Mermüs Arsa Ofisi
Online
×
- +90 544 654 26 91
- mermusemlak@gmail.com
- Eski Edirne Asf. No:869 D:3 Sultangazi
Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Mermüs Arsa Ofisi tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (çalışan, çalışan adayları, tedarikçiler, stajyerler ve diğer ilgili üçüncü kişilerin) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi bu Politika’nın amacını oluşturmaktadır.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Mermüs Arsa Ofisi tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Mermüs Arsa Ofisi tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.
Kişisel verileriniz işbu politika metninde açıklanan amaçlar ve Mahremiyetinin Korunması Yönetmeliği, ilgili düzenlemeler ve başta 6698 sayılı Kanun olmak üzere, Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır Mermüs Arsa Ofisi tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve Mermüs Arsa Ofisi tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.
Politika, Mermüs Arsa Ofisi’a ait
www.mermusarsaofisi.com internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Açıklanan nedenlerle Mermüs Arsa Ofisi, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.
2.2. Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli kişisel verilerden, finansmanın planlanması ve yönetim amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Ayrıca türü fark etmeksizin, tüm özel nitelikli kişisel veriler, kanun gereği ancak KVKK tarafından belirlenen yeterli önlemlerin alınması halinde işlenebilir.
Şirket faaliyetlerimiz kapsamında bizimle paylaştığınız kişisel verileriniz; otomatik ya da otomatik olmayan yöntemler ile Mermüs Arsa Ofisi tarafından sağlanmakta olan finansmanının planlanması ve yönetimi amaçlarıyla; internet sitesi, anket, sosyal sorumluluk gibi sosyal medya uygulamaları dahil tüm mecralar ile sözlü, yazılı, görsel ya da elektronik ortamda, danışma hattı/çağrı merkezi, internet sitesi, sözlü, yazılı ve benzeri kanallar aracılığıyla elde edilerek, kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek toplanmaktadır. KVKK kapsamında veriler üzerinde gerçekleştirilen her türlü işlem “kişisel verilerin işlenmesi” olarak kabul edilmektedir.
Ayrıca, hizmet sunumu için bilgi, randevu, şikâyet veya sair amaçlar ile danışma hattı veya internet sayfamızı kullandığınızda, şirketimizi veya internet sitemizi ziyaret ettiğinizde ve bu sitede gezdiğinizde kişisel verileriniz işlenebilecektir.
Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında “Özel “Nitelikli Kişisel Veri” olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Veri sahibi ilgili kişinin açık rızası olmaksızın özel nitelikli kişisel veriler işlenemez. Mermüs Arsa Ofisi tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:
3.2. Kişisel Verilerin İşlenme Şartları
Mermüs Arsa Ofisi tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:
3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları
Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.
Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.
Veri sorumlusu sıfatıyla Mermüs Arsa Ofisi’ ın yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.
Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.
Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.
Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.
3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6. maddesine tabi olup ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez.
Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Kişisel verilerin elde edilmesi sırasında Mermüs Arsa Ofisi veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Mermüs Arsa Ofisi tarafından yayımlanan Kişisel Verilerin Korunması Hakkında Aydınlatma Metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:
Kanun’un 10. maddesine göre veri sahiplerinden (çalışan, çalışan adayları, tedarikçiler,
stajyerler ve diğer ilgili üçüncü kişiler) elde edilen kişisel veriler veri sorumlusu sıfatıyla Mermüs Arsa Ofisi işlenmekte olup ilgili birime ait iletişim info@mermusemlak.com e-posta adresi veya www.mermusarsaofisi.com adresinden sağlanabilir.
Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Elde edilen verilerinizin hangi amaçlarla işlendiği Politika’nın V. MERMÜS ARSA OFİSİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLEME AMAÇLARI kısmında yer almaktadır.
Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Mermüs Arsa Ofisi tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL VERİLERİN AKTARILMASI kısmında gösterilmiştir.
Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar genişletilememektedir.
Veri sorumlusu Mermüs Arsa Ofisi tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.
4.1. Yurt İçi Aktarım
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak:
belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Buna göre, kanunlarda açıkça öngörülmesi (1), fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya vücut bütünlüğünün korunması için zorunlu olması (2), bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (3), veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (4), ilgili kişinin kendisi tarafından alenileştirilmiş olması (5), bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (6), ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde ilgili kişiye ait kişisel veriler açık rızası alınmaksızın 3.kişilere aktarılabilecektir.
Kişisel verileriniz ve işbu politika metninde açıklanan amaçlar ve 6698 sayılı Kişisel Verilerin Korunması Kanunu, Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler çerçevesinde;
Sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile şirketimizin idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, düzenleyici ve denetleyici kurumlar, sigorta şirketleri ve sair merkezleri ile sistemlerine aktarılmaktadır.
