Gizlilik Politikamız
1. Gizlilik Politikasının Amacı ve Kapsamı
KVK Kanunu kapsamınca Kişisel Veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. KVKK hükümlerine göre kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak nitelendirilmektedir. KVKK yönünden şirketimizin konumu Veri Sorumlusu’dur.
İşbu doküman (“Politika”), Şirketimiz’in veri sorumlusu olarak kişisel verilerini işlediği gerçek kişilerin KVKK madde 10 kapsamında aydınlatılması amacıyla kaleme alınmıştır. Metro İstanbul işbu Kişisel Verilerin Korunması Hakkında Açıklama metnini yürürlükteki mevzuatta yapılabilecek değişiklikler çerçevesinde her zaman güncelleme hakkını saklı tutar.
2. Kişisel Verileri Toplama Yöntemleri ve Yasal Dayanaklar
Metro İstanbul, kişisel verileri www.metro.istanbul web sitesinden, web sitesinin mobil uygulamaları, sosyal medya hesapları, çerezler, çağrı merkezi, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, şirketimiz ile ticari ilişki kurmak, iş başvurusu yapmak, teklif vermek gibi amaçlarla, kartvizit, özgeçmiş (cv), teklif vermek ve sair yollarla kişisel verilerini paylaşan kişilerden alınan, fiziki veya sanal bir ortamda, yüz yüze ya da mesafeli, sözlü veya yazılı ya da elektronik ortamdan, KVK Kanunu’nun da belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu Kişisel Verilerin Korunması Politikası’nda belirtilen hukuki sebepler doğrultusunda toplamaktadır.
Kişisel verilerinin kullanılması konusunda çeşitli kanunlarda düzenlemeler bulunmaktadır. En başta KVKK ile kişisel verilerin korunması esasları belirlenmiştir. Ayrıca 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun da kişisel verilerin korunmasına ilişkin hüküm içermektedir. 5237 Sayılı Türk Ceza Kanunu hükümleri yoluyla da kişisel verilerin korunması için bazı hallerde cezai yaptırımlar öngörülmüştür.
3. Kişisel Verilerin İşlenme Amaçları
Kanun uyarınca kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir. Metro İstanbul, mevzuatın izin verdiği durumlarda ve ölçüde kişisel bilgilerinizi kaydedebilecek, saklayabilecek, güncelleyebilecek, üçüncü kişilere açıklayabilecek, devredebilecek, sınıflandırabilecek ve işleyebilecektir.
Kişisel verileriniz şu amaçlarla kullanılmaktadır:
• Web sitesi/mobil uygulamalar üzerinden kayıt yapanın/yaptıranın kimlik bilgilerini teyit etmek,
• İletişim için adres ve diğer gerekli bilgileri kaydetmek,
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
• Müşterilerimize daha iyi bir hizmet sağlamak, “müşterilerimizin ilgi alanlarını dikkate alarak” müşterilerimizin ilgilenebileceği ürünlerimiz hakkında müşterilerimize bilgi verebilmek, duyuru, bilgilendirme, arıza durumlarını aktarmak,
• Müşteri memnuniyetini artırmak, web sitesi ve/veya mobil uygulamalardan dilek ve şikayet bildirimi yapan müşterilerimizi tanıyabilmek ve müşteri çevresi analizinde kullanabilmek, çeşitli pazarlama ve reklam faaliyetlerinde kullanabilmek ve bu kapsamda anlaşmalı kuruluşlar aracılığıyla elektronik ortamda ve/veya fiziki ortamda anketler düzenlemek,
• Hizmetlerimiz ile ilgili müşteri şikâyet ve önerilerini değerlendirebilmek,
• Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek.
• Çalışma izin formu ile hat, istasyon, yerleşke ve araçlarımızda çalışma gerçekleştirecek olan firmaların bilgi ve belgeleri ile çalışanlarının iş güvenliği eğitimleri ve kimlik bilgilerini toplamak, bu bilgileri kişileri doğrulamak, eğitim ve çalışma süre ve süreçlerini takip etmek,
• Çalışanlarımızın kişisel verileri, iş ilişkileri bakımından gerekli olduğu kadarıyla onay alınmaksızın işlenebilir. Ancak Metro İstanbul, çalışanlarına ait verilerin gizliliği ve korunmasını temin eder. Kanun’a göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Metro İstanbul ayrıca, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin onayı yanında ayrıca Kurul tarafından belirlenen yeterli önlemlerini alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda izin verilen hallerle ilgili ve sınırlı olarak işlenebilir.
4. Şirketimizin Kanun’dan Doğan Hak ve Yükümlülükleri
Şirketimiz tarafından kişisel veriler, Anayasa’nın 20. maddesine ve Kişisel Verilerin Korunması Kanunu’nun (KVKK) 4. maddesine uygun olarak,
• Hukuka ve dürüstlük kurallarına uygun,
• Doğru ve gerektiğinde güncel olarak,
• Belirli, açık ve meşru amaçlar güderek,
• Amaçla bağlantılı,
• Sınırlı ve ölçülü bir biçimde,
• Kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmek suretiyle,
• KVKK’nın 5. Maddesinde belirtilen şartlardan bir veya birkaçına dayanarak, işlenmektedir
Metro İstanbul ile paylaşılan kişisel veriler, Metro İstanbul gözetimi ve kontrolü altındadır. Metro İstanbul, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir. Bu konudaki yükümlülüğümüzün bilincinde olarak aşağıdaki idari ve teknik güvenlik önlemlerini aldığımızı belirtmek isteriz. Bu kapsamda veri işleme politikalarımızı her zaman güncellediğimizi bilginize sunarız.
