Mercan

2. TANIMLAR

2.1. Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

2.2. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileridir.

2.3. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.

2.4. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

2.5. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.

2.6. Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikadır.

2.7. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

2.8. Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.

2.9. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

2.10. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

2.11. Kişisel verilerin silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

2.12. Kişisel verilerin yok edilmesi: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

2.13. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

3. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI İLE DÜZENLENEN KAYIT ORTAMLARI :

Çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle şirketimiz nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri başta Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası olmak üzere sair mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde kanunlara uygun olarak yönetilmekte ve aşağıda belirtilen şekillerde işlenmekte ve korunmaktadır.

3.1. Matbu ortamlar Kağıtlara basılmış halde bulunan verilerin birim dolaplarında ve arşivlerde saklandığı ortamlar.

3.2. Elektronik ortamlar - EXCHANGE SERVER - FILE SERVER
- CRYPTOLOG

3.3. Bulut Ortamlar Şirket bünyesinde yer almamakla birlikte, şirketin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.

4. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLERE İLİŞKİN AÇIKLAMALAR:

4.1. Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

4.2. Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

4.3. İlgili kişi, Şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde bu talebi yerine getirilmek üzere hemen değerlendirmeye alınır.

4.4. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirket, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

4.5. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu politika kapsamında gerekli işlemlerin yapılmasını temin eder.

4.6. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

5. TEKNİK VE İDARİ TEDBİRLER Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

5.1. Teknik Tedbirler Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak kişisel verilerin tutulduğu ortamlarda teknolojik gelişmelere uygun güncel ve güvenli sistemler ile aşağıda belirtilen tedbirleri kullanmaktadır.

5.1.1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

5.1.2. Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.

5.1.3. Ağ yoluyla veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

5.1.4. Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte olduğundan çalışanlar için yetki matrisi oluşturulmuştur.

5.1.5. Erişim logları düzenli olarak kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

5.1.6. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.

5.1.7. Gerektiğinde veri maskeleme yöntemi uygulanmaktadır.

5.1.8. Kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmakta ve kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütülmektedir.

5.1.9. Kişisel veri güvenliğinin takibi yapılmaktadır.

5.1.10. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

5.1.11. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

5.1.12. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

5.1.13. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

5.1.14. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

5.1.15. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

5.1.16. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

5.1.17. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

5.1.18. Saldırı tespit ve önleme sistemleri kullanılmaktadır.

5.1.19. Sızma testi uygulanmaktadır.

5.1.20. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

5.1.21. Şifreleme yapılmaktadır.

5.1.22. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklara denetimi sağlanmaktadır.

5.1.23. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

5.1.24. Veri kaybı önleme yazılımları kullanılmaktadır.

5.1.25. Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmektedir.

5.2. İdari Tedbirler 5.2.1. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

5.2.2. Çalışanlar için veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

5.2.3. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.

5.2.4. Kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırılmıştır.

5.2.5. Gizlilik taahhütnameleri yapılmaktadır.

5.2.6. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

5.2.7. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

5.2.8. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

5.2.9. Kişisel veriler mümkün olduğunca azaltılmaktadır.

5.2.10. Şirket içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

5.2.11. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

5.2.12. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler mevcuttur.

İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

6. YETKİLİ PERSONEL Kişisel verilerin saklama ve imha süreciyle ilgili bütün işlemler yetkili kişiler tarafından politika ve prosedürlere uygun olarak yapılır ve kayıt altına alınır.

• PERSONEL : Genel Müdür
• GÖREV: Veri Sorumlusu

• SORUMLULUK: Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

• PERSONEL : Bilgi İşlem Müdürü

• GÖREV: Bilgi Teknolojileri Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

• SORUMLULUK: Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

• PERSONEL :Muhasebe Koordinatör

• GÖREV: Mali İşler Departmanı: Kişisel veri saklama ve imha politikası uygulama sorumlusu
• SORUMLULUK: Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

7. SAKLAMA VE İMHA NEDENLERİ

7.1. Saklama Nedenleri Şirket bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız (ilgili politikaya Mercan Shipping adresinden ulaşılmaktadır.) uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.

7.2. İmha Nedenleri Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

8. KİŞİSEL VERİLERİN SİLİNMESİ YOK EDİLMESİ, ANONİMLEŞTİRİLMESİ VE İMHA TEKNİKLERİ

Şirket tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

8.1. Silme Yöntemleri

8.1.1. Fiziksel Olarak Yok Etme - Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

8.1.2. Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin; Yazılımdan Güvenli Olarak Silme Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz. Uzman Tarafından Güvenli Olarak Silme Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir.

