MD MÜCEVHER KUYUMCULUK SANAYİ VE TİCARET LTD. ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Hazırlayan: MD MÜCEVHER KUYUMCULUK SANAYİ VE TİCARET LTD. ŞTİ. Hukuk Müşavirliği
Onaylayan: MD MÜCEVHER KUYUMCULUK SANAYİ VE TİCARET LTD. ŞTİ. Yönetim Kurulu
Geçerlilik Başlangıç Tarihi: 01/07/2024
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), MD MÜCEVHER KUYUMCULUK SANAYİ VE TİCARET LTD. ŞTİ. (MD) tarafından kişisel verilerin korunması ve hukuka uygun işlenmesi için benimsenecek ve içselleştirilecek idari yapı, süreç ve prosedürleri ifade etmektedir.
İşbu Politika, MD çalışanlarına, çalışan adaylarına, müşterilerine, potansiyel müşterilerine, tedarikçilerine, iş ortaklarına ve diğer tüm kişilere ait kişisel verilerin hukuka uygun bir biçimde işlenmesi, Kanun ve ilgili tüm yasal gerekliliklere uyulması ve MD’nin politika ve iç prosedürlerinin dürüstlük kurallarına ve hukuka uygunluğu sağlamak için periyodik olarak denetlenmesi amacıyla hazırlanmıştır.
Bu Politika ile MD’nin Kanun ve ilgi mevzuat kapsamında gerekli idari yapı, süreç ve prosedürlerin oluşturulup, Kişisel Verilerin güvenliği ve korunması hususunda gerekli teknik ve idari önlemlerin alınması sağlanarak, Kişisel Verilerin Kanun’a uyumlu şekilde işlenmesinin ve tutulmasının içselleştirilmesi, çalışanlar ve tüm iş ortaklarında gerekli farkındalığın yaratılarak, Kanun’a uyum sağlaması amaçlanmaktadır.
Kanun/KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
MD, müşteri tercihlerini anlamak ve daha iyi hizmet vermek ve benzeri amaçlar ile internet siteleri aracılığıyla, genel olarak “web kayıt bilgisi” adı verilen verileri (kullanıcıların internet tarayıcılarına, mobil cihazlarına, işletim sistemine, ziyaret ettiği sayfalara, bu sayfalara eriştiği diğer internet sayfalarına, ilgili internet sitesini ziyaret ettiği tarih ve zamana, ziyaret edilen spesifik sayfalara ve daha fazlasına ait bilgiler ve benzerlerini) toplayabilir ve internet sitesinde yer alan sayfaların ziyaret edilmesi halinde, çerezleri (cookies) kullanabilir. Bu kapsamda Kişisel Veri elde edilmesi ya da bu yol ile toplanan verilerin birlikte işlenmesi halinde belirli bir kişiye işaret etmeleri durumunda, çerezler ve web kayıt bilgileri de Çerez Politikası linkinden ulaşabileceğiniz Çerez Politikasına ve işbu Politika’ya tabi olacaktır.
Özel Nitelikli / Hassas Kişisel Veri: Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir. Hassas veriler sadece sıkı şartlar altında işlenebilirler ve işlenmesi genellikle veri sahibinin açık rızasını gerektirmektedir.
İlgili Kişi veya Veri Sahibi: Kişisel Verileri MD tarafından işlenen çalışanlar dahil tüm gerçek kişileri kapsamaktadır.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Veri İşleyen: Bir veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen herhangi bir kişidir.
Kişisel Verinin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
MD KVK Komitesi: MD bünyesinde kişisel verilerin ve özel nitelikli verilerin korunması ve işlenmesi ile ilgili Mevzuat yükümlülüklerinin yerine getirilmesinden sorumlu birimdir.