Mermüs Arsa Ofisi tarafından işlenen kişisel verilerinizin aktarıldığı alıcı gruplarına dair bilgiler bu Politika’nın EK 4 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları kısmında yer almaktadır.
4.2. Yurt Dışı Aktarım
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Şu kadar ki, Kanun’un 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Veri sahibi ilgili kişiler Mermüs Arsa Ofisi tarafından elde edilen veri kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.
Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel verilere erişilmesinin önlenmesi için Mermüs Arsa Ofisi tarafından idari ve teknik tedbirler alınmaktadır.
Kişisel veri güvenliğinin sağlanması için Mermüs Arsa Ofisi tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı (1), mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği (2), güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği (3) dikkate alınmaktadır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.
6.1. İdari Tedbirler
Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Bu nedenle veri sorumlusu sıfatıyla iç organizasyonumuzdaki farkındalık ve bilgilendirme çalışmaları gerçekleştirilmektedir.
Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında gerekli eğitimin verilmesi, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması; veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmaktadır.
Öte yandan çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmaları imzalanmakta, çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci yürütülmektedir.
Kişisel veri güvenliğine ilişkin uygulanan politika ve prosedürlerde herhangi bir değişiklik olması halinde değişikliğin çalışanlara bildirilmesi ve açıklanması amacıyla eğitimler yapılarak veri güvenliği ve güvenliğe ilişkin tehditler hakkındaki bilgilendirmeler güncel tutulmaktadır.
Kişisel veriler Kanun’un 4.maddesi (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda işlenen veriler, veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenmekte, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir Mermüs Arsa Ofisi tarafından işlenen kişisel verilerin saklama süreleri bu Politika’nın VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI kısmında gösterilmiştir.
Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin özeti verilmiştir:
İdari Tedbirler |
Kişisel Veri İşleme Envanterinin Hazırlanması |
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında) |
Gizlilik Taahhütnameleri |
Kurum İçi Periyodik ve/veya Rastgele Denetimler |
Risk Analizleri |
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Kişisel Veri Güvenliği Politika ve Prosedürleri |
Kişisel Veri Güvenliği Sorunlarının Hızlı Bir Şekilde Raporlanması |
Kişisel Veri Güvenliğinin Takibi Yapılması |
Çalışanlar İçin Veri Güvenliği Hükümleri İçeren Disiplin Düzenlemeleri Oluşturulması |
Kişisel Veriler Mümkün Olduğunca Azaltılması |
Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha Konularında Kurumsal Politikalar Hazırlanması ve Uygulanması |
Görev Değişikliği Olan veya İşten Ayrılan Çalışanların Bu Alandaki Yetkileri Kaldırılması |
İmzalanan Sözleşmelerde Veri Güvenliği Hükümlerine Yer Verilmesi |
Mevcut Risk ve Tehditlerin Belirlenmesi |
Kurum İçi Periyodik ve/veya Rastgele Denetimler Yapılması |
Özel Nitelikli Kişisel Veri Güvenliğine Yönelik Protokol ve Prosedürler Belirlenmiş ve Uygulanması |
Veri İşleyen Hizmet Sağlayıcılarının, Veri Güvenliği Konusunda Farkındalığı Sağlanması |
6.2. Teknik Tedbirler
Kişisel veri içeren bilgi teknoloji sistemlerimin internet üzerinden 3. kişilerin yetkisiz erişim ve tehditlerine karşı korunması amacıyla alınan tedbirler arasından güvenlik duvarı ve ağ geçitleri kullanılmaktadır. Kullanılan güvenlik duvarı ile bilgi ağına gerçekleşen ihlallerin durdurulması sağlanmakta, ağ geçidi ile çalışanların kişisel veri güvenliği bakımından tehdit teşkil eden internet siteleri veya online platformlara erişimlerinin kısıtlanması sağlanmaktadır.
Ayrıca yazılım ve donanımların düzgün biçimde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığına ilişkin düzenli kontroller sağlanmaktadır. Kişisel veri içeren sistemlere erişim sınırlandırılmış olup bu kapsamda çalışanlara yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta, kullanıcı adı ve şifre kullanmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifreler oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizilerinden mümkün olduğunca kaçınılmaktadır.
Veri sorumlusu organizasyonu içinde erişim yetki ve kontrol matrisleri oluşturulmakta, kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmaktadır.
