KVKK Politikamız | Metropol Osgb

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.

Metropol OSGB olarak kişisel bilgilerinizin korunmasını sağlayacağımızı taahhüt ediyoruz. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerimiz ile şeffaflık ve hesap verebilirlik ilkelerinin gereği olarak size bu bilgilendirmeyi yapıyoruz. Bu metin aracılığıyla kişisel bilgilerinizin nasıl kullanıldığına ve bu konudaki haklarınıza ilişkin detaylı bilgilere ulaşabilirsiniz. Ayrıca kişisel verilerin korunmasına ilişkin farkındalığın ve şeffaflığın sağlanması adına “Metropol OSGB Kişisel Verilerin Korunması ve İşlenmesi Politikası”nı da sizlerin paylaşımına sunuyoruz. Bu doğrultuda kurumsal anlayışımızın ve taahhütlerimizin gereği olarak, kişisel bilgilerinizi aşağıda detaylı olarak açıkladığımız çerçevede kullanmak için gerekli özeni göstereceğimizi belirtmek isteriz.

Yasal düzenlemeler veya şirket politikalarındaki değişikliklerin sonucu olarak belli aralıklarla Aydınlatma Metninde güncelleme yapılması söz konusu olabilir. Metnin en güncel haline ulaşmak için düzenli aralıklarla sayfamızı ziyaret edebilirsiniz.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI'NIN NİTELİĞİ VE AMACI

İş bu “Kişisel Veri Saklama Ve İmha Politikası”, METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.. (“ŞİRKET”) olarak veri sorumlusu sıfatıyla işlediğimiz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin ŞİRKET tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, iş ortaklarımızın, tedarikçi lerimizin, ziyaretçilerimizin ve herhangi bir nedenle ŞİRKET nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu “Kişisel Veri Saklama ve İmha Politikası” çerçevesinde kanun lara uygun olarak yönetilmektedir.

2. TANIMLAR

Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Yönetmelik : 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini

Kurul : Kişisel Verileri Koruma Kurulunu

İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedil mesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarıl ması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engel lenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

Dolaylı tanımlayıcılar : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkma sı durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Kişisel verilerin silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ifade eder.

3. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uy gun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a ve işbu Kişisel Veri Saklama ve İmha Politikası’na uy

gun olarak işlemek ve korumaktadır.

Fiziksel Ortamlar : Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortam lardır.

Yerel Dijital Ortamlar : Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.

Bulut Ortamlar : Şirket bünyesinde yer almamakla birlikte, Şirketin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.

4. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişil mesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

Bu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirlerdir.

İdari Tedbirler :

∙ Kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi amacıyla, kişisel verilere eriş meye yetkili kişilerin bu yetki kapsamları ve sürelerinin belirlenmekte, yetki süresi bitenler den yetkilerinin derhal kaldırılması ve bu kapsamda kendilerine tahsis edilen envanterin iade alınması sağlanmaktadır.

∙ Çalışanların Niteliği Ve Teknik Bilgi/ Becerisinin Geliştirilmesi, Kişisel Verilerin Hukuka Aykırı İşlenmenin Önlenmesi, Kişisel Verilere Hukuka Aykırı Erişilmesinin Önlenmesi, Kişisel Verilerin Muhafazasının Sağlanması amacıyla İletişim Teknikleri, Kişisel Verilerin Korunması Hukuku ve İlgili Mevzuat Hakkında Çalışanlara Eğitimler Verilmektedir.

∙ Çalışanlara Gizlilik Sözleşmeleri İmzalatılmakta, bu kapsamda çalışanlar, öğrendikleri kişi sel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

∙ Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında düzenli eğitimler verilmekte, bu verilerin işlendiği ve saklandığı ortamların güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmekte, kağıt ortamında aktarımı gerekiyorsa evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

∙ Güvenlik Politika Ve Prosedürlerine Uymayan Çalışanlara Yönelik Uygulanacak Disiplin Prosedürü Uygulanmaktadır.

∙ Şirket tarafından Kişisel Verilerin saklanması konusunda teknik gereklilikler sebebiyle dışa rıdan bir hizmet alınması durumunda, Kişisel Verilerin hukuka uygun olarak aktarıldığı ilgi li firmalar ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu ted birlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

∙ Şirket tarafından Kişisel Verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen söz leşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla ge rekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağla yacağına ilişkin hükümler eklenmektedir.

∙ Kişisel verilerin imhası konusunda Şirketimiz ile geri dönüşüm şirketi arasında akdedilen sözleşmelere, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına, kişisel verileri derhal imha etmesi gerektiğine, kişisel verileri hiçbir suretle 3. kişilere ak tarmaması gerektiğine, ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına iliş kin hükümler eklenmektedir.

∙ Şirketimiz yerleşkesinde tutulan özel nitelikli kişisel veri içeren sağlık bilgilerine dair belge lerin kilitli özel dolaplarda muhafaza edilmesi ve bu dolaba işyeri hekimi dışındaki çalışan ların erişiminin engellenmesi sağlanmaktadır.

∙ Kişisel verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta(KEP) hesabı kullanılarak aktarımı yapılmaktadır.

Teknik Tedbirler :

∙ “Kurumun Bilişim Sistemleri Teçhizatı, Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemler Alınmaktadır.

∙ Hukuka Aykırı İşlemeyi Önlemeye Yönelik Riskler Belirlenmekte, Bu Risklere Uygun Tek nik Tedbirler Alınmaktadır.

∙ Sızma (Penetrasyon) Testleri İle Kurumumuz Bilişim Sistemlerine Yönelik Risk, Tehdit, Za fiyet Ve Varsa Açıklıklar Ortaya Çıkarılarak Gerekli Önlemler Alınmaktadır. ∙ Erişim Yetki Ve Rol Dağılımları İçin Prosedürler Oluşturulmakta Ve Uygulanmaktadır. ∙ Yetki Matrisi Uygulanmaktadır.

∙ Erişimler Kayıt Altına Alınarak Uygunsuz Erişimler Kontrol Altında Tutulmaktadır. ∙ Saklama Ve İmha Politikasına Uygun İmha Süreçleri Tanımlanmakta Ve Uygulanmaktadır. ∙ Veri İhlalinin Tespiti Halinde İlgili Kişiye Ve Kurula Bildirmek İçin Bir Sistem Ve Altyapı Oluşturulmaktadır.

∙ Güvenlik Açıkları Takip Edilerek Uygun Güvenlik Yamaları Yüklenmektedir. ∙ Bilgi Sistemleri Güncel Halde Tutulmaktadır.

∙ Kişisel Verilerin İşlendiği Elektronik Ortamlarda Güçlü Parolalar Kullanılmakta ve Güvenli Kayıt Tutma (Loglama) Sistemleri Kullanılmaktadır.

∙ Kişisel Verilerin Güvenli Olarak Saklanmasını Sağlayan Yedekleme Programları Kullanıl makta Ve Elektronik Olan Veya Olmayan Ortamlarda Saklanan Kişisel Verilere Erişim, Eri şim Prensiplerine Göre Sınırlandırılmaktadır.

∙ Yazılımsal (Güvenlik Duvarları, Atak Önleme Sistemleri, Ağ Erişim Kontrolü, Zararlı Yazı lımları Engelleyen Sistemler Vb.) Önlemler Alınmaktadır.

∙ Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yön temlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altında tutulmaktadır.

5. KİŞİSEL VERİLERİN İMHASI

SAKLAMA VE İMHA NEDENLERİ

Saklama Nedenleri :

Şirket bünyesinde tutulan kişisel veriler Kanun ve “Kişisel Verilerin İşlenmesi ve Korunması Politikası” (ilgili Metne www.metropolosgb.com.tr adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır. 6698 sayılı KVKK’da sayılan kişisel ve özel nitelikli kişisel verilerin işlenme şartları ( hukuki sebebi ) aşağıda yer almaktadır.

