MOTAŞ VERİ GİZLİLİĞİ POLİTİKASI

I. Veri Gizliliği Taahhüdü

1. İşbu Veri Güvenliği Politikası (“Politika”) Mobil Oil Türk Anonim Şirketinin (“MOTAŞ”) kişisel verileri işlerken ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili diğer mevzuat ile getirilen veri koruma yükümlülüklerini yerine getirirken uyacağı esasları belirlemektedir.
2. MOTAŞ ilgili kişilerin verilerinin gizliliğine saygı duymayı ve kendisine emanet edilen kişisel veriler için yeterli güvenlik seviyesini sağlamayı taahhüt eder.
3. MOTAŞ işbu Politika’ya ve bu Politika’nın uygulanmasına yönelik programlara, araçlara ve işlemlere uygun davranılmasını sağlamayı taahhüt eder.
4. ExxonMobil Global Veri Gizliliği Programı (ExxonMobil Global Data Privacy Program) bu Politika’nın bir parçası olarak kabul edilecek ve tüm departmanlar ile çalışanlar tarafından bu Politika ile birlikte uygulanacaktır.

II. Politika’nın Kapsamı

1. İşbu Politika; MOTAŞ, departmanları ve çalışanları nezdinde bağlayıcıdır.
2. İşbu Politika MOTAŞ’ın faaliyetleri kapsamında kişisel verilerin işlenmesi niteliğinde her türlü eylem ve olay hakkında uygulanacaktır.
3. İşbu  Politika  anonim  hale  getirilmiş  ya  da  kişisel  veri  olmayan  veriler  hakkında uygulanmaz.

Tanımlar:

İşbu Politika’da;

Kişisel Veri doğrudan veya dolaylı olarak MOTAŞ’ın bir ilgili kişinin kimliğini, tek başına veya MOTAŞ’ın elindeki ya da kontrolündeki diğer bilgilerle birleştirerek belirlemesine imkân veren her türlü bilgi anlamına gelmektedir.

Özel Nitelikli Kişisel Veri kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili bilgiler ile biyometrik ve genetik bilgileri ile ilgili veriler anlamına gelmektedir.

Kişisel Sağlık Verisi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi anlamına gelmektedir.

Veri İşleme kişisel veriler üzerinde gerçekleştirilen, toplama, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hale getirme, sınıflandırma ya da kullanılmasını engelleme de dâhil her türlü işlem anlamına gelmektedir.

İlgili Kişi kişisel verileri MOTAŞ tarafından ya da MOTAŞ adına işlenen mevcut ve geçmişteki çalışanlar, iş başvurusunda bulunanlar, yükleniciler, satıcılar ve tüketiciler de dâhil olmak üzere tüm gerçek kişiler anlamına gelmektedir.

Açık Rıza belirli bir konu hakkında, bilgilendirildikten sonra, özgür iradeyle verilen onay anlamına gelmektedir.

İmha kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi anlamına gelmektedir.

Anonim Hale Getirilmiş Veri, veri sorumlusu ya da ilgili kişiyi belirlenebilir hale getirecek başka herhangi bir kişi tüm makul ve olağan yöntemleri kullandıktan sonra dahi, kişisel verinin hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi anlamına gelmektedir.

Veri İşleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi anlamına gelmektedir. Her bir somut olayda veri işleyenin kim olduğu ayrıca değerlendirilmelidir.

Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi anlamına gelmektedir. Veri sorumlusu MOTAŞ olabileceği gibi zaman zaman ExxonMobil Corporation, ExxonMobil Petroleum & Chemical BVBA veya başka bir ExxonMobil iştiraki (birlikte “ExxonMobil”), yahut MOTAŞ adına MOTAŞ’ın yetkilendirdiği üçüncü bir kişi de olabilir. Her bir somut olayda veri sorumlusunun kim olduğu ayrıca değerlendirilmelidir.

Kurul Kişisel Verileri Koruma Kurulu anlamına gelmektedir.

III. Kişisel Veri İşlemenin Hukuka Uygunluğu

1. Kişisel veriler hukuka uygun olarak işlenecektir.
2. Mevzuatta öngörülmesi halinde, MOTAŞ kişisel veriler üzerinde bu Politika’da belirlenenden daha yüksek bir güvenlik seviyesi sağlayacaktır. Dolayısıyla veri işlemenin yalnızca mevzuatta öngörülen şekilde işlenmesinin mümkün olduğu durumlarda MOTAŞ bu gerekliliğe uyacaktır.
3. MOTAŞ’ın işbu Politika’yı uygulamasına hukuki bir engel olduğuna kanaat getirmesi halinde, MOTAŞ hangi adımların atılacağı hakkında, gerek görmesi halinde Kurul’a da danışarak, uygun kararı verecektir.

