KİŞİSEL VERİLERİN KORUNMASI MEVZUATI UYARINCA

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

  1. GİRİŞ

Bu politika ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili uluslararası ve ulusal mevzuat çerçevesinde; kişisel verilerin toplanması, işlenmesi, aktarılması, güncellenmesi ve yok edilmesi konusunda Maison De Mara Mobilya ve Endüstriyel Tasarım Limited Şirketi (“Şirket”) tarafından kabul edilen ve faaliyetlerin yürütülmesi esnasında uygulanacak olan ilkeler ile uyulacak kurallar belirlenmiştir.

  1. AMAÇ

Bu politika ile Şirket tarafından kişisel verileri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen ilkeler konusunda açıklamalarda bulunmak, bu kapsamda iş ortaklarımız, mevcut ve potansiyel müşterilerimiz, şirket hissedarlarımız ve üçüncü kişiler başta olmak üzer kişisel verileri şirketimiz tarafından işlenen kişilerin bilgilendirilerek şeffaflığın sağlanması amaçlanmaktadır.

III.          KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ

KVKK’ya uyumluluğun sağlanması için Şirket  tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenecektir. Bu kapsamda, Şirket, KVKK ile ilgili uluslararası ve ulusal mevzuata uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmektedir.

  1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

Şirket, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmekle yükümlüdür. Bu kapsamda, orantılılık gereklilikleri dikkate alınacak ve kişisel verileri işleme amacı dışında kullanmayacaktır.

  1. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama


Şirket ; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakla ve bu doğrultuda gerekli tedbirleri almak için gerekli sistemleri kurmakla yükümlüdür.

 

  1. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket; kişisel verilerin hangi amaçla işleneceğini belirlemekle ve bu amaçları kişisel veriler işlenmeden önce veri sahiplerinin bilgisine sunmakla yükümlüdür. Kişisel veriler belirtilen meşru ve hukuka uygun amaçlar dışında işlenmeyecektir.

  1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket; kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işleyecek ve amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınacaktır.

  1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket; Türk Ceza Kanunu’nun 138. maddesine ve KVKK’nIn 4. ve 7. maddelerine uygun olarak; işlediği kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza edecektir. Şirket;  öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit edecek, bir süre belirlenmişse bu süreye uygun davranacak, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza edecektir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket  tarafından silinecek, yok edilecek veya anonim hale getirilecektir

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
  2. Kişisel Verilerin Tespiti ve İşlenmesi

KVKK uyarınca, kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri kavramı sadece ad, soyad, doğum yeri, doğum tarihi gibi kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmayıp ayrıca kişilerin fiziksel, sosyal, kültürel, ekonomik, psikolojik tüm bilgilerini de kapsamaktadır. Kişinin kimlik bilgilerine ek olarak, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri, kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişisel verilerin korunması kapsamına girmektedir.

Bu tanım uyarınca, Şirket,  iş ortakları, çalışanları ve müşterileri başta olmak üzere üçüncü kişiler de dahil, topladıkları tüm verilerin kişisel veri kapsamına girip girmediğini tespit edecek ve bu verileri KVKK’daki kurallara uygun olarak işleyecektir. Kişisel verilerin işlenmesi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.

Şirket; KVKK uyarınca kişisel verileri ancak ilgili kişilerin açık rızası ile işleyecek olmakla birlikte, aşağıdaki şartlardan herhangi birinin var olması halinde, açık rıza aranmaksın kişisel verilerin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendileri veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu bir durum olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan durumlarda.
  • Kişisel verinin ilgili kişisi tarafından alenileştirilmesi,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, ve
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması.

 

  1. Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK kapsamında bir takım kişisel veriler özel nitelikli kişisel veri kapsamında değerlendirilmiş olup Şirket  bu tür verileri ilgilisinin açık rızası olmaksızın veya KVKK’nın 6. maddesinin 3 numaralı fıkrasında düzenlenen istisnalar bulunmaksızın işlemeyecektir. Açık rıza; verileri toplanacak kişiye bu verilerin hangi amaçlarla toplandığını bildirdikten sonra ayrıntılı bir rızanın alınması anlamına gelmektedir. KVKK; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel veri niteliğinde saymıştır. Şirket, zorunda olmadıkça özel nitelikli kişisel verileri işlemeyecektir. Ancak söz konusu olması halinde özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri de alacaktır.

  1. Kişisel Verilerin Aktarılması

Şirket, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak, veri sahibinin açık rızası ile kişisel verileri üçüncü kişilere aktarabilecektir. Şirket, açık rıza alınmaksızın işlenebilen veriler ile sağlık ve cinsel hayata ilişkin verileri KVKK’da öngörülen sınırlamalara uygun olarak açık rıza olmaksızın üçüncü kişilere aktarabilecektir. Şirket açık rıza olmaksızın aktardığı verileri KVKK’daki sınırlamalara uygun olarak aktarmak amacıyla gerekli idari ve teknik önlemleri alacaktır.

