çalışanlarımızın, çalışan adaylarımızın, hizmet verdiğimiz kişilerin, misafirlerimizin ve kişisel verisi işlenen diğer üçüncü kişilerin (‘‘İlgili Kişiler’’) kişisel verilerinin hukuka uygun biçimde işlenmesi, saklanması ve korunması ile Veri Sorumlusu’nun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (‘‘KVKK’’) uyumluluğunun sağlanmasıdır.
Politika hazırlanırken, Türkiye Cumhuriyeti Anayasası ve KVKK’da yer alan düzenlemeler başta olmak üzere kişisel verilerin korunmasına ve işlenmesine ilişkin ilgili hukuki normlarda ve Kişisel Verileri Koruma Kurulu kararlarında yer alan hükümler Veri Sorumlusu’na rehber olarak görülmüştür.
Politika’da kişisel verilerin işlenmesi süreçleri için Veri Sorumlusu’nun benimsediği ve aşağıda yer alan temel prensiplere ilişkin açıklamalarda ve talimatlarda bulunulacaktır:
1.2. Politikanın Amacı ve Kapsamı
Politika’nın temel amacı, Veri Sorumlusu’nun yürüteceği kişisel veri işleme faaliyetlerinde KVKK’ya tam uyumluluğun sağlanmasıdır.
Buna ilaveten, Politika ve diğer yazılı politikalar, KVKK ve kişisel veri güvenliğine ilişkin diğer ilgili yasal düzenlemelere uyum ilkemizi sürdürülebilir kılmayı amaç edinmektedir.
Politika’nın kapsamı otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
1.3. Politikanın ve İlgili Mevzuatın Uygulanması
Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir. Yürürlükte bulunan mevzuat ile Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuat uygulama alanı bulacaktır.
2. TANIMLAR VE KISALTMALAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim Hale Getirme/Anonimleştirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Çalışan | Veri sorumlusu çalışanları |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Komite | Şirketimiz bünyesinde oluşturulan Kişisel Verileri Koruma Komitesi |
Kurul | Kişisel Verileri Koruma Kurulu |
Kurum | Kişisel Verileri Koruma Kurumu |
KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
Periyodik İmha İşlemi | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Politika | Kişisel Verilerin Korunması ve İşlenmesi Politikası |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak MEGA HİZMET |
Veri Sorumlusuna Başvuru Formu | İlgili Kişilerin, KVKK’nın 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
Veriyi Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi |
Veriyi Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi |
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun hareket edilir. Bu kapsamda şeffaflık ilkesini benimsenerek, toplanan kişisel verilerin kullanım amacı hakkında İlgili Kişiler’e bilgilendirmede bulunulur.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verileri işleme faaliyetleri yürütürken, işlenen kişisel verilerin doğruluğu ve güncelliğinin sağlanmasına yönelik sistem ve süreç oluşturulur.
Bu kapsamda İlgili Kişiler, Veri Sorumlusu’na başvuruda bulunarak kişisel verilerinin doğru ve güncel olarak tutulmasını mümkün kılabilir.
Bu başvurular Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde yapılır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veri işleme amacı meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirlenir ve kişisel veri işleme faaliyeti henüz başlamadan aydınlatma metinleri aracılığıyla İlgili Kişiler’in bilgisine sunulur.
3.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dahilinde işlenir. Bu kapsamda veri işleme faaliyeti yürütülürken amacın gerçekleştirilmesiyle ilgili olmayan ve şu an/ileride ihtiyaç duyulmayan kişisel veriler işlemekten özenle kaçınılır.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza edilir. Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilir, ilgili mevzuatta bir süre belirlendi ise bu süreye uygun işlem yapılır, ilgili mevzuatta özel olarak bir süre belirlenmemiş ise her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilir.
Kişisel verilerin saklama ve imha süreleri belirlenirken; kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, hukuka ve dürüstlük kurallarına uygun olarak veri sorumlusunun meşru menfaatinin geçerli olacağı süre, kişisel verinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre, belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı, hukuki yükümlülük gereği ilgili veri kategorisinde yer alan kişisel verilerin saklanmak zorunda olduğu süre, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi gibi hususların göz önünde bulundurulması gerekmektedir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik saklama ve imha politikası hazırlanır ve uygulanır.
3.2. Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Uygun ve Bu Şartlarla Sınırlı Olarak İşlenmesi
Kişisel veriler ancak İlgili Kişiler’in açık rızasına dayanarak veya KVKK’da açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan bu hal ve şartlarla sınırlı olacak bir şekilde işlenir.
3.2.1. Açık Rıza
Açık rıza, İlgili Kişiler’in belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır.
KVKK m. 5/1 ve m. 6/2 uyarınca, kişisel veri işleme faaliyetinde gerekli olması halinde İlgili Kişiler’in açık rızası alınır. Açık rızanın alınmasında objektif açıdan en makul yöntem tercih edilir.
3.2.2. Açık Rızanın Aranmadığı Haller
KVKK m. 5/2’de kişisel verilerin bazı durumlarda İlgili Kişiler’in açık rızasına tabi olmadan işlenmesini düzenlemiştir.
Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, İlgili Kişiler’i yanıltmak olarak nitelendirileceğinden, veri işleme şartlarının mevcut olduğu durumlarda açık rızaya başvurulmaz.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
İşlendiğinde kişilerin daha büyük mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVKK tarafından “özel nitelikli” olarak belirlenen kişisel verilerin işlenme süreçleri ve korunması süreçlerinde azami hassasiyet gösterilir.
Özel nitelikli kişisel verilere ilişkin kabul edilen ilkeler, Politika’da ayrıca ele alınmıştır.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.
Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak ek önlemler ve süreçler belirlenir.
