MEDAR KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

  1. Giriş 
    1. Amaç
    2. Kapsam
    3. Kısaltmalar ve Tanımlar 
  1. Kişisel Verilerin İşlenmesine İlişkin Hususlar
    1. Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi
    2. İşlenme Şartları
    3. İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
    4. Özel Nitelikli Kişisel Verilerin İşlenmesi
  1. İşlenen Kişisel Veri Kategorileri ve İşlenme Amaçları
    1. İşlenen Kişisel Veri Kategorileri
    2. Kişisel Veri İşleme Amaçları
  1. Kişisel Verilerin Korunmasına İlişkin Hususlar
    1. Teknik Tedbirler
    2. İdari Tedbirler
    3. Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar
    4. Çalışanlara Kişisel Verilerin Korunması ve İşlenmesi Konusunda Eğitim Verilmesi ve Denetimi 
  1. Kişisel Verilerin Aktarılmasına İlişkin Hususlar
    1. Özel Nitelikli Kişisel Verilerin Aktarılması
    2. Veri Aktarım Kapsamı ve Amaçları
  1. Kişisel Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması 
  2. Kişisel Verilerin İmhası (Silinme, Yok Edilme ve Anonimleştirme) Şartları
  3. Kişisel Verilerin İşlendiği Özel Durumlar
  4. Kişisel Verilerin Korunması ve İşlenmesi Politikasının Diğer Politikalarla İlişkisi
  5. Politikanın Güncellenme Periyodu 
  6. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması 

1. Giriş 

    1. 11.1.Amaç 

MEDAR Kişisel Verileri Korunması ve İşlenmesi Politikası, Akdeniz Mah. Şehit Fethibey Cad. Heris Tower 55/091 Konak-İzmir, Türkiye adresinde bulunan, Konak Vergi Dairesi, 6141735883 no’ lu vergi mükellefi Medar Araştırma ve Danışmanlık Limited Şirketi (“MEDAR”) tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına getirilen yükümlülüklere uyumun sağlanması ve gerçekleştirilen veri işleme ve koruma faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. 

MEDAR; kişisel verilerin korunması konusundaki hassasiyeti ile MEDAR çalışanları, çalışan adayları, müşteriler, tedarikçiler, ziyaretçiler ve üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, MEDAR tarafından bu doğrultuda hazırlanmış Medar Kişisel Verilerin Korunması ve İşlenmesi Politikasına (“Politika”) uygun olarak gerçekleştirilir.

    1. 11.2.Kapsam 

Çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, tedarikçilerimizin, hizmet sağlayıcılarının, kişisel verileri alınmış danışanlarımızın, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri bu Politika kapsamındadır.

MEDAR’ın sahip olduğu ya da MEDAR tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. MEDAR’ın, KVKK ve ilgili yönetmelikte yapılacak değişikler doğrultusunda değişiklik yapma hakkı saklıdır.

    1. 11.3.Kısaltmalar ve Tanımlar 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dâhi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. 

Çalışan: MEDAR personeli.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonunda veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her tür ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Politika: Medar Kişisel Verilerin Korunması ve İşlenmesi Politikası.

MEDAR: MEDAR Araştırma ve Danışmanlık Limited Şirketi (MEDAR) 

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

2.1. Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi

MEDAR tarafından kişisel verilerin toplanması, işlenmesi ve analiz edilmesinde aşağıdaki ilkeler benimsenmiştir.

  1. Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi; MEDAR, kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
  2. Kişisel verileri doğru ve gerektiğinde güncel tutma; MEDAR, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
  3. Kişisel verileri belirli, açık ve meşru amaçlar için işleme; MEDAR, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. MEDAR, yürütmekte olduğu faaliyetleri ile bağlantılı ve bunlar için gerekli olan kadarıyla kişisel verileri işlemektedir.
  4. Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme; MEDAR, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
  5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme; MEDAR, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tâbi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, MEDAR öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
  6. İlgili kişileri aydınlatma ve bilgilendirme; Veri sahipleri, kişisel verilerinin toplanması ve işlenmesi öncesinde detaylı olarak bilgilendirilmelidir.
  7. Kişisel verilerin korunması için gerekli tedbirleri alma;
  8. Kişisel verilerin işleme amaçlarının tespitinde ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
  9. Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.

2.2. İşlenme Şartları

Kişisel veriler, ilgili kişinin açık rıza vermesi haricinde, MEDAR ile İlgili Kişi arasındaki ticari, hukuki, sözleşmeli veya bir başka surette kurulan ilişki kapsamında aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve mevzuata uygun olarak, MEDAR tarafından doğrudan ilgili kişiden, elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. 

Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.

  • Kişisel veri sahibinin açık rızasının bulunması,
  • Fiili imkânsızlık sebebiyle ilgilinin açık rızasının alınamaması,
  • Kanunlarda açıkça öngörülmesi,
  • MEDAR’ın hukuki yükümlülüklerini yerine getirebilmesi için işlemenin zorunlu olması,
  • İlgili kişi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
  • MEDAR’ın meşru menfaatleri için veri işlemenin gerekli olması.

