MNA LABORATUVARLARI SANAYİ TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI İŞLENMESİ
SAKLANMASI VE İMHA POLİTİKASI
1. GİRİŞ
A. POLİTİKANIN AMACI ve KAPSAMI
MNA LABORATUVARLARI SANAYİ TİCARET LİMİTED ŞİRKETİ (“MNA”) veri sorumlusu olarak, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz diğer gerçek kişilere ait kişisel verilerin korunmasına büyük önem vermekteyiz. İşbu Politikanın temel amacı, MNA’nın faaliyetleri sırasında elde ettiği kişisel verilerin işlenmesine ve korunmasına yönelik alınan idari ve teknik tedbirler ile başta 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuatta anılan ilkeler doğrultusunda işlenmesine dair izlenilen yöntemleri ve tüm bu sürece ilişkin veri sahibi ilgili kişileri bilgilendirerek şeffaflık sağlamaktır. İşbu politika, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz sayıları sınırlı olmamak üzere; MNA tarafından veri işleme faaliyetine tabi tutulan tüm gerçek kişilere uygulanmaktadır.
B. TANIMLAR
MNA, işbu Kişisel Verilerin Korunması İşlenmesi Saklanması ve İmha Politikasında kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır.
MNA : MNA LABORATUVARLARI SANAYİ TİCARET LİMİTED
ŞİRKETİ’ni.
Açık rıza : Belirli bir konuya ilişkini bilgilendirilmeye ve özgür iradeyle açıklanan rıza.
Anonim hale getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : MNA personelini.
Çalışan adayı : MNA’ya iş başvurusunda bulunmuş kişiyi.
Stajyer : MNA’da staj gören kişiyi.
Tedarikçi : Sözleşme temelli MNA’ya hizmet veya mal sunan gerçek kişiyi.
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi.
Kişisel veri sahibi (ilgili kişi): Kişisel verisi işlenen gerçek kişi.
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi
Kişisel veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
KVK Kanunu : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu : Kişisel Verileri Koruma Kurulu
KVK Kurumu : Kişisel Verileri Koruma Kurumu
Politika : MNA’nın Kişisel Verilerin Korunması İşlenmesi Saklanması ve İmha Politikasını
2. İLGİLİ KİŞİLERE KARŞI AYDINLATMA YÜKÜMLÜLÜĞÜMÜZ
MNA, veri sorumlusu olarak meşru ve hukuka uygun kişisel veri işleme amaçlar doğrultusunda kişisel verileri toplarken 6698 sayılı Kanun’un 10. Maddesinden hareketle, Veri sorumlusu olarak ticari unvanımıza ilişkin bilgileri, Kişisel verilerin hangi amaçla işleneceğini, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, Kişisel veri toplama yöntemlerimizi ve hukuki sebeplerimiz ile ilgili kişinin Kişisel Veri mevzuatından doğan hakları hususlarında aydınlatma yükümlülüğümüzün bilinciyle hareket etmeke kişisel veri sahiplerini aydınlatmaktayız. MNA olarak; ilgili kişileri karşı aydınlatma yükümlülüğümüzü açık, anlaşılır ve kolay erişilebilirliğine önem vermekteyiz. Bu kapsamda şirket yerleşkesinde herkesin görebileceği alanlara Aydınlatma metinleri yerleştirilmiştir. Ayrıca aydınlatma yükümlülüğümüzü, internet sitemiz üzerinden ve ilgili kişi bilgilendirme metinleri vasıtasıyla yerine getirmekteyiz. İnternet sitemiz üzerinden bu politika ile birlikte aydınlatma metni ve başvuru formu da yayınlanmıştır.
3. KİŞİSEL VERİLERİN TASNİFİ
MNA’nın, veri sorumlusu olarak öncelikle ticari faaliyetlerimiz ve istihdam amaçlarımız ile meşru ve hukuka uygun kişisel veri işleme amaçları ile kişisel veri mevzuatında benimsenen ilkeler doğrultusunda; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz diğer gerçek kişilere ile sınırlı olarak kişisel verileri işlemekteyiz.