9.2. Yok Edilme Usulleri

9.2.1. Fiziksel Olarak Yok Etme Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. 9.2.2. Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin; Fiziksel Yok Etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir. Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir Yazılımdan Güvenli olarak Yok Etme Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

9.3. Kişisel Verilerin Anonimleştirilmesi Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. 9.3.1. Değişkenleri çıkarma İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. 9.3.2. Bölgesel gizleme Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. 9.3.3. Genelleştirme Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. 9.3.4. Alt ve üst sınır kodlama / Global kodlama Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. 9.3.5. Mikro birleştirilme Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. 9.3.6. Veri karma ve bozma Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

10. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARINA, BİRİMLERİ VE GÖREV TANIMLARI: 10.1. Bilgi İşlem Birimi Yöneticisi; Şirketin tüm Bilgi İşlem süreçlerini yönetir. 10.2. İnsan Kaynakları Yöneticisi (Personel ile ilgili konularda), Şirketin tüm personel süreçlerini yönetir. 10.3. Satış ve Pazarlama Yöneticisi (Müşteri bilgileri ile ilgili konularda); Şirketin tüm satış pazarlama süreçlerini yönetir.

11. SAKLAMA VE İMHA SÜRELERİ - VERİ KATEGORİSİ: Kimlik - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: İletişim - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Lokasyon - SAKLAMA SÜRESİ: 2 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Özlük - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Hukuki İşlem - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Müşteri İşlem - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Fiziksel Mekan Güvenliği - SAKLAMA SÜRESİ: 2 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: İşlem Güvenliği - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Risk Yönetimi - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Finans - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Mesleki Deneyim - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Pazarlama - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Görsel ve İşitsel Kayıtlar - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Sağlık Bilgileri - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde - VERİ KATEGORİSİ: Ceza Mahkûmiyet ve Güvenlik Tedbirleri - SAKLAMA SÜRESİ: 10 Yıl - İMHA SÜRESİ: Saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde

12. PERİYODİK İMHA PROSEDÜRÜ; 12.1. Şirket saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde imha eder. 12.2. Şirket; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. 12.3. Periyodik imhanın gerçekleştirileceği zaman aralığı veri sorumlusu tarafından kişisel veri saklama ve imha politikasına, prosedürlere ve şirketin iş akışına uygun olarak belirlenir. Bu süre her halde altı ayı geçemez. 12.4. Şirket; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

13. DİĞER HUSUSLAR KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi tarafından hazırlanan işbu Politika ……… tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.

SP 11.01 AYDINLATMA BİLDİRİMİ

SP 11 KİŞİSEL VERİLERİN KORUNMASI KANUNU

SP 11.01 M.R.C. DENİZLİCİLİK TURİZM VE PETROL ÜRÜNLERİ TİCARET LİMİTED ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA BİLDİRİMİ

M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi (Bundan böyle “Şirket” olarak anılacaktır.) olarak kişisel verilerinizin korunmasına büyük önem vermekteyiz. Bu kapsamda kişisel verilerinizi; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca “veri sorumlusu” sıfatıyla aşağıda belirtilen amaçlar ve sınırlar kapsamında işlemekte1 ve buna uygun gerekli idari ve teknik tedbirleri almaya son derece özen göstermekteyiz. Bu sebeple işbu “Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Bildirimi (“Bildirim”) vasıtasıyla kişisel verilerinizi işleme süreçlerimiz ve KVKK’daki haklarınız hakkında sizlere bilgi vermek istiyoruz.