MD bakımından önem arz eden hususlardan biri, Kişisel Verilerin Kanun ve ilgili mevzuatta öngörülen genel ilkelere uygun olarak işlenmesidir. Bu kapsamda, MD tarafından Kişisel Veriler;
Hukuka ve dürüstlük kuralına uygun olarak işlenmektedir:
Bu ilkenin amacı Kişisel Verinin işlenmesi önlemek değil, Kişisel Verilerin işlenmesinin dürüstlük kurallarına ve hukuka uygun, ilgili kişinin haklarını olumsuz şekilde etkilemeyecek şekilde yapıldığından emin olmaktır.
Veri Sahibine, Veri Sorumlusunun kim olduğu, verinin MD tarafından hangi amaçla işleneceği, verinin açıklanabileceği veya aktarılabileceği kişilerin kimliği ve bu veri sahibinin hakları söylenmelidir.
Kişisel Verinin hukuka uygun olarak işlenebilmesi için birtakım şartların sağlanması gerekir.
Kişisel Veriler, Veri Sahibinin açık rızası halinde işleme hariç olarak, ancak işlemenin kanunlarda açıkça öngörülmüş olması; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; işlenen verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması; işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu olması hallerinden birinin varlığı halinde işlenecektir. Ancak Kişisel Verilerin işlenmesine ilişkin burada sınırlı olarak sayılan istisnalar kapsamında işlenen verilerin Veri sahiplerine, Kanun’un 16. maddesi uyarınca öngörülen Aydınlatma Yükümlülüğü’nü kapsayacak şekilde bilgilendirme yapılacak, söz konusu bilgilendirme ile Kişisel Verilerin MD tarafından işbu Politika uyarınca işlendiği konusunda bilgi verilecek ve verilerin Kanun, ilgili mevzuat ve işbu Politika’ya uygun olarak işlendiği teyit edilecektir.
Belirli, açık ve meşru amaçlar için işlenmektedir:
Kişisel Veri, verinin ilk toplandığı sırada Veri Sahibine bildirilen belirli amaçlar çerçevesinde ya da Kanun tarafından özellikle izin verilen herhangi başka bir amaçla işlenebilir. Bu, Kişisel Verinin belirli bir amaç için toplanıp, sonradan başka bir amaç için kullanılamayacağı anlamına gelir.
Sınırlı, ölçülü ve amaç için gerekli şekilde işlenmektedir:
Kişisel veri, sadece Veri Sahibine bildirilen belirli amacın gerektirdiği ölçüde toplanmalıdır. Bu amaç için gerekli olmayan herhangi bir verinin toplanmaması gerekir.
İşlenen veriler doğru ve gerektiğinde günceldir:
Veri Sahiplerinin verilerini güncellemeleri için olanaklar tanınmalı ve bu olanaklar konusunda Veri Sahipleri bilgilendirilmelidir. Kişisel verilerin alınması sırasında, güncelleme süreçlerine ilişkin Veri Sahiplerine bilgi verilmelidir. Çalışanlar tarafından da belirli aralıklarla verilerin güncelliği teyit edilmeli ve güncel olmayan veya güncel olarak işlenmesinde yarar görülmeyen tüm veriler, güncellenme imkanı söz konusu değil ise silinmeli ya da anonim hale getirilmelidir.
Kişisel Veri, ilgili mevzuat uyarınca öngörülmüş süreden ya da amacın gerektirdiğinden daha uzun süre tutulmamalıdır. Başka bir deyişle, kişisel verilerin işlenmesi artık gerekli olmadığında veya ihtiyaç kalmadığında, kişisel veriler yok edilmeli ya da MD sistemlerinden silinmelidir veya anonim hale getirilmelidir. Kişisel Verinin gelecekte kullanılması gerekebileceği varsayımı ile saklanmaması ve arşivlenmemesi gerekmektedir.
Her bir iş birimi, farklı türdeki Kişisel Verilerin işlenmesi için gerekli süreyi değerlendirmeli ve gerekli sürenin ne kadar olduğunu yazılı şekilde belirlemelidir.