Kişisel verilerin korunması sadece gerçek kişileri kapsamaktadır. Bu nedenle salt tüzel kişilere ait bilgileri veri koruma kapsamında değildir. İşbu politika hükümleri Tüzel kişilerin verilerine yönelik uygulanmayacaktır.
Özel nitelikli kişisel veriler (Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.) için de işbu politika hükümleri uygulanacaktır.
MNA veri sorumlusu sıfatıyla, Kurum tarafından çıkarılan Veri Sorumluluları Sicil Yönetmeliği kapsamında kişisel veri envanteri oluşturmuştur. İşbu kişisel veri envanterinde veri kategorilerini, verinin işleme amaçlarını, veri kaynağını, veri işleme süreçlerini, veri aktarımını, aktarıldığı alıcı gruplarını, veri saklama sürelerini, alınan teknik ve idari tedbirlerini düzenlemiştir. MNA kişisel veri envanterinde aşağıda sayılan veri kategorileri bulunmaktadır.
1-Kimlik Bilgisi: İlgili gerçek kişiye ait Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.
2-İletişim Bilgisi: İlgili gerçek kişiye ait Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.
3-Özlük Bilgileri: İlgili gerçek kişinin, veri sorumlusu ile akdettiği hizmet sözleşmesi uyarınca çalışan sıfatıyla özlük haklarının oluşmasına yönelik işlenen kişisel veriler. Örneğin: Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.
4-Hukuki İşlem Bilgileri: Veri sorumlusunun ticari faaliyet kapsamında haklarının tespiti, alacaklarının tahsili, borçlarının ifası ile kanuni yükümlülüklerin yerine getirilmesi sırasında işlenen kişisel veriler. Örneğin Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
5-Müşteri İşlem Bilgileri: Veri sorunmlusunun ticari faaliyetleri kapsamında, ürün ve hizmetlerin satışına, kullanımına yönelik kayıtlar ile müşterinin taleplerinin yerine getirilmesi esnasında işlenen kişisel veriler. Örneğin: Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
6-İşlem Güvenliği : İlgili kişiye ait IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri gibi kişisel veriler.
7-Finans Bilgileri: Veri sorumlusunun ilgili kişiler ile kurmuş olduğu ticari ilişkinin gereği olarak işlenen veriler. Örneğin Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.
8-Mesleki Deneyim: Veri sorumlusunun, ilgili kişi ile hizmet sözleşmesi kapsamında anlaşma sağlamasından önce ve anlaşma sağladıktan sonraki süreçte iş organizasyon faaliyeti kapsamında işlemiş olduğu veriler. Örneğin, Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
9-Sağlık Bilgileri : Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişiye yönelik mevzuattan kaynaklanan yükümlülüğünü yerine gitmesi amacıyla işlenen kişisel veriler. Örneğin Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
10-Ceza Mahkûmiyeti Ve Güvenlik Tedbirlere ilişkin bilgi: Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişiye yönelik mevzuattan kaynaklanan yükümlülüğünü yerine gitmesi amacıyla işlenen kişisel veriler.
4. KİŞİSEL VERİLERİN İŞLENMESİ
A. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSEDİĞİZ İLKELER MNA olarak veri sorumlusu sıfatıyla, aydınlatma yükümlülüğünü ve rızanın alınması gereken koşullarda ilgili kişiden rızalarını talep ederek ve bu kişisel verileri aşağıda sayılan ilkeler doğrultusunda işlemekteyiz.
A.i. Hukuka ve Dürüstlük Kuralına Uygun İşleme MNA olarak kişisel verileri hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğümüzü yerine getirerek işlemekteyiz. Dürüstlük kuralına uygun hareket etme adına, veri işleme amacına ulaşırken ilgili kişilerin hak ve menfaatlerine büyük önem veriyoruz.
