MURADİYE ELEKTRİK ÜRETİM A.Ş.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA AYDINLATMA METNİ
Muradiye Elektrik, yürüttüğü faaliyetler kapsamında işlediği kişisel verilerinizi korumak için, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak her türlü teknik ve hukuki tedbiri almaktadır. İlgili kişiler; işlenen kişisel veri kategorilerini, kişisel verilerin işlenmesinin hukuki sebeplerini, üçüncü kişilere aktarımı yapılan verileri ve bu aktarımın amacı ile KVKK ve GDPR kapsamında yer alan haklarına ilişkin ayrıntılı bilgilere aşağıdaki aydınlatma metninden ulaşabilirler.
I. Veri Sorumlusu
Unvan: Muradiye Elektrik Üretim A.Ş
Mersis No: 0624039013400013
İnternet Adresi: www.muradiyeelektrik.com.tr
Telefon Numarası: 0 (212) 267 4206
E-Mail: info@muradiyeelektrik.com.tr
Adres: İlkbahar Mahallesi 610 Sk.No:2 Çankaya ANKARA
II. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, Muradiye Elektrik, tarafından veri sorumlusu sıfatıyla aşağıda yer alan amaçlarla ve kapsamda KVKK’nın 5. ve 6. maddelerine uygun olacak şekilde işlenmektedir: - Ürün ve hizmetlerimizi iyileştirmek, geliştirmek, çeşitlendirmek ve ticari ilişki içerisinde olduğumuz gerçek/tüzel kişilere alternatifler sunabilmek amacıyla, - Muradiye Elektrik grup şirketler arasında iletişim ve iş birliğinin sağlanması, koordinasyonun temini, ortak iş alanlarının yürütülmesi, müşterilerimizin ve çalışanlarımızın ihtiyaçlarının belirlenmesi, sözleşme ile ilgili yükümlü olunan edimlerin yerine getirilmesi, reklam ve pazarlama faaliyetinin sürdürülmesi, müşteri takibinin sağlanması, iş güvenliği ve iş sürekliliğinin temini amacıyla, - Hizmet standartlarımızı yükseltmek ve geliştirmek amacıyla, - Ticari iş stratejilerimizin belirlenmesi ve uygulanması amacıyla, - Muradiye Elektrik‘in taraf olduğu sözleşmelerin Muradiye Elektrik tarafından eksiksiz ifası ve bu sözleşmelerde karşı tarafların sözleşmeleri eksiksiz ifa ettiklerinin kontrolü amacıyla, - Muradiye Elektrik ile ticari ilişki içerisinde olan gerçek/tüzel kişilerin hukuki güvenliğinin sağlanması amacıyla, - Mevzuattaki kanunlar uyarınca, Muradiye Elektrik tarafından düzenlenmesi gereken ticari defterleri, faturaları, banka çek ve bordroları düzenleyebilmek amacıyla, - Çalışanların, misafirlerin ve Muradiye Elektrik’e ait binaların güvenliğini sağlayabilmek ve giriş-çıkışları kontrol edebilmek amacıyla, - Çalışan adaylarının işe alım süreçlerinin değerlendirilmesi, çalışanların özlük dosyalarının oluşturulması ve Muradiye Elektrik’in insan kaynakları politikalarının sürdürülmesi amacıyla, - Muradiye Elektrik bünyesinde çalışan personelin moral ve motivasyonunu, performans düzeyini ve memnuniyetlerini, birbirleriyle ve şirketle olan etkileşimlerini artırmak ve şirkete olan bağlılıklarını sağlamak amacıyla, - Muradiye Elektrik’in halka açık alanlarında bulunan misafirlerin internete erişimini sağlamak amacıyla, - Muradiye Elektrik’in ticari satın alma işlemlerinin gerçekleştirilmesi amacıyla, - Muradiye Elektrik’in kurumsal yazışmalarının yapılması amacıyla, - İnternet sitemizin ziyaret edilmesi durumunda istatiksel verilerin oluşturulması ve ziyaretçi bilgilerinin kaydedilmesi ve geri dönüşlerin sağlanması amacıyla, - Bunlarla birlikte gerekli kalite ve standart denetimlerimizi yapabilmek ya da kanun ve yönetmelikler ile belirlenmiş sair yükümlülüklerimizin yerine getirilmesi gibi amaçlar üzerine.
