Kişisel Verilerin Korunması Şirket Politikası

Giriş
MTC ENERJİ ANONİM ŞİRKETİ (“Veri sorumlusu”) kişisel verilerin korunması hususunda tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası (“Politika”) çerçevesinde tarafımızca gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve veri işleme faaliyetimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklamakta ve böylelikle ilgili kişileri bilgilendirerek gerekli şeffaflığı sağlamaktayız. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

Tanımlar
Kanunun amaçları çerçevesinde, aşağıdaki tanımlar esas alınacaktır:
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
Kişisel Verilerin İşlenmesi: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan herhangi bir gerçek veya tüzel kişiyi;
Veri İşleyen: Veri Sorumlusu tarafından verilen yetkiye dayanarak onun adına Kişisel Verileri işleyen üçüncü bir gerçek veya tüzel kişiyi;
İlgili Kişi: Kişisel Verileri işlenen gerçek kişiyi;
Veri Kayıt Sistemi: Veri Sorumlusu tarafından kullanılan kişisel verilerin belirli kıstaslara göre yapılandırılarak işlendiği kayıt sistemini;
Kurul: Kişisel Verileri Koruma Kurulu’nu;
Kurum: Kişisel Verileri Koruma Kurumu’nu;
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ’de yayımlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade etmektedir.

Kişisel Verilerin İşlenmesine Dair Esaslar
Hukuka ve Dürüstlük Kuralına Uygun İşleme: Veri Sorumlusu, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede kişisel veriler, tarafımızın iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Veri Sorumlusu, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
Belirli, Açık ve Meşru Amaçlarla İşleme: Veri Sorumlusu, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı, Ölçülü Olma: Veri Sorumlusu, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
İlgili Mevzuattan Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Veri Sorumlusu, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri ile imha edilmektedir.

Kişisel Veri İşlenme Şartları
İlgili kişinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin “özel nitelikli” kişisel veri olması halinde, işbu Politikanın (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
İlgili Kişinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Açık rızaya bağlı olarak işlenen veriler, ilgili kişi olan sizlerin açık rızasını geri çekmesi ile dayanaktan yoksun hale gelir. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
Kanunlarda Açıkça Öngörülmesi: İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
Fiili İmkânsızlık Sebebiyle İlgilisinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri ilgili kişinin kişisel verileri işlenebilecektir.
Sözleşmenin Kurulması ve İfasıyla Doğrudan İlgili Olması: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi: Şirket’imizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
İlgili Kişinin Kişisel Verisini Alenileştirmesi: İlgili kişinin, kişisel verisinin kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
Bir Hakkın Tesisi veya Korunması İçin Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Veri Sorumlusunun Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması: Kişisel ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel Nitelikli Kişisel Veriler, veri sorumlusu tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenebilmektedir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

Halinde mümkündür.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Veri Sorumlusu olarak işlediğimiz özel nitelikli kişisel veriler; çalışanlarımızın özlük dosyalarının tutulması kapsamında kendilerinden doğrudan temin edilen kimliklerinin üzerinde bulunan biyometrik fotoğrafları, adli sicil kayıtları ile genel sağlık raporlarıdır. Özel nitelikli verilerin işlenmesinde Kurul kararları ile belirtilen güvenlik önlemleri sağlanmaktadır.
İlgili Kişinin Aydınlatılması
Veri Sorumlusu, Kanun’un 10’uncu maddesine ve ikincil mevzuata uygun olarak, ilgili kişileri aydınlatmaktadır. Bu kapsamda, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
Kişisel Verilerin Aktarılması
Veri Sorumlusu, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini yurt içinde yerleşik üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilir. Şirket bünyesinde yer alan bölümlere yapılan aktarımlar veri aktarımı olarak değerlendirilmez. Şirket’imiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Genel Nitelikli Kişisel Verilerin Aktarımı
İlgili kişinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirket tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler yurt içinde yerleşik üçüncü kişilere aktarılabilecektir.

  • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin aktarılmasının Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Veri Sorumlusu tarafından aktarılması,
  • Kişisel verilerin Veri Sorumlusu tarafından aktarılmasının Veri Sorumlusunun veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Veri Sorumlusunun meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Özel Nitelikli Kişisel Verilerin Aktarımı
Özel nitelikli kişisel veriler Veri Sorumlusu tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve kanunda yer alan şartların sağlanması halinde aktarılabilecektir.
İşlenebilecek Kişisel Veriler
Veri Sorumlusunun amacı, ticaret sicillerinde belirtilmiş olan amaçların bütünüdür. Veri sorumlusu olarak Şirketimiz, Enerji Projelerine Yönelik Mühendislik ve Danışmanlık Faaliyetleri göstermektedir ve bu faaliyet amaçları ile ilişkili olarak çalışan adaylarına, çalışanlarına, hissedar/ortaklarına, potansiyel ürün veya hizmet alıcılarına, tedarikçi çalışanı ve tedarikçi yetkililerine, müşterilerine, ziyaretçilerine ve diğer üçüncü kişilere ait verileri işleyebilmektedir.