A.ii. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama MNA olarak kişisel verili doğru ve güncel olarak tutma önceliklerimiz arasındadır. Bu sebeple ilgili kişilerin verilerini güncellemesi ve var ise hatalı kayıtların düzeltilmesi için başvuru kanallarımızı açık tutmaktayız.
A.iii. Belirli, Açık ve Meşru Amaçlarla İşleme MNA olarak işlenen kişisel verilerin kapsamı, amacı ve içeriği açıkça belirlenmiştir. Kişisel verilerinizi; ticari faaliyetlerimizle bağlantılı, iş organizasyonumuzu mevzuata uygun yönetmek amaçlarıyla yeterli ölçüde işlemekteyiz.
A.iv. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
MNA olarak kişisel verilerinizi belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü işlemekteyiz. Amacımızın gerçekleşmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerinizi yasal gereklilik olmadığı sürece işlememekte; işlememiz gerektiğinde ise açık rızanızı talep etmekteyiz. A.v. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
MNA olarak kişisel verilerinizi ilgili mevzuatın öngördüğü süre kadar muhafaza etmekteyiz. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için öngörülen süre tespit edilmekte ve bu süreye uygun hareket edilmektedir. Mevzuatta saklama süresi düzenlenmediği takdirde kişisel verilerinizi işlendiği amaç için gerekli olan süre kadar saklamaktayız. Saklama süresi sonunda kişisel veriler, verinin niteliğine göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
B. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ
MNA tarafından elde edilen kişisel verileriniz aşağıda açıklanan amaçlar dahilinde işlenecektir.
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Eğitim Faaliyetlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Yukarıda sayılan amaçlar kapsamında gerçekleştirilen işleme faaliyetinin Kanun’un 5. ve 6. maddesinde öngörülen hukuka uygunluk nedenlerinden birini karşılamaması halinde, ilgili işleme sürecine yönelik olarak MNA tarafından açık rızasın alınmaktadır.
C. KİŞİSEL VERİ TOPLAMA YÖNTEMLERİMİZ
MNA olarak kişisel verilerinizi; ticari, hukuki, sözleşmesel veya başka bir şekilde kurulan ilişki kapsamında toplanmaktadır. (Örn: Sınırlı sayıda olmamak üzere iş başvuru formu, staj başvuru formu, basılı/ iletişim veya şikayet formları, çevrimiçi elektronik formlar, iş sözleşmeleri, mesleki eğitim staj sözleşmesi, sözleşmeler, özgeçmiş, , bilgi sistemleri, , İŞKUR, özel istihdam büroları ve web siteleri, ilgili kişi tarafından beyan edilen bilgiler ve ibraz edilen belgeler.)
D. KİŞİSEL VERİ TOPLANMASINDA HUKUKİ SEBEPLERİMİZ
MNA, yukarıda detaylı olarak açıklanan amaçlar çerçevesinde kişisel verileri;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayanarak toplamaktadır.
E. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN TOPLANMASINA İLİŞKİN HUKUKİ SEBEPLERİMİZ
MNA olarak sağlık verilerini Kanun’un 6. Maddesi’nin 3. fıkrasında “kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” Düzenlemesindeki hukuki sebebe dayanarak işlemekteyiz. Ancak söz konusu bilgilerin işlenmesinde ilgili kişinin açık rızası alınmaktadır. MNA olarak, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kişi kişisel veriler yukarıda belirtilen amaçlar doğrultusunda, Kanun’un 6. Maddesindeki “sağlık ve cinsel hayat verileri dışındaki verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği” hukuki sebebine dayanılarak işlenmektedir. Ancak söz konusu bilgilerin işlenmesinde ilgili kişinin açık rızası alınmaktadır.
F. KİŞİSEL VERİ İŞLEME ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. Bu nedenle MNA olarak aşağıda sayılan hallerde kişisel verileri açık rıza olmaksızın işleyebilmekteyiz.
