KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
KAPALI DEVRE KAMERA SİSTEMİ AYDINLATMA METNİ
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu “KVKK” uyarınca, gerçek kişi müşterilerin ve ziyaretçilerin kapalı devre kamera sistemi ile kişisel verilerinin işlenmesine ilişkin usul ve esaslara ilişkin olarak aydınlatılması amacı ile veri sorumlusu GND Yönetim ve Ticaret Anonim Şirketi “Margi” tarafından düzenlenmiştir.
Margi, değişen şartlara ve mevzuata uyum sağlamak amacıyla Aydınlatma Metni’ni güncelleme hakkını her zaman saklı tutar.
Kişisel verileriniz, KVKK ve ilgili mevzuat kapsamında, veri sorumlusu GND Yönetim ve Ticaret AŞ tarafından işlenmektedir.
Margi, 6698 sayılı Kişisel Verilerin Korunması Kanunu “KVKK” kapsamında, kişisel verilerinizin hukuka uygun olarak toplanması, saklanması ve paylaşılmasını sağlamakta ve gizliliğinizi korumak amacıyla gerekli teknik ve idari tedbirleri almaktadır.
Kişisel verileriniz, Margi Outlet lokasyonlarında yer alan kapalı devre kamera sistemleri aracılığı ile toplanmaktadır. Kapalı devre kamera izleme faaliyetleri, Margi’nin güvenlik politikasının bir parçası olarak yürütülmektedir.
Toplanan kişisel verileriniz, Margi ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi ve Margi’ye ait lokasyonların güvenliğinin sağlanması amaçları dahilinde KVKK md. 5 ve 6 uyarınca kişisel veri işleme şartlarına uygun olarak işlenmektedir.
Kişisel verileriniz, Margi’ye ait lokasyonların güvenliğinin sağlanması amaçları dahilinde KVKK md. 8 ve 9 uyarınca kişisel veri işleme şartlarına uygun olarak iş ortakları ve hukuken yetkili kurum ve kuruluşlar ile paylaşılmaktadır.
Ayrıca, Dünya Sağlık Örgütü tarafından pandemi kapsamına alınan COVID-19 salgınının yayılmasının önlenmesi kapsamında, T.C Sağlık Bakanlığı Bilimsel Danışma Kurulu tarafından düzenlenen 14.08.2020 tarihli Salgın Yönetimi ve Çalışma Rehberi’nde, “AVM ve AVM İçindeki İş Yerlerinde Alınması Gereken Önlemler“ alt başlığında AVM girişlerinde ateş ölçümü yapılması gerektiği belirtildiği üzere, Margi Outlet girişlerinde ateş ölçümü yapılmaktadır.
Kişisel veri işlenip işlenmediğini öğrenme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme gibi haklara sahip olduğunuzu belirtiriz.
Bu kapsamda bulunan taleplerinizi, Kişisel Veri Sahibi Başvuru Formu’nu kullanarak veri sorumlusu GND Yönetim ve Ticaret AŞ’nin “1. Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne” adresine yazılı olarak elden teslim edebilir, [email protected] adresine güvenlik elektronik imzalı olarak iletebilir veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre belirlenen yöntemlerle gönderebilirsiniz.
Detaylı bilgilendirme için internet sitemizde bulunan ve http://www.margioutlet.com/kvkk linkinden ulaşabileceğiniz “Kişisel Verilerin Korunması Politikası” metinlerini inceleyebilirsiniz.
GND Yönetim ve Ticaret Anonim Şirketi
- Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne
T: (0284) 236 64 00 F: (0284) 236 64 04
[email protected] – [email protected]
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
AYDINLATMA METNİ
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu “KVKK” uyarınca, GND Yönetim ve Ticaret Anonim Şirketi “Margi” gerçek kişi müşterilerinin ve tüzel kişi müşterilerin gerçek kişi temsilcilerinin kişisel verilerinin işlenmesine ilişkin usul ve esaslara ilişkin olarak aydınlatılması amacı ile düzenlenmiştir.