1. Kişisel Verilerin Toplanması, İşlenmesi ve İşleme Amaçları; Kişisel verileriniz, Şirketimiz tarafından sağlanan hizmet ve Şirketimizin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle, Şirketimizin birimleri ve ofisleri, Topluluk Şirketleri, internet sitesi, sosyal medya mecraları ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Şirketimizin sunduğu hizmetlerden yararlandığınız müddetçe kişisel verileriniz güncellenerek işlenebilecektir. Sizleri, Şirketimiz tarafından sunulan hizmetlerden faydalandırmak, beğeninize, ihtiyaçlarınıza göre özelleştirilerek sizlere önermek, Şirketimiz ve Şirketimiz ile iş ilişkisi içerisinde bulunan kişilerin hukuki ve ticari güvenliğinin temini için gerekli çalışmaların iş birimlerimiz tarafından yapılması, (Şirketimiz tarafından yürütülen iletişime yönelik idari operasyonlar, Şirkete ait operasyonların fiziksel güvenliğini ve denetimini sağlamak, müşterilerin değerlendirme/şikayet yönetimi süreçleri, araştırma süreçleri, etkinlik yönetimi, hukuki uyum süreci, denetim, mali işler v.b.), Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması, kanunlarla ve mevzuat kapsamında bildirim yükümlülüğümüzün yerine getirilmesi, Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amacı ile Toplanan kişisel verileriniz KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

2. İşlediğimiz Kişisel Veriler; a. Kimlik Bilgileri: Kimlik, Pasaport, Sürücü Belgeleri vb. belgelerde yer alan; Uyruk Bilgisi, Ad-Soyad, T.C. Kimlik Numarası, Pasaport Numarası, Doğum Tarihi, Doğum Yeri, Medeni Hal, Anne Adı, Baba Adı vb. b. İletişim Bilgileri: İkametgahınız, ev ve cep telefon numaranız, e-posta adresiniz, acil durumlarda aranacak bir yakınınızın ad-soyad ve telefon bilgisi, PK no vb. c. Özel Nitelikli (Hassas) Kişisel Veriler: Sözleşmenin ifası sürecinde çeşitli kimlik belgeleri kapsamında dolaylı olarak edinilme ihtimali olan veriler ve bu kapsamda edinilen Sağlık Verileri, Sağlık Taramaları, Adli Sicil Kaydı, Uluslararası Aşı Kartı, Uyuşturucu Ve Alkol Testleri, Meslek Hastalığı İle İlgili Kimyasal Taramalar, Tahlil Sonuçları, Psikoteknik Raporlar, Covid 19 Testleri, Geçirilen Ameliyatlar vb. ile İş Sağlığı ve İş Güvenliği Kapsamında işlemek zorunda olduğumuz Sağlık Verileriniz. (Örneğin; Sürücü Belgesinde Belirtilen Engellilik Durumu, Fotoğraftan Anlaşılan Kullanılan Cihaz Ve Protezler Veya T.C. Kimlik Bilgisinde Yer Alan Din Bilgisi, Kan Grubu vb.) Sendikal Bilgiler, Mevzuatta Yer Alan Her Türlü Hassas Kişisel Verileriniz. d. Diğer Bilgiler: Vergi Numarası, Vize Bilgileri, Liman Cüzdan Numarası, Liman Giriş İzinleri, Polis Vize Tarihi, Src Belgeleri, Sınav Sonuçları, Değerlendirme Kayıtları, Sertifikalar, Eğitim Kayıtları, İş Başvuru Formları, Ayakkabı Numarası, Beden/Boy/Kg Ölçüleri, İzin Yazısı, Araç Plakası, Kamera Görüntüleri, Ses Kaydı, Banka Hesabı, Bireysel Emeklilik Bilgileri, Ziyaretçi Defter Kayıtları, Vb.

(Metin içerisinde yukarıda sayılı verilerin hepsi birlikte “Kişisel Veri” olarak anılacaktır.)

3. Kişisel Verilerinizin İşlenme Yöntemi ve Hukuki Sebebi; Şirket’imizde yapmış sözleşme süreciniz ve iş ilişkimiz kapsamında Bildirimin 3. maddesinde belirtilen amaçlar çerçevesinde, sözleşme süreçlerinin yürütülebilmesi ve/veya sözleşmenin ifası süresince Şirket’in yasal yükümlülükleri dahil tüm yükümlülüklerinin ifa edilebilmesi adına Kişisel Verileriniz aşağıdaki yöntem ve vasıtalar ile Şirket’in yetkili departmanları tarafından otomatik veya otomatik olmayan aşağıdaki yöntemlerle toplanabilmektedir ve işlenebilmektedir;

• Elden, elektronik postayla, postayla, referanslar veya Şirket’in çalıştığı aracı şirketler ve/veya internet siteleri, sosyal medya hesapları aracılığı ile Şirket’e iletilen başvurular vasıtası ile,

• Farklı şekillerde (yüz yüze, telefon, telekonferans, video konferans, faks vb) yapılabilecek görüşmeler sırasında edinilen bilgiler ile, Kişisel verileriniz 6698 Sayılı Kanun’un 5. Maddesi’nde yer alan aşağıdaki hukuki sebeplere dayanılarak işlenmektedir;

i. Açık rızanızın bulunması, ii. Kanunlarda açıkça öngörülmesi, iii. Fiili imkânsızlık nedeniyle rızanızı açıklayamayacak durumda olmanız halinde veya rızanıza hukuki geçerlilik tanınmayan sizin yahut bir başkasının hayat veya beden bütünlüğünün korunması için zorunlu olması, iv. Bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenmesi, v. Hukuki yükümlülüklerimizin yerine getirilebilmesi için zorunlu olması, vi. İlgili kişinin kendisi tarafından alenileştirilmiş olması, vii. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, v viii. Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatlerimiz için zorunlu olması,

Kişisel verileriniz; 6098 Sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu, 213 Sayılı Vergi Usul Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer yasal mevzuatlar uyarınca işlenmektedir.

Şirket, Kişisel Verilerinizin işlenmesinde; Türkiye Cumhuriyeti Anayasası, ülkemizin taraf olduğu uluslararası sözleşmeler ve KVKK başta olmak üzere ilgili mevzuat kapsamında belirtilen veri işleme ilkelerine ve yükümlülüklerine uygun davranmaktadır.

4. Kişisel Verilerinizin İşlenme Amaçları; Kişisel Verileriniz aşağıda belirtilen amaçlar kapsamında Şirket’imizde işlenmektedir:

a. İş faaliyetlerinin planlanması ve icrası b. Şirket faaliyetlerinin, şirket prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini c. Finansman ve muhasebe işlemlerinin takibi d. Sözleşme süreçleri ve hukuki taleplerin takibi e. Yasal sınırlar çerçevesinde sigorta süreçlerinin planlanması ve takibi f. İlgili mevzuat kapsamında kanuni ve/veya hukuki yükümlülüklerin yerine getirilmesi, g. Yetkili kurum ve kuruluşların taleplerinin karşılanması. h. İnsan Kaynakları, Bilgi İşlem, Güvenlik, Muhasebe, Finans, proje vb. süreçlerinin yürütülmesi. ı. Denizcilik ve ticaret şirketlerine dair her türlü mevzuat kapsamında Şirketimiz tarafından ya da Şirketimizin işletmecisi bulunduğu diğer gemilerce/şirketlerce sunulabilecek her türlü ürün ve/veya hizmetlerin ifası i. Her türlü yurt içi veya yurt dışı özel veya devlet işletmesi altındaki limanlara giriş/çıkış, gemiye katılış, vize ve acentelik hizmetlerinde kullanılması ve bu işlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi

5. Kişisel Verilerinizin Kimlere ve Hangi Amaçla Yurtiçi veya Yurtdışı Aktarılabileceği;

Toplanan kişisel verileriniz; - Şirketimiz tarafından sunulan hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması, - Şirketimiz tarafından sunulan hizmetlerin, sizlerin ihtiyaçlarına göre özelleştirilerek sizlere önerilmesi, - Şirketimizin, ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (Şirketimiz tarafından yürütülen iletişime yönelik idari operasyonlar, - Şirkete ait operasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi/taşeron (yetkili veya çalışanları) değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler v.b.), - Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla TKHK başta olmak üzere bilcümle tüketici mevzuatı ile 854 ve 4857 sayılı kanun başta olmak üzere denizcilik ve acentelik faaliyetleri gösteren şirketlerin kuruluş, işleyiş ve faaliyetlerine dair her türlü mevzuat hükümlerinin izin verdiği kişi ve/veya kuruluşlara, - Denizcilik ve Ulaştırma Bakanlığı Gemi Adamları servisi, BTK, BDDK, TCMB, Hazine Müsteşarlığı, Bakanlıklar gibi kamu tüzel kişileri ve yasal otoritelere, - Bakanlık ve liman başkanlıklarının çalışan bilgileri istemeye kanunen yetkili mercilerine, doğrudan veya dolaylı olarak tek başına veya bir veya daha fazla aracı vasıtasıyla şirketimizi denetleyen, şirketimizce kontrol edilen veya şirketimiz ile ortak kontrol altında olan şirketlere, iş ortaklarımıza, tedarikçilerimize, - Topluluk Şirketlerine, Şirket yetkililerine, hissedarlarımıza, doğrudan/dolaylı yurtiçi ve yurt dışı iştiraklerimize, - Şirketimizin sahip olduğu faaliyet izni tahtında gemiye katılış/ayrılış faaliyetlerini yürütmek üzere hizmet aldığı, işbirliği yaptığı, program ortağı, ticari iş ortağı kuruluşlara, yurt içi yurt dışı liman otoriteleri/başkanlıkları ve acenteler, tedarikçi ve/veya taşeron firmalarına, yazılım hizmetleri ve diğer dış kaynak hizmet sağlayıcılarına, ortak sağlık ve güvenlik birimleri, iş sağlığı ve güvenliği danışmanları, sağlık hizmetleri görevlileri ve özel sağlık şirketlerine, güvenlik şirketlerine, barındırma hizmet sağlayıcılarına ( hosting servisleri), kargo şirketlerine, hukuk bürolarına, araştırma ve eğitim şirketlerine kanunen yetkili kamu kurumları ve özel kişilere,

KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

Bununla birlikte sözleşme süresince ürün ve hizmetlerin sağlanması amacıyla kişisel verilerinize M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi ve/veya şubesi olan, fonksiyonlarımızın birlikte yürütüldüğü şirketler tarafından erişilebilmekte, kişisel verileriniz bu şirketlere gerektiği zaman aktarılmaktadır.

Şirketimizce; yurt içinde ve yurt dışında farklı firmalar ile çalışılmakta olup, ilgili firmaların, destek sağlamak amacıyla zaman zaman şirket programlarına erişebilme ve işin sürekliliği ve verimliliği açısından Şirket’in kontrolü ile kişisel verilere erişim sağlanabilmektedir. Bu bağlamda kişisel verilerinize erişim, yurt içinde ve yurt dışında aktarım imkanı da olmaktadır.

Kişisel verileriniz, yurtiçinde ve yurtdışında bulunan depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, bulut bilişim, e-posta ve diğer) veren kuruluşlar, işbirliği yapılan ve/veya hizmet alınan finans kuruluşları, performans değerlendirme şirketleri, hukuk, işçi kişilik envanteri ve benzeri alanlarda destek alınan danışmanlık firmaları, yan menfaatler ve Şirket’in faaliyetleri ile ilgili sair alanlarda destek veren üçüncü kişilere ve belirlenen amaçlarla aktarımın gerekli olduğu diğer üçüncü kişilere, iş ortaklarımıza ve yetkili kurum ve kuruluşlara Şirket’in kontrolünde (yurt içinde veya yurt dışına) aktarılabilmektedir ve/veya erişime açılabilmektedir. Ayrıca yine yasal yükümlülükler çerçevesinde ve gerekmesi halinde Kişisel Verileriniz Sosyal Güvenlik Kurumu gibi devlet kurumlarına, yargı organlarına, uluslararası sözleşmelerle kurulmuş yabancı misyonlara (büyükelçilikler, konsolosluklar vs.) aktarılabilmektedir.

Verilerinizin yurt içi ve yurt dışına aktarılması esnasında Şirket’imiz tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat çerçevesinde tüm yükümlülükler yerine getirilmektedir. Yasal yükümlülükler çerçevesinde ve gerekmesi halinde Kişisel Verileriniz Sosyal Güvenlik Kurumu gibi devlet kurumlarına, yargı organlarına, uluslararası sözleşmelerle kurulmuş yabancı misyonlara (büyükelçilikler, konsolosluklar vs.) aktarılabilmektedir.

6. Kişisel Verilerinizin İşlenme Süresi; Kişisel Verileriniz, ilgili mevzuatta bu verilerin saklanması için öngörülen bir süre var ise bu süre sonuna kadar veya bu şekilde bir süre belirlenmemiş ise işlendikleri amaç için gerekli olan süre boyunca işlenecektir.

Bu sürelerin dolması halinde Kişisel Verileriniz re’sen veya talebiniz üzerine derhal mevzuata uygun şekilde silinecek, yok edilecek veya anonim hale getirilecektir.

Bu süre içerisinde Kişisel Verilerinizde bir değişiklik olması durumunda kayıtlarınızın güncel ve doğru tutulabilmesi adına Şirket’e bilgi verme yükümlülüğünüz bulunmaktadır.

