PERSONAL
DATA RETENTION AND DISPOSAL POLICY
CONTENTS
1.
INTRODUCTION
AND PURPOSE OF PREPARING THE POLICY
The Personal Data Retention and Disposal
Policy (Retention and Disposal Policy)
has been prepared on the basis of the
relevant article regulations of the GDPR.
It has been prepared by our
Company in the capacity of the responsible person in order to fulfill
our obligations pursuant to the
Regulation on the Deletion, Destruction or Anonymization of Personal Data (Regulation) and to inform data subjects about the principles of determining the maximum storage period required for the purpose
for which their personal data is processed, and the processes of deletion, destruction and anonymization.
2.
DEFINITIONS
|
Anonymization |
. |
Making personal data incapable
of being associated with an identified or identifiable natural person in any way, even
by matching with other data |
|
Information Note |
. |
Explanation to the person concerned about the purpose
and how long the personal data will be stored, the method in which it is collected, how it
is stored and whether it will be shared with third
parties. |
|
Inventory |
. |
The inventory that
data controllers details the personal data processing activities they carry out in connection with their business processes by explaining the personal data processing purposes, data category, transferred recipient group and data subject group, and the maximum
time required for the purposes for which personal
data is processed, personal
data foreseen to be transferred to foreign countries and measures taken regarding data security |
|
Related Person |
. |
Natural person whose personal data is processed |
|
Destruction |
. |
Deletion, destruction or anonymization of personal data |
|
GDPR |
. |
European Union General Data Protection
Regulation |
|
Recording Media |
. |
Any environment where
personal data is processed
wholly or partially automatically or by non-automatic
means provided that it is a part of any data recording system. |
|
Personal Data |
. |
Any information relating
to an identified or identifiable natural person |
|
Processing of Personal Data |
. |
Transactions of recording, storing,
preserving, changing, reorganizing, disclosing, transferring, taking over, making available, classifying personal data |
|
Deletion of Personal Data |
. |
The deletion of personal
data is the process of making personal data inaccessible and non-reusable for the relevant users. |
|
Destruction of Personal Data |
. |
The process of destroying
personal data is the process of making personal data inaccessible, unrecoverable and unusable by anyone
in any way. |
|
Special Personal Data |
. |
Data about race, ethnic origin, political opinion, philosophical belief, religion, sect or other
beliefs, clothing, association, foundation or union membership,
health, sexual life, criminal conviction and security measures, and biometric and genetic data of individuals |
|
Periodic Destruction |
. |
In the event that all of the
personal data processing conditions in the Law are eliminated,
the deletion, destruction or anonymization process to be carried out ex officio
at repetitive intervals and specified in the personal data storage and destruction
policy. |
|
Data Processor |
. |
The natural or legal person who processes
personal data on behalf
of the data controller based on the authority given by him. |
|
Data Controller |
. |
The natural or legal person who determines
the purposes and means of processing personal data and is responsible for the establishment
and management of the data recording system |
|
Recording Media Contact Person |
. |
The natural person notified by the
data controller during registration to the Registry for the communication
to be established with the Authority,
regarding the obligations of the legal persons residing in Turkey and the
representative of the
data controller of the
legal entity not residing
in Turkey, within the scope of the Law and
secondary regulations to be issued based on this Law. |
3.
PRINCIPLES
1.Our
company acts within the framework
of the principles listed in the relevant
article of GDPR in the deletion, destruction and anonymization of personal data:
1.1.
Personal data can only be processed in accordance with the procedures
and principles stipulated in GDPR and other country laws.
1.2.
Compliance with the following principles
in the processing of personal data is mandatory in accordance with the GDPR:
1.2.1.
Compliance with the law and
honesty rules.
1.2.2.
Being accurate and up to
date when necessary.
1.2.3.
Processing for specific, explicit and legitimate purposes.
1.2.4.
Being relevant, limited and proportionate
to the purpose
for which they are processed.
1.2.5.
To be kept for the period
required by the relevant legislation
or for the
purpose for which they are processed.
2.
In terms of compliance with the above-mentioned principles, our Company acts in accordance with the provisions of the GDPR and DIRECTIVE DECISIONS
on data security as a Data Controller.
3.
The appropriate method of deleting, destroying or anonymizing
personal data ex officio is determined by our Company.
4.
