1.1. Giriş
Kişisel verilerin korunması,Chocotruf (bundan böyle kısaca “Chocotruf” veya “Şirket” olarak anılacaktır) açısından büyük önem arz etmekte olup, Şirketin öncelikleri arasında yer almaktadır. Bu kapsamda Matilda Creations bünyesinde çalışmak için iş başvurusunda bulunan çalışan adaylarının, Matilda Creations bünyesinde sigortalı olarak çalışan kişilerin, Şirket yetkililerinin, müşteri ve ziyaretçilerin, Matilda Creations’ın ticari ilişki içerisinde olduğu kurum ve kuruluş çalışanlarının, yetkililerinin ve Matilda Creations’ın herhangi bir şekilde kişisel verisini işlediği tüm üçüncü kişilerin kişisel verilerinin korunmasına azami hassasiyet gösterilmektedir.
İlgili mevzuat gereğince işlenen kişisel verilerin korunması için Matilda Creations tarafından gereken idari ve teknik tedbirler alınmaktadır. Bu Politika’da kişisel verilerin işlenmesinde Chocotruf’un benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
Kişisel verileri doğru ve gerektiğinde güncel tutma,
Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
Kişisel verilerin muhafazasında gerekli tedbirleri alma,
Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) düzenlemelerine uygun davranma,
Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
1.2. Politikanın Amacı
Bu Politika’nın temel amacı, Matilda Creations tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda kişisel verileri Şirket tarafından işlenen tüm gerçek kişileri bilgilendirilerek şeffaflığı sağlamaktır.
1.3. Kapsam
İşbu Politika; müşterilerin, potansiyel müşterilerin, çalışan adaylarının, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerin, iş birliği içinde olunan kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Kanun ve ilgili yasal mevzuat uyarınca veri sorumlusu olan Matilda Creations, kişisel verilerin işlenmesi ve korunmasında benimsenen temel ilkeleri, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile işlendikleri amaç için gerekli olan azami süreyi belirleme, silme, yok etme ve anonim hale getirme işlemlerine ilişkin usul ve esasları işbu Politika ile belirlemektedir. Matilda Creations bünyesinde kişisel veri işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler bu Politika kapsamındadır;
Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar
Kişisel veri içeren bütün uygulamalar
Kişisel veri içeren bütün veri tabanları
Bu kapsamda; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, Matilda Creations’ın müşterilerinin, potansiyel müşterilerinin, çalışanlarının, çalışan adaylarının, hissedarlarının, yetkililerinin, web sitesi, işletilmekte olan saha ziyaretçilerinin, iş ortaklığı olan kurum çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin rızası ile toplanan kişisel verilerine ilişkindir. İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler kişisel veri olarak kabul edilmemekte olup, işbu Politika’ya tabi değildir.
1.4. Politikanın Yürürlüğü
İnternet sitesinde yayımlanmak suretiyle yürürlüğe giren işbu Politika Matilda Creations’ın internet sitesinde yayımlanmakta ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulmaktadır.
1.5. Tanımlar
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; isim- soy isim, T.C. Kimlik Numarası, e-posta adresi, telefon bilgileri, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli Kişisel Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Kişisel Veri Sahibi
Kişisel verisi işlenen gerçek kişi
Anonim Hale Getirme
Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir.
Çalışan
Matilda Creations çalışanları
Çalışan Adayı
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Kurumun incelemesine açmış olan gerçek kişiler
Anayasa
Türkiye Cumhuriyeti Anayasası
Kanun
6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Kurulu
Kişisel Verileri Koruma Kurulu
KVK Kurumu
Kişisel Verileri Koruma Kurumu
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Müşteri
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sahibi
Kişisel verisi işlenen gerçek kişi
Veri Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur.
Veri Sorumluları Sicili
KVK Kurumu gözetiminde, KVK Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili.