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonimleştirilmesi

Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’ nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket  tarafından kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Şirket  ilgili yükümlülüğünü yerine getirmek üzere gerekli teknik ve idari tedbirleri almakta, bu konuda gerekli işleyiş mekanizmaları geliştirmekte, bu yükümlüklerine uygun davranmak üzere ilgili iş birimlerini eğitmekte görevlendirmekte ve farkındalıklarını sağlamaktadır.

  1. ŞİRKETİN YÜKÜMLÜLÜKLERİ
  2. Aydınlatma Yükümlülüğü

Şirket, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aşağıda yer alan hususlarda aydınlatacaktır:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri ve
  • Kişisel veri sahibinin KVKK uyarınca sahip olduğu hakları.

Bu yükümlülük uyarınca, Şirket  hazırlamış oldukları aydınlatma metnini internet sitelerinde yayınlamakta ve veri toplama faaliyetleri sırasında veri sahibini aydınlatmak amacıyla uygun süreçleri tasarlamaktadır.

  1. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

Kişisel veri sahibi olan ilgili kişi, KVKK uyarınca yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle Şirket’e info@goada.com.tr  e-posta adresinden başvuruda bulunarak, bilgi talep edebilir.
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK uyarınca başvuruları cevaplandırılması için sair idari ve teknik düzenlemelere ilişkin prosedürleri uygulamaktadır. Kişisel veri sahibi olan ilgili kişi;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verilerinin işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  • İlgili mevzuat uyarınca yapılan kişisel verileriniz üzerinde yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ve
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Şirket yalnızca yazılı veya güvenli elektronik imzayla imzalanmış olarak elektronik posta adreslerine iletilen talepleri işleme almaktadır. Şirket, talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içerisinde yanıtlayacaktır. Şirket, başvuruları kabul ederek gereken işlemleri gerçekleştirecek ya da başvuruları gerekçeli olarak reddedecektir.

  1. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Şirket, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellenmesini ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmasını sağlamaktadır. Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmakta ve yaptırmaya yönelik sistemleri oluşturmaktadır. Şirket, işlemekte olduğu kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür. Bu kapsamda

  • Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

 

Şirket, bünyesinde iş birimleri tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin tüm süreçler analiz etmektedir; iş birimleri tarafından verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin tümünün hukuka uygunluk denetimi yapılmaktadır. Alınan teknik önlemler düzenli olarak raporlanmakta olup eksiklik ya da hukuka aykırılık tespit edildiğinde ilgilisine bildirilerek eksiklik ya da hukuka aykırılığın giderilmesi sağlanmaktadır. Şirket, çalışanlarını kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirmekte ve eğitmektedir. Şirket, iş ortakları, çalışanları ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere KVKK’daki düzenlemelere aykırı biçimde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğünü getiren kayıtlar koymaktadır.

 

  • Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Teknik ve İdari Tedbirlerin Alınması

 

Şirket, kişisel verilerin hukuka aykırı şekilde elde edilmesini, üçüncü kişilere açıklanmasını, görüntülenmesini ve aktarılmasını önlemek için korunacak verinin niteliğine göre gerekli idari ve teknik tedbirleri almaktadır.

 

Teknolojik gelişmelere uygun teknik önlemler alınmakta ve alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

 

Alınan teknik önlemler periyodik olarak ilgilisine raporlanmakta ve güvenlik riski olan hususlara ilişkin teknolojik çözümler üretilmektedir.

 

Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dahil olmak üzere ilgili yazılım ve sistemler kurulmaktadır.

 

Şirket çalışanları alınan teknik tedbirler konusunda eğitilmekte ve teknik konularda bilgili personel istihdam edilmektedir.

 

Şirket tarafından kişisel verilerin aktarıldığı kişiler ile yapılan sözleşmelere kişisel verileri koruma altına alacak maddeler eklenmektedir.

 

  • Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

 

Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmakta ve yaptırmaya yönelik sistemleri kurgulamaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

  • Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

 

Şirket, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür. Bu kapsamda, gerekli içyapı oluşturulmaktadır

 

  1. ŞİRKET BÜNYESİNDE ORGANİZASYONEL YAPILANMA

 

Şirket, bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanmıştır. Bu kapsamda Komite ve atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmaktadır:

 

  • Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
  • Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak, kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
  • Kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
  • Çalışanların kişisel verilerin korunması ve şirket politikaları konusunda eğitilmelerini sağlamak,
  • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak, Şirket, KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak ve
  • Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak, Kurum ve Kurul ile olan ilişkileri yönetmek.

 

  • GÜNCELLEME VE DEĞİŞİKLİKLER


Şirket, KVKK’ da yapılabilecek değişiklikler nedeniyle, Kişisel Verileri Koruma Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutmaktadır. İşbu Politika’ da yapılan değişiklikler derhal metne işlenmekte ve Şirket’in internet sitesinde yayınlanmaktadır.