In the event
that all the conditions for processing personal data cease to exist, personal
data is deleted, destroyed or anonymized by
our Company ex officio or
upon the request of the person concerned. In case the
Related Person applies to our
Company in this regard;
a.
Requests submitted via the application
form on the https://www.musixen.com/ web address are finalized
within 30 (thirty) days at the latest
and the relevant
person is informed.
b.
In case the
data subject to the request has been transferred to third parties,
this situation is notified to the
third party to which the
data is transferred and necessary actions are taken before
the third parties.
4.
EXPLANATIONS ON REASONS REQUESTING STORAGE AND DISPOSAL
Personal data belonging to data owners are processed,
stored and destroyed in electronic environments securely within the limits
specified in GDPR and other relevant legislation by our Company in order to maintain
commercial activities, to use the
personal data obtained in accordance with the purpose of obtaining, to fulfill
its legal obligations, to increase the
quality of service, to fulfill its legal commitments, to regulate employee rights, and to
manage customer or supplier relations.
4.1. Reasons for keeping
personal data
a.
Being directly related to the
establishment and performance of contracts,
b.
Storing personal data for the purpose
of establishing, exercising
or protecting a right,
c.
It is mandatory to keep personal
data for the legitimate interests of our Company, provided
that it does not harm the fundamental
rights and freedoms of individuals,
d.
Storing personal data for the purpose
of fulfilling any legal obligations of our Company,
e.
Explicitly stipulating the storage of personal data in the legislation,
f.
Explicit consent of data owners in terms of storage activities that require the
explicit consent of data owners.
4.2. Reasons Requiring Destruction of Personal Data
Personal data is deleted,
destroyed or anonymized by our
company, ex officio or upon
request, for the following reasons:
a.
Changing or eliminating the provisions of the relevant legislation, which are the
basis for the processing or storage of personal
data,
b.
The disappearance of the purpose that
requires the processing or storage
of personal data,
c.
Elimination of conditions requiring the processing
of personal data,
d.
In cases where the processing
of personal data takes place only on the
basis of explicit consent, the data owner withdraws his consent,
to. The data controller accepts the application
made by the
data owner regarding the deletion, destruction
or anonymization of his personal data,
f.
In cases where the data controller rejects the application made by the
data owner for the deletion, destruction
or anonymization of his personal data, his response is found insufficient or he does not respond within the period stipulated
in the GDPR and the relevant DIRECTIVE DECISIONS;
complaining to the Board and approval
of this request by the Board,
g.
The absence of any conditions justifying the retention of personal data for a longer period
of time, although the maximum period for keeping personal
data has passed.
5.
STORAGE AND DISPOSAL TIMES
Within our company, a classification is made in terms of personal data and special personal data, and the storage
and destruction process is determined for each type
of personal data.
1.
Legal obligations are taken into account
and if a period is foreseen for the storage
of any personal data, this period is complied with.
2.
If the company
is legally required to keep a personal
data for a period of time beyond the minimum period of time to continue its commercial
activities and/or if there
is an exceptional need for that personal
data, the destruction period is determined as a longer period for
that personal data and this is stated
in detail in the Clarification and/or Explicit Consent
text. At the expiry of the said
period, the data is deleted, destroyed or anonymized.
3.
You can find the storage, destruction
and periodic destruction periods determined by our
company from the "Storage and Disposal List" in the annex (Annex-1) of this Policy. Personal
data whose storage period has expired are destroyed in accordance with the procedures set forth in this Retention and Disposal
Policy in 6-month periods,
based on the periods in the relevant annex.
4.
All transactions regarding the deletion,
destruction and anonymization of personal data are recorded and
these records are kept for
at least five years, excluding other legal obligations.
6.
PROCEDURES FOR STORAGE AND DISPOSAL OF PERSONAL DATA BY OUR COMPANY
I.
RECORDING MEDIAS
Personal data belonging to data owners are securely stored
by our Company
in the environments listed in the table
below, in accordance with the relevant
legislation, especially the GDPR provisions, and within the
framework of international
data security principles:
Electronic media:
Computer
Servers
Physical environments:
Office Lockers
Locked Archive
Folders
II.
TECHNICAL AND ADMINISTRATIVE MEASURES
Administrative and technical measures taken by our
Company within the framework of the principles set forth in GDPR in order to keep your
personal data safe, to, to prevent
its being processed unlawfully or being accessed
and to destroy
the data in accordance with the law
are listed below:
i.