Veri güvenliğinin sağlanması adına kişisel veri içeren kağıt ortamındaki evraklar ile sunucular, yedekleme cihazları, CD, DVD, USB ve benzer diğer saklama cihazlarının yalnızca yetkili personelin erişimine açık tutulması ve bu konuda fiziksel güvenliğin artırılması için gerekli önlemler alınmaktadır.
Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin
özeti verilmiştir:
Teknik Tedbirler |
Yetki Matrisi |
Yetki Kontrol |
Erişim Logları |
Kullanıcı Hesap Yönetimi |
Ağ Güvenliği |
Uygulama Güvenliği |
Şifreleme |
Saldırı Tespit ve Önleme Sistemleri |
Veri Kaybı Önleme Yazılımları |
Yedekleme |
Güvenlik Duvarları |
Güncel Anti-Virüs Sistemleri |
Silme, Yok Etme veya Anonim Hale Getirme |
Anahtar Yönetimi |
VII. BİNA, TESİS GİRİŞLERİ İLE BİNA VE TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ
7.1. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyeti
Özel Güvenlik Hizmetlerine Dair Kanun kapsamında Mermüs Arsa Ofisi binası, çalışma alanları, ortak alanlar, otopark ve çevresinde güvenliğin sağlanması, Mermüs Arsa Ofisi ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme faaliyeti Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.
7.2. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Mermüs Arsa Ofisi binasına giriş çıkışların kontrolü ve takibi, güvenliği sağlanması amacıyla Mermüs Arsa Ofisi ziyarette bulunan misafirlere ait kimlik bilgileri kişisel veri işleme faaliyetine konu edilmektedir. İşbu faaliyet kapsamında işlenen kişisel veriler yalnızca misafirlerin giriş ve çıkışlarının yapılması amacıyla sınırlı olarak gerçekleştirilmekte olup ilgili kişisel veriler elektronik veya fiziksel ortamda veri kayıt sistemine kaydedilmektedir.
VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
8.1. Kişisel Verilerin Saklanma Süreleri
Mermüs Arsa Ofisi nezdinde tutulan kişisel verileriniz, veri işleme faaliyetinin gerekli olduğu süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinir, yok edilir veya anonim hale getirilir.
Mermüs Arsa Ofisi, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4.maddesinde gösterilen genel ilkeler ile 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.
Tarafımızca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 30 yıl süreyle kişisel verilerin işlenmesi süresince muhafaza edilmektedir.
Verilerin saklanması ve imhasına ilişkin Mermüs Arsa Ofisi tarafından görevlendirilen kişisel veriler uzmanı personel, kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.
8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü
Mermüs Arsa Ofisi tarafından işlenmiş kişisel veriler, Kanun’un 7.maddesi ile Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verileriniz anonim hale getirilmek üzere Mermüs Arsa Ofisi tarafından gerekli her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilir.
8.3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
Mermüs Arsa Ofisi tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.
Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi (2), ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.
Kişisel verilerin silinmesinde izlenen yol şu şekildedir:
Kişisel verilerin yok edilmesinde izlenen yol şu şekildedir:
9.1. Kişisel Veri Sahibinin Hakları
6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:
9.2. Kişisel Veri Sahibinin Haklarını Kullanması
İlgili kişi veri sahibi tarafından Kanun’un uygulanması ile ilgili talepler, irtibat e-posta info@mermusemlak.com adresine veya Malkoçoğlu, Eski Edirne Asf. No:869 D:4, 34270 Sultangazi/İstanbul, Türkiye adresine yazılı biçimde Mermüs Arsa Ofisi’a iletilmelidir. Başvuru taleplerinde Mermüs Arsa Ofisi tarafından internet sitesinde yayımlanan “Veri Sahibi Başvuru Formu” kullanılması gerekmektedir.