III. Kişisel Verilerin Aktarılması
İşlediğimiz kişisel veriler yukarıdaki amaçlar çerçevesinde, KVKK’nın 8. ve 9. maddeleri dikkate alınarak:
- Ticari faaliyetlerimizin yerine getirilebilmesi ve sürekliliğin sağlanabilmesi amacıyla, iş ortaklarımıza, - Ürün ve hizmetlerin sağlanabilmesi amacıyla sınırlı olarak tedarikçilerimize, - Kanunlarda öngörülen yasal yükümlülüklerin yerine getirilmesi ve güvenliğin sağlanması amacıyla başta SGK olmak üzere ilgili kamu kurum ve kuruluşlarına, - Muradiye Elektrik bünyesinde istihdam edilen kişilerin sosyal ve mali haklarının karşılanmasını sağlamak amacıyla başta bankalar olmak üzere diğer özel ve kamu tüzel kişiliklerine, - İlgili kamu kurum ve kuruluşlarının talepleri doğrultusunda ve talep amaçlarıyla sınırlı olarak hukuken yetkili kamu kurum ve kuruluşlarına ve yargı organlarına, - Ortak veri tabanı oluşturulması, koordinasyon ve iş birliğinin sağlanması amacıyla bağlı iştirak şirketlerine, - Şirketimizin ve bağlı bulunduğumuz iştiraklerin kullandığı işletim sistemleri ve bilgisayar programlarının veri tabanlarının oluşturulması, program işlerliğinin sağlanması ve programın bakım ve onarımın yapılabilmesi amacıyla yurtiçi ve yurtdışında kurulu yazılım firmalarına ve teknoloji şirketlerine, - Bulut servis hizmeti aldığımız, bulut teknolojisi hizmeti veren yurtiçi ve yurtdışında kurulu teknoloji şirketlerine, - Müşteri takibi ve müşteri ihtiyaçlarının giderilmesi amacıyla bağlı şirketlere, şirketimize bağlı şirketlerin yurtiçi ve yurtdışında kurulu iş ortaklarına, bayilerine ve tedarikçilerine, - Etkinlik, konferans vb. sosyal ve kültürel etkinliklerin gerçekleştirilmesi amacıyla şirketimze bağlı şirketlere ve bu alanda faaliyet gösteren hizmet aldığımız firmalara, - İş sağlığı ve güvenliği önlemleri kapsamında çalışanların sağlık bilgilerinin sağlıklı bir iş ortamında çalışabilmeleri amacıyla ilgili sağlık hizmeti alınan kurumlara ve sigorta şirketlerine aktarılabilmektedir.
IV. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Muradiye Elektrik veya Muradiye Elektrik adına veri işleme yetkisine sahip gerçek veya tüzel kişiler tarafından, beyan, başvuru formları, internet sitesinden doldurulan formlar, özlük dosyası oluşturmak üzere istenen belgeler, muhtelif sözleşmeler, her türlü bilgi formları, anketler, iş başvuru formları, çağrı merkezleri üzerinden sözlü, yazılı veya elektronik kanallar aracılığı ile açık rızanız ya da kanunda öngörülen kişisel veri işleme şartları kapsamında toplanmaktadır. Bu bilgiler, ticari ve idari faaliyetlerimizin, yasalar çerçevesinde sunulabilmesi ve bu kapsamda Muradiye Elektrik’in hizmetlerini yürütebilmesi, ticari hayatını sürdürebilmesi ve yasalardan doğan mesuliyetlerini eksiksiz ve doğru bir şekilde yerine getirebilmesi amaçlarıyla edinilir.