Administrative Measures
Our company within the scope
of administrative measures;
a.
Restricts internal access to stored
personal data to personnel required by job description.
Whether the data is of a special nature or not and the
degree of importance are also taken
into account in limiting the access.
The provisions of the Access Authorization Policy, prepared on the basis of company practices, are taken into account
in the application of this article.
b.
In case the
processed personal data is obtained by others
unlawfully, the relevant person and the EU shall
be notified as soon as possible.
c.
Regarding the sharing of personal data, it signs a framework agreement on the protection of personal data and data security with the persons
to whom personal
data is shared, or provides data security with the provisions
added to the existing agreement.
d.
Employs knowledgeable and experienced personnel about the processing of personal data and provides its personnel
with the necessary training within the scope
of personal data protection
legislation and data security.
e.
Carries out and has the necessary
audits done in order to ensure the
implementation of the GDPR provisions in its own legal entity. Eliminates privacy and security vulnerabilities
that arise as a result of audits.
ii. Technical Measures
Our company within the scope
of technical measures;
a.
Conducts information technology risk assessment processes in terms of Data
Security.
b.
Provides the technical infrastructure to prevent or
monitor the leakage of personal data outside the systems.
c.
Provides control of system vulnerabilities by receiving penetration
test service regularly and when needed.
d.
Ensures that the access authorizations
to personal data of employees in all units, especially Information
Technologies employees, are
kept under control.
e. It is ensured that personal
data is destroyed so that it cannot be accessed again.
f.
All kinds of digital media where
personal data are stored are protected
with encryption methods to meet
information security requirements.
III. DISPOSAL METHODS OF PERSONAL DATA
Personal data obtained by our Company
in accordance with the GDPR and other
relevant legislation will be destroyed by our Company,
ex officio or upon the
application of the Relevant Person, with the following
techniques in accordance with the provisions
of the relevant legislation, in case the personal data processing purposes listed in the Regulation
are no longer
valid.
a.Deletion and Destruction
Techniques of Personal
Data:
The procedures and principles regarding the techniques
of deletion and destruction of personal data by our company
are listed below:
Deletion from Systems: While deleting the data processed by fully or
partially automated means and stored
in digital media, methods are used
for deleting the data from the
related software in a way that will be rendered
inaccessible and unusable for the
Relevant Users in any way.
Deleting the relevant data in the system by issuing
a delete command; removing the access
rights of the relevant user on the file or the
directory where the file is located on the central server; Deleting the relevant
rows in databases with database commands
or deleting the data in portable media, ie flash
media, by using appropriate software can be
counted within this scope.
If the deletion of personal data will result in the inaccessibility of other data within the system and
the inability to use this
data, the personal data will also be deemed
deleted if the personal data is archived in a way that cannot be associated with the data subject, provided that the
following conditions are met.
-It is closed to
the access of any other institution,
organization or person,
-Taking all necessary
technical and administrative measures to ensure that
only authorized persons can access personal data.
Blackening of Personal Data in the Physical Environment: It is a method of physically cutting and removing the
relevant personal data from the document
in order to prevent the unintended
use of personal data or to delete
the data requested to be deleted, or to make
it invisible by using fixed ink,
which cannot be recovered and read
with technological solutions.
Physical Destruction: Personal data can also be processed by non-automatic
means, provided that they are part
of any data recording system. While such
data is destroyed, a system
of physical destruction of personal data is applied so that it cannot
be used later. The destruction of data in paper and microfiche
media should also be carried out in this way,
as they cannot be destroyed
in any other way.
In terms of equipment to be disposed of within the company, first
of all, it should be checked whether there is any information
on the equipment that may be personal
data. For equipment with personal data on it, units (disk, external memory, etc.) equipment
should be disassembled and used as spare
parts.
Adequate action must be taken beyond
the conventional erasing or formatting
operations so that the information
contained in the storage device cannot be read again.
If the equipment
to be disposed of is an active device (modem, switch, router, etc.), it is disposed of by resetting it to default settings.
If critical information is on any media (CD, DVD, etc.), the media can be broken and destroyed.
All papers containing confidential information, but invalid, misprinted, and unusable, are destroyed
by using a paper shredder.
Disposal equipment must be dropped from the inventory
list.
Equipment that does not have the
ability to contain information can be used as needed after being removed
from embezzlement and inventory.