IV. Veri İşlemenin İlkeleri

1. Hukuka Uygunluk
   Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak toplanacak ve işlenecektir. İlgili kişilerin hakları korunacaktır.
2. Belirli, Meşru ve Açık Amaç
   Kişisel verilerin işlenmesinin hukuken gerekli olduğu ya da mümkün olduğu durumlar dışında, yalnızca verinin toplanmasından önce açıkça belirtilen meşru amaçlar doğrultusunda işlenecektir.
   Kişisel verilerin ilgili kişiden alınan onayın kapsamı dışına çıkma ihtimali bulunan bir amaçla işlenmesi söz konusu olması halinde ilgili kişi bu konuda bilgilendirilecektir ve hukuken gerekli olması halinde bu işleme için de açık rızası alınacaktır. Açık rıza alınmasına gerek olup olmayacağının değerlendirmesi hukuk onayıyla gerçekleştirilecektir.
3. Şeffaflık
   3.1 MOTAŞ;
     a) ilgili kişilere kişisel verilerinin işlenmesi süreci ve veri işlemenin amaçları hakkında bilgilendirici, açık ve anlaşılır bir bildirim yapılmasını,
     b) ilgili kişilere kişisel verileri ve veri işleme hususundaki haklarına ilişkin bilgi verilmesini,
     c) ilgili kişilerin kişisel verilerine makul ölçüde erişimi olmasını sağlayacaktır.
   3.2. İlgili kişilere yapılacak bildirim (IV.3.3.1.a) mutlaka aşağıdaki unsurları içermelidir:
     a) veri sorumlusunun kimliği,
     b) veri işlemenin amacı ve yöntemi,
     c) kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,
     d) ilgili kişilerin hakları.
   3.3. Yapılacak bildirimlere ilişkin olarak belirli işleme faaliyetleri veya veri grupları hakkında ilgili mevzuat kapsamında düzenlenen ek yükümlülükler olması halinde bunlar dikkate alınacaktır.
   3.4. Herhangi bir veri toplama faaliyeti öncesinde, veri toplama yöntemine ve işbu Politika’ya uygun bir şekilde ilgili kişinin açık rızasının alınması amacıyla onay formu kullanılacaktır. Ayrık veya uygulanabilir olmayan herhangi bir durumda konu MOTAŞ Hukuk Departmanı’nın dikkatine sunulacak ve ancak MOTAŞ Hukuk Departmanı’ndan onay alındıktan sonra veri toplama faaliyetine başlanacaktır.
   3.5. Kişisel verilerin MOTAŞ adına veri işleyen üçüncü kişilerce işlendiği hallerde, üçüncü kişilerin, yukarıda sayılan yükümlülüklere uygun davranacağını önceden yazılı olarak bir sözleşme ilişkisi kapsamında veya bağımsız olarak taahhüt etmiş olması şarttır. Daha ayrıntılı bir düzenleme gerektirebilecek hususlarda MOTAŞ Hukuk Departmanı’na danışılmalıdır.
4. Verilerin Azaltılması, Veri Ekonomisi ve Veri İşlemenin En Aza İndirilmesi
   4.1. MOTAŞ gerekli ve toplanmasındaki iş amacıyla bağlantılı olduğu ölçüde kişisel veri toplamayı ve işlemeyi taahhüt eder. Toplanan veriler MOTAŞ’ın faaliyet amaçları doğrultusunda asgari düzeye çekilecektir ve ihtiyaç duyulmayan, ancak ileride bir şekilde kullanılabileceği ihtimaline dayalı olarak toplanabilecek kişisel veriler toplanmayacaktır. Muhataplardan gerekirse kişisel verilerden arındırılmış şekilde MOTAŞ ile bilgi paylaşımı yapılması talep edilecektir.
   4.2. Ticari amacının müsaade etmesi ve maliyetin amaçla orantılı ve makul olması durumunda kişisel veriler yerine anonim hale getirilmiş ya da istatistiki nitelikteki verilerin kullanılması tercih edilecektir.
   4.3. Hukuken izin verilen veya gerekli olan haller hariç, kişisel veriler gelecekte ortaya çıkması beklenen amaçlar doğrultusunda önceden toplanmayacak ve/veya işlenmeyecektir.
   4.4. Mümkün olan hallerde MOTAŞ “privacy by design” / “privacy by default” yaklaşımlarının uygulanmasıyla kişisel verilerin işlenmesini en aza indirmek üzere gerekli önlemleri alacaktır. Bu yöntemler veri işlemenin ilgili kişilerin hakları üzerinde oluşturacağı riskler ile orantılı olarak uygulanacaktır.
5. Kişisel Verilerin Saklanması ve İmha Edilmesi
   5.1. Kişisel veriler yalnızca toplanmasındaki ve işlenmesindeki ticari amacın gerektirdiği süreyle tutulacaktır. Kişisel veriler yalnızca mevzuatta belirlenen yükümlülüklere uygun davranmak ya da meşru işletme menfaatlerini korumak amacıyla daha uzun süre tutulabilir.
   5.2. Hukuki, idari ya da ticari olarak gerekli süreler sona erdikten sonra ihtiyaç duyulmayan kişisel veriler imha edilecektir. Kişisel veriler, kanunlarda açıkça izin verilmedikçe ya da hukuken gerekli olmadıkça tek seferlik bir onaya dayanarak belirsiz sürelerle saklanmayacaktır.
   5.3. Kişisel veriler, ilgili mevzuatta öngörülen yükümlülüklerin yerine getirilmesi amacıyla MOTAŞ ve ExxonMobil tarafından yürürlüğe konulan güncel politika ve prosedürler uyarınca silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi veya ilgili politika ve prosedürlerin uygulanması sürecinde ortaya çıkan engeller, sorunlar ve istenmeyen sonuçlar hakkında gecikmesizin MOTAŞ Hukuk Departmanı’na bilgi verilecektir ve MOTAŞ Hukuk Departmanı’nın talimatları doğrultusunda hareket edilecektir.