V. Kişisel Verileri Saklama Süreleri
Şirketimiz işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder.
| Veri Kategorisi | Veri Saklama Süresi | Gerekçe |
|---|---|---|
| Kimlik | Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl | 6098 Sayılı Kanun |
| İletişim | Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl | 6563 Sayılı Kanun ve ilgili ikincil mevzuat |
| Hukuki İşlem | Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl | |
| Müşteri İşlem | Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl | 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
| İşlem Güvenliği | 10 Yıl | |
| Risk Yönetimi | 10 Yıl | |
| Finans | Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
| Görsel ve İşitsel Kayıtlar | 10 Yıl | 6563 Sayılı Kanun ve ilgili ikincil mevzuat |
VI. Şirketimiz Tarafından Alınan Teknik ve İdari Tedbirler
Şirketimizin kişisel verilerin güvenliğinin sağlanması için almış olduğu tedbirleri aşağıda bilginize sunarız:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. - Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. - Anahtar yönetimi uygulanmaktadır. - Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. - Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. - Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. - Çalışanlar için yetki matrisi oluşturulmuştur. - Erişim logları düzenli olarak tutulmaktadır. - Gerektiğinde veri maskeleme önlemi uygulanmaktadır. - Gizlilik taahhütnameleri yapılmaktadır. - Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. - Güncel anti-virüs sistemleri kullanılmaktadır. - Güvenlik duvarları kullanılmaktadır. - İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. - Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. - Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. - Kişisel veri güvenliğinin takibi yapılmaktadır. - Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. - Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. - Kişisel veri içeren ortamların güvenliği sağlanmaktadır. - Kişisel veriler mümkün olduğunca azaltılmaktadır. - Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. - Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. - Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. - Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. - Mevcut risk ve tehditler belirlenmiştir. - Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. - Saldırı tespit ve önleme sistemleri kullanılmaktadır. - Sızma testi uygulanmaktadır. - Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. - Şifreleme yapılmaktadır. - Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. - Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
V. İlgili Kişinin KVKK Kapsamındaki Hakları
Muradiye Elektrik bünyesinde kişisel verisi işlenen gerçek kişiler KVKK’nın 11. maddesi uyarınca aşağıdaki haklara sahiptirler:
- Kişisel verisinin işlenip işlenmediğini öğrenme, - Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, - Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, - Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı veya aktarılacağı üçüncü kişileri, alıcıları ve alıcı kategorilerini, - Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, - KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ya da söz konusu işleme faaliyetinin durdurulmasını ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, - İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, - Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
KVKK kapsamında bizimle iletişime geçmek, geri bildirimde bulunmak ya da sorularınızı yöneltmek isterseniz, kimliğinizi tevsik edici belgeler ve Kişisel Verilerin Korunması Kanunu Veri Sorumlusuna Başvuru Formu'nu doldurarak:
Formu başvuru esnasında imzalayarak kimlik doğrulanmasını sağlayıcı belgelerle (nüfus cüzdanı, ehliyet vb.) birlikte şirketimizin Muradiye Elektrik’in, İlkbahar Mahallesi 610 Sk.No:2 Çankaya ANKARA adresine bizzat başvuru yapabilir veya Formu kimlik doğrulanmasını sağlayıcı belgelerle (nüfus cüzdanı, ehliyet vb.) birlikte noter kanalı ile şirketimizin Muradiye Elektrik’in, İlkbahar Mahallesi 610 Sk.No:2 Çankaya ANKARA adresine gönderebilir veya Formu, muradiyeelektrik@hs02.kep.tr adresine, veri sahibine ait Kayıtlı Elektronik Posta (KEP) vasıtasıyla veya sistemlerimizde kayıtlı e-posta adresinizin bulunması halinde muradiyekvkkbasvuru@enerturk.com kimlik doğrulanmasını sağlayıcı belgelerle (nüfus cüzdanı, ehliyet vb.) birlikte iletebilirsiniz.
Bu kapsamda, konuyla ilgili yapılacak olan yazılı başvurularınızın tarafımızca yapılacak olan kimlik doğrulamasını takiben kabul edilebileceğini hatırlatmak isteriz.
İlgili kişinin talepleri en kısa sürede ve nihayetinde en geç otuz (30) gün içerisinde ücretsiz olarak değerlendirilip karara bağlanır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenmiş olan tarifedeki ücret esas alınır. İlgili kişiler, şirketimize başvuru yaptıktan sonra, söz konusu başvuruya ilişkin yanıttan memnun kalmazlarsa Kişisel Verileri Koruma Kurumu’na şikayet yoluna gidebilirler.
Bilgi Güvenliği Politikası
Bu politika, Muradiye Elektrik Üretim A.Ş.’nin iş sürekliliğini sağlamak ve güvenlik ihlal olaylarından doğan zararların ve riskin en aza indirilmesini amaçlamaktadır.
Kapsam:
Bu politika Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketler, ilgili lokasyonlarında bilgi güvenliği yönetim sistemini, çalışanlarını ve iş fonksiyonlarını kapsar.
Bilgi Güvenliği Politikası Aşağıdakileri sağlamak Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketlerin politikasıdır.
- Bahse konu şirketler ilgili tüm taraflara ait bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlar. - Şirketlerin tümü bilgi varlıklarıyla bu bilgiyi işleyen, saklayan veya taşıyan tüm varlıklara ilişkin güncel bir varlık envanteri tutar. Bu varlık envanterindeki varlıklara ilişkin risk analizi yapar, bu risklere yönelik riskleri minimize edici önlemler alır. - Bilgiye sadece yetki dâhilinde erişim verilerek gizliliği sağlanır. - Bilgi, yetkisiz değişikliklere karşı korunarak ve yapılan değişiklikler kayıt altına alınarak bütünlüğü sağlanır. - Bilgiye gereksinim duyulduğunda yetkili kullanıcıların erişimine hazır bulundurularak erişilebilirliği sağlanır. - Bu politikayı destekleyen tüm politika ve prosedürler her birim tarafından uygulanır. Yasal tüm gereklilikler yerine getirilir. - Tüm çalışanlar için bilgi güvenliği hakkında sürekli eğitimler verilerek bilinçlendirme sağlanır. - Tüm bilgi güvenliği açıkları ve tespit edilen şüpheli durumlar ilgililere rapor edilir. İlgililerce sürekli iyileştirme ve kontroller sağlanır.
Yukarıdaki belirtilen maddelerin yönetim tarafından desteklendiğini taahhüt ederim.
Uygulanabilirlik:
Bilgi güvenliği yönetim sistemi kapsamındaki bilgi varlıklarına erişimi veya etkisi olan tüm Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketlerin çalışanları, bu politikanın uygulanmasından sorumludur ve politikayı onaylayan bu şirketlerin yönetimlerinin desteğini taahhüt ederler.
Hedefler:
1. Uygun risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek, zayıf noktalarını ve onları riske atabilecek tehditleri anlamak ve riskleri kabul edilebilir düzeylere indirmek.
2. Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla yasalarında gerekliliğini yerine getirmek.
3. Kurumun Güvenilirliğini ve sahip olduğu imajını korumak.
4. Bilgi Güvenliği ile ilgili tüm müşteri sözleşme şartlarına uymak.
5. Kurumun İş sürekliliğini sağlamak.
6. TS ISO IEC 27001 uygunluğunu sağlamak ve sürdürmek.
Sürekli İyileştirme:
Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketler, denetim sonuçlarını, izlenen bilgi güvenliği olaylarının analizini, düzeltici ve önleyici faaliyetleri ve yönetim gözden geçirmelerini kullanarak Bilgi Güvenliği Yönetim Sistemini sürekli olarak iyileştirir.
BG Kurulu Toplantısı:
BGYS Roller ve Sorumluluklar dokümanında yer aldığı şekilde yapılmaktadır.