Kişisel verileriniz, KVKK ve ilgili mevzuat kapsamında, veri sorumlusu GND Yönetim ve Ticaret AŞ tarafından işlenmektedir.
Margi, değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’yı güncelleme hakkını her zaman saklı tutar.
- Kişisel Verilerin İşlenme Amacı
Kişisel verileriniz, KVKK md. 5 ve 6 kapsamında belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, müşteri, çalışan, iş ortakları ve tedarikçiler gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem, fiziksel mekân güvenliği, görsel ve işitsel kayıtlar ve finans bilgisi ile pazarlama satış bilgisi gibi kategorilerde toplanan kişisel veriler, aşağıda belirtilen amaçlar dahilinde işlenmektedir.
– Bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, hukuk işlerinin takibi ve yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi, lojistik faaliyetlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, pazarlama analiz çalışmalarının yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, taşınır mal ve kaynakların güvenliğinin temini, ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi kapsamında,
– Margi ürün ve hizmetlerinin sizlere sunulabilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, vergi ve sair yükümlülüklere uymak,
– Margi fiziksel mekân güvenliğini sağlamak ve ilgili yasal mevzuat kapsamında internet faaliyetleri üzerinde gerekli takiplerin yapılmasını sağlamak,
– Resmi makamlardan veya sizlerden gelen talepleri incelemek, değerlendirmek ve yanıtlamak gibi amaçlarla işlenecektir.
Ayrıca, Kültür ve Turizm Bakanlığı’nın 2020/6 sayılı Konaklama Tesislerinde Kontrollü Normalleşme Süreci Genelgesi doğrultusunda, Dünya Sağlık Örgütü tarafından pandemi kapsamına alınan COVID-19 salgınının yayılmasının önlenmesi kapsamında, anılan kişisel verilerin yanı sıra misafirlerden son 14 gün içerisinde bulunduğu yerlerin, varsa kronik rahatsızlıklarının, COVID-19 geçirip geçirmediklerine ilişkin bilgilendirme talep edilmektedir.
- Kişisel Verilerin Aktarılması
Kişisel verileriniz, KVKK md. 8 ve 9 kapsamında belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde yukarıda belirtilen amaçlar dahilinde Margi’nin hizmet aldığı bulut hizmet sağlayıcılarına, avukatlık bürosuna, iş ortaklarına, yetkili kamu kurum ve kuruluşlarına aktarılmaktadır.
- Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, tamamen ya da kısmen otomatik olan veyahut da otomatik olmayan yollarla yazılı, sözlü, elektronik ve ilgili şekillerde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için işlenmesinin zorunlu olması hukuki sebeplerine dayanılarak toplanmakta ve KVKK md. 5 ve 6 kapsamında işlenmektedir.
- Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması
KVKK md. 11 kapsamında,
Kişisel verilerinizin işlenip işlenmediğini öğrenme, kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme, kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, amaç süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme, kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme, kişisel verilerinizin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğramanız hâlinde zararın giderilmesini talep etme, haklarına sahipsiniz.
Bu kapsamda bulunan taleplerinizi, Kişisel Veri Sahibi Başvuru Formu’nu kullanarak veri sorumlusu GND Yönetim ve Ticaret AŞ’nin “1. Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne” adresine yazılı olarak elden teslim edebilir, [email protected] adresine güvenlik elektronik imzalı olarak iletebilir veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre belirlenen yöntemlerle gönderebilirsiniz.
GND Yönetim ve Ticaret Anonim Şirketi
- Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne
T: (0284) 236 64 00 F: (0284) 236 64 04
[email protected] – [email protected]
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu “KVKK” uyarınca, gerçek kişilere ait kişisel verilerin korunmasında ve işlenmesinde esas alınan ilkelerin ve kişisel verilerin korunması ve işlenmesi hakkında bilgilerin açıklanması amacıyla veri sorumlusu GND Yönetim ve Ticaret AŞ “Margi” tarafından düzenlenmiştir.
Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi ifade eden kişisel verilerin korunması adına KVKK, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.
Bu doğrultuda, Margi Kişisel Verilerin Korunması Politikası “Politika” uygulama alanı çalışanların, çalışan adaylarının, hissedar/ortaklarının, ziyaretçilerin, iş birliği içerisinde olunan üçüncü kişiler ile çalışanlarının (iş ortakları, tedarikçiler ve bunların çalışanları) ve ürün/hizmet alan üçüncü kişilerin kişisel verilerinin işlenme sürecini ifade etmektedir.
Margi, değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’yı güncelleme hakkını her zaman saklı tutar.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
KVKK md. 4. uyarınca veri sorumlusu konumundaki Margi, kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmektedir.
Hukuka ve Dürüstlük Kurallarına Uyum
Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmektedir. Bu doğrultuda veri sorumlusu olarak Margi, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uymaktadır.
Doğruluk ve Güncellik
Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri düzenlemelidir. Bu doğrultuda Margi, veri sahiplerinin verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına doğru bir şekilde aktarımını sağlamak adına gerekli önlemleri almaktadır.
Belirli, Açık ve Meşru Amaçlar İçin İşleme
Veri sorumluları, KVKK kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda veri sorumlusu konumundaki Margi, veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak veri sahiplerini aydınlatma metinleri kapsamında açık bir şekilde bilgilendirmektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, temin edildikleri sırada veri sahibine bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak Margi tarafından işlenmektedir.
İlgili Mevzuatta Öngörülen veya İlgili Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Veriler, yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
KVKK md. 5 ve 6, kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesine ilişkin şartları açıkça belirtmektedir.
KVKK md. 5 özel nitelikli olmayan kişisel verilerin işlenme şartlarını belirlerken, özel nitelikli verilerin işlenme şartları KVKK md. 6 uyarınca düzenlenmiştir.
Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde, kişisel veriler KVKK md. 5 kapsamında işlenebilecektir.
KVKK md. 6 kapsamında bulunan özel nitelikli kişisel veriler ise, aşağıda öngörülen şartlara tabi şekilde işlenebilecektir,
Veri sahibinin açık rızasının bulunması, sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hallerinde, özel nitelikli kişisel veriler KVKK md. 6 kapsamında işlenebilecektir.
Kişisel veriler, bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, hukuk işlerinin takibi ve yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi, lojistik faaliyetlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, pazarlama analiz çalışmalarının yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, taşınır mal ve kaynakların güvenliğinin temini, ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi amaçları kapsamında işlenmektedir.
- KİŞİSEL VERİLERİN AKTARILMASI
KVKK md. 8 uyarınca, kişisel verilerin aktarımı konusunda verinin özel nitelikli kişisel veri olup olmamasına göre aktarıma ilişkin bir ayrım söz konusudur.
Buna göre, özel nitelikli olmayan kişisel veriler, “Kişisel Verilerin İşlenme Amaçları” kısmında belirtilen işleme şartlarından birinin varlığı halinde üçüncü kişilere aktarılabilecektir.
Bu doğrultuda kişisel veriler, veri sahibinin açık rızasının bulunması, veri işlemenin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması, kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde, Margi tarafından tüzel kişilikleri dışındaki kişilerle paylaşılabilmektedir.
KVKK md. 8 uyarınca, özel nitelikli kişisel verilerin aktarılması konusunda Kişisel Verilerin İşlenme Amaçları kısmında belirtilen işleme şartlarına ek olarak aktarım için ayrıca yeterli önlemlerin alınmış olması gerektiği öngörülmüştür.
Bu doğrultuda özel nitelikli kişisel veriler, sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi ve sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi amaçları ile, her halde yeterli önlemlerin alınması sonrasında Margi tarafından üçüncü kişilerle paylaşılmaktadır.
