+90 533 769 4386

POLİTİKANIN AMACI VE KAPSAMI

Bu  politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (“KVK Kanunu”) ve Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kararı’na (“2018/10 sayılı Karar”) istinaden işlenen özel nitelikli kişisel verilere ve bu verilerin güvenliğine ilişkin genel ilke ve prensiplerinin ortaya konulması ve bu hususlara ilişkin MİLİMETRİK GİYİM SANAYİ LİMİTED ŞİRKETİ (“Milimetrik” veya “Şirket”) genelinde uygulanacak kurallar ve sorumlulukların belirlenmesidir.

İşbu Politika, Şirketimizin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen özel nitelikli kişisel verileri kapsamaktadır. 

TANIMLAR

Açık Rıza Belirli bir konuya ilişkin, bilgilendirmeye dayanan özgür iradeyle açıklanan rıza,
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
Kurul Kişisel Verileri Koruma Kurulu,
KVK Kanunu 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunu,
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,
Veri Sahibi Kişisel verisi işlenen gerçek kişi,
Veri Sorumlusu Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. 

KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; Özel Nitelikli Kişisel Veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: 

  • Kişisel Veri Sahibinin açık rızası var ise veya
  • Kişisel Veri Sahibinin açık rızası yok ise;
    • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, 
    • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibinin açık rızası aranmaksızın işlenmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ALINMASI GEREKEN ÖNLEMLER

  • Şirketimiz, Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerinde yer alan Şirket çalışanlarına yönelik olarak aşağıdaki önlemleri almaktadır:
  • Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  • Gizlilik sözleşmeleri yapılmaktadır.
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınmaktadır.
  • Şirketimiz, Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise aşağıdaki önlemleri almaktadır:
  • Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir.
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Özel Nitelikli Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Özel Nitelikli Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
  • Şirketimiz, Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise aşağıdaki önlemleri almaktadır:
  • Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Şirketimiz, Özel Nitelikli Kişisel Veriler aktarılacaksa;
  • Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Özel Nitelikteki Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “Gizlilik dereceli belgeler ” formatında gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kurul’un internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri de dikkate almaktadır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

  • Özel Nitelikli Kişisel Verilerin Yurtiçine Aktarılması

Özel Nitelikli Kişisel Veriler, Kurul tarafından belirlenen önlemleri almak kaydıyla, aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.

  • Kişisel Veri Sahibinin açık rızası var ise veya
  • Kişisel Veri Sahibinin açık rızası yok ise;
    • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, 
    • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibinin açık rızası aranmaksızın aktarılabilecektir.
  • Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Özel Nitelikli Kişisel Veriler, Kurul tarafından belirlenen önlemleri almak kaydıyla, aşağıda belirtilen şartlardan birinin varlığı halinde ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu izninin bulunması durumunda aktarabilecektir.

  • Kişisel Veri Sahibinin açık rızası var ise veya
  • Kişisel Veri Sahibinin açık rızası yok ise;
    • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, 
    • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibinin açık rızası aranmaksızın aktarılabilecektir.

Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu tarafından belirlenip ilan edilecektir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Özel Nitelikli Kişisel Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veya Veri Sahibinin talebi üzerine kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda, silinir, yok edilir veya anonim hale getirilir. Şirketimiz tarafından kişisel verilerin hangi şartlar altında silineceği, yok edileceği veya anonim hale getirileceğine ilişkin detaylı bilgi Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.

YÜRÜRLÜK


İşbu Politika 01/01/2020 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.