Sorumluluklar ve Yaptırımlar:
Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketlerin yönetimi bu politikayı oluşturur, uygulanmasını sağlar ve gözden geçirir. Tüm ilgili şirketlerin çalışanları bu politikaya ve bu politikayı destekleyen prosedür ve talimatlara uymakla sorumludur. Yönetim; Bilgi Güvenliği Yönetim Sistemi kapsamında oluşturulan, politika, prosedür ve talimatlarına uyulmaması halinde kurum personelini uyarma, kınama, para cezası ve sözleşme feshi gibi yaptırımlardan bir ya da birkaçını uygulayacaktır.
Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketler güvenlik ve işleyiş politikalarının personel tarafından ihlali halinde ilgili şirketlerin yönetimi tarafından personel hakkında gerekli disiplin önlemleri alınır. Söz konusu ihlaller sebebiyle ilgili şirketler veya hizmet sağladığı kimseler herhangi bir şekilde zarar görürse bu şirketlerin yönetimi sorumlu personele zararı tazmin ettirebilir.
Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketler, müşterilerine ya da tedarikçilerine ait bilgilerin güvenliğini tehlikeye atacak herhangi bir kasti hareket, disiplin cezasına ve/veya hukuki önleme tabidir.
Bilgi Güvenliği Yöneticisi uygun standartlar ve prosedürler aracılığı ile bu politikanın uygulanmasını destekler. Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketler BT Yönetimi BGYS altyapısını günceller ve sürekliliğini sağlar. Tüm personel ve sözleşmeli tedarikçiler Bilgi Güvenliği Politikasına tabidir. Tüm personel güvenlik olaylarını raporlamaktan ve tespit edilen zayıf noktaları bildirmekten sorumludur.
Gözden Geçirme:
BGYS olarak uyguladığımız diğer yönetim sistemleri ile birlikte bütünleşmiş bir şekilde yönetilmesi, markalarımızın bilgi güvenliği açısından öncülüğümüzde örnek bir kuruluş olmak için güvenilirliği ve sahip olduğu imajını korumak hedeflenir. Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketlerin yönetimi olarak, ilgili şirketlerin Bilgi Güvenliği Politikası’nın uygulanmasının sağlanması, yasal mevzuatlara uyum kontrollerinin yapılması ve güvenlik ihlallerinde gerekli yaptırımların icra edilmesinin, sürekli iyileştirmenin ve Bilgi Güvenliği süreçlerinde gerekli kaynakların temin edilerek süreçlerin iyileştirilmesinin yönetim tarafından desteklendiğini beyan ederim.
Liderlik
Muradiye Elektrik A.Ş. merkez ve amaç içeriğindeki tüm şirketlerin üst yönetimi, bilgi güvenliği yönetim sistemi ile ilgili olarak aşağıdakileri yerine getirerek, liderlik ve bağlılık göstermektedir:
a) Bilgi güvenliği politikası ve bilgi güvenliği amaçlarının oluşturulmasını ve kuruluşun stratejik yönü ile uyumlu olmasının temin edilmesi,
b) Bilgi güvenliği yönetim sisteminin şartlarının kuruluşun süreçleri ile bütünleştirilmesinin temin edilmesi,
c) Bilgi güvenliği yönetim sistemi için gerekli olan kaynakların erişilebilirliğinin temin edilmesi,
ç) Etkin bilgi güvenliği yönetiminin ve bilgi güvenliği yönetim sisteminin şartlarına uyum sağlamanın öneminin duyurulması,
d) Bilgi güvenliği yönetim sisteminin hedeflenen çıktılarının başarılmasının temin edilmesi,
e) Bilgi güvenliği yönetim sisteminin etkinliğine katkı sağlamaları için kişilerin yönlendirilmesi ve desteklenmesi,
f) Sürekli iyileştirmenin desteklenmesi,
g) Kendi sorumluluk alanlarında liderliklerini sergileyebilmeleri için diğer ilgili yönetim rollerinin desteklenmesi.