MD, Kişisel Verilerin elde edilmesi sırasında, verisi işlenecek olan gerçek kişileri mevzuat uyarınca bilgilendirmekle yükümlüdür. Bu bilgilendirme yükümlülüğün kapsamı aşağıdaki gibidir:
MD bu konuda, sistemlerinde işlemek üzere gerekli bilgilendirmeleri yapacak ve aydınlatma yükümlülüğünün gerçekleştirildiğinin ispatı için veri işlemeye ilişkin Veri Sahiplerinden aydınlatılmış onam alacaktır. Kişisel Veriler, MD elektronik ticaret ve satış mağazaları dahil tüm satış kanalları, mağazaları, şubeleri, internet siteleri, e-posta adresi, sosyal medya kanalları ve müşteri hizmeti çağrı merkezi hattı ve benzeri diğer tüm kanalları aracılığıyla otomatik ya da otomatik olmayan yollarla sözlü, yazılı veya elektronik olarak toplanabilecektir.
Yazılı Şekilde Kişisel Veri Elde Edilmesi:
Yazılı şekilde, Kişisel Veri elde edilmesi sırasında, işbu Politika’ya referans verilmek ve ilgili form ve bilgilerin kullanılması kaydıyla verilerin işlenmesine ilişkin Aydınlatma Yükümlülüğü yerine getirilecektir. Ayrıca, müşteri ilişkisi kurulan kişilerden alınacak İzinli İletişim Formları dahil her tür form ve sözleşme, Kişisel Verilerin işlenmesine ilişkin İlgili kişinin açık rızasını içermektedir. Müşteri ilişkilerinde, Kanun’a uyumu tevsik eder nitelikte kullanılan yeni formlar, belgeler ve bilgilendirmeler kullanılmakla birlikte tüm ilgili çalışanlar da bu konuda gerçek kişiye yeterli düzeyde detaylı bilgiyi sağlamak ve referansları göstermek konusunda eğitilmiştir.
Sözlü Şekilde Kişisel Veri Elde Edilmesi:
Hâlihazırda alınan formlar uyarınca işlenen mevcut müşterilere ilişkin herhangi bir şekilde, mevcutta olmayan yeni bir veri elde edilmesi ve herhangi bir iletişim yöntemi aracılığıyla veri elde edilmesi sırasında Kişisel Verilerin işlenmesine ilişkin aydınlatma yükümlülüğüne ilişkin bilgi verilmektedir. Sözlü veri elde edilmesi sırasında, önceden bilgi verilmek kaydıyla görüşmenin kaydedildiği hatırlatılmakta ve Kişisel Verilerinin işbu Politika ve var ise mevcut formlarına dâhil olarak işleneceği konusunda onam verildiği teyit edilmektedir.
Elektronik Ortamda Kişisel Veri Elde Edilmesi:
Elektronik ticaret kanalları ve MD’nin diğer internet kanalları ile elde edilen veriler de işbu Politika dâhil olmak üzere, Kişisel Verilerin elde edilmesi ve işlenmesini gerektiren mesafeli satış sözleşmeleri dâhil tüm sözleşme ve belgeler / bağlantı adresleri / internet sayfaları Kişisel Verilerin işlenmesine ilişkin açık rıza ve aydınlatma yükümlülüğüne ilişkin kanuni gereklilikleri sağlamaktadır. İşbu Politika MD’nin internet sitesinde yer almaktadır. Veri elde edilmesini gerektirebilecek her bağlantı adresinde veri elde edilmesi için MD tarafından aydınlatma yükümlülüğünü yerine getirildiğine ve/veya açık rıza onayının alındığını tevsik eden sistemler kullanılmaktadır.
Kişisel veriler kural olarak, Mevzuatta belirlenen kişisel veri işleme şartlardan en az birine uygun olarak yeterli teknik ve idari tedbirleri alarak ve ilgili veri işleme faaliyeti kapsamında hazırlanan Aydınlatma Metnine uygun olarak işlenmelidir. Şirket bu şartları sağlamayan kişisel veri işleme faaliyetlerine süreçlerinde yer vermemektedir.
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızası olup, kişisel veri sahiplerine aydınlatma yükümlülüğünün yerine getirilmesi kapsamında yapılacak bilgilendirme sonrası açık rıza alınması gereken durumlarda, kişisel veri sahiplerinin açık rıza vermesi halinde işlenir.