8. Kişisel Veri Sahibinin “Kişisel Verileri Koruma Kanunu” 11. Maddesinde sayılan Veri Sahibi Olarak Haklarınız;

KVKK ve yürürlükte bulunan diğer mevzuat çerçevesinde:

7. Şirket Tesislerinin Kamera ile Gözetimi; Şirket’e giriş ve çıkışlar, koridorlar, ortak alanlar ve Şirket’in dış cepheleri şirket güvenliği ile iş sağlığı ve güvenliği amacıyla kameralar ile görüntülenmekte ve belirtilen alanlarda kamera simgesi bulunmaktadır. Bu görüntülere ilişkin olarak da Anayasa ve KVKK tahtındaki haklarınızın saklı olduğunu belirtmek isteriz.

Kamera ile gözetim ve kayıt amacı, işyerinde gerçekleşmesi olası, özellikle hırsızlık gibi durumların tespit edilmesi ve birtakım eylemlerin teşhis edilmesidir.

Bu kayıtlara yalnızca Şirket’in yetkilileri tarafından erişilebilmektedir. Kayıtlar güvenlik amaçları ile yalnızca ilgili mevzuatta öngörülen süre ile muhafaza edilmekte olup, bu sürenin bitiminde imha edilmektedir.

i. Kişisel Verilerinizin işlenip işlenmediğini öğrenme, ii. Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme, iii. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, iv. Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme, v. Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, vi. KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme, vii. v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, viii. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, ix. Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.

9. Haklarınız Kapsamında Şirket’e Başvuru Yolları; Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ile KVKK’nın 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi; Mercan Shipping Forma tıklayarak, formun imzalı bir nüshasını Kuzguncuk Mahallesi Kuzguncuk Çarşı Caddesi No:39 34674 Üsküdar/İstanbul adresine kimliğinizi tespit edici belgeler ile bizzat elden iletebilir, noter kanalıyla veya KVK Kanunu’nda belirtilen diğer yöntemler ile gönderebilir, ilgili formu kayıtlı elektronik posta adresinizden; güvenli elektronik imzanız ya da mobil imzanız ..................@hs01.kep.tr adresine ya da var ise daha öncesinde şirketimize bildirdiğiniz ve şirketimiz sistemlerinde kayıtlı olan mail adresiniz kanalı ile kvkk@mercanshipping.com.tr adresine mail yolu ile iletebilirsiniz. Konuyu saygıyla dikkatlerinize sunarız.

M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi

SP 11.04 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

SP 11.04 M.R.C. DENİZLİCİLİK TURİZM VE PETROL ÜRÜNLERİ TİCARET LİMİTED ŞİRKETİ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

KAPSAM 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KANUN”) 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ÖZEL NİTELİKLİ KİŞİSEL VERİ” olarak belirlenmiştir. Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.

Tanımlar - “Veri Sahibi” : Kişisel veri sahibi gerçek kişi. - “Kurul” : Kişisel Verileri Koruma Kurulu - “Çalışan” : M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi’ne bağlı şirket personeli.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ Veri Sahibi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan Özel Nitelikli Kişisel Verilerin işlenmesinde, M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi tarafından özel hassasiyet gösterilmektedir.

Özel Nitelikli Kişisel Veriler, şirketimiz tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:

Veri Sahibi’nin açık rızası var ise veya Veri Sahibi’nin açık rızası yok ise; Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER Şirket, Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Verilerin işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.

Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik, • Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler vermektedir, • Gizlilik sözleşmelerinin yapılmaktadır, • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır, • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir, • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen envanteri iade almaktadır.

Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise, Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,

• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır, Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır, • Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır, • Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır, Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmaktadır.

Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; • Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır, • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

Özel Nitelikli Kişisel Veriler aktarılacaksa; • Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır, • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır, • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir, • Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizli ” formatta gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI Şirketimiz, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibinin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.

Veri Sahibi’nin açık rızası var ise, • Kanunlarda Özel Nitelikli Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise, • Veri Sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa; • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, • M.R.C. Denizcilik Turizm ve Petrol Ürünleri Ticaret Limited Şirketi’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, • Özel Nitelikli Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise, • Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, • Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI Şirketimiz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Veri Sahibinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.

Kişisel veri sahibinin açık rızası var ise veya Kişisel veri sahibinin açık rızası yok ise; Veri Sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, Veri Sahibinin sağlığına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında verilecektir.