KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

I. BÖLÜM

GİRİŞ

1.1.  Amaç

MOSB ENERJİ ELEKTRİK ÜRETİM Anonim Şirketi (Bundan sonra “MOSB ENERJİ” veya “Şirket” olarak anılacaktır) sahip olduğu ya da kendisine emanet edilmiş bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamayı, Üst Yönetim, gerek müşteri gerekse kanuni şartların karşılanmasının önemini, organizasyon yapısının her aşamasında takipçi olup aynı zamanda amaç ve hedeflerin gerçekleştirilmesini yönetim toplantıları, izleme ve ölçme ile değerlendirmeyi yönetim sistemi olarak benimsemiştir.

MOSB ENERJİ ’nin kişisel verilerin korunmasına verdiği önem doğrultusunda, şirketimiz tarafından yürütülen faaliyetlerde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum gösterilmesi amaçlanmaktadır. 

İşbu Kişisel Verilerin İşlenmesi Politikası ile şirket tarafından kişisel verilerin işlenmesini gerektiren bütün faaliyetlerimizde uygulanmak üzere oluşturulmuştur. 

1.2. Tanımlar

İşbu politikanın uygulanmasında;

Kişisel Veri:	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Verilerin İşlenmesi:	Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kurul Özel Nitelikli Kişisel Veri:	Kişisel Verileri Koruma Kurulu’dur. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirket:	MOSB ENERJİ Anonim Şirketi’ni
Veri İşleyen:	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi,
Veri Kayıt Sistemi:	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini,
Veri Sorumlusu:	Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,

Anlamlarını ifade eder.

1.3. Kapsam

Politika, Kanun kapsamında MOSB ENERJİ tarafından işlenecek gerçek kişilere kişisel verilerin işlenmesi süreçlerini kapsar.

II. BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİ

2.1. Kişisel Verilerin İşlenmesinde Temel İlkeler

MOSB ENERJİ olarak faaliyetlerimizi yürütürken kişisel verilerin işlenmesinin gerekmesi halinde Kanun’un 4’üncü maddesine uygun olarak aşağıda belirtilen temel ilkelere riayet edilecektir.

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

2.2. Kişisel Verilerin İşlenme Şartları

Şirket olarak faaliyetlerimizi yürütürken kişisel verilerin işlenmesinin gerekli olması halinde ilgili kişinin açık rızası olması esastır.

Kanun’un 5 inci maddesine kapsamında aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Aşağıda maddeler halinde belirtilen hallerde ilgili kişinin açık rıza bulunmaksızın kişisel veriler işlenebilir.

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

2.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket olarak faaliyetlerimizi yürütürken sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesinin gerekli olması halinde ilgili kişinin açık rızasının alınması esastır. Buna ek olarak:

• Kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel işlenebilir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

2.4. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Şirketimiz tarafından işlenen kişisel ve özel nitelikli kişisel veriler, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu olarak Şirketimiz tarafından silinir, yok edilir veya anonim hâle getirilir.

2.5. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Aktarılması

Şirketimiz tarafından işlenen ve korunan kişisel veriler ve özel nitelikli kişisel verilerin aktarılmasında ilgili kişinin açık rızası olması esastır. Ancak:

Aşağıda belirtilen şartlardan bir ya da birkaçının bulunması halinde kişisel veriler ilgili kişinin açık rızası aranmaksızın veya açık rızası bulunmasa dahi aktarılabilecektir.

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Aşağıda belirtilen şartlardan bir ya da birkaçının bulunması halinde kişisel veriler ilgili kişinin açık rızası aranmaksızın veya açık rızası bulunmasa dahi aktarılabilecektir.

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir.
• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir.

Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır

2.6. Kişisel Veriler ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Şirketimiz tarafından işlenen kişisel veriler ile özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaması esastır. Ancak, Politika’nın 2.2. maddesi ile Kanun’un 5 inci maddenin ikinci fıkrası ve Politika’nın 2.3. maddesi ile Kanun’un 6’ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

• Yeterli korumanın bulunması,
• Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Yeterli korumanın bulunduğu ülkeler, Kurulca belirlenerek ilan edilen listelere göre belirlenir.