Kişisel Veriler, Veri Sahibinin açık rızası halinde işleme hariç olarak, ancak işlemenin kanunlarda açıkça öngörülmüş olması; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; işlenen verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması; işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu olması hallerinden birinin varlığı halinde işlenecektir. Ancak Kişisel Verilerin işlenmesine ilişkin burada sınırlı olarak sayılan istisnalar kapsamında işlenen verilerin Sahiplerine, Kanun’un 16. maddesi uyarınca öngörülen Aydınlatma Yükümlülüğü’nü kapsayacak şekilde bilgilendirme yapılacak, söz konusu bilgilendirme ile Kişisel Verilerin MD tarafından işbu Politika uyarınca işlendiği konusunda bilgi verilecek ve verilerin Kanun, ilgili mevzuat ve işbu Politika’ya uygun olarak işlendiği teyit edilecektir.
Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler, kural olarak kişisel veri sahibinin açık rızası alınmak suretiyle işlenebilmektedir. Aşağıdaki durumlarda ise Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla özel nitelikli verilerin açık rıza şartına tabi olmadan da işlenmesi mümkündür:
MD bünyesinde, Özel Nitelikli Kişisel Veriler, yalnızca kanuni ve idari / adli mercii gerekliliklerinin yerine getirilmesi ve MD’nin işleyişi ile doğrudan ilgili olmak kaydıyla ve erişimi en üst düzeyde sınırlı ve güvenli olacak şekilde işlenmektedir. Söz konusu veriler, Kanun’a tam bir uyum göstermek Kişisel Verileri Koruma Kurulu tarafından belirtilen önlemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirlerin alınması kaydıyla, (i) sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler dışındaki veriler bakımından işlemenin kanunlarda açıkça öngörülmüş olması durumunda ve (ii) sağlık ve cinsel hayata ilişkin veriler bakımından ise ancak, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda Veri Sahibi’nin rızası aranmaksızın işlenebilir.
Ancak MD, bu istisna koşulları oluşsa dahi Veri Sahibi’ne Özel Nitelikli Kişisel Verilerinin işlenmesine ilişkin aydınlatma yükümlüğünün gerekliliklerini yerine getirerek Veri Sahibi’nin açık rızasını almaktadır. İstisnaların söz konusu olmadığı veya uygulanabilir olduklarına ilişkin şüphe duyulması halinde ise, açık rıza olmadan alınan Özel Nitelikli Kişisel Veriler derhal imha edilmektedir. Bu tip durumlarda, derhal, gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için MD KVK Komitesi birimine bilgi verilmektedir.
Çalışanların sağlık verileri dâhil Özel Nitelikli Kişisel Verileri de mevzuatın gerektirdiği ölçüde, İnsan Kaynakları iş birimi tarafından MD Özel Nitelikli Kişisel VerilerinKorunması Politikasına uygun olarak işlenebilmektedir. Ayrıca, bir takım sağlık verileri iş yeri hekimi ve iş güvenliği uzmanları tarafından işlenebilmektedir. İnsan Kaynakları ve işyeri hekimi tarafından işlenen sağlık verileri, Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri dikkate alınarak işlenmekte ve ilgili birimler dahil hiçbir iş birimi ile paylaşılmamaktadır. Söz konusu verilere erişim en üst düzeyde sınırlıdır. Bu veri grubuna ilişkin arşivleme amacıyla üçüncü kişiler ile paylaşımlar şifreleme sistemleri ile korunmaktadır ve ilgili birimler dışında hiçbir kişinin sağlık verilerine erişimi söz konusu olmamaktadır. İşyeri hekimi tarafından işlenen verilerin arşivleme amacı için dahi olsa hiçbir üçüncü kişi ile paylaşımı söz konusu değildir. Yasal mevzuat gereği işyeri hekimi tarafından ilgili sağlık verileri, Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca Sağlık Bakanlığı’nın belirleyeceği standartlar çerçevesinde Sağlık Bakanlığı nezdindeki Merkezi Sağlık Veri Sistemi’ne aktarılmaktadır.
Çalışan adaylarına ilişkin toplanan kişisel veriler, Çalışan Adayı Aydınlatma Metnine uygun olarak; işe başvuru süreçlerinin yürütülmesi ve MD işe alım politikalarının geliştirilmesi amaçlarıyla sözleşmenin kurulmasıyla ilgili olması kaydıyla veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri işlenmesinin meşru menfaatlerimiz için zorunlu olması, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenmektedir. Çalışan adayına ilişkin veriler çalışanın işe alımının söz konusu olmaması halinde makul bir süre sonunda silinmektedir. İşe alım halinde ise bu veriler kişinin özlük dosyasında saklanmaya devam edilmektedir.
Çalışan’a ilişkin veriler kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifası, hukuki yükümlülüklerimizin yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve meşru menfaat hukuki sebeplerine dayalı olarak Çalışan Aydınlatma Metni’nde detaylı izah edilen veri işlemle amaçları doğrultusunda iş ilişkisi süresince ve iş ilişkisinin sona ermesini takip eden mevzuatta öngörülen süreler sonuna kadar işlenmektedir.
Şirket Aydınlatma Metninde veri işleme amaçlarına detaylı olarak yer verildiği şekilde, Potansiyel Müşteri ve Müşteri’ye ilişkin veriler “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayalı olarak açık rıza süreçlerine tabi olmadan işlenmektedir. Diğer yandan ilgili kişi açık rıza vermesi halinde ise paylaştığı veriler Şirket’in reklam, tanıtım ve pazarlama faaliyetleri çerçevesinde de işlenebilmektedir.
Şirket bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayalı olarak hizmet sağlayıcı, tedarikçi ve iş ortaklarının şirket yetkilileri ile çalışanlarının verilerini işleyebilmektedir.
Çalışan Adayı
Kimlik Verisi: Ad-soyad, T.C kimlik numarası, doğum tarihi gibi veriler
İletişim Verisi: Cep telefon numarası, ev adresi, şahsi e-posta adresi gibi
Özlük Verisi: Özgeçmiş bilgileri, maaş bilgileri,
Mesleki Deneyim Verisi: Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri
Çalışanlar
Kimlik Verisi: Ad-soyad, T.C kimlik numarası, doğum tarihi gibi veriler
İletişim Verisi: Cep telefon numarası, ev adresi, şahsi e-posta adresi gibi
Özlük Verisi: Özgeçmiş bilgileri, maaş bilgileri,
Mesleki Deneyim Verisi: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri,
Finans Verisi: Banka hesap bilgisi, IBAN bilgisi
Görsel ve İşitsel Kayıtlar: Fotoğraf ve video kayıtları
Aile Bireyleri ve Yakın Verisi: Aile bireyleri, yakınına ait iletişim bilgileri
Lokasyon Verisi: Şirket aracı GPS bilgileri,
İşlem Güvenliği Verisi: IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri
Fiziksel Mekan Güvenliği: Giriş çıkış kayıtları, kamera kayıtları
Hukuki İşlem Verisi: Dava/icra süreçlerine ilişkin bilgiler
Sağlık Verisi: Sağlık raporu, iş kazası raporu gibi belgeler
Ceza Mahkumiyeti Bilgisi
Müşteri /Potansiyel Müşteri
Kimlik Verisi: Ad – soyad, doğum tarihi, cinsiyet, medeni durum
İletişim Verisi: Cep telefonu numarası, adresi, e-posta adresi;
Finans Verisi: Banka bilgileri, kredi kartı bilgileri
Hukuki işlem Verisi: Dava/icra süreçlerine ilişkin bilgiler
Fiziksel Mekan Güvenliği: Kamera kayıtları
Müşteri İşlem Bilgileri: Bize ilettiğiniz talepler, sipariş bilgisi
Pazarlama Verisi: Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler
Görsel ve İşitsel Kayıtlar: Fotoğraf ve video kayıtları
Hizmet Sağlayıcı/Tedarikçi / İş Ortağı
Kimlik Verisi: Ad – soyad
İletişim Verisi: Cep telefon numarası, adresi, e-posta adresi
Özlük Verisi: Özgeçmiş bilgileri
Mesleki deneyim Verisi: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri,
Görsel ve İşitsel Kayıtlar: Fotoğraf ve video kayıtları
Fiziksel Mekan Güvenliği: Kamera kayıtları
Ceza Mahkumiyeti Verisi: adli sicil kaydı
Sağlık Verisi: Sağlık raporu
Finans Verisi
MD, mevzuatta belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak; ancak burada sayılanlarla sınırlı olmamak üzere, kişisel verileri çeşitli amaçlarla işlemektedir.