F.i. Kanunlarda Açıkça Öngörülmesi
İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
F.ii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
F.iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
F.iv. Hukuki Yükümlülüğünü Yerine Getirmesi
MNA’nın, hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
F.v. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
F.vi. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
F.vii. MNA’nın Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla MNA’nın meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
5. KİŞİSEL VERİLERİN AKTARILMASI
A. KİŞİSEL VERİLERİNİZİN YURT İÇİNE AKTARIMI
MNA olarak veri sorumlusu sıfatıyla, kişisel verilerin aktarılması konusunda Kanun’da öngörülen düzenlemelere ve Kurul tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz.
Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak üzere, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan üçüncü kişilere aktarılmaz.
B. KİŞİSEL VERİLERİNİZİN YURT DIŞINA AKTARIMI
MNA olarak veri sorumlusu sıfatıyla, kişisel verilerinizi yurtdışına aktarmıyoruz.
6. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TEDBİRLER
A. KİŞİSEL VERİLERİN SAKLANMASI
MNA tarafından ilgili kişiler olan çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz diğer gerçek kişilere ait kişisel verileri Kanun’a uygun olarak saklanır.
MNA, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, MNA öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
MNA işlenen kişisel verileri ilgili mevzuatta öngörülen süre kadar muhafaza eder.
Bu kapsamda kişisel veriler;
● 6698 sayılı Kişisel Verilerin Korunması Kanunu
● 6098 sayılı Türk Borçlar Kanunu
● 6102 sayılı Türk Ticaret Kanunu
● 4857 sayılı İş Kanunu
● 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
● 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
● 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla
İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
● 213 sayılı Vergi Usul Kanunu
MNA aşağıda sayılan amaçlar doğrultusunda işlemekte olduğu kişisel verileri saklamaktadır. Bu amaçlar;
● İnsan kaynakları süreçlerini yürütebilmek
● Denetim ve etik faaliyetlerini yürütebilmek
● Bilgi güvenliği süreçlerini yürütmek
● Çalışan memnuniyeti ve bağlılığı süreçlerini yürütmek
● Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülükleri yerine getirmek
● Çalışanlar için yan haklar ve menfaatleri süreçlerini yürütmek
● Çalışan adaylarının başvuru süreçlerinin yürütülmesi
● Çalışan adayı, stajyer seçme ve yerleştirme süreçlerinin yürütülmesi
● Eğitim faaliyetlerini yürütmek
● Erişim yetkilerini belirlemek
● Finans ve muhasebe işlerini yürütmek
● Görevlendirme süreçlerini yürütmek
● Hukuk işlerini yürütmek
● İç denetim, disiplin faaliyetlerinin yürütülmesi
● İletişim faaliyetlerini yürütmek
● İş faaliyetlerinin yürütülmesi ve denetimi
● İş sağlığı ve güvenliği faaliyetlerini yürütmek
● Mal / hizmet satın alım süreçlerini yürütmek
● Mal / hizmet satış süreçlerini yürütmek
● Mal / hizmet satış sonrası destek hizmetlerini yürütmek
● Mal / hizmet üretim ve operasyon süreçlerini yürütmek
● Saklama ve arşiv faaliyetlerini yürütmek
● Sosyal sorumluluk ve sivil toplum aktivitelerini yürütmek
● Sözleşme süreçlerini yürütmek
● Yetkili kişi, kurum ve kuruluşlara bilgi vermek
● Yönetim faaliyetlerinin yürütülmesidir.
MNA olarak elde ettiğimiz kişisel verileri saklama süresine uygun olarak, Elektronik Ortamlarda ( Veri tabanları, yazılımlar, taşınabilir cihazlar, uygulama otomasyonları, bulut ortamları) ile elektronik olmayan ortamlarda ( Klasör, kâğıt ortamı gibi)
B. KİŞİSEL VERİLERİN İMHASI
MNA tarafından işlenen kişisel veriler;
B.i. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
B.ii. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
B.iii. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması,
B.iv. Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun MNA tarafından kabul edilmesi
B.v. MNA’nın ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması
B.vi. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, MNA tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
C. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
MNA’nın işlemiş olduğu kişisel veriler ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
C.i. Kişisel Verilerin Silinmesi
MNA olarak, kişisel verilerin hukuka uygun olarak silinmesi işlemini gerçekleştirebilmek amacıyla tarafımızca teknikler şu şekildedir:
Fiziksel ortamda bulunan, kişisel veriler karartma yöntemi kullanılarak veya belgenin, ilgili kullanıcılar tarafından hiçbir şekilde erişilmeyecek şekilde güvenli bir ortamda saklanılması suretiyle silinmektedir.