   5.4. Kişisel verilere ilişkin olarak araştırma, planlama ve istatistik amaçlarıyla ilgili bir değer veya korunması gerekli bir menfaat bulunması ihtimalinde, bu menfaat açıkça belirlenmeli ve MOTAŞ, bu verilerin, araştırma, planlama ve istatistik amaçlarıyla saklanmasının gerekip gerekmediğini kişisel verileri silmeden ya da yok etmeden önce değerlendirmelidir. Böyle bir durumda, kişisel veriler silinmeyecek ya da yok edilmeyecek, ancak araştırma, planlama ve istatistik amaçları doğrultusunda anonim hale getirilecektir¹.
   5.5. Her bir departman fiziksel ve elektronik ortamlarda, arşive ve/veya dosyalara yerleştirdiği ve/veya üçüncü kişilere aktardığı ve/veya MOTAŞ’ın veya ExxonMobil’in sistemlerine yüklediği kişisel verilere ilişkin olarak bu verilerin toplanma amacının ortadan kalkması ve hukuki saklama sürelerinin sona ermesi halinde tüm verilerin imhasından sorumludur. Kişisel sağlık verileri ve özel nitelikli kişisel veriler gibi MOTAŞ bakımından daha ağır sorumluluk doğurabilecek kişisel verilerin söz konusu olduğu durumlarda bu verilerin imha edilmesi konusuna özellikle hassasiyet gösterilecektir.
   5.6. MOTAŞ, departmanları ve çalışanları Türk hukukunda açıkça aksini emreden bir kural olmadığı müddetçe ExxonMobil’in Muhafaza Yönetim Rehberi (Retention Management Guide - “RMG”) başta olmak üzere MOTAŞ’ın ve ExxonMobil’in kişisel verilerin saklanması ve imhasına ilişkin usul ve esasların belirlendiği politika ve prosedürlere uygun hareket edecektir. Kanunlarla düzenlenen açık bir sebebe dayanmadığı sürece herhangi bir nedenle RGM’ye veya diğer politika ve prosedürlere uygun hareket edilmesinin mümkün olmadığına kanaat getirildiği takdirde MOTAŞ Hukuk Departmanı’nın onayı alınacaktır.
   5.7. RMG başta olmak üzere tüm politika ve prosedürler etkin bir şekilde uygulanacaktır ve herhangi bir sebebe istinaden kişisel veriler gereğinden uzun süre saklanmayacaktır. Ayrık durumlar için MOTAŞ Hukuk Departmanı’na danışılmalıdır.
   5.8. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacaktır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanacaktır
6. Veri Kalitesi
   6.1. Kişisel verilerin toplanma amacı doğrultusunda gerekli olması halinde MOTAŞ:
      a) kişisel verilerin tam, doğru ve güncel tutulması için gerekli makul önlemleri alacak,
      b) ilgili kişilerin kişisel verilere ilişkin değişikliklerle ilgili bilgi vermesi halinde kişisel verileri güncelleyecek, 
     c) eksik ya da yanlış verilerin güncellenmesi, düzeltilmesi ya da silinmesi için gereken makul önlemleri alacaktır.
7. Güvenlik ve Gizlilik
   7.1. Kişisel veriler gizli bilgi olarak kabul edilecektir. Kişisel verilerin kazara veya hukuka aykırı olarak kaybedilmesini, hukuka aykırı olarak işlenmesini, kötüye kullanılmasını ve yetkisiz kişilerce erişimini, ifşasını, değiştirilmesini ve yok edilmesini önlemek için veriler üzerinde uygun teknik ve idari önlemler alınmalıdır.
   7.2. Her bir departman kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.
   7.3. Her bir çalışan kendi kullanımına tahsis edilen masaüstü ve/veya dizüstü bilgisayarın güvenliğinden sorumludur.
   7.4. Özel nitelikli kişisel verilerin güvenliği için mevzuat kapsamında ek güvenlik önlemleri talep edilebilecektir. Başta İnsan Kaynakları Departmanı ve İş Sağlığı ve Güvenliği Departmanı olmak üzere, özel nitelikli kişisel veri işleyen departmanlar ek güvenlik önlemlerine uyacak ve sürekliliğini sağlayacaktır. Özel nitelikli kişisel verilerin bilgisayar ortamında tutulması halinde bu bilgisayar sistemlerinin güvenliği, kötücül yazılımlardan korunması ve verilere erişimin sınırlandırılması sağlanacak ve yüksek güvenlik önlemleri alınacaktır. Verilerin fiziki ortamda tutulması halinde, bu verilerin dosyalanması ilgisiz kişilerin erişimini engelleyecek şekilde (örneğin, kilitli ve yalnızca yetkili kişilerin ulaşabileceği ortamlarda saklama) yapılacaktır.
   7.5. Her bir departman kişisel sağlık verilerini işleyecek çalışanlarına kişisel verilerin güvenliği ve gizliliği konusunda dikkat edilmesi gereken hususlarda yeterli bilgilendirmenin yapılmasını sağlayacaktır. Kişisel sağlık verileri yalnızca mevzuatta belirtilen ve bu konu MOTAŞ tarafından yetkilendirilmiş olan kişiler tarafından işlenecektir.
8. Yorum
   Departmanlar ve çalışanlar, yukarıda sayılan ilkelerin yorumlanması ve uygulanması konularında ExxonMobil Global Veri Gizliliği Programı’nda (ExxonMobil Global Data Privacy Program) belirlenen usul ve esasları göz önünde bulunduracak ve uygun düştüğü ölçüde uygulayacaktır.