Şirket merkez binamız ile mağazalarımızı ziyaret etmeniz halinde kapalı devre kamera sistemiyle görsel verileriniz elde edilebilecek ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak aşağıda belirtilen amaçlar için gerekli bir süre boyunca saklanabilecektir.
Kapalı devre kamera sistemi kullanımı ile suç teşkil eden davranışların önlenmesi ve takip edilmesi, Şirket merkez binamız ile mağazalarımızda yer alan değerli maden, para, kıymetli evrak ve her türlü eşyanın güvenliğinin tesisi, ziyaretçilerimizin ve çalışanlarımızın sağlığının ve güvenliğinin korunması amaçlanmaktadır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Şirketimiz, genel hususlara ilişkin olarak yaptığı aydınlatmanın yanı sıra izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı ile uyarı levhaları yerleştirmektedir. Böylelikle, kişisel verileri işlenen veri sahiplerinin haklarının korunması ve kişisel veri işlenmesinde şeffaflığın sağlanması amaçlanmaktadır. Kapalı devre kamera sistemi aracılığıyla elde edilen verilerinizin güvenliğinin sağlanması için gerekli her türlü teknik ve idari önlem ise Şirketimiz tarafından alınmaktadır.
Kapalı devre güvenlik kamera sistemleri aracılığıyla toplanan kayıtlar Şirket merkezimizde kaydedildiği tarihten itibaren olmak üzere 60 (altmış) gün, mağazalarımızda 100 (yüz) gün süresince muhafaza edilmekte ve bu sürenin sonunda otomatik olarak kayıtlardan silinmektedir.
Tüm ilgili kişiler Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahiptir. İlgili kişi sayılan haklarını kullanmak adına, Kanun’un 13. ve 14. maddelerinde yer alan başvuru usulüne uygun olarak Şirkete talep iletmesi durumunda, Şirket öncelikle şikâyetin usulüne uygun bir şekilde yapılıp yapılmadığını inceler ve ardından gerekli bilgilendirmeyi ilgili kişiye yapar. Şirket tarafından, söz konusu hakkın ne şekilde kullanılacağı ve bilgi talebine ilişkin hususların nasıl değerlendirileceği ile ilgili ilgili kişiye gerekli bilgilendirme yapılmaktadır.
İlgili kişiler yukarıda belirtilen haklarına ilişkin taleplerini Şirket resmi internet adresinde bulunan Başvuru Formu’nu eksiksiz doldurarak işbu formda yer alan kanallar üzerinden Şirket’e iletebileceklerdir. Veri Sahibi, talep ve şikâyetlerini MD KVK Komitesi tarafından kimlik kontrolü yapılmak kaydıyla şahsen veya noter onaylı vekâlet sunulması kaydıyla vekâleten yapılan başvurular, noter kanalı ile yapılan başvurular ve güvenli elektronik imza kullanılmak kaydıyla kayıtlı elektronik posta adresiyle mucevherdokum@hs01.kep.tr (?) adresine veya info@mucevherdokum.com adresine yapılabilecektir.