Kişisel verilerin işlenme şartları

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verile rinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki ge çerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korun ması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya di ğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâl lerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri nin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

İmha Nedenleri :

Kişisel veriler;

∙ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, ∙ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

∙ Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişi nin açık rızasını geri alması,

∙ Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silin mesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,

∙ Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale ge tirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz

∙ bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

∙ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri da ha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İMHA YÖNTEMLERİ

Şirket, Kanuna ve sair mevzuatı ile Kişisel Veri Saklama ve İmha Politikasına uygun olarak sakla dığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişi nin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

Şirket tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda yer almaktadır:

SİLME YÖNTEMLERİ :

Fiziksel Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri :

Karartma : Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

Yerel Dijital Ortamda ve Bulut Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri :

Yazılımdan güvenli olarak silme : Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

YOK ETME YÖNTEMLERİ :

Fiziksel Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri :

Fiziksel yok etme : Fiziksel ortamda tutulan belgeler geri dönüşüm firması vasıtasıyla tekrar bir araya getirilemeyecek şekilde yok edilir.

Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri :

Fiziksel yok etme : Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

De-manyetize etme (degauss) : Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma : Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri :

Yazılımdan güvenli olarak silme : Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen veri lere tekrar ulaşılamaz.

ANONİMLEŞTİRME YÖNTEMLERİ :

Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre aşağıda sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.

Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istis na durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Alt ve üst sınır kodlama / Global kodlama: Belli bir değişken için o değişkene ait aralıklar tanım lanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbi rine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.

Mikro birleştirilme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt küme nin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri orta lama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olaca ğından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.

Veri karma ve bozma: Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değer lerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybet meleri sağlanır.

SAKLAMA VE İMHA SÜRELERİ:

Saklama Süreleri:

Veri Kategorisi	Veri Konusu Kişi Grubu	Saklama Süresi
Özgeçmiş ve işe başvuru formunda yer alan bilgiler	Çalışan Adayı	Başvuru tarihinden itibaren 6 ay süre ile saklanır.
Potansiyel Müşteri ile Şirket arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi	Potansiyel Müş teri	Hukuki sürecin bitmesinden itibaren 10 yıl süre ile saklanır.
Müşteri'ye ait kimlik bilgisi, iletişim bilgi si, finansal bilgileri	Müşteri	Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile sakla nır.
İş Ortağı/Çözüm Ortağı/Danışman ile Şir ket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgileri	İş Ortağı/Çözüm Ortağı/Danışman	İş Ortağı/Çözüm Ortağı/Danışmanın, Şirket ile olan iş/ticari ilişkisinin sona ermesinden itibaren Türk Borç lar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
İşe alım evrakları ile özlük verileri	Çalışan	Hizmet akdinin bitmesinden itibaren 10 yıl süre ile saklanır.
Şirketin İşbirliği İçinde Olduğu Ku rum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalı şanı kişisel verileri	Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi vb)	Şirketin İşbirliği İçinde Olduğu Ku rum/Firmaların, Şirket ile olan iş/ticari ilişkisinin sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile sakla nır.

Şirkete ait fiziki mekana girişte ve içeri sinde alınan Ziyaretçi'ye ait ad, soyad ve kamera kayıtları	Ziyaretçi	2 yıl süre ile saklanır.
Şirket telefonunu arayan ziyaretçilerin ad, soyad ve telefon numarası bilgileri	Ziyaretçi	6 ay süre ile saklanır.

Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

İmha Süreleri:

Şirket, Kanun, ilgili mevzuat ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale geti rir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini talep ettiğinde;

1- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Şirketin talebi almış sayılması için ilgili kişinin talebini www.metropolosgb.com.tr internet sitemizde yer alan “KVKK İlgili Kişi Başvuru Formu”’na uy

gun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.

2- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanu nun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

PERİYODİK İMHA:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket, işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 30.06.2020 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ :

Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemle rini Kanuna, sair mevzuata ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla gerekli idari ve teknik tedbirler almaktadır.

