KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
AMAÇ VE KAPSAM
Kişisel Veri Koruma Politikasının amacı, Denizcilik Çalışma Arabuluculuk ve Tahkim Merkezi’nin (“MAC”) kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, MAC’in kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; Sigorta Tahkim Komisyonu’nun kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır. Bununla birlikte politikanın amacı, işlenen kişisel verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya konulmasıdır.
TANIMLAR
Kişisel Veri: Bir gerçek kişinin kimliğini belirleyen ya da kimliğini belirlenebilir kılan her türlü bilgidir.
Özel Nitelikli Kişisel Veri: Kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kişisel Verinin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri İhlali: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği hallerdir.
İlgili Kişi Başvuru Formu: İlgili kişilerin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formunu ifade eder. Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.
Kurum: Kişisel Verileri Koruma Kurumunu ifade eder.
Kanun/KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.,
VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL KURALLAR
Hukuka ve Dürüstlük Kurallarına Uygunluk
Kişisel verilerin işlenmesinde söz konusu kişilerin kişi hakları korunmalıdır. Kişisel veri hukuka uygun ve adil bir şekilde toplanmalı ve işlenmelidir.
Amaca Özel Kısıtlama
Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenebilir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür. Kişisel veriler uygun ve ilgili olmalı, amaçla sınırlı ölçüde belirli, açık ve meşru amaçlarla işlenebilir.
Şeffaflık ve Aydınlatma
İlgili kişi, kendi bilgilerinin kullanımı hakkında bilgilendirilmelidir. Kişisel veri genelde ilgili kişiden doğrudan alınır. Veri toplandığında ilgili kişi aşağıdaki maddelerin farkında olmalı ya da bilgilendirilmelidir:
» Veri sorumlusunun ve varsa temsilcisinin kimliği
» Kişisel verilerin işlenme amacı
» İşlenen kişisel verilerin kimlere ve hangi amaçla aktarıldığı ya da üçüncü kişi kategorileri
» Kişisel veri toplamanın yöntemi ve hukuki sebebi,
» Kişisel verisi işlenen kişinin KVKK madde 11 uyarınca hakları.
Veri Azaltma ve Veri Ekonomisi
Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistik veri kullanılır. Gerekli olmayan veriler imha edilir.
Kişisel Verilerin Silinmesi
Kayıt saklama yükümlülükleri ve ispat için gerekli kayıt tutma işlemleri de dâhil olmak üzere yasal veya iş süreci ile ilgili sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Doğruluk ve Veri Güncelliği
Dosyadaki kişisel veriler doğru, tam ve -biliniyor olması halinde- güncel tutulmaktadır. Doğru olmayan veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini sağlamak için uygun önlemler Şirket tarafından alınmıştır.
VERİ SAHİBİ KATEGORİZASYONU
MAC, kişisel verilerini işlediği veri sahiplerini aşağıdaki şekilde gruplamakta olup, bu kişi gruplarının işbu politikada belirtilen süreç ve hukuki nedenler ışığında genişlemesi söz konusu olabilecektir.
i. Başvurucu,
ii. Karşı Taraf,
iii. Başvurucu/Taraf Yakını,
iv. Başvurucu Temsilcileri ve Vekilleri
Veri Kategorileri ve Örnek Veri Türleri
Kişisel Verilerin Hangi Amaçla İşleneceği
Yukarıda belirtilen kişisel verileriniz, bu verileri bizlere açıklamanıza konu olan ve aşağıda sıralanan amaçlarla işlenebilecektir:
Tahkim Süreçlerinin Planlanması; İş Faaliyetlerinin Yürütülmesi / Denetimi; Tahkim Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi; Taraflar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi; Taraflar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi, Tespiti ve Karar Alınması;
Acil Durum Yönetimi Süreçlerinin Yürütülmesi; Görevlendirme Süreçlerinin Yürütülmesi; Organizasyon ve Etkinlik Yönetimi; Eğitim Faaliyetlerinin Yürütülmesi; Stratejik Planlama Faaliyetlerinin Yürütülmesi; Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi; Yönetim Faaliyetlerinin Yürütülmesi; İletişim Faaliyetlerinin Yürütülmesi amaçlarıyla,
Finans ve Muhasebe İşlerinin Yürütülmesi; Hukuk İşlerinin Takibi ve Yürütülmesi, İç Denetim/ Soruşturma; Risk Yönetimi Süreçlerinin Yürütülmesi; Bilgi Güvenliği Süreçlerinin Yürütülmesi; Veri Sorumlusu Operasyonlarının Güvenliğinin Temini; Erişim Yetkilerinin Yürütülmesi; Yetkili Kişi, Kurum ve Kuruluşlara Bilgi verilmesi; Saklama ve Arşiv Faaliyetlerinin Yürütülmesi amaçlarıyla,
Denetim / Etik Faaliyetlerinin Yürütülmesi; Faaliyetlerin Mevzuata Uygun Yürütülmesi amaçlarıyla,
Bilgi güvenliğinin sağlanması, suçla mücadele edilmesi, hukuka aykırı kullanımı ve amaç dışı kullanımı tespit amacıyla internet trafiğinin incelenmesi ve denetlenmesi amaçlarıyla,
işlenecektir.