V. Kişisel Verilerin İşlenmesi

Kişisel veriler yalnızca aşağıda belirtilen yasal dayanaklar kapsamında toplanacak, işlenecek ve kullanılacaktır. Bu koşullar kişisel verilerin işlenmesi amacının değiştirilmesi gerektiğinde de sağlanmalıdır.

1. Onay
   (i) Kişisel veriler yalnızca ilgili kişilerin işbu Politika’nın IV.3. hükmü ile uyumlu olarak bilgilendirildikten sonra veri işlemeye açık rıza vermeleri halinde işlenecektir.
   (ii) Rızanın özgür iradeyle verilmesi gerekir. Özgür iradeyle verilmeyen rızalar hükümsüzdür.
   (iii) İlgili kişinin rızası yazılı olarak ya da elektronik ortamda alınacaktır. Telefon konuşması gibi bir toplama yöntemi nedeniyle yazılı olarak ya da elektronik ortamda rızanın alınamadığı hallerde sözlü olarak onay verilmesi mümkündür. Bu şekilde verilen onaylar ispat amacıyla kaydedilecektir.
   (iv) Kişisel sağlık verilerinin işlenmesine ilişkin açık rızalar her halükarda yazılı olarak alınacaktır.
   (v) Rıza beyanları belgelenecek ve saklanacaktır.
   (vi) Kişisel veriler yalnızca ilgili kişinin ya da başka bir kişini hayatını ya da beden bütünlüğünü ilgilendiren ve ilgili kişinin fiziksel veya hukuki olarak onay vermesinin imkânsız olduğu durumlarda, ilgili kişinin rızası olmaksızın işlenebilir.
   (vii) Veri işleme faaliyetinin ilgili kişinin onayına bağlı olduğu hallerde, her bir departman, herhangi bir veri işleme faaliyetine başlamadan önce, söz konusu işlemeye ilgili kişinin rızasının olup olmadığını ve rızanın halen geçerli olup olmadığını araştırmakla yükümlüdür. Şirket içi veri aktarımının gerçekleştiği hallerde bu hususların tespiti konusunda departmanlar koordineli olarak çalışacaklardır. Süreçlerde aykırılık tespit edilmesi halinde veri işleme faaliyeti durdurulur.
2. Alenileştirilmiş Veriler
   İlgili kişinin kendisi tarafından alenileştirilmiş olan kişisel veriler ilgili kişinin önceden rızası alınmaksızın işlenebilir.
3. Hukuki Yetkilendirme
   (i) Kişisel veriler kanuni bir yükümlülük, gereklilik ya da izin olması durumunda işlenebilir.
   (ii) Veri işleme faaliyeti ilgili kanuni yükümlülük, gereklilik ve/veya izin ile sınırlı olacaktır. İlgili mevzuata uygun davranılacaktır.
4. Meşru Menfaat
   (i) Kişisel veriler muaccel alacakların tahsili ve sözleşme ihlallerinin önüne geçmek gibi meşru menfaatler için gerekli olması halinde işlenebilir. Ancak, bu menfaatlerin ilgili kişinin temel hak ve özgürlüklerini ihlal etmesi halinde kişisel veriler işlenemez. Böyle bir ihlal olasılığı veri işleme faaliyeti öncesinde değerlendirilecektir.
   (ii) Kişisel veriler, gerekli olması halinde, bir hakkın tesisi, kullanılması veya korunması amacıyla işlenebilir. Hakkın tesisi, kullanılması veya korunması başka bir şekilde makul ölçüde mümkünse kişisel veriler işlenemez.