Margi tarafından kişisel veriler yurtdışına veri sahibinin açık rızasının bulunması halinde veya veri sahibinin açık rızası bulunmadığı ancak Kişisel Verilerin İşlenme Amaçları kısmında belirtilen diğer şartlardan bir veya birkaçının bulunduğu hallerde, verilerin aktarıldığı ülkede yeterli koruma bulunması ve verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili şirketin ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile aktarılabilmektedir.
Yukarıdaki şartlar kapsamında kişisel veriler, hizmet alınan bulut hizmet sağlayıcılarına, avukatlık bürosuna, iş ortaklarına, yetkili kamu kurum ve kuruluşlarına Margi tarafından aktarılmaktadır:
- KİŞİSEL VERİLERİN İŞLENMESİ USULÜ
Margi, KVKK uyarınca öngörüldüğü şekilde, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine veri sorumlusu olarak kişisel verileri hangi amaçla işlediği, işlenen kişisel verileri kime ve hangi amaçlarla aktarabileceği, kişisel veri toplama yöntem ve hukuki sebebi ile veri sahibinin hakları konusunda bilgilendirme yapmaktadır.
Kanun uyarınca açık rıza alınmasını gerektirecek hallerde, Margi tarafından anılan bilgilendirmenin yapılması sonrasında veri sahiplerinden açık rızaları alınmaktadır.
- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ
Margi, kişisel verilerin saklanma sürelerini belirlerken yürürlükte bulunan mevzuatı ve süreç konusu verilerin işlenme amaçlarını göz önünde tutarak belirleme yapmaktadır. Margi, saklama sürelerini her halükârda yasal yükümlülükleri ve ilgili zamanaşımı süreleri ışığında tespit etmektedir.
Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
KVKK md. 11 kapsamında veri sahipleri, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, amaç süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme, kişisel verilerinin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri sahipleri, bu kapsamda bulunan taleplerini, Kişisel Veri Sahibi Başvuru Formu’nu kullanarak veri sorumlusu GND Yönetim ve Ticaret AŞ’nin “1. Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne” adresine yazılı olarak elden teslim edebilir, [email protected] adresine güvenlik elektronik imzalı olarak iletebilir veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre belirlenen yöntemlerle gönderebilir.
KVKK md. 28/2 uyarınca, kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması halleri veri sahiplerinin talep hakkı bulunmayan halleri olup, bu kapsamda belirtilen verilere yönelik olarak veri sahiplerine tanınan haklar kullanılamayacaktır.
KVKK md. 28/1 uyarınca, kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi halleri KVKK kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır:
Margi’ye iletilen olan başvurular, KVKK md. 13/2 uyarınca, talebin niteliğine göre talebin Margi’ye ulaştığı tarihten itibaren otuz gün içinde sonuçlandırılır. Başvuru sonucu, yazılı veya elektronik ortamdan başvuru sahibine iletilir.
Margi, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir ve/veya başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. Başvuru sahibine soru yöneltildiği ihtimalde, soruya verilen cevabın Margi’ye tebliğinden itibaren 30 günlük süre yeniden başlar.
Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesi çerçevesinde başvuruya yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmayacak, on sayfanın üzerindeki her bir sayfa içinse 1,00.-TL ücret alınacaktır. Eğer başvuruya verilecek cevap, CD, flash bellek gibi bir kayıt ortamında verilecekse bu halde talep edilecek ücret, kayıt ortamının maliyetini geçmeyecektir.
- MARGİ TARAFINDAN KİŞİSEL VERİLERİN KORUNMASI
Margi tarafından, verilerin KVKK ilkelerine uygun olarak işlenmesinin temin edilmesi amacıyla, ağ güvenliği ve uygulama güvenliği sağlanmakta, anahtar yönetimi uygulanmakta, bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmakta, bulutta depolanan kişisel verilerin güvenliği sağlanmakta, çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmakta, erişim logları düzenli olarak tutulmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmakta, güncel anti-virüs sistemleri kullanılmakta, güvenlik duvarları kullanılmakta, kişisel veri güvenliği politika ve prosedürleri belirlenmekte, kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta, kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmakta, kişisel veri içeren ortamların güvenliği sağlanmakta, kişisel veriler mümkün olduğunca azaltılmakta, kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmakta, log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmakta, özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmekte, özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmekte, veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
GND Yönetim ve Ticaret Anonim Şirketi
- Murat Mah. Talat Paşa Cad. N: 60 Merkez / Edirne
T: (0284) 236 64 00 F: (0284) 236 64 04
[email protected] – [email protected]
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
KİŞİSEL VERİ SAKLAMA, ANONİMLEŞTİRME VE İMHA POLİTİKASI
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu “KVKK” uyarınca, yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi ve korunması ile işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla veri sorumlusu GND Yönetim ve Ticaret AŞ “Margi” tarafından düzenlenmiştir.
Bu Politika, Margi ile hukuki ilişkisi bulunan çalışanların, çalışan adaylarının, hissedar/ortaklarının, ziyaretçilerin, iş birliği içerisinde olunan üçüncü kişiler ile çalışanlarının (iş ortakları, tedarikçiler ve bunların çalışanları) ve ürün/hizmet alan üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
Margi, değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’yı güncelleme hakkını her zaman saklı tutar.
1 – Kayıt Ortamları
Kişisel veriler, Margi tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), Yazılımlar (ofis yazılımları, portal), Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.), Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi
Elektronik Olmayan Ortamlar
Kâğıt, Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), Yazılı, Basılı, Görsel Ortamlar
2 – Saklama ve İmhaya İlişkin Açıklamalar
Şirket kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Margi politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, saklamayı gerektiren hukuki sebeplerdir.
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali, kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, KVKK md. 5 ve 6’da belirtilen kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, ilgili kişinin, KVKK md. 11’de belirtilen hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verilerin Korunması Kurumu’na şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması hallerinde, veri sahiplerine ait kişisel veriler, Margi tarafından silinir, yok edilir veya anonim hale getirilir:
3- İmha Teknikleri
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Şirket organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez. Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin anonim hale getirilerek arşivlenmesi veya başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması kaydıyla kişisel veriler silinmiş sayılacaktır.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
4- Teknik ve İdari Tedbirler
Margi tarafından, verilerin KVKK ilkelerine uygun olarak işlenmesinin temin edilmesi amacıyla, ağ güvenliği ve uygulama güvenliği sağlanmakta, anahtar yönetimi uygulanmakta, bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmakta, bulutta depolanan kişisel verilerin güvenliği sağlanmakta, çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmakta, erişim logları düzenli olarak tutulmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmakta, güncel anti-virüs sistemleri kullanılmakta, güvenlik duvarları kullanılmakta, kişisel veri güvenliği politika ve prosedürleri belirlenmekte, kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta, kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmakta, kişisel veri içeren ortamların güvenliği sağlanmakta, kişisel veriler mümkün olduğunca azaltılmakta, kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmakta, log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmakta, özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmekte, özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmekte, veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
Saklama ve İmha Süresi
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.
Söz konusu süreler şirket envanterinde gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. İlgili kişi Şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
Kimlik |
10 YIL |
İletişim |
10 YIL |
Özlük |
10 YIL |
Hukuki İşlem |
10 YIL |
Müşteri İşlem |
10 YIL |
Fiziksel Mekân Güvenliği |
1 AY |
İşlem Güvenliği |
10 YIL |
Mesleki Deneyim |
10 YIL |
Pazarlama |
10 YIL |
Görsel ve İşitsel Kayıtları |
10 YIL |
Sağlık Bilgileri |
15 YIL |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
10 YIL |
Biyometrik Veri |
5 YIL |