Teknik Tedbirler:

∙ Şirket, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulun durur.

∙ Şirket, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.

∙ Şirket, imha işlemini yapan kişilerin erişim kayıtlarını tutar.

∙ Şirket, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

İdari Tedbirler:

∙ Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.

∙ Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.

∙ Şirket, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.

∙ Şirket, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirti len şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, ge reken aksiyonları alır.

∙ Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

6.KİŞİSEL VERİ KOMİTESİ :

Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, kanuna ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenme si için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden olu şur. Kişisel Veri Komitesinde görevli Şirket çalışanlarının unvanları ve görev tanımları aşağıda be lirtilmiştir:

Kişisel Veri Komitesi Yöneticisi ( Unvanı ) : Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yüküm

lüdür.

Kişisel Veri Komitesi İdari Uzmanı ( Unvanı ) : İlgili kişilerin taleplerinin incelenmesi ve değer lendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yö neticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasın dan; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

Kişisel Veri Komitesi Teknik Uzmanı ( Unvanı ): İlgili kişilerin taleplerinin incelenmesi ve de ğerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişi sel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçleri nin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanma sından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

7.GÜNCELLEME VE UYUM:

Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında deği şiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve deği şikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

8.DEĞİŞİKLİK NOTLARI :

09.08.2021

Kişisel Veri Saklama ve İmha Politikası yayınlanmıştır.

*daha eski tarihli bir değişiklik bulunmamaktadır.*

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

BİRİNCİ BÖLÜM

1.1. Giriş

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ. (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak iş lenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hare ket ediyoruz. Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğümüzü yerine getirmek ve kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildir mek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.

1.2. Politikanın Amacı

İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenme si ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda İnternet Sitesi Ziyaretçileri, Potansiyel Müşteri, Stajyer (öğrenci), Müşteri, Ziyaretçi, İş Ortağı, Çalışan, Çalışan Adayı ve Tedarikçiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişile ri bilgilendirmektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel veri lere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.

1.3. Politikanın Kapsamı ve Kişisel Veri Sahipleri

Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, İnternet Sitesi Ziyaretçileri, Potansiyel Müşteri, Stajyer (öğrenci), Müşteri, Ziya retçi, İş Ortağı, Çalışan, Çalışan Adayı ve Tedarikçiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Bu Politika, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.

Şirketimiz bu Politikayı internet sitesinde yayımlamak suretiyle bahse konu Kişisel Veri Sahiple ri’ni Kanun hakkında bilgilendirmektedir.

1.4.Tanımlar

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder: Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Kişisel Verilerin İşlenmesi : Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Veri Sahibi/İlgili Kişi : İnternet Sitesi Ziyaretçileri, Potansiyel Müşteri, Stajyer (öğrenci),

Müşteri, İş Ortağı, Çalışan, Çalışan Adayı ve Tedarikçiler başta olmak üzere kişisel verisi Şirketimiz tarafından işlenen gerçek kişilerdir.

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme : Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Kurul : Kişisel Verileri Koruma Kurulu’dur.

1.5.Politikanın Yürürlüğü

Şirket tarafından düzenlenerek 01/01/2020 tarihinde yürürlüğe giren işbu Politika, Şirket’in internet sitesinde ( www.metropolosgb.com.tr ) yayımlanır. Politikada değişiklik olması halinde politika metnine işlenir ve güncellenerek yayımlanır.

İKİNCİ BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

2.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirket tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket eder:

∙ Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.

∙ Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kay nakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.

∙ Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin iş lediği Kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.

∙ Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağ lantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için ge rekli olanla sınırlı tutar. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantı lı, sınırlı ve ölçülüdür.