   (iii) Şüphe halinde MOTAŞ Hukuk Departmanı’nın onayı alınacaktır. Kişisel veri toplayan ve işleyen departman bu süreci yürütmekle sorumludur.
5. Sözleşme
   (i) Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartıyla, gerekli olması halinde, sözleşmenin taraflarına ait kişisel veriler işlenebilir.
   (ii) Geçerli bir sözleşme kurulmadan önce ve sözleşmenin kurulması ile ilgili olarak, teklif, ihale, sipariş emri hazırlamak ve muhtemel tarafların diğer taleplerini karşılamak amacıyla kişisel veriler işlenebilir.
   (iii) Muhtemel taraflar ile sözleşmenin hazırlanması sürecinde kendi sağladıkları bilgiler kullanılmak suretiyle irtibata geçilebilir. Muhtemel tarafların bu tür bir veri işleme faaliyetine ilişkin taleplerine uygun davranılacaktır.
6. Özel Nitelikli Kişisel Veriler
   (i) Özel nitelikli kişisel veriler yalnızca ilgili kişinin açık rızasının bulunması ya da, sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere, kanunlarda açıkça öngörülen hallerde işlenebilir.
   (ii) Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
   (iii) Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemler alınacaktır.
   (iv) Herhangi bir özel nitelikli verinin işlenmesi planlanmadan önce MOTAŞ Hukuk Departmanı’na bilgi verilecektir.
   (v) Herhangi bir bilginin özel nitelikli veri olup olmadığı hususunda belirsizlik olması halinde MOTAŞ Hukuk Departmanı’nın görüşü alınacaktır.
7. Çalışan Verileri
   (i) Yukarıda belirlenen veri işleme ilkeleri, çalışanların kişisel verileri hakkında da uygulanacaktır.
   (ii) Çalışanlara ait kişisel veriler, gerekli hallerde, iş sözleşmelerini başlatmak, uygulamak ve sonlandırmak amacıyla kullanılabilir.
   (iii) İş başvurusunda bulunan bir kişinin kişisel verileri iş ilişkisini başlatmak amacıyla işlenebilir. Başvurunun reddedilmesi halinde başvuruda bulunanın kişisel verileri, bu kişinin ilerideki iş olanakları için kayıtlarda bulunmaya rıza gösterdiği durumlar dışında, kanunun saklama süreleri sona erdikten sonra silinecektir. Başvuru sırasında, başvuran kişi hakkında üçüncü kişilerden herhangi bir bilgi alınması durumunda, hukuki yükümlülükler gözden geçirilecek ve şüphe halinde ilgili kişinin rızası alınacaktır.
   (vi) İş ilişkisi ile bağlantılı olup iş sözleşmesinin ifasıyla ilgisi olmayan kişisel verilerin işlenmesi için; çalışanın onayı, hukuki yükümlülük veya meşru menfaat gibi bir hukuki gerekçe olmalıdır.
   (vii) Çalışanların kişisel verilerinin kontrol yöntemleri çerçevesinde işlenmesi, yalnızca hukuki bir yükümlülük ya da meşru bir sebep bulunması halinde mümkündür.
   (viii) Bu maddede belirtilen ilkelere ve yükümlülüklere uygun şekilde hareket edilmesi, başta çalışan verilerinin ağırlıklı olduğu İnsan Kaynakları Departmanı ve İş Sağlığı ve Güvenliği Departmanı ile çalışan verilerinin bulunduğu her bir departman tarafından ayrı ayrı sağlanacaktır.