  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili, sabıka kaydı dâhil olmak üzere çeşitli bilgiler,
  • Çalışan kişisel verilerini toplu olarak içeren SGK Hizmet Listesi
  • Çalışan ve veri sorumlusu arasında imzalanan iş şartlarını gösterir Belirli/Belirsiz Süreli İş Sözleşmesi
  • Çalışana ait fotoğraf,
  • Çalışanın işe giriş/periyodik muayene formu
  • Çalışandan alınabilecek her türlü savunmaya ilişkin ıslak imza içerir tutanak
  • Çalışanın aile durumunu içeren belge
  • Çalışanın almış olduğu ücreti gösterir bordro veya ücret pusulası
  • Çalışanın almış olduğu ücreti ve alacağının kalmadığını gösterir ıslak imza içerir tutanak
  • Çalışanın daha öncesinde çalışmış olduğu iş yerlerinin bilgilerini içerir SGK hizmet döküm belgesi
  • Çalışanın fazla çalışma yapması durumunda bu hususu belgeleyen ıslak imza içerir yasal tutanak
  • Çalışanın haklı sebeple işten ayrılması durumunda bu hususu gösterir belge
  • Çalışanın istifa etmesi durumunda bu hususu belgeleyen ıslak imzalı belge
  • Çalışanın iş kazası geçirmesi durumunda bu hususu belgeleyen yasal tutanak
  • Çalışanın işten ayrılmasını durumunda varsa kıdem ve ihbarına ilişkin her türlü belge
  • Çalışanın işten çıkması/çıkarılması durumunda yasal haklarını aldığına ilişkin ıslak imzalı belge
  • Çalışanın katılmış olduğu zorunlu İş Sağlığı ve Güvenliği eğitim tutanağı
  • Çalışanın mazereti olmaksızın işe gelmemesi durumunda bu hususu belgeleyen ıslak imza içerir tutanak
  • Çalışanın pozisyonu veya çalışma alanının değiştiğini gösterir ıslak imzalı belge
  • Çalışanın resmi olarak işe girişinin yapıldığını gösterir SGK İşe Giriş Bildirgesi
  • Çalışanın resmi olarak işten ayrıldığını gösterir SGK İşten Ayrılış Bildirgesi
  • Çalışanın sağlık gerekçesiyle işe olağan mesai saatinden geç başlayacağını gösterir sağlık raporu
  • Çalışanın teknik yeterliği olduğunu gösterir belge
  • Çalışanın ticari araç kullanmasına yetki verir belge
  • Çalışanın ilk yardım yeterlilik belgesi
  • Çalışanın yönetmeliklere ve sözleşmelere aykırı bir tutum sergilemesi durumunda bu hususları belgeleyen tutanak
  • Diploma, öğrenim belgesi, tasdikname, öğrenci durum belgesi, yabancı dil bilgisi, yabancı dil sınavı sonuç belgesi, transkript, mesleki yeterliliğe ilişkin her türlü sertifika ve üye olunan kuruluşlar gibi ilgili kişinin özgeçmişinde yer alan her türlü bilgi ve belgeler ve/veya bunların basılı veya dijital suretleri
  • Her türlü adres, telefon, e-posta vb. iletişim bilgisi
  • İhale ve sözleşme teklif metinleri ve ihale& sözleşme süreçleriyle ilgili her türlü belge
  • İmzaları tasdik eder nitelikte belgeler
  • İrsaliye faturalar
  • İş faaliyetlerinin sürdürülmesi sürecinde alınan senet/çek/bono vb. evraklar
  • İşten çıkarılan çalışanın iş akdinin feshedildiğine ilişkin bildirim formu
  • Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen Veri Sorumlusu’na yöneltilmiş her türlü talep ve şikâyetin alınması ve değerlendirilmesine ilişkin tüm kişisel veriler
  • Kişi engelliyse, engellilik durumunu gösteren belge
  • Kişisel koruyucu malzeme zimmet ve taahhüt tutanağı
  • Konşimento evrakları
  • Mahkemeler ve Savcılıklar tarafından Veri Sorumlusu’na gönderilmiş yahut Veri Sorumlusu tarafından Mahkemeler ve Savcılıklara gönderilen Çalışana ilişkin yasal bilgi ve belgeler
  • Mevcut bulunması halinde Çalışana ilişkin İş Göremezlik Raporu
  • Mevcut olması durumunda Çalışana ilişkin icra bildirim formu
  • Mevcut olması durumunda Çalışanın icrasının kaldırıldığını gösterir FEK yazısı
  • Nüfus cüzdanı, sürücü belgesi, öğrenci belgesi, pasaport, ikametgâh, nüfus kayıt örneği, askerlik durumuna ilişkin her türlü belge, vesikalık fotoğraf, banka hesap bilgileri ile SGK numarası vergi numarası vb. içeren belgeler ve/veya bunların basılı veya dijital suretleri olmak üzere çalışanın özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
  • Sunum, eğitim, konferans, diğer etkinliklerde veya güvenlik amacıyla ofis veya ofis etkinliği içinde çekilecek fotoğraf ve video kayıtları
  • Şirket yönetimine ilişkin her türlü belge
  • Teminat mektupları ve banka ile alakalı belgeler
  • Ticari işleyişe ve şirketin yönetimine ilişkin her türlü sözleşme
  • İşe başvururken kariyer.net gibi sitelerden tarafımıza iletilen CV
  • Vergilendirme süreçlerine ilişkin belgeler

