KİŞİSEL VERİLERİ KORUMA KANUNU
1.TARAFLAR
İşbu kişisel verilerin işlenmesi sözleşmesi, Manibux Bilişim Hizmetleri A.Ş. (bundan sonra MANIBUX olarak anılacaktır) ile www.manibux.com sitesine ve manibux mobil uygulamasına (bundan sonra “uygulama” olarak anılacaktır.) üye olan kullanıcı arasında düzenlenmiştir ve kullanım sözleşmesinin ayrılmaz bir parçasıdır.
2.TANIMLAR
İşbu sözleşmede yer alan;
Açık Rıza :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi :Kişisel verisi işlenen gerçek kişi.
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb.
Özel Nitelikli Kişisel Veri :Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
Anayasa : Türkiye Cumhuriyeti Anayasası.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel verilerin işlenmesinde Genel İlkeler.
MANIBUX, Türkiye Cumhuriyeti Anayasası, Kişisel Verilerin İşlenmesi Kanunu (bundan sonra KVKK olarak anılacaktır) kapsamında uymak zorunda olduğu diğer kanunlarda yer alan hükümler doğrultusunda verileri işlemektedir.
Bu kapsamda aşağıdaki ilkeler doğrultusunda hareket edilmektedir:
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun olunması
MANIBUX basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
MANIBUX, faaliyeti kapsamında uymak zorunda olduğu diğer kanunlar ile birlikte KVKK kapsamında kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
MANIBUX, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Bu kapsamda kişisel veriler sunulmakta ya da sunulacak hizmetlerle ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda, kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
MANIBUX kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu doğrultuda verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
MANIBUX kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
3.2.Kişisel verilerin işlenme şartları
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin rızasıyla işlenebilecektir. MANIBUX, bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
3.2.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Siteye üye olan herkes, kullanım sözleşmesini ve kişisel verilerin işlenmesine dair bilgilendirmeyi okuduğunu ve peşinen kabul ettiğini beyan ve taahhüt eder. Bu kapsamda, daha sonra kişisel verilerin işlenmesine dair tüm itiraz, dava, şikayet ve talep haklarından peşinen feragat edilmiş sayılır.
3.2.2. Açık rıza aranmaksızın kişisel verilerinin işlenebileceği haller
3.2.2.1. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir
3.2.2.2. Fiili imkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.2.2.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
3.2.2.4. Hukuki Yükümlülük
MANIBUX, hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.2.2.5. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
3.2.2.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir
3.2.2.7. MANIBUX’ın Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla MANIBUX meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
MANIBUX, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere hassasiyetle uygun davranmaktadır.
KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVKK’ya uygun bir biçimde MANIBUX tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
ï Kişisel veri sahibinin açık rızası var ise veya
ï Kişisel veri sahibinin açık rızası yok ise; – Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
– Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3.4 Kişisel Verilerin Kategorizasyonu
KVKK 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, MANIBUX’ın meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda KVKK 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak KVKK’da başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen bütün yükümlülüklere uyularak veri sahiplerine ilişkin veriler, veri kategorileri bazında işlenmektedir.
3.5 Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir
3.6 Kişisel Verilerin Aktarılması
Gerek Anayasa gerek gerekse de KVKK kapsamında yer alan hükümler doğrultusunda, MANIBUX kişisel verilerin yurt içi ve/veya yurt dışı ile paylaşılması konusunda azami özen ve dikkat göstermekte olup, bu kapsamda mevcut düzenlemelere uygun olarak faaliyetlerini sürdürmektedir.
3.7 Aydınlatma Yükümlülüğü
Anayasa’ya göre herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVKK 11inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. MANIBUX, bu kapsamda, Anayasa ve KVKK 11inci maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Bu kapsamda, KVKK 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine, kişisel verilerinin elde edilmesi sırasında MANIBUX’un kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVKK 11inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır. Sitede yer alan kullanım sözleşmesini kabul eden ve siteye üye olan her kişi bu aydınlatmanın kendisine yapıldığını kabul etmektedir.
Bunun yanında MANIBUX, KVKK’daki tüm hususlar ile başta dürüstlük kuralına uygun kişisel veri işleme faaliyetinde bulunduğunu kişisel veri sahipleri ile ilgililere işbu Politika belgesi başta olmak üzere çeşitli kamuoyuna açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve şeffaflığı sağlamaktadır.
4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
MANIBUX, veri güvenliğinin sağlanması konusuna azami dikkat ve özeni göstermekte olup, bu kapsamda KVKK Kanunu’nun 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.
I. MANIBUX ;
ï Kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi,
ï Kişisel verilere hukuka aykırı olarak erişilmesini önlenmesi,
ï Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.
II. MANIBUX, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci madde de belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
III. MANIBUX Tüzel kişiliği, çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler, bahse konu bilgileri KVKK ve diğer kanunlarda yer alan hükümlere aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
IV. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bahse konu durumun en kısa sürede ilgilisine bildirir.
5. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini MANIBUX’a iletmeleri durumunda talepler niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, MANIBUX tarafından KVK Kurulunca veya diğer otoritelerce belirlenen tarifedeki ücret alınacaktır.
Bu kapsamda veri sahipleri taleplerini yazılı olarak MANIBUX’a iletebileceklerdir.
Kişisel veri sahipleri;
¨ Kişisel veri işlenip işlenmediğini öğrenme,
¨ Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
¨ Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
¨ Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
¨ Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
¨ KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
¨ İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
¨ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.