ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

GİRİŞ

Mako Dış Ticaret Anonim Şirketi (‘’Makofix’’ veya ‘’Şirket’’) 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında Veri Sorumlusu sıfatına sahiptir. İşbu Politika Şirket tarafından Kişisel Verileri Koruma Kurulu tarafından yayımlanan ‘’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ‘’ ile ilgili 31.10.2018 Tarihli ve2018/10 Sayılı Kararı’na istinaden düzenlenmiştir.

1. POLİTİKANIN AMACI VE KAPSAMI

İşbu Politika Şirket’ in özel nitelikli kişisel veri işlenen tüm faaliyetlerini ve özel nitelikli kişisel verisi işlenen gerçek kişileri kapsar. Ayrıca özel nitelikli kişisel verilerin korunması için alınan önlemler ve özel nitelikli kişisel verilerin aktarılmasına ilişkin hususlar hakkında bilgi verir.

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Öğrenilmesi halinde veri sahibinin mağduriyet yaşamasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler özel nitelikli veri kabul edilmektedir. Özel nitelikli kişisel veriler Kanun’un 6.maddesinin 1. Fıkrasında bu veriler sınırlı şekilde sayılmıştır. Sağlık verisi, cinsel hayata ilişkin veriler, biyometrik ve genetik veriler, dernek, vakıf ya da sendika üyeliği bilgisi, ırk, etnik köken, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet bilgisidir.

Özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu doğrultuda Şirket bünyesinde özel nitelikli kişisel verilerin işlendiği süreçlerde, bu verilere özgü ek tedbirler alınmakta, işbu Politika ’da düzenlenen usul ve esaslara uygun davranılmaktadır. Ayrıca Şirket çalışanları özel nitelikli kişisel verilerin işlenmesinde kişisel verilere kıyasla daha fazla hassasiyet göstermeleri konusunda bilgilendirilmiştir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel nitelikli Kişisel Veriler; Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir:

  • Özel nitelikli kişisel veri sahibinin açık rızası var ise veya
  • Özel nitelikli kişisel veri sahibinin açık rızası yok ise;

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

Özel nitelikli kişisel veri olan adli sicil kaydı ile biyometrik veri olan yüz tanıma bilgileri Makofix tarafından çalışanlardan açık rıza alınarak işlenebilmektedir.

İşe giriş periyodik muayene formu ve sağlık testleri ise doğrudan işyeri hekimi tarafından açık rıza aranmaksızın işlenirken iş göremezlik raporu, iş kazası tutanağı ve tetanos aşı kartı gibi insan kaynakları departmanı tarafından elde edilen sağlık verileri içinse açık rıza alınmaktadır.

Ayrıca iş başvuru formu aracılığıyla çalışan adaylarından alınan sağlık bilgileri ile kanuni cezai takibat hakkında bilgileri de açık rıza vermeleri durumunda işlenebilmektedir.

3.1. Şirket Tarafından İşlenen Özel Nitelikli Kişisel Veriler

  • Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Adli sicil kaydı, kanuni ve cezai takibat bilgisi
  • Sağlık Bilgisi: İşe giriş periyodik muayene formu, kan grubu, akciğer grafisi, hemogram testi, kronik hastalık bilgisi, operasyon geçmişi, boy-kilo, sigara kullanma alışkanlığı, meslek hastalığı ve iş kazasında yaralanma bilgileri, tetanos aşı kartı, odyometri, solunum testi gibi
  • Biyometrik Veri: Yüz tanıma bilgisi

Makofix tarafından ceza mahkumiyeti ve güvenlik önlemleri, sağlık bilgileri ve işe giriş-çıkışlarda kullanılan yüz tanıma sistemi ile elde edilen biyometrik veriler dışında özel nitelikli kişisel veri işlenmemektedir.

3.2. Şirket Tarafından Özel Nitelikli Kişisel Verisi İşlenen Kişi Grupları

  • Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Çalışan ve Çalışan Adayı
  • Sağlık Bilgileri: Çalışan ve Çalışan Adayı
  • Biyometrik Veri: Çalışan

Şirket tarafından çalışan ve çalışan adayı dışındaki kişilere ait özel nitelikli kişisel veriler işlenmemektedir.

3.3. Şirket Tarafından Özel Nitelikli Kişisel Veri İşleme Amaçları

Şirket tarafından işlenen özel nitelikli kişisel veriler işlenen kişi grubu açıklamalarıyla birlikte aşağıdaki amaçlar doğrultusunda işlenmektedir.