2.3. İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi

MEDAR, Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda MEDAR, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi, ilgili kişinin sahip olduğu haklar konusunda ilgili kişileri bilgilendirmektedir.

2.4. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ve KVKK hükümleri çerçevesinde işlenmektedir. Irk ve etnik köken, siyasi düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, özel nitelikli veri olarak tanımlanmıştır. 

 

3.İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI

3.1.İşlenen Kişisel Veri Kategorileri

  • Kimlik Bilgisi; Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı  gibi belgeler 
  • Aile Bireyleri ve Yakın Bilgisi; MEDAR ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler 
  • İletişim Bilgisi; Telefon numarası, adres, e-posta adresi, faks numarası vb. bilgiler 
  • Özlük Bilgisi; MEDAR ile kurduğu hizmet akdi uyarınca çalışan sıfatıyla çalışma ilişkisi içinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her tür kişisel veri
  • Hukuki İşlem ve Uyum Bilgisi; Hukuki alacak ve haklarımızın tespiti, takibi ve borçların ifası ile kanuni yükümlülüklerimiz ve MEDAR politikalarına uyum kapsamında işlenen kişisel veriler 
  • Ziyaretçi İşlem Bilgisi; MEDAR’ın yürütmüş olduğu faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya MEDAR’ın ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen beyan bilgisi, alışveriş bilgisi, çerez kayıtları gibi veriler
  • Fiziksel Mekân Güvenlik Bilgisi; Fiziksel mekâna giriş-çıkış ve fiziksel mekânın içinde alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları vb. 
  • Finansal Bilgi; MEDAR ve kişisel veri sahibi arasında kurulu hukuki ilişkinin tipine göre yaratılan her tür finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN, gelir bilgisi, borç/alacak bilgisi gibi veriler 
  • Meslek Verileri; Çalışanların, adayların, başvurucuların, ziyaretçilerin iş geçmişi ve eğitim geçmişine ait bilgilerdir.
  • Görsel ve İşitsel Kayıtlar
  • Özel Nitelikli Kişisel Veri; Kişilerin sağlığı, ceza mahkûmiyeti, adli sicil kaydı, sağlık raporu, maluliyet ve engellilik durumu ve güvenlik tedbirleriyle ilgili veriler

3.2.  Kişisel Veri İşleme Amaçları

MEDAR’da işlenen yukarıda belirtilen kategorideki kişisel verilerinizin aşağıdaki amaçlarla sınırlı olarak işleniyor olduğunu bilginize sunarız:

Kişisel verileriniz;

  • Hukuki güvenliğin sağlanması,
  • MEDAR tarafından hazırlanan aylık e-bültenlerimizin paylaşılması,
  • MEDAR’a gönüllü katkı sunmak isteyenlerin belirlenmesi ve iletişime geçilmesi, 
  • MEDAR yayınlarının talep edenlerin adreslerine gönderilmesi, 
  • Kamu kurum kuruluşları ve diğer kuruluşlarla ilişkilerin sürdürülmesi,
  • Destek hizmetleri ile yükümlülüklerinin, kurumsal iletişim faaliyetlerinin yürütülmesi,
  • Kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması ve icrası,
  • Aplikasyonların hazırlanması ve sürdürülmesi,
  • Mali konuların takip edilmesi,
  • Faaliyetlerin mevzuata uygun yürütülmesi,
  • Hukuk işlerinin takibi ve yürütülmesi,
  • İletişim faaliyetlerinin yürütülmesi, 
  • İş faaliyetlerinin yürütülmesi / denetimi,
  • Saklama ve arşiv faaliyetlerinin yürütülmesi,
  • Sözleşme süreçlerinin yürütülmesi,
  • Talep / şikâyetlerin takibi,
  • Veri sorumlusu operasyonlarının güvenliğinin temini,
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
  • MEDAR’ın taraf olduğu dava ve icra takiplerinin yürütülmesi,

Bilişim ve şebeke işletim sistemi alt yapısının kurulması, işletilmesi ve yedeklenmesi amaçlarıyla KVKK 5. maddesinde belirtilen hukuki sebeplere dayalı olarak işlenmektedir. KVKK 6. maddesinde belirtilen kişisel veriler ise 6. maddedeki işleme şartları ve amaçları çerçevesinde işlenmektedir.

 

4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

MEDAR, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesi, açıklanması, erişimi, aktarılması vb. sebeplerle meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

4.1 Teknik Tedbirler

MEDAR tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır: 

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.       
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. 

4.2. İdari Tedbirler

MEDAR tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır: 

  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İlgili kişilere aydınlatma yükümlülükleri yerine getirilmektedir.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • MEDAR, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. 

4.3. Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar

Kanun ile; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak nitelendirilmiştir.

5. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR

MEDAR, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, ilgili kişinin kişisel verilerini yurt içinde ve yurt dışında üçüncü kişilere aktarabilmektedir. Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması hâlinde gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir. Aktarım sebepleri aşağıda açıklanmıştır:

  • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılmasının gerekli olması,
  • Kişisel verilerin aktarılmasının MEDAR’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel veri aktarımının bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, MEDAR’ın meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • İlgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde aktarılması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Ayrıca kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı hâlinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.