Overwriting: The overwriting method is a data destruction method that makes
it impossible to read and recover
old data by writing random data consisting of 0s and 1s at least seven times over magnetic media
and rewritable optical media via
special software.
During the above-mentioned situations, our Company fully
complies with GDPR, Regulation and other relevant legislation provisions in order to ensure
data security and takes all necessary
administrative and technical measures.
7.
OTHER MATTERS
In case of inconsistency between GDPR and other relevant
legislative provisions and this Policy,
GDPR and other relevant legislative provisions will be applied first.
This Storage and Disposal Policy prepared by our
company entered into force on
.
ANNEX-1
TABLE
OF STORAGE AND DISPOSAL TIMES
The storage and destruction periods of the data processed by the
Company have been determined on a process basis in the Personal Data Processing Inventory and are given below.
PERSONAL
DATA PROTECTION AND PRIVACY POLICY
A.
SCOPE
Protection of Personal Data and Privacy Policy of MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş. hereinafter
referred to as "MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş." has been prepared in order to provide
the necessary information by explaining the whole of the rules
for the processing
of personal data.
B.
DEFINITIONS
|
Personal Data |
It is any type of information that can be identified or identifiable and includes all situations that enable the
identification of the person as a result of carrying a concrete content that expresses the physical, economic, cultural, social or psychological identity of the person or as a result of associating with any record
such as identity, tax, insurance number. |
|
Special personal data |
Data on race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs,
association, foundation or union membership,
health, sexual life, criminal conviction and security measures, and biometric and genetic data. |
|
Express Consent |
Consent on a specific subject, based on being informed and expressed with free will. |
|
Anonymization |
Making personal data incapable of being associated with an identified or identifiable natural person under any circumstances, even by matching
with other data. |
|
Processing personal
data |
It is any operation performed on the data, such as obtaining, recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making available, classifying or using personal data in whole or in part
by automatic or non-automatic means provided that it is a part of any data recording system. blocking.
This includes all types of operations performed on the data, starting from the first
time the data is obtained. |
|
Personal data owner |
Natural person whose personal data is processed |
|
Filing System |
Registration system
where personal data is processed and structured according to certain criteria |
|
Data
Controller |
The natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment
and management of the data recording system. |
|
Data processor |
The natural or legal person who processes personal data on behalf of the data controller based on the authority given by him. |
|
GDPR |
General Data Protection Regulation |
|
Policy |
Protection of Personal
Data and Privacy Policy of MUSETECHS YAZILIM DANISMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş. |
C.
PURPOSE
The purpose of this policy is to inform
the relevant people about the
data processing activities and systems related
to personal data carried out by
MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.
D.
PERSONAL
DATA
1. General Principles
Regarding Personal Data Processing
MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş.
processes personal data in accordance with the following principles,
pursuant to GDPR articles and DIRECTIVE DECISIONS and within the
scope of the purposes exemplified in the 'Purposes of Processing Personal Data' section of this Policy:
Compliance with the law
and honesty rules
Being accurate and up-to-date
when necessary
Processing for specific, explicit
and legitimate purposes
Being connected, limited and restrained for the purpose
for which they are processed.
Preservation for the period
required by the relevant legislation
or for the
purpose for which they are processed.
2.
Processed Personal
Data
Processed Personal Data which is processed by MUSETECHS YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET
VE SANAYİ A.Ş. is processed in the light of activities
that can be carried out without express
consent in accordance with the relevant
articles of the GDPR or by obtaining
the express consent of the data owners. These types
of personal data, which are processed in accordance with the principles in this Policy, depending
on the type and nature of the
relationship between MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş and
the data owner, the communication channels used and
the purpose information, are as follows, but not limited to these.
Information identifying
the data owner such as name, surname, profession, title, employment information, educational status, gender, marital status, spouse/child information, citizenship status, military service information, criminal record information, tax liability status,
Data such as date of birth, place of birth, identity number, blood group, religion
and photograph contained in identification documents such as a photocopy of identity card, photocopy of identity card, passport and driver's
license,
Contact information such as address, e-mail, telephone and fax numbers,
and communication records within the scope of telephone
calls and e-mail correspondence, other voice data,
Real person information in documents for legal persons such as tax plate,
trade newspaper, authorization certificate, ISO documents, qualification certificates, circular of signature and activity
certificate,
Detailed financial data on pricing, settlement, collection and payment activities.