Ceza mahkûmiyeti ve güvenlik tedbirleri veri kategorisinde yer alan Adli Sicil Kaydı ile Kanuni ve Cezai Takibat Bilgisi;

  • Hukuk işlerinin takibi ve yürütülmesi (çalışanlar için)
  • İnsan kaynakları süreçlerinin planlanması (çalışanlar için)
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi (çalışanlar için)
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi (çalışanlar için)
  • Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi (çalışan adayları için)
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi (çalışan adayları için)
  • İnsan kaynakları süreçlerinin planlanması (çalışan adayları için)

Biyometrik Veri Kategorisinde Yer Alan Yüz Tanıma Bilgisi;

  • Fiziksel Mekân Güvenliğinin Temini (çalışanlar için)
  • Performans Değerlendirme Süreçlerinin Yürütülmesi (çalışanlar için)

Sağlık Bilgileri;

  • Acil durum yönetimi süreçlerinin yürütülmesi (çalışanlar için)
  • Faaliyetlerin mevzuata uygun yürütülmesi (çalışanlar için)
  • İş sağlığı / güvenliği faaliyetlerinin yürütülmesi (çalışanlar için)
  • Saklama ve arşiv faaliyetlerinin yürütülmesi (çalışanlar için)
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi (çalışanlar için)
  • Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi (çalışan adayları için)
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi (çalışan adayları için)
  • İnsan kaynakları süreçlerinin planlanması (çalışan adayları için)

3.4. Özel Nitelikli Kişisel Verileri Saklama Süresi

Şirket, özel nitelikli kişisel verileri işlendikleri amaç için gerekli olan süre ve söz konusu faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

  • Adli Sicil Kaydı: İş ilişkisinin sona ermesinden itibaren 10 yıl
  • Sağlık Bilgileri: İş ilişkisinin sona ermesinden itibaren 15 yıl
  • Biyometrik Veri: İş İlişkisi sona erene kadar

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Özel nitelikli kişisel veriler Kanun’da öngörülen gerekli güvenlik önlemleri ve Kurul tarafından yayımlanan yeterli önlemler alınarak özel nitelikli kişisel veri işleme amaçları doğrultusunda;

  • Özel nitelikli kişisel veri sahibinin açık rızası var ise veya
  • Özel nitelikli kişisel veri sahibinin açık rızası yok ise;

Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, aktarılabilir.

Makofix tarafından işlenen sağlık bilgileri yalnızca iş sağlığı ve güvenliği alanında hizmet alınan OSGB Firması çalışanları ile paylaşılmaktadır. Biyometrik veriler ile ceza mahkumiyeti ve güvenlik önlemleri ise aktarılmamaktadır. Ancak gerekmesi ve talep edilmesi halinde yasal yükümlülüklerin yerine getirilebilmesi amacıyla kanunen yetkili kamu kurum ve kuruluşları ve kolluk kuvvetleri ile paylaşılması mümkündür.

5.  ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Özel nitelikli kişisel veriler gerekli güvenlik tedbirleri ve Kurul tarafından öngörülen yeterli önlemler alınarak; özel nitelikli kişisel veri işleme amaçları doğrultusunda;

  • Özel nitelikli kişisel veri sahibinin açık rızası var ise yurt dışına aktarılabilir.
  • Özel nitelikli kişisel veri sahibinin açık rızası yok ise;
  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, Kurul tarafından güvenli ülke kabul edilen yeterli korumanın bulunduğu ülkelere aktarılabilir.

  1. Yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla yurt dışına aktarılabilir.

Sağlık bilgileri ve adli sicil kaydının Makofix ile, yurt dışı veri tabanlı e-posta ile paylaşılması durumunda özel nitelikli kişisel verilerin yurt dışına aktarımı söz konusudur. Biyometrik veriler ise yurt içi ve yurt dışında aktarılmamaktadır.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

Şirket tarafından kanundan kaynaklı sebepler ve zorunlu haller olmadıkça özel nitelikli kişisel veri işlenmemektedir. Gerekli olmayan özel nitelikli kişisel veriler derhal silinmekte veya imha edilmektedir. İşbu Politika ‘da düzenlenen hususların denetlenmesi Şirket tarafından yapılmakta/yaptırılmaktadır.

Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli 2018/10 Sayılı Kanun’un 6(4) ve 22(1) maddeleri uyarınca alınan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere İlişkin Kararı gereği işbu Politika belirlenmiştir.