KİŞİSEL VERİ İŞLEME AMAÇLARI

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Organizasyon Ve Etkinlik Yönetimi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Talep / Şikâyetlerin Takibi
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ücret Politikasının Yürütülmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yatırım Süreçlerinin Yürütülmesi
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

KİŞİSEL VERİLERİN KORUNMASINA DAİR ESASLAR
Kişisel Veri Güvenliğinin Sağlanması
Veri Sorumlusu, Kanun’un 12’nci maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Veri Sorumlusu, Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimler yapmakta veya yaptırmaktadır.
Özel Nitelikli Kişisel Verilerin Korunması
Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Veri Sorumlusu tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Veri Sorumlusu bünyesinde gerekli denetimler sağlanmaktadır.
Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıkların Arttırılması ve Denetimi
Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Veri Sorumlusu, çalışanlarının kişisel verilerin korunması konusunda ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Veri Sorumlusu, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda Veri Sorumlusu öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte ve bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri ile imha edilmektedir.

VERİ KATEGORİSİ VERİ SAKLAMA SÜRESİ

KİMLİK  10 YIL
İLETİŞİM  10 YIL
ÖZLÜK  10 YIL
HUKUKİ İŞLEM  10 YIL
MÜŞTERİ İŞLEM  10 YIL
FİZİKSEL MEKÂN GÜVENLİĞİ  30 GÜN
İŞLEM GÜVENLİĞİ  10 YIL
RİSK YÖNETİMİ  10 YIL
FİNANS  10 YIL
MESLEKİ DENEYİM  10 YIL
PAZARLAMA  10 YIL
KILIK KIYAFET  10 YIL
SAĞLIK BİLGİSİ  15 YIL
CEZA MAHKÛMİYETİ ve GÜVENLİK TEDBİRİ  10 YIL

İLGİLİ KİŞİ VE BU HAKLARIN KULLANILMASI
İlgili Kişinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili Kişinin Haklarını Kullanması
İlgili kişilerce belirtilen hakların kullanılması için Kişiler Verilere ilişkin olarak ilgili kişilerin kimliklerinin tespitini sağlayacak bilgiler ile birlikte / bu doğrultuda hazırlanan Başvuru Formu ile söz konusu taleplerin aşağıdaki iletişim yollarından yararlanarak yazılı şekilde iletilmesi gerekmektedir:
Mutlukent Mah. 1966. Cad. No:34/1 Çankaya, Ankara adresine posta yolu ile veya info@mtcenerji.com mail adresine ilgili kişi başvuru formunun iletilmesi ile başvuruları kabul etmektedir.

Başvuru formunu buraya tıklayarak bilgisayarınıza indirebilirsiniz.

Veri Sorumlusunun Başvurulara Cevap Vermesi
Veri Sorumlusu, ilgili kişi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.

İlgili Kişinin, bölüm 10.1.’de (“İlgili Kişinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Veri Sorumlusuna iletmesi durumunda Veri Sorumlusu, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

Kişisel Verilerin Doğru ve Güncel Olarak Muhafaza Edilmesine İlişkin Önlemler

Veri Sorumlusu, kişisel verileri aşağıdaki teknik ve idari önlemler dâhilinde doğru ve güncel olarak muhafaza etmektedir:

Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
İdari Tedbirler
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler
Veri Sorumlusu işbu Politika ’da faaliyetlerin gerektirdiği ölçüde veya yasal açıdan gerekli olan değişiklikleri yapabilir. Söz konusu değişikliğe uğramış olan Politika metni iş yeri binasında ilan edilmekle ve web sayfamız olan www.mtcenerji.com adresinde ilan edilmekle yürürlüğe girecektir. Veri Sorumlusu ayrıca tüm ilgili kişi gruplarına yapılacak değişikliklerle ilgili elektronik posta yoluyla bildirimde bulunacaktır.