All kinds of audio and video recordings containing music-songs, etc., that make
the identity of the artists, members
and users identifiable, to be presented in the application used due to the
main activity of the company.
3.
Purposes of Processing
Personal Data
Ĝ Personal
data is processed by MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş. for
the purposes stated in the relevant
provisions of GDPR and listed below;
o
clearly stipulated in laws,
o
MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş. is directly related to and
necessary for the establishment or performance of a contract,
o
Processing
of personal data is mandatory
for MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş. to fulfill
its legal obligations,
o
Processing
of personal data by MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş for
the purpose of making it public, provided that they are made public,
o
Processing
of personal data by MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş. is mandatory for the
establishment, use or protection of the rights of MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş. or
it data owners or third parties,
o
It
is mandatory to process personal data for the legitimate
interests of MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş., provided that
it does not harm the fundamental rights and freedoms
of data owners,
o
If the data processing activity is necessary for the protection
of the life or physical integrity of the personal data owner or someone
else, and in this case, the personal
data owner is unable to express his consent due to
actual impossibility or legal invalidity.
Ĝ Personal
data is processed by MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş., within
the scope of the above-mentioned conditions, for the purpose of providing services and compliance with the legislation
and for the
purposes stated below;
o
In line with the
aim of ensuring the execution of human resources policies of MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş.;
o
In line with the
fulfillment of legal and commercial obligations with MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş and people who have business
relations with MUSETECHS YAZILIM DANISMANLIK İTHALAT
VE İHRACAT TİCARET VE SANAYİ A.Ş, To
ensure the physical security and control of the administrative operations, service-oriented operations and locations, carried out by MUSETECHS YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET
VE SANAYİ A.Ş, business partner/customer/supplier/business partner (authorized or employees or
partners) evaluation processes, legal and commercial risk analysis, legal compliance process, financial affairs execution.
o
In line with the
purpose of determining and implementing the commercial and business strategies
of MUSETECHS YAZILIM DANISMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.;
o
Finance operations,
communication, market research
and social responsibility activities, purchasing operations (demand, offer, evaluation, order, budgeting, contract) carried out by
MUSETECHS YAZILIM DANISMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.
o
Internal system and application
management operations can
be listed as the management of legal operations.
4.
Retention Period of Personal Data
Personal data is kept within the
body of MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş for the duration of the relevant legal storage periods, and is kept for the
period necessary for the realization
of the activities related to this
data and the purposes specified in this Policy. Personal
data whose purpose of use has expired and whose legal storage period has expired is deleted, destroyed or anonymized
by MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş. in accordance with the relevant
article of GDPR.
5.
Rights of Data Owner
The rights of real persons whose personal
data are processed are regulated and
in accordance with this article, data owners have the
following rights over MUSETECHS
YAZILIM DANISMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş:
a. Learning
whether personal data is processed
b.
If personal data has been processed, requesting information about it
c.
Learning the purpose of processing personal data and whether they are used in accordance with the purpose
d.
Knowing the third parties
to whom personal
data is transferred at home
or abroad,
e.
Requesting correction of personal data in case of incomplete or incorrect processing,
f.
Requesting the deletion or
destruction of personal
data within the framework of the conditions stipulated in the relevant article
of the Law,
g.
Requesting notification of correction and deletion processes
to third parties to whom
personal data has been transferred
h.
Objecting to the emergence
of a result against the person himself
by analyzing the processed data exclusively through automated systems,
i.
Requesting the compensation of the damage in case
you suffer damage due to
the unlawful processing of personal data
Requests from data owners for the use
of one of the above rights will
be met within 30 days at the latest.
Within the scope of these
requests and GDPR, all questions and
requests regarding your personal data can be submitted by filling
out the application
form and personally delivering the identifying documents, sending them through
a notary public or by e-mail registered
to support@musixen.com.
If the requests require
additional costs, MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş. will be able to
charge a fee in the amounts determined
within the scope of the relevant
legislation.
6.
Data
Transfer To Abroad
In order to meet
the purposes exemplified in the 'Purposes of Processing Personal Data' section of this Policy, personal
data may be transferred abroad in accordance with the legislation.
In these transfers, necessary administrative and technical measures are taken to
protect personal data as required.
7.
Security
of Personal Data
a.
Security
Measures
In accordance with the GDPR, our company
takes the necessary measures and controls to
ensure the appropriate level of security in order to prevent the
illegal processing of the personal data it processes, to prevent illegal access to the
data and to ensure the preservation
of the data, and carries out the
necessary audits in this context or
have them made.
b.
Audit
Our company performs audit or has had it done, in accordance with the relevant Articles
of the GDPR. The results of these audits are reported
to the relevant
department within the scope of the
internal operation of the Company and
necessary activities are carried out
to improve the measures taken.
Necessary systems are established
and necessary trainings are provided
to the existing
employees of our company and those
who have just joined the
business unit to raise awareness
about the protection of personal data.
Türkiye
Vatandaşları İçin
MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK
POLİTİKASI
A.
KAPSAM
Kişisel Verilerin
Korunması ve Gizlilik
Politikası
MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş. Bundan
sonra MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş. olarak anılacaktır kişisel verilerin
işlenmesine yönelik kurallar
bütününün açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmış.
B. TANIMLAR
Kişisel Veri
Kimliği belirli veya belirlenebilir her türlü bilgidir
ve kişinin fiziksel, ekonomik, kültürel, sosyal veya
psikolojik kimliğini ifade eden somut
bir içerik taşıması veya kimlik,
vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan
tüm hallerini kapsar.
Özel
nitelikli kişisel veri
Irk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar,
dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir.
Açık Rıza
Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hale getirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi
hiçbir surette kimliği
belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel verileri
işleme
Kişisel verilerin tamamen
veya kısmen otomatik
olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde
edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm
işlem türleri bu kapsama girmektedir.
Kişisel veri
sahibi
Kişisel verisi işlenen gerçek kişi
Veri kayıt sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak
işlendiği kayıt
sistemi
Veri
Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
Sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri işleyen
Veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
KVKK
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete de yayımlanan, 24 Mart
2016 tarihli ve
6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul
Kişisel Verileri Koruma Kurulu
Kurum
Kişisel Verileri Korumu Kurumu
Politika
MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş.
Kişisel Verilerin Korunması ve Gizlilik Politikası
C. AMAÇ
İş bu politikanın amacı,
MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş.nin
yürüttüğü veri işleme faaliyetleri ve kişisel verilerle ilgili
sistemler konusunda açıklamada bulunarak ilgili kişileri bilgilendirmek ve böylece
kişisel veriler
hususunda şeffaflık sağlamaktır.
D. KİŞİSEL VERİ
1.
Kişisel Veri İşlemesine İlişkin Genel İlkeler
MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş. KVKK 4. maddesinin1 2.
fıkrası uyarınca ve işbu Politikanın Kişisel
Verilerin İşlenme Amaçları bölümünde örneklendirilmiş olan
amaçlar kapsamında, aşağıdaki ilkelere uygun olarak
kişisel veri işlemektedir:
·
Hukuka ve dürüstlük kurallarına uygun olma
·
Doğru ve gerektiğinde güncel
olma
·
Belirli, açık
ve meşru amaçlar
için işlenme
· İşlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olma
·
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan süre kadar
muhafaza edilme
|
|
1 Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel
verilerin işlenmesinde aşağıdaki ilkelere uyulması
zorunludur:
a) Hukuka
ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli,
açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar
muhafaza edilme
2. İşlenen
Kişisel Veriler
MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş. tarafından İşlenen
Kişisel Veriler, veri sahiplerinden açık rıza alınmak
suretiyle ya da KVKKnın 5. ve 6. maddelerince2 3 açık rızaya tabi
olmaksızın yürütülebilecek faaliyetler ışığında işlenmektedir. MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş. ile veri sahibi arasındaki ilişkinin türüne
ve niteliğine, kullanılan iletişim kanallarına ve amaç bilgisine bağlı olarak işbu Politikadaki ilkelere uyumlu
bir şekilde işlenen bu kişisel veri türleri
bunlarla sınırlı olmamak
kaydıyla aşağıda belirtilmiştir.