• Web veya mobil uygulamalarımız üzerinden alınan bütün veriler TLS 1.2 standardı uyumlu 256 bit RSA SSL sertifikası ile bilgisayarınızdan veya mobil cihazınızdan uygulama sunucularımıza aktarılmaktadır. Uygulamamız sunucularında kritik bilgileriniz hiçbir şekilde tutulmamakta, ilgili ödeme sisteminin gerektirdiği standartlarda şifrelenerek ilgili sistem altyapısına iletilmektedir.
• Periyodik aralıklarla sızma testleri uygulanmakta ve sistemin yetkisiz erişimlere dayanıklılığı test edilmektedir.
• Web sitesi veya mobil uygulamadan toplanan kişisel verilerin hukuka aykırı olarak işlenmemesi için çalışanlara yönelik erişim yetki ve kontrol matrisleri oluşturulmuştur.
• Kâğıt ortamındaki kişisel veriler, mutlaka kilitli dolaplarda muhafaza edilmekte ve sadece yetkili kişilerin erişim izni bulunmaktadır.
KVKK uyarınca sahip olduğunuz haklar Metro İstanbul’un yükümlülükleridir. Kişisel verilerinizi bu bilinçle ve mevzuatın gerektirdiği ölçüde işlediğimizi, yasal değişikliklerin olması halinde sayfamızda yer alan bu bilgileri yeni mevzuata uygun güncelleyeceğimizi, yapılan güncellemeleri de bu sayfa üzerinden her zaman kolaylıkla takip edebileceğinizi size bildirmek isteriz.
KVKK’nın 4. maddesi uyarınca Metro İstanbul’in kişisel verilerinizi doğru ve güncel olarak tutma yükümlülüğü bulunmaktadır. Bu kapsamda Metro İstanbul’in yürürlükteki mevzuattan doğan yükümlülüklerini yerine getirebilmesi için müşterilerimizin Metro İstanbul ile doğru ve güncel verilerini paylaşması gerekmektedir. Verilerinizin herhangi bir surette değişikliğe uğraması halinde aşağıda belirtilen iletişim kanallarından bizimle iletişime geçerek verilerinizi güncellemenizi rica ederiz.
Şirketimiz, işlediği kişisel verileri mevzuatla belirlenen sürelerde saklamakta olup, mevzuatta ayrıca süre belirlenmemiş olması halinde; kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar ve bu süreden sonra sadece olası hukuki uyuşmazlıklarda delil teşkil etmesi amacıyla uygulamada gerekliliği ortaya konulan süreler boyunca saklanmaktadır. Belirtilen sürelerin sona ermesinden sonra söz konusu kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. (Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka veriler ile eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesini ifade eder.)
5. Veri Sahiplerinin Kanun’dan Doğan Hakları
Kanun’un 11. maddesine göre kişisel veri sahipleri;
• Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme,
• Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kanun’un 28. maddesinin 2. fıkrası belli hallerde veri sahibinin veri sorumlusundan zararlarının tazmini dışında bir talepte bulunamayacağını düzenlemiştir. Buna göre,
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
Hallerinde ilgili verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.
6. Kişisel Verilerin Aktarılması
Müşterilerimize ait kişisel verilerin üçüncü kişiler ile paylaşımı, müşterilerin izni çerçevesinde gerçekleşmekte ve kural olarak müşterimizin onayı olmaksızın kişisel verileri üçüncü kişilere aktarılmamaktadır.
Bununla birlikte, yasal yükümlülüklerimiz nedeniyle ve bunlarla sınırlı olmak üzere mahkemeler ve diğer kamu kurumları ile kişisel veriler paylaşılmaktadır. Ayrıca, taahhüt ettiğimiz hizmetleri sağlayabilmek ve verilen hizmetlerin kalite kontrolünü yapabilmek için anlaşmalı üçüncü kişilere kişisel veri aktarımı yapılmaktadır.
Üçüncü kişilere veri aktarımı sırasında hak ihlallerini önlemek için gerekli teknik ve hukuki önlemler alınmaktadır. Bununla birlikte, kişisel verileri alan üçüncü kişinin veri koruma politikalarından dolayı ve üçüncü kişinin sorumluluğundaki risk alanında meydana gelen ihlallerden Metro İstanbul sorumlu değildir.
Kişisel verileriniz Metro İstanbul’un faaliyetlerini yürütebilmek için işbirliği yaptığı kurum, kuruluşlarla, verilerin bulut ortamında saklanması hizmeti aldığımız yurtiçi/yurtdışı kişi ve kurumlarla, müşterilerimize ticari elektronik iletilerin gönderilmesi konusunda anlaşmalı olduğumuz yurtiçi/yurtdışındaki kuruluşlarla, sizlere daha iyi hizmet sunabilmek ve müşteri memnuniyetini sağlayabilmek için çeşitli pazarlama faaliyetleri kapsamında yurtiçi ve yurtdışındaki çeşitli ajans, reklam şirketleri ve anket şirketleriyle ve yurtiçi/yurtdışı diğer üçüncü kişilerle ve ilgili iş ortaklarımızla paylaşılabilmektedir.
Şirketimiz tarafından kişisel veriler; Kişisel Verilerin Korunması Kurulu tarafından yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra sadece bu ülkelere aktarılacaktır. Yeterli korumanın bulunmadığı ilan edilen ülkeler için ise; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurulun izninin bulunduğu durumlarda kişiler veriler aktarılacaktır.