Özel nitelikli kişisel verilerin işlenmesi süreci ile ilgili olarak ayrı bir politika/prosedür oluşturulur.
3.4. Kişisel Verilerin Aktarılması
Kişisel veriler, veri işleme amaçları ve şartları dahilinde aktarılır. Veri işleme amaçlarının yerine getirilmesine yönelik olarak, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, ilgili yasal düzenlemeler gereğince denetleme kuruluşlarına, yasal yükümlülüklerin yerine getirilmesi amacıyla kanunen yetkili kamu kurumları ve kuruluşlarına, iş ve işlemlerin yürütülmesi amacıyla hizmet alınan durumlarda yurt içi ve/veya yurt dışında bulunan tedarikçi ve iş ortaklarına, hizmet tedariki yapılan gerçek kişilere ve/veya hizmet verilen üçüncü kişilere KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilir.
Kişisel verilerin yurt dışı aktarımında Kurul tarafından belirlenen önlemler alınır.
Kişisel verilerin aktarılması hususu İlgili Kişiler’e aydınlatma metni aracılığı ile bildirilir.
4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ESASLAR
4.1. Kişisel Verilerin Güvenliğine İlişkin Almış Olduğumuz Teknik ve İdari Tedbirler
Veri sorumlusu olarak; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktayız.
4.2. Çalışanlarımızın, Kişisel Verileri Koruma Alanında Farkındalıklarının Artırılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı erişilmesini önlemeye ve verilerin muhafazasını güvenli bir şekilde sağlamaya yönelik farkındalığın artırılması için gerekli eğitimler ve toplantılar düzenlenmesi sağlanır.
Mevcut çalışanların, kişisel verilerin korunması konusunda farkındalığın artırılmasında konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile çalışılır.
4.3. Özel Nitelikli Kişisel Verilerin Korunması
KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunur.
Bu kapsamda kişisel verilerin korunması için alınan teknik ve idari tedbirler, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı baz alınarak belirlenir ve alınabilecek önlemler özel nitelikli kişisel verilerin korunması bakımından özenle uygulanır.
4.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Süreç
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde İlgili Kişiler’e ve Kurul’a bildirilir.
Kurul tarafından gerekli görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilir.
4.5. Kişisel Veri Envanteri
Veri Sorumlusu bünyesinde güncel bir kişisel veri işleme envanteri oluşturur.
Komite bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde ilgili mercilere ibrazından sorumludur.
Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel politikaların uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler daima takip edilir.
5. İLGİLİ KİŞİLERİN VERİ SORUMLUSUNA BAŞVURUSU, İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİ SÜREÇLERİ
5.1. Başvuru Konusu
İlgili Kişiler’in haklarına büyük önem ve değer verilir ve bu haklarını kullanmalarına imkân ve olanak sağlanır.
Ancak İlgili Kişiler’in bu formu kullanması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun yapılan her başvuru değerlendirmeye alınacaktır.
Herkes, Veri Sorumlusu’na başvuruda bulunarak kendisiyle ilgili;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
5.2. Başvuru Yöntemi ve Adresi
Başvuru yöntemi ve başvuru yapılacak adres; internet sitemizde bulunan Veri Sorumlusuna Başvuru Formu’nda belirtilmektedir. Başvurunun anılan form aracılığıyla yapılması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde yapılan tüm başvurular değerlendirmeye alınacaktır.
5.3. Başvuru Sonrası Süreç
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Veri Sorumlusu’na ulaştığı tarihten itibaren talebin niteliğine göre ve en geç 30 (otuz) gün içerisinde yanıtlandırılır. Yanıtlar başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilir.
İlgili Kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Veri Sorumlusu’na cevabını öğrendiği tarihten itibaren otuz gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.
5.4. Başvuru Ücreti
Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Veri Sorumlusu tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.
5.5. Başvurunun Değerlendirmesi
İlgili Kişiler tarafından yapılacak başvuruların değerlendirmesinde, hazırlanan ve yürürlüğe konulan “İlgili Kişi Başvuru ve Yanıt Prosedürü”nden yararlanılır.
6. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
KVKK 10. maddesindeki düzenlemesine uygun olarak, İlgili Kişiler kişisel verilerin elde edilmesi süreci ile ilgili olarak Aydınlatma Metni ve diğer metinler aracılığıyla aydınlatılır.
Aydınlatma metinlerinde asgari olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve İlgili Kişiler’in hakları başlıklarına yer verilir.
Aydınlatma yükümlülüğünün yerine getirilmesinde objektif açıdan en makul yöntem uygulanır.
7. KİŞİSEL VERİLERİ KORUMA KOMİTESİ
Kişisel verilerin korunması hukuku çerçevesinde Veri Sorumlusu bünyesinde Kişisel Verileri Koruma Komitesi oluşturulur. Komite üyeleri Veri Sorumlusu yetkilileri ve çalışanları arasından atanır.
Komite, Veri Sorumlusu’nun kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder.
Komite, Veri Sorumlusu’na yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılmasını sağlar.
Komite, Veri Sorumlusu’nun Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.
Komite tarafından periyodik aralıklarla denetim yapılır, denetim sonucunda alınması gereken aksiyonlara yönelik tutanak tutulur. Alınması gereken aksiyonlar hakkında maliyet/ihtiyaç analizi yapılır, makul analiz sonuçları ile ilgili işlem yapılır.
8. GÖZDEN GEÇİRME
Politika, gerekli görülen hallerde gözden geçirilir ve ilgili revizeler yapılır.
Politika’nın Veri Sorumlusu içinde uygulanmasına ilişkin hususlar, iç politika, prosedür ve iç yönergeler ile sistematik hale getirilir.
9. YÜRÜRLÜK
Politika, internet sitesinde yayınlandığı tarihte yürürlüğe girer.