3. BİNA/TESİS GİRİŞLERİ ve BİNA/TESİS İÇERİSİNDE KİŞİSEL VERİ İŞLENMESİ

3.1. Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Güvenlik Kamerası ile İzleme Faaliyetleri

Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini güvence altına almak amacıyla ve bu politika ile sınırlı olmak şartı ile kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurmayacak şekilde belirli alanlar kamera ile izlemeye tabi tutulmaktadır. Şirketimiz tarafından güvenlik amacıyla yapılan kamera ile izleme faaliyetinde Kanuna uygun hareket edilmektedir. Kamera ile izleme faaliyeti ile ilgili bilgilendirme internet sitesinde işbu politika yayımlanacak ve izleme alanlarında izlem yapılacağına ilişkin yazı yazılarak bildirim yapılacaktır.

Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Güvelik kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

3.2. Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Ziyaretçi Takibi

Şirketimiz tarafından, yasal yükümlülüklerin, sözleşmeden doğan yükümlülüklerin yerine getirilmesi ve fiziksel mekân güvenliğin sağlanması amaçlarıyla Şirket binalarında ve tesislerinde ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Ziyaretçi olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde muhtelif yerlere asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Ziyaretçi giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

III. BÖLÜM

HAK VE YÜKÜMLÜLÜKLER

4. Aydınlatma Yükümlülüğü

Şirketimiz tarafından kişisel verilerin elde edilmesi sırasında veri sorumlusu olarak veya yetkilendirdiğimiz kişi aracığıyla ilgili kişilere;

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11 inci maddesinde ve Politika’nın 6’ncı maddesinde sayılan diğer hakları, konusunda bilgi vermekle yükümlülüğünü yerine getirmektedir.

5. Veri Güvenliğine İlişkin Düzenlemeler

Şirketimiz, Kanun’un 12’nci maddesine uygun olarak veri güvenliğinin sağlanması için veri sorumlusu olarak:

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak teknolojik imkanlar ve uygulama maliyetleri göz önüne alınmak suretiyle almaktadır.

Şirketimiz, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmaktadır.

Şirketimiz çalışanları, şirketimiz nezdinde geçen çalışmaları sırasında vakıf oldukları kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendileri sözleşme akdedilmekte ve taahhüt alınmaktadır.

Şirketimiz tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirketimiz bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

6. Kişisel Veri Sahibi/İlgili Kişi hakları

Şirketimiz tarafından kişisel verileri işlenen tüm gerçek kişiler, şirketimize şahsen, iadeli taahhütlü posta yoluyla başvurarak Kanun’un 11’inci maddesinde sayılan kendisiyle ilgili;

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 12305
• Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, silinmesini veya yok edilmesini isteme hakları uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini,

talep etme, haklarına sahiptir

IV. BÖLÜM

BAŞVURU VE BAŞVURULARIN CEVAPLANDIRILMASI

7. Kişisel Veri Sahibi/İlgili Kişi Hakları Kullanması

Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13’üncü maddesine uygun olarak gerekli idari ve teknik düzenlemeleri yürütmektedir.

Kişisel veri sahipleri, Kanun’un 11 inci maddesin ve Politika’nın 7’nci maddesi (“Kişisel Veri Sahibi/İlgiliHakları”) sayılmış haklarını, ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir.

8. Kişisel Veri Sahibi/İlgili Kişilerin Başvurularına Cevap Verilmesi

Şirketimiz taleplerinizi, Kanun’un 13 üncü maddesine göre talebin iletildiği tarihten itibaren, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verilerin Korunması Kurumu tarafından bildirilen tarife üzerinden ücret alınabilir. Şirketimiz talebi kabul edip işleme koyabilir veya gerekçesini açıklayarak talebi yazılı usulle reddedebilir. Başvurunun Şirket’in hatasından kaynaklanması hâlinde alınan ücret iade edilir.

Başvuru sahibi tarafından verilmiş olan bilgilerin doğru ve güncel olması gerekmekte olup, şirketimiz işbu form içeriğinde yanlış ya da eksik bilgi verilmesi ya da yetkisiz başvuru sebebiyle doğabilecek taleplerden ötürü sorumluluk kabul etmemektedir. Şirketimiz, veri güvenliğini teminen kimlik tespiti amacıyla tarafınızdan ilave bilgi ve belge (örn. Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar.

V. BÖLÜM

YÜRÜRLÜK VE ÇEŞİTLİ HÜKÜMLER

9. Politikanın ve İlgili Mevzuatın Uygulanması

Yürürlükte bulunan mevzuat ve Şirketimiz Politikaları arasında uyumsuzluk bulunması halinde yürürlükteki mevzuat uygulama alanı bulacaktır.

10. Politikada Değişiklik Yapılması

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

11. Yürürlük

İşbu Politika onaylanarak erişime açıldığı tarihte yürürlüğe girer.