VI. Kişisel Verilerin Aktarılması

1. Türkiye’de Bulunan Üçüncü Kişiler
   (i) Kişisel veriler yalnızca ilgili kişinin veri aktarımına açık rızasının bulunması halinde Türkiye’de bulunan üçüncü kişilere aktarılabilir.
   (ii) Kişisel verilerin işlenmesine ilişkin V. Bölüm’de belirtilen koşullardan birinin gerçekleşmesi halinde kişisel veriler ilgili kişinin açık rızası olmadan Türkiye’de bulunan üçüncü kişilere aktarılabilir.
2. Yurt Dışında Bulunan Üçüncü Kişiler
   (i) Kişisel veriler yalnızca ilgili kişinin veri aktarımına açık rızasının bulunması halinde yurtdışında bulunan üçüncü kişilere aktarılabilir.
   (ii) Kişisel verilerin işlenmesine ilişkin V. Bölüm’de belirtilen koşullardan birinin gerçekleşmesi halinde ve:
      a) kişisel verilerin aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması ya da;
      b) ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda MOTAŞ’ın ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması², şartıyla ilgili kişinin açık rızası olmadan yurtdışında bulunan üçüncü kişilere aktarılabilir.
3. Kişisel Sağlık Verileri
   (i)Kişisel sağlık verilerinin bağlı şirketler de dâhil olmak üzere üçüncü kişilere aktarılması söz konusu olacaksa, bu veriler anonim hale getirilecek ve anonim olarak aktarılacaktır.
   (ii) Kişisel sağlık verilerinin anonim hale getirilmeden üçüncü kişilere aktarılması gerekli olacaksa mevzuata uygun olarak gerekli izinler ve onaylar alınacaktır.
   (iii) Kişisel sağlık verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması kamu kurum ve kuruluşlarına aktarılabilecektir. Bu kapsamda yapılan işlem için gerekli olması halinde, veri anonim hale getirilmeden de ilgili kamu kurum ve kuruluşuna aktarılabilecektir.
   (iv) Her halükarda kişisel sağlık verilerinin olağan prosedürler dışında bir aktarımının söz konusu olması halinde öncelikle bu işleme ilişkin olarak MOTAŞ Hukuk Departmanı’nın onayı alınacaktır.
4. Kişisel verilerin aktarılması sırasında bu maddede belirtilen yükümlülüklere uygun hareket edilmesinden kişisel verileri yurt dışına aktaracak olan departman sorumludur.

VII. Veri İşleme Sözleşmeleri

MOTAŞ, gerçek ya da tüzel bir kişiyle veri işleyen olarak MOTAŞ’ın verdiği yetki çerçevesinde MOTAŞ adına kişisel verileri işlemesi için sözleşme yapabilir. Bu durumda, MOTAŞ ve yüklenici arasında bir sözleşmenin akdedilmesi gerekir. MOTAŞ, kişisel veri işleme faaliyetinin amaç ve yöntemlerini, işleme faaliyetine ilişkin talimatlarını belirlemeli ve veri işleme faaliyetinin doğru şekilde gerçekleştirilmesi için sorumluluk almalıdır. Veri işleme sözleşmeleri açısından, aşağıdaki yükümlülüklere uyulacaktır ve ilgili departman, bu koşulların karşılandığından emin olacaktır:

(i) Yüklenici yeterli ve gerekli teknik ve idari veri gizliliği önlemlerini alabilme kabiliyetine göre seçilmelidir.
(ii) Sözleşme yazılı olmalı, kişisel verilerin işlenmesi hakkında açık talimatlar ve MOTAŞ’ın veri sorumlusu olarak, yüklenicinin ise veri işleyen olarak yükümlülüklerini içermelidir.
(iii) MOTAŞ adına ilgili departman, yüklenicinin görevlerini yerine getireceğinden makul ölçüde emin olacaktır. Buna ilişkin riske bağlı olarak, sözleşme süresince düzenli olarak değerlendirmeler yapılmalıdır.

VIII. İlgili Kişilerin Hakları

1. MOTAS ilgili kişilerin aşağıdaki taleplerine karşılık verecektir:
   a) MOTAŞ’ın kendilerine ilişkin kişisel verileri işleyip işlemediğini ve hangi kişisel verileri işlediğini öğrenme,
   b) işleme faaliyetinin amaçlarına ilişkin bilgi alma,
   c) MOTAŞ’ın yurt içinde veya yurt dışında kişisel verileri aktardığı üçüncü kişileri bilme,
   d) kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
   e) kişisel verilerin silinmesini veya yok edilmesini isteme,
   f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
   g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
   h) kişisel verilerinin birer kopyasını alma.
2. İlgili kişiler Madde IV.6. hükmü uyarınca MOTAŞ’ın kendilerine ilişkin yanlış ya da eksik verileri düzeltmesini ya da tamamlamasını talep edebilir.
3. Bu hükümde açıklanan ilgili kişilerin hakları, yalnızca bu verileri sağlamak için gereken çaba ve maliyetin makul olmaması veya erişim sağlanmasının diğer kişilerin hakları üzerinde olumsuz bir etki yaratacak olması halinde sınırlanabilir.
4. İlgili kişiler bu hakları kullanmak ve MOTAŞ’ın işbu Politika’ya uymadığı hakkında tereddütlerini ortaya koymak üzere MOTAŞ ile irtibata geçebilir:
   Posta adresi: 
   Sahrayıcedid Mah. Halk Sok. Pakpen Plaza No: 40-44, 
   Kadıköy, 34734, İstanbul

IX. Gizlilik

Kişisel veriler gizlidir. Çalışanlar tarafından kişisel veriler üzerindeki her türlü yetkisiz toplama, işleme veya kullanım faaliyeti yasaktır. Meşru görevleri kapsamında yetkilendirilmeyen bir çalışanın her türlü veri işleme faaliyeti yasaktır. “Bilmesi gerektiği kadar” prensibi uygulanacaktır. Çalışanların, yalnızca ilgili görevlerinin türü ve kapsamına uygun düştüğü ölçüde kişisel verilere erişimi mümkündür. Görev ve sorumlulukların dikkatli bir şekilde analiz edilmesi, birbirinden ayrılması ve uygulanması gerekmektedir. Çalışanların herhangi bir kişisel veriyi bireysel ve/veya ticari amaçlarla kullanması, yetkisiz kişilere ifşa etmesi ya da sair şekillerde elde edilmesini sağlaması yasaktır. Departman yöneticileri iş ilişkisinin başlangıcında çalışanlarını veri gizliliğini koruma yükümlülüğü hakkında bilgilendirmelidir. Bu yükümlülük iş ilişkisi sona erdikten sonra dahi yürürlükte kalacaktır.

X. Güvenlik

MOTAŞ, ExxonMobil Global Siber Güvenlik Programına uyumlu olarak veri güvenliği konusunda üzerine düşen her türlü hasssiyeti göstermektedir. Kişisel veriler; kazara veya hukuka aykırı olarak kaybedilmesi, hukuka aykırı olarak işlenmesi, kötüye kullanılması ve yetkisiz kişilerce erişimi, ifşası, değiştirilmesi ve yok edilmesine karşı korunacaktır. Bu husus, kişisel verilerin elektronik yollarla veya kağıt üzerinde işlenmesi de dâhil ve bunlarla sınırlı olmamak üzere tüm veri işleme faaliyetleri için geçerlidir. Yeni veri işleme yöntemlerinin ve bilgi işlem sistemlerinin uygulanmasından önce kişisel verilerin korunması için yeterli teknik ve idari önlemler planlanmalı, belirlenmeli ve uygulanmalıdır. Veri işleme faaliyetinin riskleri ve kişisel verilerin korunması işleme ihtiyacı göz önünde bulundurulmalıdır. Kişisel verilerin korunmasına yönelik teknik ve idari önlemler teknik gelişmeler ve idari değişiklikler doğrultusunda düzenli olarak güncellenmelidir.

XI. Eğitim

MOTAŞ, bilhassa kişisel sağlık verileri başta olmak üzere özel nitelikti kişisel verilerin korunması konusunda çalışanlarına uygun eğitimi verecektir ve yükümlülükleri konusunda çalışanlarını bilgilendirecektir. Bu bilgilendirme çalışmaları MOTAŞ2ın yıllık uyum programının bir parçası olan eğitim çalışmalarına ek olarak yerine getirilecektir. MOTAŞ (a) kişisel verilere düzenli olarak erişimi olan veya (b) kişisel verilerin işlenmesi faaliyetlerinde kullanılan araçların bakımında ve geliştirilmesinde rol alan çalışanlara uygun eğitimi verecektir. Departman yöneticileri, kendi departmanlarında çalışanların siber güvenlik (Cyber Security), veri güvenliği (Data Privacy), kayıt yönetimi (RMG) konularında şirket içinde organize edilen bilgisayar sistemi üzerinden ve fiziksel katılım gerektiren eğitim programlarına aktif katılım göstermelerini sağlar.