Veri tabanlarında yer alan kişisel veriler, İlgili kullanıcının, rol ve izin ataması yapılarak, veri tabanında yer alan kişisel verilere erişimi engellenmektedir.
Merkezi sunucularda yer alan kişisel veriler İlgili kullanıcının, kişisel veri içeren dosyanın bulunduğu dizin üzerindeki erişim hakları kaldırılmaktadır.
Taşınabilir cihazlarda (USB, Hard disk, CD, DVD gibi) yer alan kişisel veriler Kişisel verilerin bulunduğu dosyalar şifreli olarak saklanmakta ve ilgili kullanıcının dosyaya erişimi engellenmektedir.
C.ii. Kişisel Verilerin Yok Edilmesi
MNA kişisel verilerin hukuka uygun olarak yok edilmesi işlemini gerçekleştirebilmek amacıyla şu teknikleri kullanmaktadır;
Fiziksel ortamda yer alan kişisel veriler; kâğıt kesme makinesi ile öğütülerek veya yakılarak yok edilmektedir. İmza işlemi sırasında Kişisel Veri İçeren Kayıtlara İlişkin İmha Tutanağı tertip edilir.
Bulut ortamlarında yer alan kişisel veriler; depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmekte, kullanılan şifre anahtarlarının yok edilmesi ile de bu ortamlarda yer alan kişisel veriler yok edilmektedir.
Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemlerde yer alan kişisel veriler Kişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir. Ayrıca, demanyetize etme yöntemi ile aygıtın üzerinde yer alan kişisel veriler okunamaz hale getirilerek yok etme işlemi gerçekleştirilmektedir. Bununla birlikte; özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilerek yok etme işlemi uygulanmaktadır.
C.iii. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7. SAKLAMA VE İMHA SÜRELERİ
Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir. Kişisel verilerin imha süresi MNA tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, MNA tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir. İnsan kaynakları çalışan süreçlerinin yürütülmesi Çalışanın işten ayrılmasından itibaren 10 yıl,
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
Çalışan adaylarına ilişkin süreçlerin yürütülmesi Başvuru tarihinden itibaren maksimum 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
Sözleşmesel ilişkilerin yürütülmesi Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
8. Periyodik imha süresi Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi gereğince MNA tarafından, 6 ay olarak belirlenmiştir.
9. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ VE KORUNMASINI SAĞLAMAK İÇİN ALINAN TEDBİRLER
A. MNA veri sorumlusu sıfatıyla, Kanun’un 12. Maddesine uygun olarak,
A.i. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
A.ii. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
A.iii. Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır.
B. MNA kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için özel Kurul tarafından belirlenerek ilan edilen önlemleri alır.
B.i. MNA tarafından alınan teknik tedbirler aşağıda sayılmıştır;
B.i.1. Ağ ve uygulama güvenliği sağlanmaktadır.
B.i.2. Anahtar yönetimi uygulanmaktadır.
B.i.3. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
B.i.4. Erişim logları düzenli olarak ve kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
B.i.5. Gerektiğinde veri maskeleme önlemi uygulanmaktadır
B.i.6. Güncel anti-virüs sistemleri kullanılmaktadır.
B.i.7. Güvenlik duvarları kullanılmaktadır.
B.i.8. Kişisel veri güvenliğinin takibi yapılmaktadır.
B.i.9. Kişisel veriler mümkün olduğunca azaltılmaktadır
B.i.10. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
B.i.11. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
B.i.12. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
B.i.13. Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
B.i.14. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
B.i.15. Sızma testi uygulanmaktadır.
B.i.16. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
B.i.17. Şifreleme yapılmaktadır.
B.i.18. Taşınabilir bellek, CD/DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
B.i.19. Veri kaybı önleme yazılımları kullanılmaktadır.
B.ii. MNA tarafından alınan İdari Tedbirler aşağıda sayılmıştır.
B.ii.1. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
B.ii.2. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
B.ii.3. Kişisel veri güvenliği politika ve prosedürleri hazırlanmıştır.
B.ii.4. Kişisel veri işleme envanteri hazırlanmıştır.
B.ii.5. Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
B.ii.6. MNA tarafından, kişisel veri işlemeye başlamadan önce, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
B.ii.7. Ortaya çıkabilecek riskler ile risk kontrol ve önlem adımları belirlenmektedir.
B.ii.8. Kişisel verilerin MNA çalışanları tarafından hukuka aykırı olarak işlenmesi halinde alınacak tedbirler çeşitli politika ve prosedürlerde düzenlenmektedir.
B.ii.9. Üçüncü kişilerle veri paylaşımının kapsamını belirleyen gizlilik sözleşmelerinin ve diğer sözleşmelerdeki gizlilik hükümlerinin yürürlüğe konulması sağlanmıştır.
10. İLGİLİ KİŞİ’NİN HAKLARI
Kişisel veri sahibi olarak Kanun’un 11. maddesindeki düzenleme uyarınca bu metnin 6. maddesinde öngörülen usule göre Şirketimize başvurarak aşağıdaki haklara ilişkin bilgi sahibi olabilir ve yine bu haklarınızı kullanabilirsiniz.
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde ve yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemi kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
11. YUKARIDA SIRALANAN HAKLARINIZA YÖNELİK BAŞVURULARINIZI
www.mnalab.com adresinden ulaşabileceğiniz Mna Laboratuvarları Veri Sahibi Başvuru Formu’nu doldurarak şirketimize,
Islak imzalı ve kimlik fotokopisi ile Mna Laboratuvarları Sanayi Ticaret Limited Şirketi Küçükbakkalköy Mah. Dudullu Caddesi No:23-25 C/22 Ataşehir/ İSTANBUL iadeli taahhütlü mektupla,
Noter kanalıyla,
Geçerli bir kimlik belgesi ile birlikte MNA Laboratuvarları’na bizzat başvurarak
Kayıtlı Elektronik posta (KEP) adresi ve güvenli elektronik imza ya da mobil imza kullanarak mnalaboratuvarlari@hs03.kep.tr kayıtlı elektronik posta adresimize göndererek,
Başvuru sahibi tarafından doldurulmuş olan başvuru formu güvenli elektronik imzalayarak ve kimlik doğrulama imkânın sağlanması durumunda MNA Laboratuvarları’nın info@mnalab.com elektronik posta adresine göndererek Mna Laboratuvarları Sanayi Ticaret Limited Şirketi’ne iletebilirsiniz.
10 Mart 2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, İlgili Kişi'nin, başvurusunda ad, soyad ve başvuru yazılı ise imza, Türkiye
Cumhuriyeti vatandaşları için T.C. Kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, Tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esasa elektronik posta adresi, telefon ve faks numarası, talep konusu bulunması zorunludur.
İlgili Kişi, yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtmelidir. Başvuruya ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.
Talep konusunun başvuranın şahsı ile ilgili olması gerekmektedir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekaletname bulunmalıdır.
Yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmayacaktır.
Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınızı ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
12. POLİTİKANIN YAYINLANMASI
MNA tarafından düzenlenen işbu politika 01/05/2022 tarihinde yürürlüğe konulmuş olup, Veri işleme politikasının güncel versiyonu 18/08/2022 tarihinde yayınlanmıştır. Bu politika www.mnalab.com sitesinde yayınlanır ve ilgili kişilerin erişimine sunulur.