∙ İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verinin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması du rumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

2.2. Kişisel Verilerin İşlenme Şartları

Şirket Kişisel Verileri veri sahibinin açık rızası olmaksızın işlemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel Veriler işlenebilecektir.

a) Kanunlarda açıkça öngörülmesi.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

2.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve cin sel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise, Şirket tara fından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetle rinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır sakla ma yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir. Şirket, Özel Nitelikteki Kişisel Verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

2.4. Kişisel Verilerin Aktarılma Şartları

Şirket, Kişisel Verileri, ilgili kişinin açık rızası olmaksızın aktarmaz. Ancak, Şirketimiz Kişisel Ve rileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak ve idari ve teknik tedbir leri alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz Kişisel Verilerin aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uy gun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kanunun 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak Kişisel Verileri üçüncü kişilere:

∙ Kişisel Veri sahibinin açık rızası var ise,

∙ Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise,

∙ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğü nün korunması için zorunlu olması.

∙ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşme nin taraflarına ait Kişisel Verinin aktarılması gerekli ise,

∙ Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,

∙ Kişisel Veriler, Kişisel Veri sahibi tarafından alenileştirilmiş ise,

∙ Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

∙ Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise aktarabilir.

2.4.1. Kişisel Verilerin Yurt Dışına Aktarılma Şartları

Şirket, Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. Ancak, Kişisel veri ler, 5 inci maddenin ikinci fıkrasında belirtilen şartlardan ( 2.2 ‘de belirtilmiştir ) birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorum lularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Şirketimiz Kişisel Veri işleme amaçları doğrultusunda gerekli idari ve teknik tedbirleri alarak Kişi sel Veri Sahiplerinin Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir.

2.5. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Şirket Özel Nitelikli Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. Ancak, Şirket, gerekli özeni göstererek, gerekli idari ve teknik tedbirleri alarak ve Kurul tarafından öngörü len yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda Kişisel Veri Sahibinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda üçüncü kişilere akta rabilmektedir.

1. Kişisel Veri Sahibinin açık rızası olması halinde veya

2. Aşağıdaki şartların varlığı halinde Kişisel Veri Sahibinin açık rızası aranmaksızın;

∙ Kişisel Veri Sahibinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

∙ Kişisel Veri Sahibinin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmet lerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafın dan.

2.5.1. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılma Şartları

Şirket, Özel Nitelikli Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. An cak, Özel Nitelikli Kişisel veriler, 6 inci maddenin üçüncü fıkrasında belirtilen şartlardan ( 2.3 ‘de belirtilmiştir ) birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorum lularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

ÜÇÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI Kİ ŞİLER

3.1. Kişisel Verilerin İşlenme ve Aktarılma Amaçları

Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Şirket’in

∙ Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

∙ Taşınır Mal Ve Kaynakların Güvenliğinin Temini

∙ Risk Yönetimi Süreçlerinin Yürütülmesi

∙ Performans Değerlendirme Süreçlerinin Yürütülmesi

∙ Mal / Hizmet Satış Süreçlerinin Yürütülmesi

∙ Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

∙ İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

∙ İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi ∙ İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

∙ İş Faaliyetlerinin Yürütülmesi / Denetimi

∙ Hukuk İşlerinin Takibi Ve Yürütülmesi

∙ Eğitim Faaliyetlerinin Yürütülmesi

∙ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

∙ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi ∙ Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

∙ Yabancı Personel Çalışma Ve Oturma İzni İşlemleri

∙ Fiziksel Mekan Güvenliğinin Temini

∙ İnsan Kaynakları Süreçlerinin Planlanması

∙ Pazarlama Analiz Çalışmalarının Yürütülmesi

amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ( hu kuki sebep ) kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen işleme şartlarından herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.

3.2. Kişisel Verilerin Aktarılacağı Kişiler

Kişisel Veriler, Şirket tarafından yukarıda sayılan amaçların gerçekleştirilebilmesi için ve Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ( hukuki sebep ) kapsamında, İş Ortakla rımız, tedarikçiler, gerçek kişiler veya özel hukuk tüzel kişileri ve Yetkili Kamu Kurum ve Kuruluş larına aktarılabilmektedir.

Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle veri lerin paylaşılmak zorunda kalınması, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz yalnızca ilgili kişi ya da kurumla sınır lı olmak üzere aktarılabilecektir.

DÖRDÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye uygun luğunun denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, satış noktaları, çağrı merkezi, Şirket internet sitesi gibi muhtelif yollardan, iş bu politikada (3.1 ) yer verilen amaçların gerçekleştirilmesi amacıyla iş bu politikada ( 2.2 ve 2.3 ) yer verilen hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.

BEŞİNCİ BÖLÜM

KİŞİSEL VERİLERİN SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ VE SAKLANMA SÜRESİ

5.1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, bu Kanun ve diğer kanun hükümlerine uygun ola rak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şe kilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Veri lerin anonim hale getirilmesiyle, kişisel Verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

5.2. Kişisel Verilerin Saklanma Süresi

Şirket, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama süreleri nin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şir ket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmaz lıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi ge çen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmek tedir.

Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili daha de taylı bilgi Şirket’in “Kişisel Veri Saklama Ve İmha Politikası”’nda yer almaktadır.

ALTINCI BÖLÜM

KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka uygun olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muha fazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

6.1. Kişisel Verilerin Güvenliğinin Sağlanması

6.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak, Kişisel Verilere Hukuka Aykırı Erişimi Engellemek ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan İdari Tedbirler

∙ Güvenlik Politika Ve Prosedürlerine Uymayan Çalışanlara Yönelik Uygulanacak Disiplin Prosedürü Uygulanmaktadır.

∙ Kişisel verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta(KEP) hesabı kullanılarak aktarımı yapılmaktadır.

6.1.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak, Kişisel Verilere Hukuka Aykırı Erişimi Engellemek ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan Teknik Tedbirler

∙ “Şirketin Bilişim Sistemleri Teçhizatı, Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemler Alınmaktadır.

∙ Hukuka Aykırı İşlemeyi Önlemeye Yönelik Riskler Belirlenmekte, Bu Risklere Uygun Tek nik Tedbirler Alınmaktadır.

∙ Güvenlik Açıkları Takip Edilerek Uygun Güvenlik Yamaları Yüklenmektedir. ∙ Bilgi Sistemleri Güncel Halde Tutulmaktadır.

∙ Kişisel Verilerin İşlendiği Elektronik Ortamlarda Güçlü Parolalar Kullanılmakta ve Güvenli Kayıt Tutma (Loglama) Sistemleri Kullanılmaktadır.

∙ Yazılımsal (Güvenlik Duvarları, Atak Önleme Sistemleri, Ağ Erişim Kontrolü, Zararlı Yazı lımları Engelleyen Sistemler Vb.) Önlemler Alınmaktadır.

6.1.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme rapor lanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

6.1.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

Şirket, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine (İl gili Kişi) ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülme si halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6.2. Kişisel Veri Sahiplerinin ( İlgili Kişi ) Yasal Haklarının Korunması

Şirket, Kişisel Veri Sahiplerinin Politika ve Kanun’un uygulanması ile tüm yasal haklarını korur ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel Veri Sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın yedinci bölümünde yer verilmiştir.

6.3. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım Kişisel Verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun’da “özel nitelikli kişisel veri” olarak belirlenen ve hukuka uygun ola

rak işlenen Özel Nitelikli Kişisel Verilerin korunmasına Şirket tarafından azami hassasiyet göste rilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.

YEDİNCİ BÖLÜM

KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI 7.1. Kişisel Veri Sahibinin Aydınlatılması

Şirket, Kanun’un 10. maddesine uygun olarak, Kişisel Verilerin işlenmesinden önce Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Veri Sorumlusu olarak Şirketin kimliği, Kişisel Verile rin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, Kişi sel Veri toplamanın yöntemi ve hukuki sebebi ( Kanunun 5. ve 6. maddesinde yer alan işleme şart larından hangisine dayanıldığı açıkça belirtilmektedir) ve Kişisel Veri sahibinin (İlgili kişinin) Ka nunun 11 inci maddesinde sayılan diğer hakları konusunda aydınlatma yapmaktadır.