·
İsim, soy isim, meslek,
unvanı, çalışma bilgisi,
eğitim durumu, cinsiyet, medeni durum, eş/çocuk bilgisi,
vatandaşlık durumu, askerlik bilgisi, adli sicil bilgisi, vergi
mükellefiyeti durumu gibi veri sahibini tanıtıcı bilgiler,
·
Nüfus cüzdanı fotokopisi, nüfus sureti
fotokopisi, pasaport ve sürücü belgesi
gibi kimlik tespit belgelerinde bulunan doğum tarihi,
doğum yeri, kimlik numarası, kan grubu, din ve fotoğraf gibi veriler,
·
Adres, elektronik
posta, telefon ve faks numarası gibi iletişim bilgileri ile, telefon
görüşmeleri ve elektronik posta yazışmaları
kapsamındaki iletişim kayıtları diğer sesli veriler,
|
|
2 Kişisel
verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı
hâlinde, ilgili kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça
öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için
zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için
zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için
veri işlenmesinin zorunlu
olması.
3 Özel nitelikli
kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi
inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin
açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci
fıkrada sayılan sağlık ve cinsel hayat
dışındaki kişisel veriler, kanunlarda öngörülen hâllerde
ilgili kişinin açık rızası aranmaksızın
işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel
veriler ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın
işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde,
ayrıca Kurul tarafından belirlenen yeterli önlemlerin
alınması şarttır.
·
Vergi levhası, ticaret gazetesi, yetki
belgesi, ISO belgeleri, yeterlilik belgeleri, imza sirküleri ve faaliyet belgesi gibi tüzel
kişilere yönelik belgelerdeki gerçek kişi bilgileri,
· Fiyatlandırma, mutabakat, tahsilat ve ödeme
faaliyetlerine ilişkin detaylı finansal veriler.
· Şirketin
ana faaliyet niteliği gereği kullanılan uygulamada sunulmak
üzere sanatçılara,üyelere ve kullanıcılara ait kimliği
belirlenebilir kılan her türlü sesli ve görüntülü müzik-şarkı
içeren kayıtlar vb.
3.
Kişisel Verilerin İşlenme Amaçları
Ĝ MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş. tarafından KVKKnın 5. Maddesinde belirtilen ve aşağıda yer alan amaçlar
dâhilinde kişisel verileri işlenmektedir;
o Kanunlarda açıkça öngörülmesi,
o
Kişisel verilerin MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT
TİCARET VE SANAYİ A.Ş.tarafından işlenmesinin bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili ve gerekli
olması,
o
Kişisel verilerin
işlenmesinin MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş.nin hukuki
yükümlülüğünü yerine getirebilmesi
için zorunlu olması,
o
Kişisel verilerin
alenileştirilmiş olması şartıyla; alenileştirme
amacıyla sınırlı bir şekilde MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş. tarafından işlenmesi,
o
Kişisel verilerin MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş. tarafından işlenmesinin MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş. veya veri sahiplerinin veya üçüncü
kişilerin haklarının tesisi,
kullanılması veya korunması için zorunlu olması,
o
Veri sahiplerinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş.nin meşru
menfaatleri
için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
o
Veri işleme
faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir
başkasının hayatı
veya beden bütünlüğünün korunması için
zorunlu olması ve bu durumda
da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
Ĝ
MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş.
tarafından yukarıda belirtilen şartlar kapsamında,
hizmetlerinin sunulması ve mevzuata uyum ve başta olmak
üzere, aşağıda belirtilen amaçlar doğrultusunda kişisel veriler işlenmektedir.
o MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.nin insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;
o
MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş.nin ve MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş. ile iş ilişkisi içerisinde olan
kişiler ile hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin
temini doğrultusunda;
MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş.
tarafından yürütülen, iletişime yönelik idari operasyonlar,
hizmete yönelik operasyonlar lokasyonların fiziksel güvenliğini ve
denetimini sağlamak, iş ortağı/müşteri/tedarikçi/iş ortağı (yetkili veya çalışanlar veya ortakları) değerlendirme süreçleri, hukuki
ve ticari risk
analizleri, hukuki uyum
süreci, mali işler yürütülmesi.
o MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.nin ticari ve iş
stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;
o
MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş. tarafından yürütülen finans operasyonları, iletişim, pazar araştırması ve sosyal
sorumluluk aktiviteleri, satın alma operasyonları (talep,
teklif, değerlendirme, sipariş, bütçelendirme,
sözleşme), MUSETECHS YAZILIM DANIŞMANLIK
İTHALAT VE İHRACAT TİCARET VE SANAYİ A.Ş.nin ticari ve iş stratejilerinin
belirlenmesi ve uygulanması,
o
Şirket içi
sistem ve uygulama yönetimi operasyonları, hukuki
operasyonların yönetimi
olarak sıralanabilmektedir.