5.1. Veri Aktarım Kapsamı ve Amaçları 

MEDAR aşağıda belirtilen kişilerle aşağıda belirtilen amaçlar doğrultusunda veri aktarımı gerçekleştirebilir.

Kişisel verileriniz, yukarıda belirtilen amaçlarla, mevzuatın izin verdiği ve MEDAR faaliyetlerimizin gerektirdiği ölçüde hukuki yükümlülüğün yerine getirilebilmesi, bir hakkın tesisi, kurulması veya ifası, veri sorumlusunun meşru menfaati kapsamında aktarılmasını gerektiren sebeplerle sınırlı olmak üzere paylaşılması gereken taraflarla ve kanunen yetkili resmi mercilerle, iş birliği yaptığımız, program ortağı olduğumuz kuruluşlarla, MEDAR adına çalışan ve hareket eden çalışanlar ile KVKK 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde paylaşılabilecektir.

Çalışanlarımız bu verileri kanun ve gizlilik çerçevesinde kullanmakta ve işlemektedir. Bu veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirlenen politika ve prosedürlerimiz çerçevesinde, ilgili faaliyetlerimizin gerektirdiği süreyle işlenmekte olup MEDAR ile ilişkiniz kalmadığı, makul veya yasal bir gerekliliğin veya uygunluğun olmadığı durumlarda silinmektedir.

İstisna hükümlerine dâhil olamayabileceği değerlendirilen noktalarda ise aktarılmasını gerektiren sebeplerle sınırlı olmak üzere denetimciler dâhil olmak üzere danışmanlık hizmeti aldığımız üçüncü kişiler, destek hizmeti alınan firmalar, sözleşme kapsamında şirketler, kargo gönderim şirketleri, bilgisayar altyapı hizmetleri vb. anlaşmalı olduğu yurtiçi/yurt dışı hizmet sağlayıcılar ve iş ortakları ile paylaşılabilecektir. Teknik ve idari altyapı ile elektronik sistemlerin (web sitenin) kurulması ile müşteri datalarının tutulmasına yönelik hizmet alınan üçüncü kişilere işin gerektirdiği ölçüde aktarılabilmektedir.

6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI 

İlgili kişiler olan veri sahipleri KVKK’nın 11. maddesi gereği aşağıdaki haklara sahiptirler;

• Hakkında kişisel veri işleyip işlenmediğini öğrenme, eğer işleniyorsa veya işlenmişse, buna ilişkin bilgi talep edebilme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Kişisel verilerin yurt içi veya yurt dışına aktarılıp aktarılmadığını ve kimlere aktarıldığını öğrenme,

• Yanlış ve eksik kişisel verilerinizin düzeltilmesini ve bu verilerin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep edebilme,

• Kişisel verilerin KVKK 7. maddede öngörülen şartlar çerçevesinde imha edilmesini (silinmesini, yok edilmesini veya anonim hâle getirilmesini) talep edebilme, (İmha talebini değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili her zaman bilgi talep edilebilir.)

• Kişisel verilerin aktarıldığı veya aktarılabileceği üçüncü kişilerin söz konusu imha talebi ile ilgili bilgilendirilmesini talep edebilme,

• Münhasıran bir otomatik sistem kullanılarak oluşturulmuş kişisel veri analizinizin sonuçlarına bu sonuçlar çıkarlarına aykırıysa itiraz edebilme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması hâlinde zararın giderilmesini talep edebilme,

İlgili kişinin kişisel verilerinin işlenmesi ile ilgili hususlarda başvuru MEDAR internet adresinde bulunan başvuru formunu doldurarak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 5. maddesinde şartlara uymak kaydıyla aşağıdaki şekillerde yapılabilir:

  • Adresimize yazılı ve ıslak imzalı dilekçeyi posta ile,
  • bilgi@ medararastirma.com.tr adresine göndereceğiniz e-posta ile,
  • Güvenli elektronik imza veya mobil imza ile imzalanmış dilekçe ile,

MEDAR tarafından başvuru talebinin niteliğine ve başvuru yöntemine göre başvurunun ilgili kişiye ait olup olmadığının belirlenmesi, kişisel haklarının ihlalinin önlenmesi ve böylece hakları koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefona mesaj gönderilmesi, telefonla teyit, kimliği ispat edici belge talebi gibi) istenebilecektir.


Başvuruda yer alan talepler, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin MEDAR için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde belirlenen tarifedeki ücret alınabilir.

7.KİŞİSEL VERİLERİN İMHASI (SİLİNME, YOK EDİLME VE ANONİMLEŞTİRİLME) ŞARTLARI

 “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde MEDAR’ın kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. 

MEDAR tarafından bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.

8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA İLİŞKİSİ

İşbu belge ile ortaya koyulan esaslar, diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.

10.POLİTİKA’NIN GÜNCELLENME PERİYODU 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Güncelleme yapılması hâlinde bu değişiklik metinde ayrıca bildirilir.

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI 

Politika, MEDAR’ın internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi hâlinde MEDAR tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile saklanır.