7.2. Kişisel Veri Sahibinin Kanun Uyarınca Hakları

Kişisel veri sahipleri KVKK m.11 uyarınca;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

7.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri işbu Politika’ nın (7.2.) maddesinde sayılan haklarına ilişkin taleplerini www.metropolosgb.com.tr internet adresinden kamuoyu ile paylaşılmış olan METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ. “KVKK Başvuru Formu’ nda yer alan yöntemlerle başvuru formunu doldurarak Şirketimize iletebilirler.

Saygılarımızla,

KVKK BAŞVURU FORMU İLE İLGİLİ BİLGİLER

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ. KVKK BAŞVURU FORMU İLE İLGİLİ BİLGİLER

BAŞVURU FORMU: İlgili kişilerin kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltme, silme ve yok etme gibi işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etmesini sağlayacağı belgedir.

ŞİRKET: Veri sorumlusu METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.’dir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nda ilgili kişi olarak tanımlanan kişisel veri sahiplerine KVKK’nın 11’inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.

Bu kapsamda kişisel veri sahipleri KVKK m.11 uyarınca;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

BAŞVURU ŞEKLİ: 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verisi işlenen gerçek kişilerin (“İlgili Kişi”) kişisel verileri üzerindeki haklarını kullanmak amacıyla veri sorumlusuna yapacağı başvuru yöntemlerini 10 Mart 2018’de 30356 sayılı resmi gazetede yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği”’nde ifade etmektedir. Bu Tebliğin 5.maddesi şu şekildedir;

MADDE 5 – (1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

(2) Başvuruda;

a) Ad, soyad ve başvuru yazılı ise imza,

b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, d) Talep konusu,

bulunması zorunludur.

(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.

(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.

(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.

Buna göre;

Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenecek diğer yöntemler saklı kalmak üzere, Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği dikkate alınarak İlgili Kişiler için belirlenen başvuru yöntemleri aşağıda yer almaktadır. İlgili kişiler, aşağıda yer alan “KVKK BAŞVURU FORMU”’nu esas alarak, aşağıda belirtilen yöntemlerden birini kullanarak başvuru yapabileceklerdir. Bu doğrultuda, İlgili Kişi;

– Bu forma atacağı el yazısı imzası ile, İnkılap Mah. Yıldırım Caddesi No:4-6 B Blok Ümraniye/İstanbul adresine yapacağı şahsi başvuru ile, veya

– Güvenli elektronik imza, mobil imza ya da Şirkete daha önce bildirilen ve Şirketin sisteminde kayıtlı bulunan bir e-posta adresini kullanmak suretiyle info@metropolosgb.com.tr adresine bir e-posta göndererek, veya

– Şahsi Kayıtlı e-Posta (KEP) adresini kullanarak, Şirketin KEP adresine “ metropolisg@hs01.kep.tr ” bir e-posta göndererek, veya

– Başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla, veya – noter marifetiyle başvuruda bulunabilir.

Yukarıda öngörülen yöntemlerden biri ile Şirkete iletilen başvurular, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde kural olarak ücretsiz cevaplandırılacak olup, bu cevap İlgili Kişiye yazılı olarak veya elektronik ortamda bildirilecektir. Talebin ayrıca bir maliyet gerektirmesi durumunda Kurul tarafından belirlenecek olan tarifedeki ücret İlgili Kişiye yansıtılacaktır. Ancak başvurunun Şirket hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilecektir. Talebin ayrıca bir maliyet gerektirmesi durumunda Kurul tarafından yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği” ‘ne göre ;

• On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti,

• Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecek şekilde ücret talep edilecektir.

Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirket tarafından duyurulacaktır.