XII. Kontrol

MOTAŞ işbu Politika ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na uygun hareket edildiğini periyodik kontrollerle düzenli olarak kontrol edecektir. Departman yöneticileri, departman çalışanlarının ve faaliyetlerinin bu Politika’ya uyumlu olduğu ya da Politika’yı ihlal ettiği noktaları tespit etmek üzere gerekli denetimleri düzenli şekilde gerçekleştirecektir.

XIII. İhlal Olayları

Tüm çalışanlar, işbu Politika ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık oluşturması ihtimali bulunan eylemler ve olaylar hakkında, bilhassa kişisel sağlık verilerine ilişkin bir ihlal durumundan şüphe duyulması veya kişisel sağlık verilerinin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumlarına ayrıca hassasiyet göstermek suretiyle, departman yöneticilerini derhal bilgilendirecektir. İlgili faaliyet veya bölümden sorumlu yöneticinin derhal bu konular hakkında MOTAŞ Hukuk Departmanı’nı bilgilendirmesi gerekmektedir. Mevzuat çerçevesinde ihlal hallerine ilişkin öngörülen ilgili kişiye veya yetkili kuruma bildirim yapılması yükümlüğü gibi yükümlülüklerin ivedilikle yerine getirilmesi sağlanacaktır.

XIV. rumluluklar

1. Departman yöneticisi konumundaki çalışanlar sorumluluk alanlarına giren kişisel veri işleme faaliyetlerinden sorumludur ve kişisel verilerin ilgili mevzuata ve işbu Politika’ya uygun işlenmesini sağlayacaklardır. Her bir çalışan kendilerine verilen yükümlülüklere uygun davranma sorumluluğu altındadır. Her bir departmanın yönetimi, kontroller ve denetimler yapacak ve departmanlarında işbu Politika’nın uygulanmasına yardımcı olacaktır.
2. Departmanlar mümkün olduğu ölçüde yeni kişisel veri işleme faaliyetleri hakkında MOTAŞ Hukuk Departmanı’nı önceden bilgilendirecektir. Bu husus özellikle ilgili kişilerin kişilik hakları yönünden risk teşkil eden planlamalar ve özel nitelikli kişisel verilerin işlenmesi halinde uygulanacaktır. Yöneticiler çalışanlarının işbu Politika ve kişisel verilerin korunması mevzuatı ile ilgili yeterli eğitimi almasını sağlayacaktır.

XV. Kişisel Verileri Koruma Kurumu ile İşbirliği

1. MOTAŞ işbu Politika’nın uygulanmasına ilişkin talepler ile bağlantılı olarak Kişisel Verileri Korunma Kurumu ile işbirliği içinde olacaktır.
2. MOTAŞ Kişisel Verileri Koruma Kurumunun resmi ve hukuka uygun kararlarına ve talimatlarına uyacaktır.
3. Departmanlar Kişisel Verileri Koruma Kurumundan gelen taleplere karşılık vermek için gerektiğinde işbirliği yapacak ve birbirlerine yardımcı olacaktır.

XVI. Politika’da Yapılacak Değişiklikler

1. İlgili mevzuatta meydana gelen değişikliklere uyum sağlamak veya şirket içi düzenleme ve işlemlerdeki değişiklikleri yansıtmak gibi amaçlar doğrultusunda gerekli olması halinde Politika’da değişiklik yapılabilir.
2. MOTAŞ, Politika’yı ve Politika’da yapılan değişiklikleri aşağıdaki mecralarda ve/veya yöntemlerle erişime sunacaktır:
   a) Madde VIII uyarınca ilgili kişilerin talebi üzerine,
   b) MOTAŞ’ın kurum içi ağında

XVII. Politika’nın Yürürlük Tarihi

İşbu Politika 31.10.2016 tarihinde hazırlanmış, son güncellemesi 31.12.2017 tarihinde yapılacak yürürlüğe girmiştir.

¹ Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

² 31 Aralık 2017 tarihi itibari ile bu ülkelerin hangileri olduğu henüze KVK tarafından belirlenmemiştir.