1.                 VERİ GİZLİLİĞİ TAAHHÜDÜ
MTE   YAPI   TİCARET  A.Ş.  (‘Şirket’),  bünyesinde  bulunan  Kişisel  Veriler  bakımından  işbu Politikaya ve Politikaya           bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
 
2.                POLİTİKANIN AMACI
İşbu     politikanın     amacı,     Şirket     faaliyetlerine     ilişkin     6698     sayılı     Kişisel     Verilerin Korunması   Kanunu   (‘KVKK’)   kapsamında,   kişisel   verilerin   korunmasına   yönelik   yöntem ve süreçlere ilişkin esasları belirlemektir.
 
3.                POLİTİKANIN KAPSAMI
Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. İşbu  Politika,  KVKK  ve  ilgili  mevzuat  gerektirmesi  halinde  yahut  Şirketin  Veri  Sorumlusu Temsilcisi    yahut    yönetimin    gerekli    gördüğü    hallerde,    kanuni    yükümlülükleri    gözetmek koşuluyla zaman zaman değiştirilebilir.
 

4.                TANIMLAR

Alıcı Grubu                         

Veri  sorumlusu  tarafından  kişisel  verilerin  aktarıldığı  gerçek  veya tüzel kişi kategorisini

Anonim Hale Getirme

Kişisel  verilerin,  başka  verilerle  eşleştirilerek  dahi  hiçbir  surette kimliği      belirli      veya      belirlenebilir      bir      gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini

Çalışan  Şirket personelini Kişisel Verilerin Silinmesi    

Kişisel verilerin ilgili  kullanıcılar için  hiçbir  şekilde erişilemez  ve tekrar kullanılamaz hale getirilmesini

 

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini

Kişisel Veri İşleme Envanteri

Veri  sorumlularının  iş  süreçlerine  bağlı  olarak  gerçekleştirdikleri kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri

 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi,   yeniden   düzenlenmesi,  açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi

 

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında    belirtilen ve tekrar    eden aralıklarla  re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Veri Sorumlusu      

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin  kurulmasında  ve  yönetilmesinden sorumlu  gerçek  veya tüzel kişiyi  Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi

 

Veri Sorumluları Sicil Bilgi Sistemi

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde  kullanacakları, internet  üzerinden  erişilebilen,  Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS                                  

Veri Sorumluları Sicil Bilgi Sistemi

Açık Rıza

Kişisel  Veri Sahiplerinin verilerinin İşlenmesine dair bilgilendirilmeye dayalı olarak ve herhangi bir  koşula bağlı

olmaksızın, özgür iradeleriyle açıkladıkları rızayı

Kişisel Veri                             

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi

 

Özel Nitelikli Kişisel Veri

Kişilerin   ırkı,   etnik   kökeni,   siyasi   düşüncesi,   felsefi   inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da  sendika  üyeliği,  sağlığı,  cinsel  hayatı,  ceza  mahkûmiyeti  ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

İlgili kişi                                  

Kişisel verisi işlenen gerçek kişiyi,

Kanun                                    

07.04.2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,

 

Yönetmelik

28.10.2017 tarihli ve 30224 sayılı Resmî Gazetede yayımlanan Kişisel Verilerin  Silinmesi,  Yok  Edilmesi  veya  Anonim  Hale

Getirilmesi Hakkında Yönetmeliği

Kurul                                

Kişisel Verileri Koruma Kurulunu

 

Kayıt ortamı

Kişisel Verilerin İşlenmesi ve Korunması Politikası

www.mteyapi.com.tr adresinden ulaşılabilecek, Şirket elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı ifade eder.

5.                KİŞİSEL  VERİ İŞLENMESİ İLKELERİ

5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi

Kişisel   Veriler,   Şirket   tarafından   hukuka   ve   dürüstlük   kurallarına   uygun   ve   ölçülülük esasına    dayalı    olarak    işlenir.    Ölçülülük    esası    ile    kastedilen,    şirket    faaliyetleri    için gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.

5.2. Kişisel Verilerin Doğru ve Güncel Olması için Gerekli Önlemlerin Alınması

Şirket,  Kişisel  Verilerin  eksiksiz,  doğru  ve  güncel  olması  için  her  türlü  gerekli  önlemleri alır   ve   Veri   Sahibinin   Kişisel   Verilere   yönelik   değişiklik   talep   etmesi   durumunda   ilgili Kişisel Verileri günceller.

5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi

Kişisel    Verilerin    işlenmesinden    önce    Şirket    tarafından    Kişisel    Verilerin    hangi    amaçla işleneceği belirlenir. Bu kapsamda, Veri Sahibi KVKK ve ilgili mevzuat kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.

5.4. Kişisel Verilerin İslendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket,  Kişisel  Verileri,  Veri  Sahibinden  alınan  Açık  Rıza  kapsamındaki  amaç  doğrultusunda  ve bununla bağlantılı olacak şekilde sınırlayarak ölçülülük esasına uygun olarak işler.

5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Silinmesi

5.5.1.   Şirket,   Kişisel   Verileri   işlenme   amacına   uygun   olarak   şirket   faaliyetleri   için gerektiği kadar ve ayrıca kanun, yönetmelik vb tüm yasal mevzuat kapsamında sorumluluğunun bulunduğu, hak sahipliğinin ispatı amacı ile korunması gerektiği süre kadar muhafaza eder.

5.5.2.   Kişisel   Veri   İşleme   amacının   gerektirdiği   süre   sona   erdikten   sonra   Kişisel Veriler   silinir,   imha   edilir   veya   anonim   hale   getirilir.   İşbu   halde,   Şirketin   Kişisel Verileri    aktardığı    3.    Kişilerin    de    Kişisel    Verileri    Silmesi,    Yok    Etmesi    yahut Anonim Hale Getirmesi için gerekli bildirimler yapılır.