KVKK BAŞVURU FORMU

İlgili Kişi İletişim Bilgileri:

İsim:
Soy isim:
TC Kimlik Numarası:
Telefon Numarası:
Fax: Numarası (Varsa)
E-posta: (Belirtmeniz halinde size daha hızlı yanıt verebileceğiz.)
Adres:

∙ Lütfen KVKK kapsamındaki talebinizi detaylı olarak belirtiniz(varsa konuya ilişkin bilgi ve belgelerinizi işbu başvuru formuna ekleyiniz):

…………………..…………….……………………………….……………………………….… ……………………………………………………

…………………………………………………………………………………………………… ………………………………………………………

İşbu başvuru formu, ŞİRKET (VERİ SORUMLUSU) ile olan ilişkinizi tespit ederek, varsa, ŞİRKET tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için ŞİRKET ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.

İlgili Kişi (Kişisel Veri Sahibi) Adı Soyadı :

Başvuru Tarihi :

İmza :

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ

İşbu Aydınlatma Metni, Metropol İş Sağlığı Ve İş Güvenliği Dan. Hiz. Ltd. Şti. tarafından Şirket’in müşterilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında kişisel verilerinin Şirket tarafından işlenmesine ilişkin olarak aydınlatılması amacıyla hazırlanmıştır.

Kişisel verilerinizin işbu Aydınlatma Metni kapsamında işlenmesine ilişkin detaylı bilgilere www.metropolosgb.com.tr adresinde yer alan Metropol OSGB Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.

a) Kişisel Verilerin Elde Edilme Yöntemleri ve Hukuki Sebepleri

Kişisel verileriniz, elektronik veya fiziki ortamda toplanmaktadır. İşbu Aydınlatma Metni’nde belirtilen hukuki sebeplerle toplanan kişisel verileriniz Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde işlenebilmekte ve paylaşılabilmektedir.

b) Kişisel Verilerin İşleme Amaçları

Kişisel verileriniz, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçlarıyla işlenmektedir.

c) Kişisel Verilerin Paylaşılabileceği Taraflar ve Paylaşım Amaçları

Kişisel verileriniz, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçları dahilinde Şirket’in iş ortakları ve tedarikçileri ile hukuken yetkili kurum ve kuruluşlar ile hukuken yetkili özel hukuk tüzel kişileriyle paylaşılabilecektir.

d) Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması

Kişisel veri sahipleri olarak aşağıda belirtilen haklarınıza ilişkin taleplerinizi Veri Sahipleri Tarafından Hakların Kullanılması başlığı altında belirtilen yöntemlerle Şirket’e iletmeniz durumunda talepleriniz Şirketimiz tarafından mümkün olan en kısa sürede ve her halde 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.

Kanun’un 11. maddesi uyarınca kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,

Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kanun’un 28. maddesinin 2. fıkrası veri sahiplerinin talep hakkı bulunmayan halleri sıralamış olup bu kapsamda;

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

hallerinde verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.

Kanun’un 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda veriler Kanun kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Veri Sahipleri Tarafından Hakların Kullanılması

Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için www.metropolosgb.com.tr linkinde yer alan “ KVKK Başvuru ile ilgili Form ”u kullanabileceklerdir.

Başvurular, ilgili veri sahibinin kimliğini tespit edecek belgelerle birlikte, aşağıdaki yöntemlerden biri ile gerçekleştirilecektir:

Formun doldurularak ıslak imzalı kopyasının elden, noter aracılığı ile veya iadeli taahhütlü mektupla [İnkılap Mah. Yıldırım Cad. No:4-6 B Blok Ümraniye İstanbul-Türkiye] adresine iletilmesi,

Formun 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak metropolisg@hs01.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi,

Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi.

Şirket, Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz (30) gün içerisinde cevap vermektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından öngörülen ücret tarifesi[1] üzerinden ücretlendirme yapılabilecektir.

Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

KVKK Politikamız | Metropol Osgb

METROPOL İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ DAN.HİZ.LTD.ŞTİ.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

KVKK BAŞVURU FORMU İLE İLGİLİ BİLGİLER

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ

İletişim Bilgileri

Haberler

İş Sağlığı Ve Güvenliğinde Yapılan Değişiklikler

Osgb (Ortak Sağlık Güvenlik Birimi) Nedir ?

Osgb Ne İş Yapar?