4.
Kişisel Verilerin Saklanma Süresi
Kişisel veriler MUSETECHS
YAZILIM DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE
SANAYİ A.Ş. bünyesinde ilgili yasal
saklama süreleri müddetince bulundurulmakta olup,
bu verilerle ilişkili faaliyetlerin ve işbu Politikada da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır.
Kullanım amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler ise, KVKKnın 7nci maddesi4 uyarınca MUSETECHS YAZILIM
DANIŞMANLIK İTHALAT VE İHRACAT TİCARET VE SANAYİ
A.Ş. tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5.
KVKK Çerçevesinde Veri Sahibinin Hakları
KVKKnın 11. Maddesi kapsamında kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve
bu madde uyarınca veri sahipleri MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş. üzerinde aşağıdaki haklara
sahiptir:
a.
Kişisel veri işlenip işlenmediğini öğrenme
b.
Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme
c. Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme
d.
Yurt içinde
veya yurt dışında kişisel verilerin aktarıldığı üçüncü
kişileri bilme,
e.
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme,
f. Kanun ilgili maddesinde öngörülen
şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
g.
Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme
h. İşlenen verilerin
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya
çıkmasına itiraz etme,
i. Kişisel verilerin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğramanız
hâlinde zararın giderilmesini talep etme
Yukarıdaki haklardan
birinin kullanılması amaçlı olarak veri sahiplerinden gelecek talepler en geç 30 gün içerisinde karşılanacaktır.
Bu talepler
ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
kapsamında kişisel verilerinizle ilgili tüm soru ve talepleri başvuru formunu doldurarak ve
kimlik tespit edici belgeler bizzat elden
teslim edilerek, noter kanalıyla gönderilerek veya destek@musixen.com adresine
kayıtlı elektronik posta ile iletebilecektir.
|
|
4 Kişisel
verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen
veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi
veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer
alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle
getirilmesine ilişkin usul ve esaslar
yönetmelikle düzenlenir
Taleplerin ayrıca bir maliyet
gerektirmesi durumunda MUSETECHS YAZILIM DANIŞMANLIK İTHALAT VE
İHRACAT TİCARET VE SANAYİ A.Ş.ilgili mevzuat
kapsamında belirlenen tutarlarda ücret talep edebilecektir.
6.
Yurtdışına
Veri Aktarımı
İşbu Politikanın Kişisel Verilerin İşlenme Amaçları bölümünde örneklendirilen amaçların karşılanması
için kişisel veriler
mevzuata uygun biçimde
yurt dışına aktarabilir. Bu aktarımlarda kişisel verilerin gerektiği şekilde korunması için gerekli idari
ve teknik önlemler
alınır.
7.
Kişisel Verilerin Güvenliği
a.
Güvenlik Önlemleri
Şirketimiz, KVKK
12. maddesine5 uygun
olarak, işlemekte olduğu kişisel verilerin hukuka
aykırı olarak
işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini
önlemek ve verilerin muhafazasını sağlamak için
uygun güvenlik düzeyini
sağlamaya yönelik gerekli
tedbir ve kontrolleri almakta, bu
kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
b. Denetim
Şirketimiz, KVK Kanununun 12. Maddesine uygun
olarak, kendi bünyesinde gerekli denetimleri
yapmakta veya yaptırmaktadır. Bu denetim
sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için
gerekli faaliyetler yürütülmektedir.
Şirketimizin mevcut çalışanlarının ve iş birimi
bünyesine yeni dâhil
olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta ve çalışanlara gerekli eğitimler verilmektedir.
|
|
5 Veri
güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü
teknik ve idari
tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde,
birinci fıkrada belirtilen tedbirlerin
alınması hususunda bu kişilerle birlikte müştereken
sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun
hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya
yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen
kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine
aykırı olarak başkasına açıklayamaz ve işleme
amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan
yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede
ilgilisine ve Kurula
bildirir. Kurul, gerekmesi hâlinde
bu durumu, kendi internet sitesinde ya da uygun
göreceği başka bir yöntemle ilan edebilir.