Şirkete iletilen usulüne uygun talepler, bu taleplerin Şirkete usulüne uygun bir şekilde iletildiği tarihten itibaren en geç 30 (otuz) gün içinde sonuçlandırılacaktır. Söz konusu taleplerin sonuçlandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır.
Kişisel verileriniz, Kanun’un 8. ve 9. maddesinde belirtilen veri aktarma ve işleme şartları ile yukarıda sayılan amaçların gerçekleştirilmesini sağlamak amacı ile mevzuatta belirlenen güvenlik ve gizlilik esasları uyarınca yeterli ve etkili önlemler alınmak kaydıyla; hissedarlarımızla, iş ortaklarımız Franchise’larımız, satış noktalarımız ve yetkili servislerimizle, hizmet alınan tedarikçilerle (kargo, sigorta, araştırma firmaları, reklam ajansları, bilgi işlem, finans, hukuk gibi danışmanlık hizmeti veren kuruluşlar), iştiraklerimiz, grup şirketlerimiz, kanunen yetkili kamu kurumları ve kanunen yetkili özel kişiler ile paylaşılabilecektir.
MD, iş ortaklarının ve tedarikçilerinin seçiminde kişisel verilerin gizliliğine ilişkin hususlarda ön inceleme yaparak; onlarla yapacağı sözleşmelerde Kişisel Verilerin güvenliği ve gizliliğine ilişkin Kanun’un gerekliliklerini yerine getiren hükümlere yer verilmesini sağlamaktadır.
6698 sayılı Kanun’un 9. maddesine göre kişisel verilerin yurt dışına aktarılabilmesi için de ilgili kişinin açık rızası bulunması gerekmektedir. Ancak 6698 sayılı Kanun’un 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin var olması ve bu halin varlığına ek olarak kişisel verinin aktarılacağı yabancı ülkede aşağıdaki şartlardan duruma uygun olanının karşılanması durumunda kişisel verilerin yurt dışına aktarımı mümkün olabilir: a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (Yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edilir.)
MD, Kişisel Verilerin hukuka aykırı işlenmesini önlemek, Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Veri güvenliğinin sağlanması, aşağıda tanımlandığı üzere, kişisel verinin gizliliğinin, bütünlüğünün ve erişiminin garanti altına alınması anlamına gelmektedir.
Kişisel Verilere ilişkin güvenlik prosedürleri, veri güvenliğine ilişkin teknik anlamda yetkin MD bünyesindeki Bilişim Teknolojileri (“BT”, “IT”) birimine danışılarak yürürlüğe konmaktadır. Her iş biriminin erişim yetkileri, ilgili iş birimi bakımından gerektiği ölçüde sınırlandırılmıştır. İlgili sınırlandırmalar düzenli aralıklarla gözden geçirilmekte ve Kişisel Verilere erişim yalnızca zorunlu olduğu ölçüde söz konusu olmaktadır.
MD’nin tüm çalışanları, veri güvenliğine ilişkin belirlenecek prosedürler çerçevesinde bilgilendirilerek düzenli aralıklarla eğitilmektedirler. Bu kapsamda, Kişisel Verilere erişmek üzerine şifre ile giriş yapılan sistemlere ilişkin şifreler, herhangi bir üçüncü kişiye veya yetkisiz çalışana açıklanmamaktadır.
MD nezdinde tutulan Kişisel Veriler dahil tüm verilerin güvenliği için gereken teknik önlemler halihazırda alınmakta olup MD tarafından mevcut güvenlik sistemleri, virüs koruma programları ve ileti gönderilerine ilişkin koruma sistemleri periyodik olarak denetlenerek tüm bu sistemlerin en güncel sürümleri yürürlüğe konulması için azami çaba sarf edilmektedir. Bu konuda, teknolojik gelişmeler takip edilerek ve ortaya çıkabilecek risklere en kısa sürede müdahale edecek teknik ekip ve sistem tahsis edilmesi hususuna özen gösterilmektedir.
Yukarıdakilere ek olarak, tüm MD çalışanları, işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve/veya Kişisel Verilerin güvenliğine ilişkin herhangi bir riskin söz konusu olması hâlinde derhal gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için MD KVK Komitesi birimine bilgi verilmesini sağlamaktadır.