Ziyaretçi
Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
İş birliği İçerisinde olunan Kurum Çalışanları, Hissedarları ve Yetkilileri
Matilda Creations ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler
Tedarikçiler
Sözleşme temelli Matilda Creations’ın ürün ve/veya hizmet aldığı üçüncü kişiler
Potansiyel Müşteri
Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
Politika
Matilda Creations Kişisel Verilerin Korunması ve İşlenmesi Genel Politikası
Şirket Hissedarları
Matilda Creations hissedarı gerçek kişiler
Şirket Yetkilisi
Matilda Creations’ın resmi yetkilisi
Üçüncü Kişi
Yukarıda tanımlanan taraflarla Matilda Creations arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler
2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
Matilda Creations , 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
2.1.1. Kişisel Verilerle İlgili Hukuka Uygun İşlenme, Hukuka Aykırı Şekilde Erişimi Önleme ve Muhafazasını Sağlama Kapsamında Alınan Teknik ve İdari Tedbirler
Matilda Creations tarafından, işbu başlıkta yer alan hususların temini adına, teknolojik imkanlar, Kişisel Verileri Koruma Kurulu’nun yayınladığı rehberler ile güncel uygulama ve geliştirmeler çerçevesinde gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda uygulanan idari tedbirler aşağıdaki gibidir;
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Şifreleme yapılmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
İlgili teknik tedbirler ise şu şekildedir;
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
2.1.2. Kişisel Verilerin Korunması Hususunda Alınan Tedbirlerin Denetimi
Matilda Creations, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili yöneticilere ve departmanlara raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
2.1.3. Kişisel Verilerin Yetkisiz Şekilde İfşa Edilmesi Halinde Alınacak Tedbirler
Matilda Creations, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan Şirket içi mekanizmayı Kişisel Veri İhlal Bildirim Prosedürü dahilinde yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
2.2. Veri Sahibinin Haklarının Gözetilmesi ve Veri Sahibinin Taleplerini İletebileceği Metotların Üretilmesi ile Veri Sahiplerinin Taleplerinin Değerlendirilmesi
Matilda Creations, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri İlgili Kişi Başvurularının Cevaplandırılması Prosedürü dahilinde yürütmektedir. Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru mevzuatına uygun olarak yazılı veya elektronik ortamda Matilda Creations’a iletmeleri durumunda Şirket, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Matilda Creations tarafından KVK Kurulunca belirlenen tarifedeki ücret veri sahibinden alınacaktır. Kişisel veri sahipleri;
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
2.3. Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması
Kanun ile bazı tipteki kişisel verilerin hukuka aykırı olarak işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Söz konusu veri tipleri Kanun’un 6. maddesinde belirtildiği üzere; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Matilda Creations tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve yukarıda gösterilen kişisel verilerin hukuka uygun olarak işlenmesine ve korunmasına hassasiyet gösterilmektedir. Bu kapsamda, Matilda Creations tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirlerin tamamı, özel nitelikli kişisel veriler bakımından da özenle uygulanmakta ve Matilda Creations bünyesinde gerekli denetimler sağlanmaktadır. Ayrıca bu konuda haricen Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Prosedürü hazırlanmış, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili KVK Kurulu’nun 31.01.2018 tarihli ve 2018/10 Sayılı Kararının belirttiği usul ve esaslara göre özel nitelikli kişisel veri işleme ve muhafazasına yönelik usul ve esasları uygulamaktadır. Şöyle ki;
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi yönünde gerekli önlemler alınmaktadır.
2.4. Şirket Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konularında Farkındalıklarının Artırılması ve Denetimi
Matilda Creations, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. Bu kapsamda Matilda Creations’ın iş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dahil olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile çalışılmaktadır.
Matilda Creations’ın iş birimlerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Şirket yetkililerine raporlanmaktadır. Matilda Creations bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Bununla birlikte Matilda Creations, kişisel verilerin korunması mevzuatının güncellenmesine ve KVK Kurulu tarafından alınan ilke kararları dahil tüm kararlara paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Matilda Creations; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Matilda Creations, kişisel verilerin işlenmesinde başta temel ilkeler ile orantılılık, ölçülülük ve sınırlılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında ve amaçla bağlantılı olmayacak şekilde kullanmamaktadır.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Matilda Creations; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta ve bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda, Matilda Creations tarafından kişisel verileri işlenen tüm kişisel veri sahipleri; kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacıyla diledikleri zaman Matilda Creations’a başvurabilmektedirler. Bu kapsamda alınan başvurular, Matilda Creations’ın konuyla ilgili yetkili birimleri tarafından değerlendirilmekte ve talebin yerinde olması halinde gerekli düzeltme ve doğrulamalar sağlanmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Matilda Creations, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket bu kapsamda, kişisel verileri sadece yürütmekte olduğu ticari ve işletmesel faaliyetler ile bağlantılı ve bunlar için gerekli olacak kadarını işlemektedir. Matilda Creations tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmakta ve belirlenmektedir.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Matilda Creations, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyetleri yürütülmemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Matilda Creations, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Matilda Creations tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3.2. Kişisel Veri Sahibinin Aydınlatılması
Matilda Creations, Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Matilda Creations, veri sorumlusuna ilişkin tanıtıcı bilgiler, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. İlgili aydınlatma faaliyete özgü yapılmakta olup toplu aydınlatma yöntemi Şirket bünyesinde kullanılmamaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Bu kapsamda Matilda Creations, Anayasa’nın 20. ve Kanun’un 10. Ve ilgili 11. maddelerine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
3.3. Genel ve Özel Nitelikli Kişisel Verilerin İşlenmesi
Matilda Creations, kişisel verilerin korunmasının Anayasal bir hak ve yükümlülük olduğunun farkındadır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Matilda Creations işte bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak Kanun’un 5/2 fıkrasında ve diğer kanunlarda öngörülen hallerde veya Kanun’un 5/1 fıkrası uyarınca kişinin açık rızasıyla işlemektedir.
