GİZLİLİK VE KİŞİSEL VERİ POLİTİKASI
Kişisel Verilerin Korunması Ve İşlenmesi Politikası
Doküman Adı: |
Kişisel Verilerin Korunması ve İşlenmesi Politikası |
|
Doküman İçeriği: |
Bu politikanın amacı, MORTEN BİLGİ VE İLETİŞİM HİZMETLERİ ANONİM ŞİRKETİ tarafından, Kişisel Verilerin elde edilmesi, işlenmesi, muhafaza edilmesi ve imha edilmesine ilişkin süreçlerinin belirlenmesi ve İlgili Kişilerin bilgilendirilmesi amacıyla oluşturulan ve bu politikaya bağlı olarak yayınlanan diğer prosedürlere ilişkin esasların belirlenmesidir. |
|
Referans / Gerekçe |
6698 sayılı Kişisel Verilerin Korunması Kanunu, İlgili Yönetmelikler ve Kurul Kararları |
|
VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
Veri Sorumlusu |
MORTEN BİLGİ VE İLETİŞİM HİZMETLERİ ANONİM ŞİRKETİ |
Adresi |
Maslak Mahallesi Ahi Evran Caddesi Polaris İş Merkezi No:21 Kat:10 Sarıyer /İstanbul
|
Mersis No |
0623065763300001 |
İletişim Bilgileri |
Tel:02122746998 Faks: 02122674725 e-mail: kvkk@morten.com.tr |
İrtibat Kişisi |
Seyhan Baytok |
TANIMLAR VE KISALTMALAR
Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Alıcı Grubu: Veri Sorumlusu tarafından Kişisel Verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
Anonim Hale Getirme veya Anonimleştirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Anonim Hale Getirilmiş Veri: Başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmiş veriyi ifade eder.
Aydınlatma Yükümlülüğü: Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, İlgili Kişiye KVKK uygun şekilde bilgilendirmesi yükümlülüğün ifade eder.
MORTEN veya Şirket: MORTEN BİLGİ VE İLETİŞİM HİZMETLERİ ANONİM ŞİRKETİ’ni ifade eder.
İdari Tedbirler: Bu KVKİP’nin 7. Maddesinde yer alan tedbirleri ifade eder.
İmha: Kişisel Verinin KVKK belirtilen tekniğe uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
İlgili Kişi: Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade etmektedir
İlgili Kullanıcı :Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel Verileri şleyen kişileri ifade eder.
İrtibat Kişisi: Komisyon içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade etmektedir
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (KVKİP kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli Kişisel Veriler’i de kapsayacaktır).
Kişisel Veri Envanteri: Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri İşleme faaliyetlerini; aktarıldığı Alıcı Grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin İşlendiği amaçlar için gerekli olan azami süreyi, ihtiyaç duyulması durumunda yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
KVE: Kişisel Veri Envanteri’ni ifade eder.
Kişisel Veri İşleme : Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Verilerin Korunması Ve İşlenmesi Politikası: Kişisel verilerin işlenmesi ve korunması süreçlerinin belirlenmesi ve ilgili kişilerin bilgilendirilmesi amacıyla oluşturulan ve bu politikaya bağlı olarak yayınlanan diğer prosedürlerin tamamını ifade eder.
KVK: Kişisel Verilerin Korunması’nı ifade eder.
KVKK: Kişisel Verilerin Korunması Kanunu’nu ifade eder.
KVKiP: Kişisel Verilerin Korunması Ve İşlenmesi Politikası’nı ifade eder.
Komisyon: İşbu Politikanın ve Politikaya bağlı olarak uygulanacak KVK Prosedürlerinin yerine getirilmesinden sorumlu komisyonu ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.
KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
KVK Prosedürleri: Şirketin, çalışanların, Komisyonun ve İrtibat Kişisinin KVKİP kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
Silme veya Silinme: Kişisel Verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Veri Sorumlusu: MORTEN haricindeki ve MORTEN ile herhangi bir hukuki işlem kuran ve KVKK uyarınca, Kişisel Verileri işleme amaçları ve işleme yollarını belirterek işlemek zorunda olan, Veri Kayıt Sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade etmektedir.
GİRİŞ
Veri sorumlusu olarak MORTEN BİLGİ VE İLETİŞİM HİZMETLERİ ANONİM ŞİRKETİ için müşterileri, çalışanları ve üçüncü kişi konumundaki diğer gerçek kişilere ait Kişisel Verilerin korunmasına, hem kanuni yükümlülüklerine uymak hem de Şirket’in kalite politikası amacıyla büyük önem vermektedir. Kişisel Verilerin işlenmesi ve korunması süreçlerinin belirlenmesi ve ilgili kişilerin bilgilendirilmesi amacıyla KVKİP oluşturulmuştur. MORTEN, KVKİP ve bağlantılı diğer yazılı KVK Prosedürleri ile Kişisel Verilerin uçtan uca denetim altında olduğu, güvenli bir veri alt yapısını inşa etme amacındadır.
KVKİP’in ana hedefi; süreç içerisinde MORTEN’nin müşterilerinin, potansiyel müşterilerinin, çalışanlarının, çalışan adaylarının, ziyaretçilerinin, işbirliği içinde olduğu kurum ve çözüm ortaklarının çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu kapsamda, kişisel verilerin işlenmesi ve korunması için MORTEN tarafından KVKİP’de belirtilen ve bunlarla sınırlı olmaksızın, Kanun ve ilgili mevzuat gereğince gereken idari ve teknik tedbirler alınmaktadır. MORTEN’nin işlediği Kişisel Verilerin uçtan uca denetim süreçlerini temin etmek için alınan teknik ve idari tedbirler KVKİP’de açıklanacaktır.
POLİTİKA’NIN AMACI
KVKİP’in temel amacı, MORTEN tarafından uçtan uca ve 360 derece kontrol prensibi ile hukuka uygun bir biçimde elde edilen kişisel verilerin işlenmesi ve muhafazası faaliyetine ilişkin olarak başta çalışanlar olmak üzere müşteriler, bayiler, yetkili servisler ve çözüm ortaklarının hissedar ve çalışanlarının ve üçüncü kişilerin bilgilendirilmesi ve veri işleme süreçlerine ilişkin şeffaflık sağlamasıdır.
MORTEN, faaliyet alanı ve işlemleri ile sınırlı şekilde asgari düzeyde Kişisel Veri elde edilmesini amaçlamaktadır. KVKİP’nin temel amaçlarının başında gereksiz ve işlevsiz verilerin Kayıt Ortamlarından ayıklanması ve ihtiyaç duyulmayan Kişisel Verilerin elde edilmemesi gelmektedir.
Kişisel Veri İşlenmesine İlişkin Temel Usul ve Esaslar
Temel Sınırlar
MORTEN, faaliyet konusu işlemleri yerine getirirken Kişisel Verileri aşağıda belirtilen temel sınırlar içinde işlemeyi taahhüt etmektedir.
Bu kapsamda Kanun’da belirtilen istisnalar dışında,
Temel İlkeler
MORTEN; çalışanlarına, aday çalışanlarına, stajyerlerine, aday stajyerlerine, gerçek kişi müşterilerine, tüzel kişi müşterilerinin çalışanlarına, bayi ve yetkili servis çalışanlarına, ziyaretçilerine, tedarikçi firma çalışanlarına, çözüm ortaklarının hissedarlarına ve çalışanlarına ve üçüncü kişilere ait kişisel bilgileri; kimlik bilgileri (ad, soyad, TC kimlik numarası, cinsiyet, yaş, doğum tarihi), iletişim bilgileri (e-mail adresi, telefon numarası adres bilgisi, IP adresi), meslek verisi, görsel veri, eğitim verisi, aile bireyleri verisi, sağlık verisi gibi kişisel verileri işlenmekte ve bu verileri işlerken, burada sayılan kişisel veri sahiplerinin MORTEN’nin mal ve hizmetlerinden etkin yararlanabilmesi, ürün ve hizmet çeşitliliğinin geliştirilebilmesi, hizmet kalitesinin takibi ve geliştirilmesi ve bu hizmetlerin sonucu olarak pazarlama, promosyon ve yeniliklerden haberdar edilebilmelerinin yanı sıra sözleşmelerin ifası, işin yerine getirilmesi ve mali/hukuki/ticari yükümlülükler çerçevesinde işlemektedir.
MORTEN, KVK Kanunu’nun 10. maddesine uygun olarak veri sahiplerini aydınlatmaktadır ve rıza alınması gereken durumlarda veri sahiplerinden rızalarını talep etmekte, bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.
Kişisel Verilerin İşlenme Şartları
KVKİP ile kişisel verilerin işlenme koşulları düzenlenmiş olup, MORTEN kişisel verileri Kanunda ve aşağıda belirtilen şartlara uygun olarak işlediğini beyan etmektedir.
MORTEN Kanun’da belirtilen istisnalar dışında ancak İlgili Kişinin Açık Rızasını temin etmek suretiyle Kişisel Veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, İlgili Kişinin Açık Rızası olmasa da kişisel veriler işlenebilmektedir.
Özel Nitelikli Verilerin İşlenmesi Şartları
MORTEN; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri İlgili Kişinin Açık Rızası olmaksızın işlememektedir.
Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.
Kişisel Verilerin Üçüncü Kişilere Aktarılması Şartları
MORTEN, faaliyetlerinin gerekli kılması durumunda Kanun’un öngördüğü idari ve teknik tedbirler ile İlgili Kişinin Kişisel Verilerini Üçüncü Kişiler ile aşağıda yer alan şartlarda paylaşmaktadır.
Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması
MORTEN, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, Kanun’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, Kişisel Veriler, MORTEN tarafından İlgili Kişinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, Kanun’da düzenlenen aşağıdaki şartlardan birinin varlığı halinde Kişisel Veriler İlgili Kişinin açık rızası temin edilmeksizin de üçüncü kişilere aktarılabilecektir:
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
Kişisel Verilerin Yurt Dışındaki Üçüncü Kişilere Aktarılması
Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, Kanun’un 9. maddesi doğrultusunda İlgili Kişinin Açık Rızası aranmaktadır. Ancak, Kişisel Verilerin İlgili Kişinin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, Kişisel Verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı sağlamayı yazılı olarak MORTEN’e taahhüt edecektir.
POLITIKA’NIN KAPSAMI
KVKİP, MORTEN’nin faaliyetleri kapsamında çalışanlarının, çalışan adaylarının, stajyerlerinin, aday stajyerlerinin, gerçek kişi müşterilerinin, tüzel kişi müşterilerinin çalışanlarının, ziyaretçilerinin, bayi ve yetkili servis çalışanlarının, tedarikçi firma çalışanlarının, çözüm ortaklarının hissedarlarının ve çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ve Kanunun ve ilgili mevzuat tarafından tanımlanan ve bu mevzuat kapsamında yer alan tüm kişisel verilerine ilişkindir.
MORTEN, aşağıda yer alan ve Kişisel Veri içeren Kayıt Ortamlarının KVKİP kapsamında teknik ve idari tedbirlere tabi tutulacağını beyan eder:
KIŞISEL VERILERIN KORUNMASINA İLİŞKİN İDARİ TEDBİRLER
MORTEN, Kişisel verilerin Kanuna uygun şekilde elde edilmesi, muhafaza edilmesi gerektiğinde taşınması, paylaşılması ve imha edilmesi için aşağıda yer alan idari tedbirleri almıştır.
KVKK Uyum Komisyonu Oluşturulması
MORTEN Veri Envanterinin oluşturulması ve KVKİP’ın hazırlanması için İK, Muhasebe, Satış, Pazarlama, Teknik Destek, Eğitim ve BT birimlerinden katılımcılar ile KVKK Uyum Komisyonu oluşturulmuştur. Söz konusu Komisyon, KVK Takip Komisyonu olarak görevine devam etmektedir. İrtibat Kişisinin ve BT Güvenliğinden sorumlu personelin Komisyonda yer almaları zorunlu tutulmuştur.
Veri Envanteri Oluşturulması
MORTEN faaliyet alanına uygun olarak ve tüm iş birimleri için yürütmekte olduğu tüm kişisel veri işleme faaliyetlerinin detaylı olarak tüm iş birimlerince analiz edilmesiyle KVE oluşturmuştur. MORTEN, KVE yer alan verileri risk sınıflandırmasına tabi tutmuş ve veri bütünlüğünün sağlanması için Kişisel Verilerin Kanun’a ve ilgili mevzuata uygun bir şekilde muhafazası için önlemler almıştır. MORTEN, KVE ihtiyaç duyuldukça Komisyonca güncellenmektedir.
MORTEN faaliyet alanı, teknik ve ticari gelişmeler ve Genel Gizlilik Politikası ile uyumlu olarak KVKİP’in güncellenmesini temin etmektedir.
Özel Nitelikteki Verilerin Korunması
MORTEN, Özel Nitelikli olarak belirlenen ve hukuka uygun olarak işlenen Kişisel Verilerin korunmasına hassasiyet göstermekte, Özel Nitelikli Kişisel Verileri Kayıt Ortamlarında diğer Kişisel Verilerden ayrı olarak ve şifreli olarak tutmaktadır.
Bu kapsamda, MORTEN bünyesinde verilen iş yeri hekimliği ve iş sağlığı hizmeti sebebiyle çalışanların sağlık verileri Özel Nitelikli Kişisel Veri olarak işlenmekte, bu gibi Özel Nitelikli Kişisel Verilerin işlenme süresi belirlenmekte, bu verilere erişebilen personel ile gizlilik sözleşmesi yapılmakta, bu kapsamda söz konusu personelin erişim yetkisi ve kapsamı belirlenmekte, bu personele gerekli eğitimler verilmekte, ve periyodik olarak denetimler yapılarak sürecin KVKİP’ya, Kanun’a ve ilgili mevzuata uyumu sağlanmaktadır. İlgili personelin işbu verilere erişimini gerektirmeyecek bir göreve atanması veya her halükarda her hangi bir nedenle iş akdinin sona ermesi durumunda erişim yetkisi derhal kaldırılmaktadır.
KVK Prosedürlerinin Hazırlanması
MORTEN, Veri Elde Etme Prosedürü, Veri Anonimleştirme ve İmha Prosedürü, Kişisel Veri Sınıflandırılması Prosedürü, Kişisel Veri Paylaşım Prosedürü, KVKK Eğitim Prosedürü, vb prosedür ve süreçleri hazırlamış ve KVKİP ile birlikte yürürlüğe koymuştur. Bu prosedürler ile Kişisel Verilerin Kanuna uygun şekilde işlenmesini temin etmek amaçlanmakta olup, bu kapsamda personele düzenli bilgilendirmeler ve eğitimler verilmektedir.
Risk Analizi Çalışmaları
MORTEN, 360 derece ve uçtan uca bir denetim tesis etmek amacıyla mevcut süreçlerini KVK açısından risk analizine tabi tutmuştur. MORTEN, organizasyon yapısı değişikliklerinde veya yeni süreçlerin oluşturulmasında Kişisel Veri etki ve risk analizleri yapmaktadır.
Denetimler ve Eğitimler
MORTEN, KVKİP kapsamında alınan teknik ve idari tedbirlerin denetlenmesi için Kanunu’n 12. Maddesine uygun olarak veri güvenliği süreçlerinin güncelliği ve sağlıklı işlemesini takip etmek için Komisyon kurmuştur. Komisyon, düzenli olarak önceden planlı ve plansız olmak üzere denetimler yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
MORTEN, Komisyon eliyle İlgili Kullanıcı konumunda olan çalışanlarına Kişisel Verilerin korunmasına ilişkin tedbirler ve önlemler hakkında düzenli aralıklar ile KVK eğitimleri vermektedir. Bu eğitimler eliyle çalışanların Kişisel Veri Korunması hakkında farkındalıkları artırılması amaçlanmaktadır.
Hukuki Çerçevenin Oluşturulması
MORTEN, KVKİP’nın tam ve eksiksiz yürütülmesi için kendisi tarafından kanuni ve sözleşme yükümlülüklerini yerine getirmek amacıyla veri paylaşmak zorunda kaldığı üçüncü kişiler ile yapılan hukuki metinlere KVKK ile ilgili düzenlemelerin eklenmesini temin etmektedir.
İlgili Kullanıcı İşlemleri
MORTEN; İlgili Kullanıcı konumunda olan, kendisinin bağlı şirketlerinin, tedarikçilerinin, alt yüklenicilerinin ve çözüm ortaklarının çalışanlarının KVKİP’ye tam uyumlarını temin etmek için hukuki sorumluluklarını düzenleyen hukuki metinleri uygulamaya koymuştur. Bu kapsamda MORTEN IK süreçleri ve politikaları KVKİP’ye uyumlu hale getirilmektedir.
MORTEN ile hukuki ilişkisi sona eren tüm İlgili Kullanıcıların her türlü Kişisel Veriye ulaşım yetkileri sonlandırılmaktadır.
İhlal Süreçleri ve Bildirimler
Kişisel Veri ihlal durumunda kurumsal iletişim prosedürleri ve bilgilendirme süreçleri KVKİP kapsamında belirlenmiştir. Süreç yönetiminde KVKİP uygulanması ile denetiminden sorumlu birimler arasında bağımsızlık tesis edilmiş ve çıkar çatışmaları önlenmesi için düzenlemeler yapılmıştır.
KIŞISEL VERILERIN KORUNMASINA İLIŞKIN TEKNIK TEDBIRLER
MORTEN, Kişisel verilerin Kanuna uygun şekilde muhafaza edilmesi, gerektiğinde taşınması, paylaşılması ve imha edilmesi için işlenen verinin niteliği ile uyumlu teknolojik imkânlar ve uygulama maliyetlerine göre teknik tedbirler almaktadır. MORTEN, bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemlerini almaktadır.
MORTEN, Kişisel Verilerin yetkisiz kişiler tarafından açıklanmasını, erişimini, aktarılmasını ve/veya sistemleri nezdinde veri sızıntıları olmasını veyahut başka şekillerdeki tüm hukuka aykırı erişimi önlemek için aşağıda yer alan genel tedbirleri KVİKP ile yürürlüğe koymuştur.
Ağ Güvenlik Önlemleri
Ağ güvenliğini sağlamak için gerekli yazılım ve donanım kurulmaktadır. Bu kapsamda güvenlik duvarları ve saldırı tespit ve önleme sistemleri ile bu programların güncel sürümleri kullanılmaktadır. MORTEN, Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanmaktadır.
Bulut Sistemleri Kullanım Önlemleri
MORTEN, işlemlerini yürütmek amacıyla kullanılan bulut sistemlerinde saklanan Kişisel Verilerin, KVKK uyumlu şekilde saklanması için şifreleme önlemleri uygulamakta ve Bulut sağlayıcısının KVK ilkelerini kontrol etmektedir.
Depolama Aygıtı Sınırlandırmaları
MORTEN, KVKİP ile uyumlu depolama aygıtları kullanımı prosedürünü hazırlamış ve uygulamaya koymuştur. Bu kapsamda CD, Flash Disk, Harici Bellek vb her türlü harici depolama araçlarının yetkilendirilen personel haricinde kullanımına ilişkin kısıtlamalar getirilmiştir.
Yetki Matrisleri ve Kullanıcı Şifreleri
MORTEN tarafından kullanılan ve Kişisel Verilerin depolandığı Kayıt Ortamlarına erişim için personel yetki matrisleri tasarlanmıştır.
Siber Güvenlik Önlemleri
Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır. MORTEN, sistemlerin kontrol ve denetimi için uzman personel istihdam etmektedir
Denetim Önlemleri
Kişisel verilerin toplandığı uygulamalar da dahil olmak üzere tüm bilgi sistemleri, güvenlik açıklarını saptamak için düzenli olarak MORTEN tarafından hem fiziki hem de yapısal dış etki testlerine tabi tutulmakta ve bu testin sonuçlarına göre bulunan açıkların kapatılması sağlanmaktadır.
Maskeleme, Anonimleştirme ve İmha Önlemleri
İlgili Kişilerin talebi üzerine veya kanuni zorunluluk hallerinde Kişisel Verilerin imha edilmesi, Anonimleştirilmesi amacıyla uygulamaya konulan prosedürlerin uygulanması için gerekli teknik alt yapı oluşturulmuştur. Kanun uyarınca rıza temin edilemeyen verilerin maskelenerek kullanılması için teknik önlemler alınmıştır.
Masaüstü ve Taşınabilir Bilgisayar Kısıtlamaları
MORTEN, çalışanlarına tahsis edilen masaüstü ve taşınabilir bilgisayarlara Kişisel Verilerin kaydedilmemesi için gerekli açıklama ve hukuki yükümlülük metinleri hazırlanmıştır. Şirket faaliyetlerinin ifa edilmesi için zorunlu olması durumunda çalışan masaüstü ve taşınabilir bilgisayarlarda yer alan kişisel verilerin yedeklenmesi temin edilmiştir. Çalışanın iş sözleşmelerinin sona ermesinden sonra söz konusu bilgisayarlarda yer alan kişisel veriler geri döndürülemez şekilde imha edilmektedir.
Sistem Loglarının Tutulması
MORTEN, teknik imkan ve olanakları dahilinde sistem loglarını tutmaktadır. Kişisel veri imha prosedür uyarınca yapılan silme ve imha işlemlerine ilişkin loglar zaman damga mühürlü olarak kayıt altına alınmaktadır.
VERI İHLALİ SÜREÇLERİ
MORTEN; Kanun’da, KVK Düzenlemelerinde ve KVKİP’da yer verilen Kişisel Veri güvenliği yükümlülüklerinin ihlali durumlarında izlenecek süreç seması ve yazılı prosedürü KVKİP ile uyumlu olarak yayınlamış ve uygulamaya koymuştur.
MORTEN, veri ihlali meydana geldikten en geç 72 saat içinde Kurumu ve İlgili Kişiyi bilgilendirme yükümlülüğü altında olduğunun farkında olarak İhlal Bildirim Prosedürünü hazırlamıştır. Prosedürün sağlıklı islemesi ve süresinde bildirimlerin yapılması konusunda Komisyon, MORTEN Yönetim Kuruluna karşı sorumludur.
MORTEN’İN AYDINLATMA YÜKÜMLÜLÜĞÜ
MORTEN, Kişisel Verilerin işlenmesinden önce veya en geç işlenme sırasında İlgili Kişilerin Kanun’un 10. Maddesine uygun olarak aydınlatılmasından sorumludur. Bu kapsamda MORTEN İlgili Kişilerin verilerinin elde edilmesi öncesinde aydınlatılmasını prensip edinmiştir. Kişisel Verinin İşlenmesinin gerekli kılması durumunda aydınlatma yükümlülüğü yeniden MORTEN tarafından yerine getirilecektir.
MORTEN, aydınlatma yükümlülüğünü yerine getirirken Kişisel Veri İşleme işleminin niteliğine bağlı olarak aşağıda yer alan içeriği temin edecektir:
MORTEN, İlgili Kişinin talep etmesi durumunda Anayasanın 20. ve Kanun’un 11. Maddelerine uygun olarak gerekli bilgilendirmeler uygun iletişim araçları ile yapılacaktır.
MORTEN, Kişisel Verilerin işlenmesinden önce gerekli Aydınlatma Yükümlülüğünün temin edilmesi için iç prosedürlerini bu KVKİP kapsamında hazırlamıştır. Kullanılacak aydınlatma metinleri İlgili Kullanıcılar ile paylaşılmıştır. Süreçlerin takibi konusunda Komisyon ile Veri İşlemeyi gerçekleştiren İlgili Kullanıcı müteselsilen sorumlu olup, her bir yeni veri işleme sürecinin Komisyona raporlanması için gerekli prosedürler oluşturulmuştur.
Üçüncü kişi konumundaki İlgili Kullanıcılarının MORTEN adına veri işlemelerinden önce aydınlatma yükümlülüğüne uymalarını temin edilmesi için sözleşmesel düzenlemeler yapılmıştır.
İlgili Kişilere MORTEN tarafından sunulan aydınlatma metinlerinde İlgili Kişinin rıza vermemesine ilişkin sonuçlarda açıklanmıştır.
İlgili Kişilere yapılan Aydınlatma bildirimleri, işlenecek verinin niteliğine ve Veri İşleme sürecine göre yazılı, sözlü, online vb uygun vasıtalar temin edilir. MORTEN, aydınlatma yükümlülüğünü yerine getirmesine ilişkin kayıtları ispat hukukunun elverdiği imkanlar çerçevesinde muhafaza etmektedir. MORTEN Kanun’un 28/I ve II maddelerinde yer alan ve aşağıda açıklanan durumlarda aydınlatma yükümlülüğü bulunmamaktadır.
İLGİLİ KİŞİNİN HAKLARI VE TALEPLERİ
MORTEN, Kanunun 13. maddesi gereğince İlgili Kişi taleplerine karşı Veri Sorumlusu olarak, KVKİP uyumlu olarak Kişisel Veri Başvuru ve Yanıt Prosedürü ve kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. MORTEN bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından MORTEN’e daha önce bildirilen ve MORTEN’nin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle MORTEN’e kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda MORTEN, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır.
Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil kanunun ilgili maddesindeki tüm hakları talep edebileceklerdir.