5.5.3.   Silme,   Yok   Etme   ve   Anonim   Hale   Getirme   süreçlerinin   işletilmesinden   Veri Sorumlusu       Temsilcisi       sorumludur.       Bu       kapsamda       gerekli       prosedür       Veri Sorumlusu Temsilcisi tarafından oluşturulur.

6.                KİŞİSEL  VERİLERİN SAKLANDIĞI  ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halükârda veri sorumlusu sıfatıyla hareket etmekte ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

a) Matbu ortamlar                          :    Verilerin  kâğıt,  film  veya  mikrofilmler  vb  dijital  olmayan ortamda temin edilerek saklandığı veya işlendiği ortamlar.

b) Yerel dijital ortamlar                 :    Şirket bünyesinde yer alan bilgisayarlar, sunucular, sabit ya da taşınabilir, optik diskler gibi sair dijital ortamlar.

c) Bulut ortamlar                           :     Şirket  bünyesinde  yer  almamakla  birlikte,  Şirketin kullanımında  olan,  kriptografik  yöntemlerle  şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.

6.1. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır. İşbu tedbirler, sayılanlarla sınırlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

6.1.1. Teknik Tedbirler

Şirket, kişisel verilerin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

?    Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

?    Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

?   Kişisel veri güvenliğinin takibi yapılmaktadır. Kişisel veri saklama ve imha politikasına uygun olarak silme, yok etme veya anonim hale getirme işlemleri periyodik olarak uygulanmaktadır.

?   Görev   değişikliği   olan   ya   da   işten   ayrılan   çalışanların   bu   alandaki   yetkileri kaldırılmaktadır.

?   Kişisel  veri  içeren  fiziksel  ortamlara  giriş  çıkışlarla ilgili  gerekli  güvenlik  önlemleri alınmaktadır.

?    Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

?   Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmaktadır.

?    Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.

?    Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

?    Yetki matrisi yapılmaktadır.

?    Erişim logları düzenli olarak tutulmaktadır.

?    Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

?    Güncel anti-virüs sistemleri kullanılmaktadır.

?    Güvenlik duvarları kullanılmaktadır.

?   Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır.

?    Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.

?    Anahtar yönetimi uygulanmaktadır.

?   Veriler   üzerinde   gerçekleştirilen   tüm   hareketlerin   işlem   kayıtları   güvenli   olarak loglanmaktadır.

?    Verilere uzaktan erişim gerektiğinde kimlik doğrulama sistemi uygulanmaktadır.

?   Verilere bir yazılım aracılığı ile erişildiğinde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına alınmaktadır.

?   Verilerin e-posta yoluyla aktarılması gerektiğinde şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.

 

?   Özel nitelikli kişisel verilerin bulunduğu ortam için yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.

?    Özel nitelikli kişisel verilerin bulunduğu ortama yetkisiz giriş çıkışlar engellenmektedir.

6.1.2. İdari Tedbirler

Şirket, kişisel verilerin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki

İdari tedbirleri almaktadır:

?   Çalışanlar  için  çalışanların  niteliği  ve  teknik  bilgi/becerisinin  geliştirilmesi,  kişisel verilerin   hukuka   aykırı   işlenmesinin   önlenmesi,   kişisel   verilere   hukuka   aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

?    Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

?    Kişisel veri işleme envanteri hazırlanmıştır.

?    Saklama ve imha konularında kurumsal politikalar hazırlanmıştır.

?   Kişisel veri işlemeye başlamadan önce, ilgili kişileri aydınlatma ve açık rızalarını alma yükümlülükleri yerine getirilmektedir.

?    Kişisel veriler mümkün olduğunca azaltılmaktadır.

?   Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmektedir.

?   Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.

?   Verilere  erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri  net olarak belirlenmektedir.

?    Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.

?    Periyodik ve rastgele denetimler yapılmaktadır.

?    VERBİS kaydı yapılmaktadır.

6.1.3. Şirket İçi Denetim

ŞİRKET, Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, en uygun şekilde muhafazasını sağlamak amacı ile şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da aykırılık tespit edilmesi halinde bu eksiklik veya aykırılık kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

7. KİŞİSEL  VERİLERİN İMHASI

7.1. Saklama Nedenleri

Şirket bünyesinde saklanan ve işlenen kişisel verilere ilişkin amaç ve nedenler;

?   İşveren  olarak  iş  sözleşmelerinden  ve  mevzuattan  kaynaklanan  yasal  yükümlülüklerin  yerine getirilmesi,

?   SGK, İşkur ve diğer resmi ve yetkili mercilerin taleplerinin yerine getirilmesi,

?   İşyeri güvenliğinin sağlanması,

?   Mesai saatlerinin takibinin yapılması,

?   Ürün satım sözleşmelerinden ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi

?   Müşteri ilişkileri faaliyetlerinin yürütülmesi

7.2. İmha Nedenleri

 

Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Bu nedenler;

?   Kanunlarda açıkça öngörülmesi.

?   Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,

?   Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

?   Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

?   İlgili kişinin kendisi tarafından alenileştirilmiş olması,

?   Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

?   İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun  meşru menfaatleri için veri işlenmesinin zorunlu olması,

7.3. İmha Yöntemleri

Şirket, Kanuna ve sair mevzuat ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’ sen siler, yok eder veya anonim hale getirir. Şirket tarafından en çok kullanılan imha yöntemleri aşağıdaki gibidir: