Kişisel Verilerin Korunması ve İşlenmesi Politikası


MERV Mobilya San. ve Tiç. Ltd. Şti.

Kişisel Verilerin Korunması Ve İşlenmesi Politikası:

1.      GİRİŞ

MERV Mobilya San. ve Tiç. Ltd. Şti.  
(“MERV” veya “Şirket”) için hazırlanan işbu Politika ve MERV bünyesindeki diğer yazılı politikalarla; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunması amaçlanmaktadır.

Bu politika metninde kişisel verilerin işlenmesi süreçleri için aşağıda belirtilen ve MERV’in benimsediği, temel prensipler açıklanacaktır:

  1. Kişisel verilerin rıza kapsamında işlenmesi,
  2. Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  3. Kişisel verilerin doğru ve gerektiğinde güncel tutulması,
  4. Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  5. Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  6. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  7. Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  8. Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma,
  9. Kişisel verilerin korunması için gerekli tedbirleri alma,
  10. Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kişisel Verilerin Korunması Kurulu’nun düzenlemelerine uygun davranma,
  11. Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi

  1. POLİTİKANIN KAPSAMI:
    Bu politika; müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin,  işbirliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin olup MERV tarafından 2018’in Eylül ayında yürürlüğe konulmuştur.

    2.1.    MERV MÜŞTERİLERİ İÇİN:

    MERV müşterilerine ait kişisel bilgiler; Web sitesi ziyaretleri, üyelik ve alışverişleri, Mağazalardan yapılan alışverişler, telefon veya e-posta yazışmalarındaki paylaşımlar, iş yeri ziyaretleri, MERV kart sadakat programı gibi kaynaklar üzerinden doğrudan müşterilerden  toplanmaktadır. Müşterinin MERV’den mal veya hizmet satın alması veya bir başka surette MERV ile ticari veya hukuki ilişkiye girmesi durumunda; kimlik verileri (ad, soyad, TC kimlik numarası/pasaport numarası) başta olmak üzere; iletişim verileri (e-mail adresi, adres ve telefon bilgileri, IP adresi), MERV faaliyet alanı kapsamında mağazalardan satın alınan ürüne ilişkin veriler, alışveriş zamanı bilgisi, faydalanılan kampanyaların ve indirimlerin bilgisi,  yine mağazalarda güvenlik amacı ile bulunan güvenlik kameraları aracılığı ile alınan görsel ve işitsel veriler, mağaza ziyaretleri kayıtları MERV tarafından, Kanun’un 5. Maddesi 2. Fıkrasında çerçevesinde, sözleşmenin kurulması/ifası, yasal yükümlülüklerin yerine getirilmesi ve meşru menfaatler kapsamında işlenmektektir.

    Ayrıca, cinsiyet, doğum tarihi, medeni durum ve kıyafetler dahil her türlü ürüne ilişkin alışveriş alışkanlığı, tercih, zevk ve beğeniler, beden verileri, konum verileri, banka hesap bilgileri, meslek verileri, eğitim verileri, finansal veriler, web sitesi kullanımı sonucu toplanan dijital iz verileri, kullanılan mobil aygıtın işletim sistemi versiyonu bilgisi, gizliliklerinin korunması için gereken tedbirler alınmak üzere; MERV tarafından sunulan ürün ve hizmetlerden sorunsuz olarak yararlanılabilmesi, ürün ve hizmet çeşitliliğimizin geliştirilebilmesi ve “en iyi hizmet en iyi ürün” prensibi ile hizmet sağlanabilmesi için satın alınan/ilgilenilen ürünler ile ilgili olarak otomatik sistemler aracılığı ile kişisel ürün alışkanlıkları hakkında analiz yapılarak, bu kapsamdaki müşteri hizmetleri, tüketici hakları ve diğer imkanlardan istifade edilebilmesi için çeşitli rapor, analiz ve çalışmaların hazırlanması ve sunulması amaçlarıyla temel hak ve özgürlüklere zarar vermemek kaydı ile ve yine grup şirketleri, iş ortakları, tedarikçileri, servis sağlayıcıları, gerçek ve/veya tüzel kişi hissedarları tarafından da kullanılmak üzere, müşterinin açık rızasına istinaden Veri Sorumlusu sıfatıyla MERV tarafından işlenmekte ve saklanmaktadır.

    Şayet müşterinin daha önceden alınmış rıza ve izni mevcut değilse; yukarıda belirtilen ve kanunun 5/2 maddesinde yer alan hukuka uygunluk sebeplerinden birine girmeyen kişisel veriler için yasal zorunluluk gereği rıza talep edilmektedir. Bu durumda, müşteri mağazamızda uygulaması varsa yazılı imzalı izin ile birlikte aynı hukuki nitelik ve değerde olmak üzere dijital ortamda da izin verebilmektedir. Dijital ortamda (SMS) müşteri bilgisine sunulan elektronik iletişim izin metni ve MERV Kişisel Verilerin İşlenmesi Politikası’nı değerlendirdikten sonra uygun bulunursa, ilgili izin kutucuklarının işaretlenmesi ve gönder tuşuna basılması sonrasında sadece ilgili müşteriye özel üretilmiş ve cep telefonuna gönderilmiş şifreyi, mağaza görevlisine bildirmek suretiyle izin/onay işlemi tamamlanmış olacaktır .  Bunun dışında müşteri, www.turkianomerv.com web adresinden de MERV’e ulaşarak gerekli izin/onay işlemlerini gerçekleştirebilmektedir. Bu izin/onay müşteri tarafından her zaman geri alınabilir, iptal edilebilir. Bu hususlardaki tüm talep ve dilekler için  “info@turkianomerv.com” mail adresinden MERV’e başvurulabilir.

    Müşterilere ait kişisel veriler Kanunun çizdiği çerçeve dışında kesinlikle paylaşılmamaktadır. Mağazalarımız, web sitelerimiz, mobil aplikasyonlarımız üzerinden, doğrudan müşterilerden alınan ve şirketimiz tarafından hukuka uygun biçimde çeşitli kanallardan temin edilen kişisel veriler mevzuatta belirlenen güvenlik ve gizlilik esasları uyarınca yeterli ve etkili önlemler alınmak kaydıyla; yasal zorunluluk gereği bu verileri talep etmeye yetkili olan kamu kurum veya kuruluşları, faaliyetlerimiz gereği anlaşmalı olduğumuz yurt içindeki ve dışındaki  kurumlar ve iş ortaklarımız ile paylaşılabilmektir.

     


2.2.    MERV ÇALIŞANLARI İÇİN

Kanunun 6/2. Maddesinde sayılı hususlar saklı kalmak kaydı ile, Kanunda açıklanan şekilde, kanunun izin verdiği ölçüde, iş sözleşmesinin gereğinin yerine getirilebilmesi, iş ilişkisinin ispatlanması, ücret ve ücrete ilişkin bilgilerin kayıt altına alınması, Maliye, Çalışma Bakanlığı, Sosyal Güvenlik Kurumu ve diğer tüm kurumlara yasal bildirimlerin yapılabilmesi, iş sağlığı ve güvenliği esaslarının uygulanabilmesi, kanunlardan doğan yükümlülüklerin yerine getirilmesi, çalışma koşullarının belirlenmesi, güvenlik, verilen hizmet nedeniyle özel sağlık sigorta poliçelerinin, seyahat sigortalarının, uçak ve otel rezervasyonlarının yapılabilmesi, maaş banka hesaplarının açılabilmesi, zorunlu BES ödemeleri,  sosyal güvenlik prim ödemelerinin yapılabilmesi ve resmi dairelerle yasal süreçlerin takip edilmesi için 4857 Sayılı İş Kanununun 75. maddesince düzenlenen, Personel’e ait özlük dosyasında muhafaza edilen tüm bilgi ve belgeler kişisel veri kapsamındadır. Çalışana ait özlük dosyasında yer alan, kimlik fotokopisi (Kendisi, eş ve çocuklar dahil), Nüfus Kayıt Örneği veya Nüfus Cüzdan Sureti, adli sicil kaydı, ikametgâh İlmühaberi, fotoğraf, cv, diploma, askerlik durumunu gösterir belge, sağlık raporları (işe giriş ve diğer raporlar), kan grubu kartı, Banka Hesap Numarası, işe giriş bildirgesi, işten ayrılış bildirgesi, aylık prim ve hizmet belgesi, çalışma belgesi, aile durum bildirimi, Evlilik cüzdan fotokopisi, engelliliği gösterir rapor, vergi indirim yazısı ve eğitim belgeleri, iş sözleşmesi ve iş ilişkisinden kaynaklanan diğer yasal belgelerde yer alan tüm bilgilerden ibaret kişisel veriler, iş ilişkisi amacıyla sınırlı olmak kaydıyla, toplanmakta, gerekli durumlarda iş ortakları, grup şirketleri, mal ve hizmet tedarikçileri ile paylaşılabilmekte ve işlenmektedir.
Bununla birlikte MERV bünyesinde verilen iş yeri hekimliği kapsamındaki sağlık hizmeti nedeniyle Kanun ve İlgili mevzuat çerçevesinde özel olarak korunan çalışanlarımıza ait hassas veri mahiyetindeki kişisel sağlık verileri de yine kanunun düzenlediği yükümlülük ve -bu politikanın hazırlandığı tarihte Kanun sağlık verilerinin işlenmesini açıkça rıza şartına bağladığı için- rıza kapsamında sadece ilgili sağlık departmanı tarafından toplanabilecek ve bu amaçla sınırlı olmak üzere işlenebilecektir. Sağlık verileri, rıza kapsamında ve işin mahiyeti gereği İş sağlığı ve güvenliği departmanı, yönetim kurulu, hukuk departmanı ve disiplin kurulu ile paylaşılabilecektir.

MERV, işyeri binası ve eklentilerinde kendisi tarafından güvenlik, kontrol ve denetim amacıyla kurulmuş olan biyometrik kimlik doğrulama sistemlerinin uygulanabilirliği, sürekliliği, işlevselliği bakımından, çalışanlara ait biyometrik bilgilerin (resim, parmak izi, avuç içi ve retina taraması) toplandığı ve işlendiği hususunda tüm çalışanlarını bilgilendirmiştir. Bu kapsamda, MERV tarafından ses ve görüntü kayıt özellikleri olan kameralar ile işyerinin geneli izlenebilmekte, kayıt altına alınabilmekte ve kanunların öngördüğü süre kadar saklanabilmektedir. MERV, bu kapsamda çalışana ait kişisel verileri, sadece güvenlik ve biyometrik kimlik doğrulama sisteminin işleyişi amacıyla kullanmakta ve kanunen zorunlu bulunan haller dışında üçüncü kişilerle paylaşmamaktadır.

MERV, gerek şirket içi gerekse de şirket dışı etkinlikler kapsamında, çalışanlarına ait fotoğraf, görüntü, video kaydı gibi görsel verileri, haber, bilgilendirme, tanıtım gibi amaçlarla şirket içi kanallarda ve MERV sosyal medya hesaplarında çalışanın rızası kapsamında paylaşmaktadır.

MERV adı altında; çalışanlarla ilgili performans yönetim sistemi oluşturmuştur. Bu uygulama kapsamında çalışanlar kendilerine ait özel e-mail adresi ve şifre ile sisteme giriş yapmak suretiyle kendi performans sonuçlarını (satış adedi, hak kazanılan prim gibi) ve aynı departmanda çalışan diğer çalışma arkadaşlarının performans durumunu görebilmektedir. Bu uygulama ve bu uygulama kapsamında ortaya çıkan veriler hem MERV’in hem de çalışanın menfaatleri için çalışanın açık rızasına istinaden kullanılmaktadır.

MERV tarafından, tüm çalışanların kişisel verileri (sağlık verileri hariç olmak üzere) Türkiye Cumhuriyeti mevzuatından kaynaklı sebeplerle, iş sözleşmesi ve MERV’in meşru menfaati kapsamında işlenmekte olup, bu hukuka uygunluk sebebinin varlığı dolayısıyla ayrıca rıza alınmasına gerek bulunmamaktadır. Mevzuat ve uygulamada ortaya çıkacak gelişmeler sonucu çalışanlardan ayrıca rıza talep edilmesi gerektiği hallerde, rıza gerektiren kişisel verilerin işlenmesi süreci ile ilgili ayrıca çalışan onayı talep edilebilmektedir.
MERV’in ticari faaliyetinin gerektirdiği ölçüde, çalışanların kişisel verileri yukarıda 2.1. bendinde sayılan iş ortaklarına, mal ve hizmet alınan tedarikçilere ve talep halinde kamu kurum ve kuruluşlarına aktarılabilmektedir.

2.3.    MERV ÇALIŞAN ADAYLARI İÇİN:

İş başvuruları kapsamında çalışan adaylarından alınan ve işlenen kişisel veriler; MERV otomatik sistemleri veya fiziksel ortamlarında, şirket yazılı standartlarında, çalışan adayları ile iş ilişkisi kurulabilmesi ihtimali sebebiyle makul süre olarak kabul edilen 2 yıl boyunca saklanmaktadır.

İş başvuru formunun eki niteliğinde olan aydınlatma metni ile beraber aday referans araştırması ve kişisel veri izin metni ile birlikte çalışan adaylarından iş başvurusu sürecinde CV ve/veya başvuru formu doldurmak suretiyle MERV ile paylaştıkları kişisel verilerinin (özel nitelikli kişisel verilerden olan ve başvuru formunda yer alan sağlık verileri, sabıka kaydı verileri ve dernek/vakıf üyeliği verileri de dahil olmak üzere)  işlenmesi ve 2 yıl boyunca saklanması hususlarında rızaları talep edilmektedir.

Çalışan adayları tarafından paylaşılan kişisel veriler; adayın iş hayatı geçmişi hakkında bilgi edinilmesi, geçmiş taraması yapılması amaçlarıyla, kariyer sitelerinden alınan CV’de veya başvuru formunda belirtilen referanslar ile paylaşılmakta ve iletişim kurulmaktadır. Çalışan adayı tarafından paylaşılan bilgiler 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde sayılan, kişisel verilerin işlenme şartlarından sözleşmenin kurulması ve ifası, meşru menfaat ve 6. Maddesinde belirtilen hassas veriler için (Sağlık, Dernek Vakıf üyeliği, Din) çalışan adayının açık rızasına istinaden ve ‘amaçla sınırlılık ilkesi’ gereğince personel temini ve iş süreçlerinin yönetilmesi de dahil olmak üzere MERV insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amaçlarıyla işlenmektedir. Sayılan kişisel veriler, sağlıklı bir değerlendirme yapabilmek adına 3.kişi danışmanlık, eğitim veya iş bulma firmaları olan iş ortaklarımız ile paylaşılabilmektedir.

2.4.    MERV ZİYARETÇİLERİ İÇİN:

Gerçek kişilerin şirketimizi ziyaretleri sırasında, MERV tarafından ziyaretçilerin ve şirketin güvenliğinin sağlanması amacıyla, ziyaretçi kayıtlarının oluşturulması ve güvenlik kameraları ile görüntü alınması suretiyle kimlik verileri ve görsel verilerden ibaret kişisel veriler işlenmektedir. Bu kişisel veriler, sözleşmenin ifası için zorunlu olması, yasal zorunluluklar ve kamu otoritesinin yazılı talepleri dışında hiçbir suretle 3. kişilerle paylaşılmamaktadır. Bu konuda gerekli yasal uyarı ve bilgilendirmeler, tesis girişlerimizde ve web sitemizdeki aydınlatma metninde belirtilmiştir. Aynı şekilde mağazalarımıza yerleştirilen aydınlatma metinleri ile ziyaretçiler düzenli olarak bilgilendirilmektedir.

Yine bu kapsamda MERV tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla;  MERV tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya MERV içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

3.    KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR:

MERV, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak gerekli idari ve teknik tedbirler almaktadır.

MERV olarak şirket faaliyetleri çerçevesinde işlediğimiz kişisel verilerinizin KVKK ve ilgili mevzuata uygun olarak muhafaza edilmesi için gerekli görülen teknik ve idari tedbirleri gerekli teknolojik alt yapı çerçevesinde yerine getiriyor ve bu doğrultuda veri ihlali, yetkisiz erişim, veri kaybı, verilerin izinsiz değiştirilmesi ile sair tehditlere karşı önlem alarak gerekli denetimleri gerçekleştiriyoruz.

Bu kapsamda, mevcut risk ve tehditleri tespit ediyor, çalışanlarımızı eğiterek farkındalık çalışmaları gerçekleştiriyor, kişisel veri güvenliğine ilişkin politika ve prosedürleri belirliyor; kişisel veri minimizasyonunu sağlıyor, veri işleyenler ile gerekli gizlilik sözleşmelerini oluşturuyor; siber güvenliğin sağlanması amacıyla güvenlik duvarı ve güncel anti-virüs programları kullanıyor, mevcut yazılım ve donanımlarımızı yapılandırıyor, yazılım güncellemelerini ve denetimlerini gerçekleştiriyor; kişisel veri içeren fiziki ve elektronik ortamların güvenliğini sağlıyor, anahtar yönetimi, erişim logları, kullanıcı hesap yönetimi, sızma denetimi ve şifreleme yöntemleriyle veri güvenliğinizin yetkisiz kişilerce ihlal edilmesini önlemek adına  gerekli tedbirleri alıyoruz.

3.1    Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi:

MERV bünyesinde Kişisel Veri Koruma Yöneticisi bulunmaktadır . Kişisel Veri Gizlilik Yöneticisi, veri sorumlusu olan MERV adına Kanunun 12. Maddesinden kaynaklanan görevi gereği kendi kurum veya kuruluşunda, kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta veya ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır.

4.    KİŞİSEL VERİ SAHİBİNİN(İLGİLİ KİŞİ) HAKLARI VE TALEPLERİ:

MERV, Kişisel Verilerin Korunması Kanunu’nun 13. Maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru Ve Yanıt Prosedürü oluşturulmuştur. Bu prosedüre uygun olarak gerekli işlemlerin yapılabilmesi adına veri envanteri oluşturulmuş ve tespit yapılabilecek sistem devreye alınmıştır. İlgili kişinin hakları ise bu politikanın 12. Maddesinde detaylı olarak açıklanmıştır.


5.    ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI:

Kişisel Verilerin Korunması Kanunu’nda sınırlı olarak sayılan özel nitelikli kişisel verilere hukuka aykırı olarak işlendiği takdirde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel bir önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

MERV tarafından Kişisel Verilerin Korunması Kanunu ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması hususunda hassasiyetle davranılmaktadır. Kurul tarafından alınan karar uyarınca özel nitelikli veriler bakımından işleme faaliyeti bulunan ilgili kullanıcılar ile gizlilik sözleşmeleri imzalanmış, çalışanlar nezdinde eğitimler yapılmıştır. Bununla birlikte verilerin korunması açısından teknik tedbirler alınmıştır. Kanun tarafından öngörülen idari ve teknik tedbirlerin uygulaması yapılmaktadır.

6.    KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR:

MERV, Anayasa’nın 20. maddesine ve Kişisel Verilerin Korunması Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. MERV kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

MERV, KVK Kanunu’nun 10. maddesine uygun olarak veri sahiplerini aydınlatmaktadır ve rıza alınması gereken durumlarda veri sahiplerinden rızalarını talep ederek bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.

7.    KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ:

MERV Kişisel Verilin Korunması Kanunu’nun 10. maddesine uygun olarak kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda MERV varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre bilgilendirme yapmaktadır. Tüm mağazalarda ve web sitelerinde aydınlatma metinleri yayınlanmış, çalışanlar ve ziyaretçiler için de gerekli aydınlatma süreçleri tamamlanmıştır.

8.    KİŞİSEL VERİLERİN AKTARILMASI:

MERV, hukuka uygun olan kişisel veri işleme amacı doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere nadiren de olsa iş ihtiyacı nedenleriyle aktarabilmektedir. MERV tarafından; Kişisel Verileri Koruma Kurulu’nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izin alındığı durumlarda yabancı ülkelere kişisel veriler aktarılabilmektedir.

Aktarım dayanağı olarak öncelikle ilgili kişinin açık rızası, açık rıza bulunmadığı takdirde Kanun hükmünün 5. Madde 2. Fıkrası ve 6. Madde 2. Fıkrası gereğince hukuka uygunluk sebebi sayılan hallerde kurum tarafından belirlenen önlemler dikkate alınmaktadır.

9.    MERV KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI:

MERV kanundan kaynaklı sebepler ve Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca şirket içinde gerekli denetimleri tamamlamış ve kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı gruplar, veri saklama süreleri, saklama sürelerinin gerekçeleri ve veri koruma önlemleri yer almaktadır. Bu kapsamda MERV içerisinde bu türlerle sınırlı olmamakla birlikte aşağıdaki türlerde veri kategorileri   bulunmaktadır.

KİŞİSEL VERİ KATEGORİZASYONUKİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
İletişim VerisiKişiye ulaşmak için kullanılabilecek veri grubudur. (Telefon, adres, e-posta, Fax numarası, Ip adresi )
Kimlik VerisiKişi kimliğine dair bilgilerin bulunduğu veri grubudur. (Ad soyad, TCKN, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet, cüzdan seri no, kimlik fotokopisi, vergi no, sgk no, uyruk verisi, evlilik cüzdanı fotokopisi/taraması, çalışan kartı)
Sağlık VerisiKişinin sağlık bilgilerinin bulunduğu veri grubudur. (Kan grubu, medikal geçmiş, check-up sonucu, konsültasyon raporu, diyet formu, ayak ve beden ölçüleri )
Taşıt VerisiKişinin araç bilgilerinin bulunduğu veri grubudur. (Plaka no, şase no, motor no, ruhsat bilgisi )
Konum VerisiKişiye ait konum verisinin bulunduğu veri grubudur. (GPS lokasyonu )
Görsel/İşitsel VeriKişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur. (Fotoğraf, ses kaydı, kamera kaydı, ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması )
Dijital İz VerisiKişiye ait bilgilerin özellikle elektronik ortamlarda işlenmesi sonucu oluşan dijital izlerin bulunduğu veri grubudur. (Log )
Finansal VeriKişinin finansal bilgilerinin bulunduğu veri grubudur. (Banka hesap no, iban no, kart bilgisi, banka adı, finansal profil, mail order formu, kredi notu )
Mesleki VerilerKişinin mesleğine ait bilgilerin bulunduğu veri grubudur. (Çalıştığı kurum bilgisi, meslek odası sicili )
Eğitim VerisiKişiye ait eğitim verilerinin bulunduğu veri grubudur. (Diploma notu, diploma fotokopisi/taraması )
Mal Varlığı VerisiKişinin sahip olduğu mal varlıklarının bulunduğu veri grubudur. (Tapu fotokopisi/taraması, araç ruhsatı fotokopisi/taraması )
Seyahat VerisiKişinin seyahatlerine ait bilgilerin bulunduğu veri grubudur. (Uçuş bilgisi, uçuş kartı, tur rotası, mil kart no, konaklama verisi )
Şirket VerisiŞahıs şirketi verileridir. (Şirket adresi )
İmza VerisiKişiye ait imza bilgilerinin bulunduğu veri grubudur. (Islak imza, e-imza, imza fotokopisi/taraması )
Vize/Pasaport VerisiKişiye ait vize/pasaport bilgilerinin bulunduğu veri grubudur. (Vize bilgisi, pasaport fotokopisi/taraması )
Yaptırım VerisiKişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur. (Ceza Kovuşturmaları, Adli Sicil Kaydı, Disiplin Kaydı)
Alışveriş Alışkanlıkları ve satın alınan ürün verisiİlgili kişinin veri sorumlusundan satın aldığı ürün ve hizmetlere ilişkin kayıtları ifade etmekle birlikte, önceki alışverişlerine yönelik kayıt tutulmasıyla ilgili veri grubudur. (Satın Alınan ürün, Satış Tarihleri, Değişim Tarihleri)


  1. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ:MERV, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

    Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse kişisel veriler, MERV’in o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak MERV uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra verinin niteliği uyarınca MERV tarafından oluşturulmuş ilgili politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

    Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve MERV’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda MERV’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır.