Alınan güvenlik tedbirleri aşağıda sıralanmıştır:
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren makul süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Veriler’in saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili Şirket tekniklerine dair detaylı düzenlemeler Şirket’in Kişisel Veri Saklama ve İmha Politikası’nda yer almaktadır.
Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
MD, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde; Mevzuatta kişisel verilerin işlenmesi kapsamında uyulması gereken genel ilkelere, Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken teknik ve idari tedbirlere ve Kurul kararlarına uygun hareket etmektedir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin detaylı düzenlemelere MD Kişisel Verilerin Saklama ve İmha Politikasında yer verilmiştir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer.
İlgili kişisel verinin işlenmesi mevzuat bakımından gerekli ve saklanması açısından da bir süre öngörülmüş ise bu süreye uyulur. Mevzuatta belirlenen sürenin sona ermesi halinde kişisel verileri daha uzun saklamayı haklı kılacak herhangi bir şartın mevcut olmaması halinde uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
İlgili Mevzuatta bir kişisel verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması halinde; İlgili mevzuat çerçevesinde kişisel verilerin işlenebileceği makul süreler tespit edilir. Bu sürelerin sona ermesiyle ilgili veriler uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
İlgili kişinin, mevzuat kapsamında kişisel verileri üzerindeki haklarını ileri sürmesi ve bunun üzerine taleplerinin veri sorumlusu tarafından kabul edilmesi halinde de kişisel veriler silinir, anonimleştirilir ya da yok edilir.
İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile Şirket’e yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması halinde de kişisel veriler silinir, anonimleştirilir ya da yok edilir.
MD tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi ile Saklama ve İmha Politikasının icrası için Kişisel Verilerin Korunması Komitesi kurulmuştur.
Bu komitenin görevleri;
MD aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir.
MD, Kanun uyarınca tüm süreçlerini Kanun’a uygun şekilde yönetmek ve Kanun’un gerekliliklerini yerine getirmek amacıyla hâlihazırda Türkiye Cumhuriyeti Anayasası ve Türk Ceza Kanunu hükümleri ile kişisel veri korumasına ilişkin uluslararası genel ilkelere uyumlu süreçlerini iyileştirmektedir. Bu kapsamda, tüm iş birimlerine uygulanmak üzere hazırlanan işbu genel Politika uyarınca, Kişisel Verilerin MD tarafından işlenme esasları ile tüm iş birimlerini ve çalışanlarını bağlamaktadır.
İşbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanmakta ve KVKK Aydınlatma Metni internet adresinde kamuya açıklanmaktadır. Basılı kâğıt nüshası da İrtibat Kişisi/MD Kişisel Verileri Koruma Komitesi tarafından dosyasında saklanır.
MD tarafından düzenlenerek internet sitesi üzerinde yayını itibariyle yürürlüğe giren işbu Politika, Veri Sahibinin talebi üzerine ilgili kişilerin erişimine sunulur. İşbu Politika, internet sitesinden kaldırılana kadar yürürlükte kalmaya devam eder
Ek Bilgiler – İletişim Bilgileri
Güveniniz bizim için önemlidir. Bu nedenle kişisel verilerinizin işleme alınması ile ilgili olarak her zaman sorularınıza yanıt vermek arzusundayız. Bu veri koruma açıklamasında yanıt alamadığınız sorular varsa veya bir konuya ilişkin daha detaylı bilgi almak istediğiniz zaman lütfen bizimle bağlantı kurunuz:
Veri Sorumlusu:
MD MÜCEVHER KUYUMCULUK SANAYİ VE TİCARET LTD. ŞTİ.
Adres: Molla Fenari Mahallesi, Selvili Mescit Sokak, No:8, İç Kapı No:1, Fatih/İstanbul
Telefon: 0212 526 18 85 / +90 541 603 02 89
E-Posta: info@muceverdokum.com
© Mücevher Döküm 2024