Matilda Creations tarafından, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da, ikincil mevzuat düzenlemelerinde ve bağlayıcı nitelikteki KVK Kurulu kararlarında öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Kanun’a uygun bir biçimde Matilda Creations tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili KVK Kurulu’nun 31.01.2018 tarihli ve 2018/10 Sayılı Kararı ile belirlenen yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3.4. Kişisel Verilerin İşlenme Şartları
Matilda Creations, kişisel verileri, ancak Kanun’da öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde aşağıda yer alan şartlar uygulanır. KVK Kanunu’nun 5. Maddesinde yer alan düzenlemeye uygun olarak, Matilda Creations, kural olarak, kişisel verileri, kişinin açık rızası olması halinde işlemektedir. Ancak Kanun’un 5/2 fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıdaki ‘’Kanunda Açıkça görülmesi’’ ve “İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı ile Matilda Creations’ın Meşru Menfaati için Veri İşlemenin Zorunlu Olması’’ bentlerinde yazan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler Matilda Creations tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
3.4.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.
3.4.2. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde Matilda Creations tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.
3.4.3. Fiili İmkânsızlık Sebebiyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin Ya Da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınamadığı hallerde, kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesi zorunlu ise veri sahibinin kişisel verileri işlenebilecektir.
3.4.4. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde Matilda Creations tarafından kişisel veriler işlenebilecektir.
3.4.5. Matilda Creations’ın Hukuki Yükümlülüğünü Yerine Getirmesi için Veri İşleme Faaliyetinin Zorunlu Olması
Matilda Creations’ın hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.4.5. Kişisel Veri Sahibinin Kendisi Tarafından Kişisel Verisini Alenileştirmiş Olması
Veri sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler Matilda Creations tarafından açık rıza aranmaksızın işlenebilecektir
3.4.5. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.4.6. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı ile Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel verilerin korunması Anayasal bir hak olmakla birlikte; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Matilda Creations’ın meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.5. Kişisel Verilerin Yurt İçinde Aktarılması
Matilda Creations hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve gerektiği hallerde özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu kapsamda Şirket, Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Matilda Creations meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kişisel veri sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
Matilda Creations’ın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Matilda Creations’ın meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Matilda Creations gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmesi halinde.
3.6. Kişisel Verilerin Yurtdışına Aktarılması
Matilda Creations hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen/edilecek yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler aktarılabilmektedir. Matilda Creations bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Ayrıca ilgili kişinin açık rızası dahilinde de yurt dışı aktarımı yapılabilmektedir.
4. KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
4.1. Kişisel Verilerin Kategorizasyonu
Matilda Creations bünyesinde; Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen temel ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Kimlik: Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası gibi veriler.
İletişim: Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
Lokasyon: Seyahat verileri, uçak bileti ve otel rezervasyonları, araç takip sistemi gibi bilgiler
Özlük: Matilda Creations ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Hukuki İşlem: Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
Müşteri İşlem: Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
İşlem Güvenliği: IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.
Risk Yönetimi: Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.
Fiziksel Mekân Güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b. veriler.
Finansal bilgiler: Kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, finansal profil, malvarlığı verisi, gelir bilgisi, imza sirküleri gibi veriler.
Görsel ve İşitsel Kayıtlar: Fotoğraf ve kamera kayıtları.
Mesleki Deneyim: Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
Pazarlama: Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.
Sağlık Bilgileri: Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
Diğer Özel Nitelikli Kişisel Veriler: Adli sicil kaydı (ceza mahkumiyeti ve güvenlik tedbirleri verisi) işlenmektedir.
4.2. Kişisel Verilerin İşlenme Amaçları
Matilda Creations , Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
Kişisel verilerin işlenmesine ilişkin Matilda Creations’ın ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
Kişisel verilerin Matilda Creations tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin işlenmesinin Matilda Creations’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Matilda Creations tarafından işlenmesi,
Kişisel verileriniz Matilda Creations tarafından işlenmesinin Matilda Creations’ın veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Kişisel verileri işlenen gerçek kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Matilda Creations’ın meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Bu kapsamda Matilda Creations, kişisel verileri aşağıdaki amaçlarla işlemektedir:
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
Yönetim Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yatırım Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Ücret Politikasının Yürütülmesi
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Talep / Şikayetlerin Takibi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
İnsan Kaynakları Süreçlerinin Planlanması
İletişim Faaliyetlerinin Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Finans ve Muhasebe İşlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Matilda Creations tarafından ilgili kişilerin açık rızası temin edilmektedir.
5. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARIM AMAÇLARI
Matilda Creations, Kanun’un 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir. Matilda Creations Kanun’un 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilmektedir:
Matilda Creations iş ortaklarına,
Matilda Creations tedarikçilerine,
Matilda Creations hissedarlarına ve şirket yetkililerine
Yetkili kamu kurum ve kuruluşlarına,
Yetkili gerçek kişiler ile özel hukuk kişilerine.
Kişisel veriler, yukarıda belirtilen alıcı gruplarına;
İş ortaklarına; İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla,
Tedarikçilere; Matilda Creations’ın tedarikçiden dış kaynaklı olarak temin ettiği ve Matilda Creations’ın ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Matilda Creations’a sunulmasını sağlamak amacıyla,
Hissedarlara ve şirket yetkililerine; İlgili mevzuat hükümlerine göre Matilda Creations’ın şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla,
Yetkili kamu kurum ve kuruluşlarına; İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla,
Yetkili gerçek kişiler ile özel hukuk kişilerine; İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla aktarılmaktadır.
6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
6.1. Matilda Creations’ın Kişisel Verileri Silme, Yok Etme ve Anonim Hale Getirme Yükümlülüğü
Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Matilda Creations’ın operasyonel kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Matilda Creations ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
6.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Teknikleri
6.1.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Matilda Creations ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Matilda Creations tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Örneğin kâğıt öğütücü ile.
Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
İhtiyaç Duyulduğunda Dışarıdan Hizmet Alınarak Güvenli Olarak Silme: Matilda Creations ihtiyaç duyduğu hallerde bünyesinde işlenen kişisel verilerin kendisi adına silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
6.1.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Matilda Creations , hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Matilda Creations tarafından tercih edilen anonimleştirme teknikleri KVK Kurumunun Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde de yer aldığı şekilkde aşağıda sıralanmaktadır;
Örnekleme,
Maskeleme,
Toplulaştırma,
Global Kodlama
Alt ve Üst Sınır Kodlama
Bölgesel Gizleme
Kayıtları Çıkarma
K-Anonimlik
L-Çeşitlilik
T-Yatkınlık
…
Politika’nın işbu başlığıyla ilgili; Matilda Creations özel olarak Kişisel Veri Saklama ve İmha Politikası oluşturmuş ve yürürlüğe koymuştur.
7. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
Matilda Creations, Kanun’un 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte ve bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
7.1. Veri Sahibinin Hakları ve Bu Haklarını Kullanması
7.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
7.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda yukarıda sayılan haklarını ileri süremezler:
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, yukarıda sayılan diğer haklarını ileri süremezler:
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri yukarıda sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Matilda Creations’a iletebileceklerdir:
matildacreations.com adresinde bulunan KVKK başvuru formunun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “Rasathane Eston Kandilli Evleri No: A11 Blok Sitesi No: 50B İç Kapı No:2 34684 Üsküdar/İstanbul” adresine iletilmesi,
KEP (Kayıtlı Elektronik Posta) adresinizi, güvenli elektronik imzanızı, mobil imzanızı ya da tarafınızca Matilda Creations’a daha önce bildirilen ve Matilda Creations’ın sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle info@matildacreations.com adresine kayıtlı elektronik posta ile gönderilmesi.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
7.2. Başvurulara Verilecek Cevaplar
Matilda Creations’a yalnızca Matilda Creations’ın Kanun kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Matilda Creations’ın doğrudan ilgili kişiden kişisel veri topladığı durumlarda mevcut olabilmektedir. Bunlar dışında, diğer şirketlerin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Matilda Creations’a değil, ilgili şirkete yapılması gerekmektedir.
7.2.1. Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, yukarıda yer alan usule uygun olarak talebini Matilda Creations’a iletmesi durumunda Matilda Creations, talebin niteliğine göre en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre başvurularınıza yazılı cevap verilmesi halinde ilk 10 sayfa için ücret alınmayacak, devam eden her sayfa başına 1 TL ücret tarafınıza yansıtılacaktır. Başvurunuzun niteliğine göre, talebinize CD ve flash bellek gibi kayıt ortamları aracılığıyla cevap verilmesi halinde ise kayıt ortamının maliyeti kadar ücret tarafınıza yansıtılacaktır.
7.2.2. Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebilecek Bilgiler
Matilda Creations, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Matilda Creations, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
7.2.3. Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Matilda Creations, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
Orantısız çaba gerektiren taleplerde bulunulmuş olması.
Talep edilen bilginin kamuya açık bir bilgi olması.
8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM
Matilda Creations bünyesinde, 6698 sayılı Kanun'a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi ("Komite") kurulmuştur. Komite'nin başlıca görevleri aşağıda belirtilmektedir:
Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak,
Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
Matilda Creations kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
Şirket'in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak.