GİZLİLİK POLİTİKASI
- AMAÇ
Marsan Marmara Holding A.Ş (“Marsan Marmara Holding” veya “Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya ‘‘Kanun’’) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken elde ettiğimiz ilgili kişilerin kişisel verilerinin korunmasına ve KVKK uyarınca veri sorumlusu olarak sahip olduğumuz bütün yükümlülüklerin yerine getirilmesine büyük önem vermekteyiz.
Marsan Marmara Holding A.Ş Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”) kişisel verilerin Şirket tarafından toplanması, kullanılması, işlenmesi, paylaşılması ve saklanması süreçlerinin nasıl işleyeceği konusunda sizleri bilgilendirme vasfına sahiptir. Politika’da KVKK’da yer alan düzenlemeler uyarınca veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara yer verilmiş ve işbu Politika kişisel verisine sahip olduğumuz bütün gerçek kişileri kapsamaktadır.
- DAYANAK
6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili tüm yönetmelikler İşbu Politika’ya dayanak teşkil etmektedir.
- TANIM VE KISALTMALAR
KVKK’nın uygulanmasında;
- Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
- İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Kurum: Kişisel Verileri Koruma Kurumunu,
- Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Marsan Marmara Holding A.Şkişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu kapsamda, Marsan Marmara Holding A.Ş tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır
- Hukuka ve dürüstlük kurallarına uygun olma: İlke uyarınca Marsan Marmara Holding A.Ş kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edecek ve veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alacak ve ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket edecektir.
- Doğru ve gerektiğinde güncel olma: Marsan Marmara Holding A.Ş tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmelerde bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.
- Belirli, açık ve meşru amaçlar için işlenme: Marsan Marmara Holding A.Ş Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlayacaktır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Marsan Marmara Holding A.Ş yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Marsan Marmara Holding A.Ş yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Marsan Marmara Holding A.Ş “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edecek, bu konuda gerekli tedbirleri alacak, Kanun’un 12. maddesi uyarınca veri sorumlusu olarak sahip olduğu yükümlülükleri yerine getirecek ve gerekli tedbirleri alacaktır.
- KİŞİSEL VERİLERİN İŞLENME KOŞULLARI, AMAÇLARI VE SAKLANMASI
a)Kişisel Verilerin İşlenme Koşulları: Kanun’da sayılan istisnalar dışında, Marsan Marmara Holding A.Ş ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıdakilerden farklı olarak özel nitelikli kişisel veriler ise öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanuna göre sadece açık rıza halinde özel nitelikli kişisel veriler işlenebilir. Ayrıca Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
b)Kişisel Verilerin İşlenme Amaçları: Marsan Marmara Holding A.Ş tarafından elde edilen kişisel verileriniz, aşağıda açıklanan kapsamlar dahilinde işlenebilecektir:
- İK operasyonları,
- Şirket içi operasyonları,
- Hukuksal, teknik ve idari sonucu olan faaliyetler,
- Strateji, planlama ve iş ortakları/tedarikçi yönetimi,
- Kurumsal iletişim faaliyetlerinin, etkinliklerin planlanması ve icrası,
- Şirket içi eğitim programlarının planlanması ve icrası
c)Kişisel Verilerin Saklanması: Marsan Marmara Holding A.Ş tarafından elde edilen kişisel veriler ticari ve ekonomik faaliyetlerin yerine getirilmesi amacıyla mevzuata uyumlu olarak uygun süre zarfında saklanmaktadır. Söz konusu faaliyetler kapsamında, Tekfen Holding tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.
- KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINDAKİ KİŞİLERE AKTARILMASI
Kişisel verilerin aktarılması, Kanunun, 8. maddesinde kişisel verilerin yurtiçinde aktarılmasına ilişkin hükümlere, 9. maddesinde ise kişisel verilerin yurt dışına aktarılması şeklinde düzenlenmiş olup Marsan Marmara Holding A.Ş tarafından ilgili mevzuat tarafından getirilen yükümlülüklere uyulmaktadır.
a)Kişisel Verilerin Yurt İçindeki Kişilere Aktarılması: Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir. Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
- İlgili kişinin açık rızasının alınması
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; üçüncü kişilere aktarılması mümkündür.
b)Kişisel Verilerin Yurt Dışındaki Kişilere Aktarılması:
Kanunun 9. maddesine göre yurt dışına veri aktarımı;
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanun’da belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar),
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması, durumlarında gerçekleştirilebilir
- AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- KVKK’nın 11. maddesinde sayılan diğer haklar.
Marsan Marmara Holding A.Ş, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, Marsan Marmara Holding A.Ş’nin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin Marsan Marmara Holding A.Ş tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.
- VERİ SAHİBİNİN HAKLARI
- Marsan Marmara Holding A.Ş tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde belirtilen veri sahipleri tarafından kullanılacak haklar sağlanmakta ve gerekli önlemler alınmaktadır. Bahse konu haklar şunlardır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- VERİ GÜVENLİĞİ İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
Kişisel verilerin korunması için gerekli tedbirler KVKK’nın 12. maddesinde belirtilmiştir. Buna göre veri sorumlusu olarak Marsan Marmara Holding A.Ş;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
a)İdari Tedbirler: Marsan Marmara Holding A.Ş, KVKK hükümlerinin uygulanmasını sağlamak için gerekli idari tedbirleri alır ve denetimleri yapar. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Marsan Marmara Holding A.Ş bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kişisel verilerin paylaşılması ile ilgili olarak Marsan Marmara Holding A.Ş, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Marsan Marmara Holding A.Ş, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli KVKK eğitimlerini verir.
b)Teknik Tedbirler: Marsan Marmara Holding A.Ş sahip olduğu kişisel verilerin güvenliğini sağlamak için gerekli veri güvenliğini tesis edecek altyapıyı kullanır, bu alanda tecrübeli kişileri istihdam eder ve gerekli KVKK eğitimlerini verir, risk analizi, veri sınıflandırması, BT risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür, kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar, bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.
- İLAN
İşbu Politika Şirket internet sitesinde yayınlanarak Şirket çalışanlarına, veri sahiplerine ve 3. kişilere duyurulur.