  2. KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI:

    Türk Ceza Kanunu’nun 138. Maddesinde, Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde ve Kişisel Verileri Koruma Kurumu tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde MERV’in kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

  3.     İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI:

    MERV, Kişisel Verilerin Korunması Kanunu’nun 10. maddesine uygun olarak ilgili kişinin haklarını kişilere bildirmekte, bu hakların nasıl kullanılacağı konusunda ilgili kişilere yol göstermektedir. Ayrıca MERV ilgili kişinin haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

    12.1 İlgili Kişinin Hakları

    İlgili kişi aşağıda yer alan haklara sahiptir:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  6. Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
  8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

12.2 İlgili Kişinin Haklarını İleri Süremeyeceği Haller:

İlgili kişiler, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda 12. Madde 1.fıkrada sayılan haklarını ileri süremezler:

  1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kişisel Verilerin Koruması Kanunu’nun 28. maddesi 2.fıkrası gereğince aşağıda sıralanan hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç, 12. madde 1.fıkrada sayılan diğer haklarını ileri süremezler:

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.


12.3 Kişisel Veri Sahibinin Haklarını Kullanması:

İlgili kişiler, bu politikada belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle başvuru formunu doldurup imzalayarak veya Kurul tarafından hazırlanmış olan Başvuru usulleri tebliğinde yer alan zaruri unsurları içeren bilgileri haiz bir başvuruyu MERV’e ücretsiz olarak iletebileceklerdir.

www.turkianomerv.com adresinde bulunan başvuru formunun doldurulmasından sonra veya bu formda belirtilen ve mevzuat gereği bildirilmesi zorunlu olan bilgileri haiz bir başka yazılı belgenin ıslak imzalı bir nüshasının bizzat elden veya mektup aracılığı ile iletilmesi,

www.turkianomerv.com adresinde bulunan formun doldurulup veya bu formda belirtilen ve mevzuat gereği bildirilmesi zorunlu olan bilgileri haiz bir başka yazılı belgenin veya e-posta içeriğinin 5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı formun info@turkianomerv.com  adresine veya sistemlerde kayıtlı olması halinde kayıtlı e-postanız vasıtasıyla yine aynı posta adresine gönderilmesi.

Kişisel veri sahibinin usule uygun olarak talebini MERV’e iletmesi durumunda MERV talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak talebin yanıtlanmasında 10 sayfa kriteri geçildiği takdirde KVK Kurulu tarafından belirlenen sayfa başına 1 TL ücret veya elektronik ortamda istenmesi halinde ortam kayıt cihazının bedeli ilgili kişiden talep edilecektir.

MERV Mobilya San. ve Tiç. Ltd. Şti. (Veri sorumlusu)
Cumhuriyet Mahallesi, İstanbul Park AVM İş Merkezi, Giriş Katı 8-9-10-11,

Beylikdüzü / İstanbul


Mersis –
www.turkianomerv.com
info@turkianomerv.com

EK- 1 TANIMLAR

Açık Rıza     :     Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme     :     Kişisel verinin, kişisel veri niteliğini kaybedecek ve geri alınamayacak şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Başvuru Formu     :     Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.
Çalışan Adayı     :     MERV’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini iletmiş olan gerçek kişiler.
İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri     :     MERV’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
İş Ortağı     :     MERV’in ticari faaliyetlerini yürütürken bizzat veya Grup Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.
Kişisel Verilerin İşlenmesi     :     Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi     :     Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteri, Personel, Ziyaretçi
Kişisel Veri     :     Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli Kişisel Veri     :     Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Tedarikçi     :     MERV’in ticari faaliyetlerini yürütürken  MERV’in emir ve talimatlarına uygun, sözleşme temelli olarak  MERV’e hizmet sunan taraflar.
Üçüncü Kişi     :     Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri işlenen gerçek kişiler (Örn. Aile bireyleri, eski çalışanlar).
Veri İşleyen     :     Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin, Seyahat Acentası, Güvenlik Firması MERV’in verilerini tutan bulut bilişim firması, arama yapan call-center firması vb.
Veri Sorumlusu     :     Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi. Bu politika kapsamında MERV Veri sorumlusudur.
Verilerin Silinmesi    :    Şirket içindeki tüm ilgili kullanıcıların, kişisel veriye erişimin engellenecek şekilde şifrelenmesi ve sadece veri koruma sorumlusunun bu şifreye sahip olması durumunu ifade etmektedir.
Verilerin Yok edilmesi    :    Kişisel verinin bir daha geri döndürülemeyecek bir biçimde fiziksel olarak veya teknolojik yöntemlerle tamamen ortadan kaldırılması durumunu ifade etmektedir.
Ziyaretçi     :     MERV’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.