İlgili Kişilerin Hakları
İlgili Kişilerin Hakları
İlgili Kişiler aşağıda yer alan haklara sahiptirler:
İlgili Kişilerin Haklarını İleri Süremeyeceği Haller
İlgili Kişiler, Kanunu’nun 28. maddesi gereğince aşağıdaki haller Kanunu kapsamı dışında tutulduğundan, bu konularda 11.1.1.’de sayılan haklarını ileri süremezler:
Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 11.1.1.’de sayılan diğer haklarını ileri süremezler:
İlgili Kişilerin Haklarını Kullanması
İlgili Kişiler bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurulu’un belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak MORTEN’e ücretsiz olarak iletebileceklerdir. Bu konuda kapsamlı düzenleme Kişisel Veri Başvuru ve Yanıt Prosedüründe yapılmıştır.
Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usulleri Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;
Bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda burada sayılan hususların eksiksiz olarak MORTEN’e iletilmesi gerekmektedir.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
ÜÇÜNCÜ KIŞILER TARAFINDAN TOPLANAN VERILERIN MORTEN TARAFINDAN İŞLENMESI
MORTEN faaliyetleri kapsamında sözleşme ilişkisi içine girdiği müşterilerine verdiği servis ve bakım hizmetleri kapsamında İlgili Kişilere ait Kişisel Verileri elde etmektedir. MORTEN, bu kapsam dışında veri elde edilmemesi hususunda azami özen göstermektedir. Yürütülen faaliyet açısından zorunlu şekilde Kişisel Veri elde edilmesi ve İşlenmesi kaçınılmaz ise, MORTEN söz konusu verilerin Üçüncü Kişi konumundaki İlgili Kullanıcı tarafından Kanun’un aradığı şekilde aydınlatma yükümlülüğüne uyularak elde edilen Kişisel Veri olduğunu kontrol etmektedir. Üçüncü kişi konumundaki İlgili Kullanıcının Kanundan kaynaklanan yükümlülüklerine uymaması nedeniyle İlgili Kişinin maruz kalacağı olası zararlardan İlgili Kullanıcının sorumlu tutulması için gerekli hukuki çerçeveyi hazırlamaktadır. MORTEN ile Üçüncü kişi konumundaki İlgili Kullanıcılar arasındaki kişisel veri paylaşımına dair ilişki Kanunu kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı şeklinde gerçekleşmesi durumunda, İlgili Kullanıcı, İlgili Kişiyi verileri MORTEN’e gönderemeden önce bu kişisel verilerin MORTEN’e gönderilebileceği konusunda aydınlatır.
Kişisel Veri Envanteri Ve Kişisel Verilerin Sınıflandırılması
MORTEN Kanunu’nda belirtilen genel ilkelere ve Kanunu’nda düzenlenen tüm yükümlülüklere uyularak ve KVKİP benimsenen esaslar doğrultusunda VERBİS kayıt sürecinde KVE oluşturmuştur. KVKİP’nin yayınlandığı tarih itibariyle MORTEN aşağıda belirtilen kategorilerde Kişisel Veri İşlemektedir. İşletmenin devamlılığı esası, değişen koşullar ışığında aşağıda yer alan kategori sınıflarının artırılıp eksiltilmesi MORTEN’nin uhdesindedir. MORTEN veri kategorisi değişikliklerinde KVKİP’nin güncellenmesi ve söz konusu değişiklikten etkilenecek İlgili Kişilerin bilgilendirileceğini kabul eder.
KİŞİSEL VERİ KATEGORİSİ |
KATAGORİ AÇIKLAMASI |
Kimlik Verisi |
Kişi kimliğine dair bilgilerin bulunduğu veri grubudur. (Ad soyad, TCKN, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, cüzdan seri no, kimlik fotokopisi vb.) |
İletişim Verisi |
Kişiye ulaşmak için kullanılabilecek veri grubudur (Telefon, adres, e- posta vb.). |
Lokasyon Verisi |
Kişinin bulunduğu yer konum bilgilerinin bulunduğu veri grubudur (GPS lokasyonu, HGS kayıt verisi vb.). |
Özlük Verisi |
Kişinin iş hukuku ve SGK hukuku anlamındaki bilgilerinin bulunduğu veri grubudur (Bordro, Disiplin Soruşturması, İşe giriş belgesi, mal bildirim bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları vb.). |
Hukuki İşlem Verisi |
Şirketin faaliyetleri kapsamında adli süreçler için kullandığı veri grubudur (dava ve icra dosya bilgileri, adli makamlarla yapılan yazışmalar vb.) |
Müşteri İşlem Verisi |
Şirketin faaliyetleri kapsamında müşteri işlemleri için kullandığı veri grubudur (çağrı merkezi kayıtları, fatura, senet, çek, sipariş bilgisi vb.) |
Fiziksel Mekan Güvenlik Verisi |
Fiziksel Mekan güvenliği için kullanılan verilerin bulunduğu veri grubudur (Fotoğraf, ses kaydı, kamera kaydı, Ziyaretçi ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması vb.). |
İşlem Güvenliği Verisi |
BT kapsamında yapılan işlemlerin güvenliği için kullanılan verilerin bulunduğu veri grubudur (IP Numarası, Log Kayıtları, Şifre ve Parola, İnternet sitesi kayıtları vb.). |
Risk Yönetim Verisi |
Şirketin ticari ve idari risklerini yönetirken kullandığı verilerin bulunduğu veri grubudur (Performans kayıtları, Kredi Notları, Geciken Tahsilat vb) |
Finans Verisi |
Kişinin finansal bilgilerinin bulunduğu veri grubudur (Banka hesap no, İban no, kart bilgisi, banka adı, finansal profil, mail order formu, kredi notu). |
Mesleki Deneyim Verisi |
Kişinin mesleğine ait bilgilerin bulunduğu veri grubudur (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vb). |
Pazarlama Verisi |
Şirketin pazarlama faaliyetlerini yönetirken kullandığı verilerin bulunduğu veri grubudur (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.) |
Biyometrik Verisi |
biyometrik verilerin bulunduğu veri grubudur ((avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi) |
Görsel ve İşitsel Kayıtlar Verisi |
Kişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur(Fotoğraf, ses kaydı, kamera kaydı, ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması vb.) |
Sağlık Verisi |
Kişinin sağlık bilgilerinin bulunduğu veri grubudur (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri vb.) |
Seyahat Verisi |
Kişinin seyahatlerine ait bilgilerin bulunduğu veri grubudur (Uçuş bilgisi, uçuş kartı, tur rotası, mil kart no, konaklama verisi vb.) |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Verisi |
Kişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur (Ceza Kovuşturmaları, Adli Sicil Kaydı, Disiplin Kaydı vb.) |
MORTEN yukarıda yer alan veri kategorisinde yer alan veriler ile bağlantılı alt kategori gruplarını, saklanma koşullarını, verilere ilişkin alınan idari ve teknik tedbirleri ve saklama sürelerinin yer aldığı KVE oluşturmuştur.
MORTEN KVE oluşturulması çalışmalarında İlgili Kullanıcıların kullanımına tahsis edilen masaüstü ve taşınabilir bilgisayarlar başta olmak üzere Veri Kayıt Ortamlarında rıza harici elde edilen ve/veya şirket faaliyetleri ile ilgili olmayan Kişisel Verilerin tespiti için çalışma yürütmüş, elde edilen usulsüz verilerin Kişisel Veri İmha Politikası kapsamında belirlenen usul ve yöntem ile imha etmiştir.
Kişisel Verilerin İşlenme Amaçları
MORTEN, KVKİP 13. Maddesinde belirtilen Veri Kategorilerinde yer alan verileri Kanunu’n 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak Kişisel Verileri işlemektedir. Aşağıda bildirilen veri işleme amaçlarına göre hangi veri kategorisinde yer alan verilerin işlendiği gösterilmiştir.
KİŞİSEL VERİ İŞLEME AMACI |
KİŞİSEL VERİ KATEGORİSİ |
Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Müşteri İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Sağlık, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, İşlem Güvenliği, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Sağlık, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat |
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem Müşteri İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Denetim / Etik Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem Müşteri İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Eğitim Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük Müşteri İşlem, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar |
Erişim Yetkilerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki, Deneyim, Görsel ve İşitsel Kayıtlar, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Faaliyetlerin Mevzuata Uygun Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem Müşteri İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Finans Ve Muhasebe İşlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Sağlık, Seyahat |
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük Müşteri İşlem, İşlem Güvenliği, Mesleki Deneyim, Pazarlama |
Fiziksel Mekan Güvenliğinin Temini |
Kimlik, İletişim, Özlük Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Görsel ve İşitsel Kayıtlar, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Görevlendirme Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem Müşteri İşlem, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Seyahat |
Hukuk İşlerinin Takibi Ve Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem Müşteri İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
İletişim Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük Müşteri İşlem, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar |
İnsan Kaynakları Süreçlerinin Planlanması |
Kimlik, İletişim, Özlük, Hukuki İşlem, Mesleki Deneyim, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
İş Faaliyetlerinin Yürütülmesi / Denetimi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem Fiziksel Mekan Güvenliği, İşlem Güvenliği, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Fiziksel Mekan Güvenliği, Mesleki Deneyim, Sağlık, Seyahat |
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Mesleki Deneyim, Mesleki Deneyim, Seyahat |
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Lojistik Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Pazarlama, Seyahat |
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Mesleki Deneyim, Pazarlama |
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Mal / Hizmet Satış Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Seyahat |
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Seyahat |
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Organizasyon Ve Etkinlik Yönetimi |
Kimlik, İletişim, Özlük, Müşteri İşlem, Mesleki Deneyim, Pazarlama, Seyahat |
Pazarlama Analiz Çalışmalarının Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Mesleki Deneyim, Pazarlama |
Performans Değerlendirme Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, İşlem Güvenliği, Mesleki Deneyim |
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Mesleki Deneyim, Mesleki Deneyim, Pazarlama |
Risk Yönetimi Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Sağlık |
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, Mesleki Deneyim, Pazarlama, Sağlık |
Sözleşme Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Sponsorluk Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Pazarlama |
Stratejik Planlama Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Talep / Şikayetlerin Takibi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Pazarlama |
Taşınır Mal Ve Kaynakların Güvenliğinin Temini |
Kimlik, İletişim, Özlük, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Görsel ve İşitsel Kayıtlar |
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Risk Yönetimi, Pazarlama, Pazarlama |
Ücret Politikasının Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Müşteri İşlem, Pazarlama |
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Yabancı Personel Çalışma Ve Oturma İzni İşlemleri |
Kimlik, İletişim, Özlük, Mesleki Deneyim, Sağlık, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Yatırım Süreçlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Hukuki İşlem, Müşteri İşlem, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama |
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Özlük, Müşteri İşlem, Mesleki Deneyim, Pazarlama |
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Yönetim Faaliyetlerinin Yürütülmesi |
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık, Seyahat, Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi |
Kimlik, İletişim, Hukuki İşlem, İşlem Güvenliği, Risk Yönetimi |
İlgili Kişi Grupları
MORTEN, KVE kapsamında yer alan veri kategorilerinde elde edilen verilere ilişkin İlgili Kişi grupları aşağıda gösterilmiştir.
KİŞİSEL VERİ KATEGORİSİ |
İLGİLİ KİŞİ GRUBU |
Kimlik Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, Çalışan Yakınları, Ziyaretçi |
İletişim Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, Çalışan Yakınları, Ziyaretçi |
Lokasyon Verisi |
Çalışan, Hissedar/Ortak |
Özlük Verisi |
Çalışan Adayı, Çalışan, Stajyer |
Hukuki İşlem Verisi |
Çalışan, Hissedar/Ortak, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci |
Müşteri İşlem Verisi |
Potansiyel Ürün veya Hizmet Alıcısı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, |
Fiziksel Mekan Güvenlik Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, Ziyaretçi |
İşlem Güvenliği Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, Ziyaretçi |
Risk Yönetim Verisi |
Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci |
Mesleki Deneyim Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi |
Pazarlama Verisi |
Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci |
Biyometrik Verisi |
Çalışan, Hissedar/Ortak, |
Görsel ve İşitsel Kayıtlar Verisi |
Çalışan Adayı, Çalışan, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Sınav Adayı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli/Vasi/Temsilci, Ziyaretçi |
Sağlık Verisi |
Çalışan, Hissedar/Ortak, Stajyer, Tedarikçi Çalışanı, |
Seyahat Verisi |
Çalışan, Hissedar/Ortak, Stajyer, Tedarikçi Çalışanı, |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Verisi |
Çalışan, Hissedar/Ortak, |
Kişisel Verilerin Saklanma Süreleri
MORTEN, KVKİP kapsamında işlediği verileri saklaması gerektiği durumlarda aşağıda belirtilen temel prensipler ile verileri saklamaktadır.
Kişisel Veri Alıcı Grupları
MORTEN, gerekli durumlarda Kişisel Verileri aktaracağı veri gruplarını Kanunu’nun 10. maddesine uygun olarak ilgili kişiye bildirmektedir. MORTEN, KVKİP ve Kanunun 8. ve 9. Maddeleri uyarınca aşağıda yer alan alıcı gruplara KVKİP gösterilen amaçlar doğrultusunda aktarmaktadır
MORTEN Çalışma Alanlarında Kişisel Veri İşlenmesi
Kamera Kayıtları Verileri
MORTEN tarafından fiziksel mekan güvenliği amacıyla, MORTEN binalarında belli alanlarda güvenlik kamerasıyla izleme faaliyeti yapılmaktadır. Bu işlemler esnasında Kişisel Veri İşlenmektedir.
MORTEN güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu kapsamda mahremiyet barındıran alanlarda kesinlikle kamera kaydı yapılmamaktadır. Kamera ile izleme yapılan alanlarda ziyaretçilerin göreceği şekilde bilgilendirme levhaları mevcut olup, kameralar görünebilir şekilde yerleştirilmiştir. Buna ek olarak kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler bu hususta aydınlatılmaktadır. MORTEN tarafından Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Ziyaretçi İnternet Erişim Verileri
MORTEN tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Sistemin işlemesi için ziyaretçilere sırf bu amaçla SMS gönderilmektedir. GSM kayıtları onay SMS sonrasında silinmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya MORTEN içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.
Kişisel Verilerin İmhası
MORTEN, KVKİP ve Kanun uyarınca elde ettiği ve işlediği Kişisel Verileri;
Kurum tarafından yayınlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca ve ilgili diğer mevzuat hükümlerine uygun olarak silinir, yok edilir veya anonim hâle getirilir. MORTEN bu konuda yönetmelik hükümlerine göre bir prosedür oluşturmuş olup, bu prosedür uyarınca verinin niteliğine göre imha yapmaktadır. KVKİP ve İmha Prosedürü uyarınca MORTEN tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
Diğer Hususlar
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu “Doküman Künyesi” nde yer almaktadır.
Revizyon Ve Yürürlükten Kaldırma
MORTEN tarafından hazırlanan KVKİP 09.03.2020 Tarihinde yayınlanmış ve yürürlüğe girmiştir.
BİLGİ GÜVENLİĞİ GENEL POLİTİKASI