İşlenen Kişisel Verilerin Aktarılması
MAC, kişisel verilerinizi “bilme gereği” ve “kullanma gereği” ilkelerine uygun olarak, gerekli veri minimizasyonunu sağlayarak ve gerekli teknik ve idari güvenlik tedbirlerini alarak işlemeye özen göstermektedir. Tahkim faaliyetlerinin yürütülmesi veya denetimi, tahkim faaliyetlerinde sürekliliğinin sağlanması, dijital altyapıların işletilmesi farklı paydaşlarla veri akışını zaruri kıldığı ölçüde işlediğimiz kişisel verileri belirli amaçlarla üçüncü kişilerle aktarmak durumundayız. Ayrıca, sözleşmesel ve kanuni yükümlülüklerini tam ve gereği gibi yerine getirebilmesi için kişisel verilerinizin doğru ve güncel olması çok önemlidir. Bunun için de muhtelif hizmet sağlayıcılarla çalışmak durumundayız.
Kişisel verileriniz, yukarıda belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak seçtiğiniz hakemlerle, Divan ile; tahkim yargılamasının gereği yapılacak incelemeler kapsamında profesyonel hesaplama veya teknik incelemenin gerektiği ek durumlarda danışmanlarımız ve hizmet sağlayıcılarımızla, bilişim altyapımızı sağlayan, işleten veya hizmet sunan iş ortaklarımızla ve hizmet sağlayıcılarımızla, hizmetlerin kalite kontrol, şikayet yönetimi ve risk analizi alanında hizmet sunan iş ortaklarımızla ve hizmet sağlayıcılarımızla, özel entegratör, bağımsız denetim, gümrük, mali müşavir/muhasebe hizmeti sunan iş ortaklarımızla, kanunen yetkili kamu kurumları ve özel kişi veya kuruluşlar ile üçüncü kişilere, hukuki yükümlülüklerin yerine getirilmesi kapsamında avukatlar, denetçiler, adli bilişim uzmanları, siber güvenlik danışmanları, vergi danışmanları ile danışmanlık ve hizmet aldığımız diğer üçüncü kişilere, düzenleyici ve denetleyici kurumlar ile mahkeme ve icra müdürlükleri gibi sair resmi kurumlara, kişisel verilerinizi talep etmeye yetkili olan diğer kamu kurum veya kuruluşlarıyla işbu aydınlatma metninde belirtilen amaçlarla sınırlı olarak aktarılabilecek, yurt içinde veya yurt dışında işlenebilecektir. Ayrıca;
Fiziki ve elektronik başvurucu ve karşı taraf verilerinin saklanması amacıyla altyapı sağlayıcılarıyla,
Gerektiği durumlarda teslimat yapılabilmesi amacıyla kargo firmalarıyla,
Bilgi güvenliğinin temini, hukuki ve teknik yükümlülüklerin yerine getirilmesi amacıyla bu alanda hizmet veren iş ortakları, adli bilişim uzmanları ve danışmanlarla,
Vergi Usul Kanunu, Türk Ticaret Kanunu, Borçlar Kanunu, İnternet Alan Adları Yönetmeliği, İnternet Alan Adları Uyuşmazlık Çözüm Mekanizması Tebliği ve diğer mevzuat hükümlerinin izin verdiği kişi veya kuruluşlarla,
T.C Adalet Bakanlığı, T.C. Ticaret Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu, ilgili Kayıt Kuruluşlarına, TR Ağ Bilgi Sistemi (TRABİS) gibi kanunen yetkili kamu kurum ve kuruluşları, idari merciler ve yasal mercilerle,
Suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere MAC’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda; yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşılması; log kayıtlarının resmî kurumlar ile paylaşılması; talep edilmesi durumunda savcılık ve mahkeme gibi resmî kurumlarla,
Düzenleyici ve denetleyici kurumlar, resmi merciler,
Yetki vermiş olduğunuz temsilcileriniz,
Avukatlar, vergi danışmanları ve denetimciler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler de dâhil olmak üzere verilerinizin paylaşılması söz konusudur.
KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Elektronik ortamdaki kişisel veriler için gerekli olduğu ölçüde maskeleme yöntemleri kullanılır. Kâğıt ortamdaki kişisel veriler için silme işlemi, silinmesi gereken kişisel verilerin karartılması şeklinde gerçekleştirilir.
5.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. MAC, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilir.
İMHA SÜRELERİ VE SÜREÇLERİ
MAC, saklama süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama süresinin sona ermesini takiben 6 ay içerisinde anonim hale getirir.
İlgili kişi, MAC’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; MAC, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. MAC, ilgili kişilerin silme veya yok etme taleplerini en geç “otuz gün” içinde sonuçlandırır.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; MAC bu durumu üçüncü kişiye bildirerek söz konusu kişisel verilerin silinmesi veya yok edilmesini talep eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep MAC tarafından Kişisel Verilerin Korunması Kanunu’nun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç “otuz gün” içinde yazılı olarak ya da elektronik ortamda bildirilir.
POLİTİKANIN GÜNCEL TUTULMASI
MAC, işbu Kişisel Verilerin Korunması Politikası’nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Kişisel Verilerin Korunması Politikası’nın yayınlanmasıyla birlikte derhal geçerlilik kazanır. İşbu Kişisel Verilerin Korunması Politikası’ndaki değişikliklerden haberdar olmanız için, sizlere gerekli bilgilendirme yapılacaktır.