6.1. Özel Nitelikli Kişisel Verilerin İşlenmesinde Yer Alan Çalışanlara Yönelik Alınan Tedbirler

  • Gizlilik sözleşmeleri düzenlenmiştir.
  • Çalışanlar için Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitimler verilmektedir.

6.2. Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Fiziksel Ortamlar İçin Alınan Tedbirler

  • Özel nitelikli kişisel veri içeren belgeler kilitli dolapta saklanmaktadır. Bu belgelere yalnızca yetkili kişiler erişebilir.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİSİ İŞLENEN KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

7.1. Veri Sahibi Hakları

Kişisel verilerinizin işlenmesine ilişkin Şirket’e başvurarak talepte bulunabileceğiniz Kanun’un 11. Maddesinde düzenlenen haklarınız aşağıda sıralanmıştır;

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun’a ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda buna itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

7.2. Başvuru Yöntemi

Yukarıda sıralanan başvuru ve taleplerinizi https://www.makofix.com/ adresinden ulaşabileceğiniz Veri Sahibi Başvuru Forumu’nu doldurarak,

– Islak imzalı bir nüshasını Söke OSB Mahallesi 1. Sokak No:15 Söke/AYDIN adresimize şahsen veya noter kanalı ile ileterek,

– Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza ya da mobil imza kullanmak suretiyle mako@hs03.kep.tr    kayıtlı elektronik posta adresimize göndererek veya Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinizden ik@makofix.com adresimize göndererek Şirketimize iletebilirsiniz. Başvurunuzda bulunması gereken hususlar ile başvuru yöntemine ilişkin detaylı bilgiye internet sitemizde yer alan Veri Sahibi Başvuru Forumu’ndan ulaşabilirsiniz.

Başvurunuzda bulunması gereken hususlar ile başvuru yöntemine ilişkin detaylı bilgi Veri Sahibi Başvuru Formu ’nda yer almaktadır. Başvuruda yer alan talebiniz, talebin niteliğine göre mümkün olan en kısa sürede ve en geç 30 gün içerisinde ücretsiz sonuçlandıracaktır. Ancak, işlemin şirket için ayrıca bir maliyet gerektirmesi durumunda, şirketimiz tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır. Talebinizin kabul edilmesi halinde gereği yerine getirilir. Ancak talebiniz, yapılan inceleme ve değerlendirme sonucu reddedilirse, ret gerekçesi ile birlikte tarafınıza yazılı yahut elektronik ortamda bildirilir.

7.3. Şikâyet Hakkı

6698 Sayılı Kişisel Verileri Koruma Kanunu gereği ilgili kişilerin veri sorumlusuna başvurmadan doğrudan Kurul’a şikâyet yoluna gitmesi mümkün değildir. İlgili kişinin kurula şikâyette bulunabilmesi için veri sorumlusuna 13. madde uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. Kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen ilgili kişilerin genel hükümlere göre tazminat hakları saklı tutulmuştur. İlgili kişinin Kurul’a şikâyette bulunmasında öngörülen süre ise veri sorumlusunun cevabını öğrendiği tarihten otuz ve herhâlde başvuru tarihinden itibaren altmış gündür. Kurul tarafından yapılacak incelemenin usul ve esasları Kanun’un 15. Maddesinde düzenlenmektedir.

8. POLİTİKANIN YÜRÜRLÜĞE GİRMESİ VE YÜRÜTÜLMESİ

İşbu Politika, xx/xx/xx tarihinde onaylanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere yürürlükteki mevzuat ile bu Politika ’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Politikanın yürütülmesinden Veri sorumlusu olarak Şirket, Kanun’a uyum sürecine ilişkin iş ve eylemlerin takibinden, koordinasyon ve denetiminden irtibat kişisi sorumludur.

9.  POLİTİKANIN GÜNCELLENMESİ

Şirket, Kişisel Verilerin Koruma Kurulu kararları ve mevzuat değişikliklerine uygun güncel bilgiler sunmak amacıyla Politikada değişiklikler yapma hakkını saklı tutar. Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler onaylandıkları tarihte yürürlüğe girer.

10.  VERİ SORUMLUSU BİLGİLERİ

Şirket Unvanı: MAKO DIŞ TİCARET ANONİM ŞİRKETİ

Adres: Söke OSB Mah. 1. Sok. No:15 Söke/AYDIN

Elektronik İletişim Adresi:  ik@makofix.com 

Kayıtlı Elektronik Posta Adresi:  mako@hs03.kep.tr     

11. İRTİBAT KİŞİSİ BİLGİLERİ

İrtibat Kişisi: İsmail COŞKUN

İletişim Bilgileri: ik@makofix.com