9.3. Mermüs Arsa Ofisi Başvurulara Cevap Vermesi
Başvuru talebinin niteliğine göre en kısa sürede Mermüs Arsa Ofisi tarafından sonuçlandırılmaktadır. Bu süre talebin tarafımıza uygun şekilde tebliğinden itibaren 30 günü aşamaz. Şu kadar ki, işlemin herhangi bir maliyeti gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
EK – 1: Tanımlar
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
Kimlik Bilgileri: Adınız, soyadınız, T.C. kimlik numaranız, pasaport numaranız veya geçici T.C. kimlik numaranız, doğum yeri ve tarihiniz, medeni haliniz, cinsiyetiniz, ve sizi tanımlayabileceğimiz diğer kimlik verileriniz;
İletişim Bilgileri: Adresiniz, telefon numaranız, elektronik posta adresiniz ve sair iletişim verileriniz, müşteri temsilcileri tarafından çağrı merkezi standartları gereği tutulan sesli görüşme kayıtlarınız ile elektronik posta, mektup veya sair vasıtalar aracılığı ile tarafımızla iletişime geçtiğinizde elde edilen kişisel verileriniz;
Muhasebe Bilgileri: Banka hesap numaranız, IBAN numaranız, kredi kartı bilginiz, faturalama bilgileriniz gibi finansal verileriniz; hizmetlerinin finansmanı ve planlaması amacıyla özel verileriniz; şirketimizi ziyaret etmeniz halinde güvenlik ve denetim amaçlı tutulmakta olan kamera kayıtları görüntüleriniz,
EK – 2: Kişisel Veri Sahipleri (İlgili Kişiler)
Veri Sahibi Kategorileri | Açıklama |
Çalışan | Şirket bünyesinde çalışan kişileri ifade etmektedir. |
Çalışan Adayı | Şirket’e özgeçmiş göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade etmektedir. |
Stajyer | Şirket bünyesinde eğitimini aldığı mesleği, meslek bilgisini artırmak için uygulamalı olarak kullanan kişileri ifade etmektedir. |
Tedarikçi | Kendisinden hizmet tedarik edilen gerçek kişiler ile tüzel kişi çalışanları ifade etmektedir. |
İlgili Diğer 3. Kişiler | Şirket’e başvuran, iletişim kuran sayılanlar dışında kalan kişileri ifade etmektedir. |
EK – 3: Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Aktarılan Kişi/Birim | Aktarılma Amacı |
Sosyal Güvenlik Kurumu | Çalışanların, Çalışan Adaylarının Sosyal Güvenlik kapsamında işlemlerinin gerçekleştirilmesi amacıyla bilgilerin aktarılması. |
Yetkili Kamu Kurum ve Kuruluşları | İlgili kamu kurum ve kuruluşlarının Şirket’in talep ettiği bilgi ve belgelerin amacıyla sınırlı olarak paylaşılması/aktarılması. |
Tedarikçiler | Tedarikçi kimselerden alınan hizmetlerin temini amacıyla sınırlı olarak kişisel verilerin aktarılması. |
Mermüs Arsa Ofisi tarafından elde edilen her türlü kişisel veriniz sayılan amaçlar doğrultusunda işlenebilecektir; kimliğinizi teyit etme, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, finansmanının planlanması ve yönetimi, şirketimizin işleyişi ile günlük operasyonların planlanması ve yönetilmesi, ilaç temini, randevu almanız halinde randevu hakkında sizi bilgilendirebilme, risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi geliştirmesi amacıyla değerlendirmelerde bulunma, araştırma yapılması, yasal ve düzenleyici gereksinimlerin yerine getirilmesi, Şirket ile anlaşmalı olan kurumlarla ilişkinizin teyit edilmesi, hizmetlerimiz karşılığında faturalandırma yapılması, hizmetlerin finansmanı kapsamında şirketler ile talep edilen bilgilerin paylaşılması, ilgili mevzuat uyarınca ilgili kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması, hizmetlerimize ilişkin her türlü soru ve şikâyetinize cevap verilmesi, şirketimizin sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alması, sunduğumuz hizmetlerin geliştirilmesi ve iyileştirilmesi amacıyla hizmetlerin kullanımınızın analiz edilmesi ve verilerinizi saklanması, düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temin edilmesi, çalışanlarımızın eğitimi ve geliştirilmesi, suiistimal ve yetkisiz işlemlerin izlenmesi, engellenmesi ve işlemlerin geri alınması, ilgili mevzuat gereği saklanması gereken verilerinize ilişkin bilgilerin muhafaza edilmesi, anlaşmalı olduğumuz kurumlarla size sunulan hizmetlerine ilişkin finansal mutabakat sağlanması, müşteri memnuniyetinin ölçülmesi ve bunlarla sınırlı olmaksızın, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, geliştirilmesi ile finansmanının planlanması ve yönetimi, müşteri memnuniyetinin arttırılması, araştırma ve benzeri amaçlar.
EK-5: Süreler
Kişisel Veri Kategorisi | Saklama Süresi | Yasal Dayanak |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve Log Kayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri | 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | 6102 Sayılı Kanun ve 6098 Sayılı Kanun |
İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat ve 6098 Sayılı Türk Borçlar Kanunu |
SGK Mevzuatı kapsamında tutulan veriler (İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 5510 Sayılı Sosyal Sigortalar ve İlgili Mevzuat |
İş Başvurusu Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) | 1 Yıl | Sektörel teamüller geçerli. |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler | Sözleşmenin Sona Ermesine Müteakip 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 90 Gün | Sektörel Teamül |
Hizmet İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Yıl | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |