MİXOFİS 5K İTHALAT İHRACAT TİC.LTD.ŞTİ.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

POLİTİKASI

2

İÇİNDEKİLER

1. AMAÇ VE KAPSAM...................................................................................................................................................................3

2. HEDEF......................................................................................................................................................................................3

3. TANIMLAR................................................................................................................................................................................3

4. ROLLER VE SORUMLULUKLAR..................................................................................................................................................5

5. POLİTİKA ESASLARI...................................................................................................................................................................5

5.1. MİXOFİS TARAFINDAN BENİMSENEN TEMEL İLKELER........................................................................................................5

5.1.1. Kişisel ver ileri hukuka ve dürüstlük kurallarına uygun olarak işleme................................................................................6

5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme.....................................................................................6

5.1.3. Kişisel ver ileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme................................................................................6

5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme................6

5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ.........................6

5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ........................................7

5.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI..................................................................................................................7

5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için

Şirketin Alacağı İdari Tedbirler.....................................................................................................................................................7

5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilm esini Önlemek için

Şirketin Alacağı Teknik Tedbirler..................................................................................................................................................7

5.4.3. MİXOFİS’ın Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetleri Yürütmesi..............................................................7

5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler.................................................8

5.5. KiŞiSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER VE YAPTIRIMLAR..................................................................8

5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü....................................................................................................8

5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü..............................................................................................................................8

5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yüküm lülüğü...........................................................................................................9

5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü.............................................................................9

5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü........................................................................................................9

5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü.....................................................................10

5.5.7. Kişisel Verilerin Muhafazasına İlişkin Düzenlemelere Uygun Davranma Yükümlülüğü.................................................10

6. POLİTİKA'YA VE KVK KANUNU'NA UYUM İÇİN MİXOFİS ŞİRKETLERİ TARAFINDAN YERİNE GETİRİLECEK TEMEL

HUSUSLAR..................................................................................................................................................................................10

6.1. KVK KANUNU İ LE ÖNGÖRÜLEN YÜRÜRLÜK SÜRELERİNE RİAYET ETMEK...........................................................................11

6.2. MİXOFİS KVK POLİTİKASI'NDA AÇIKLANAN YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK...........................................................11

6.3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLE TEMEL POLİTİKALARI OLUŞTURMAK..................................11

6.4. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN ŞİRKET TARAFINDAN POLİTİKA, TÜZÜK/İÇ TÜZÜK, YÖNETMELİK,

PROSEDÜR VE KILAVUZLAR HAZIRLANMASI..............................................................................................................................11

6.5. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ..............................................................12

7. YÜRÜTME VE GÖZDEN GEÇİRME...........................................................................................................................................12

3

1. AMAÇ VE KAPSAM

Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugüne benimsemiş olan

MİXOFİS, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü

faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.

MİXOFİS Kişisel Verilerin İşlenmesi ve Korunması Politikası ("MİXOFİS KVK Politikası") ile MİXOFİS

tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.

MİXOFİS’ın, kişisel verilerin korunmasına verdiği önem doğrultusunda, MİXOFİS KVK Politikası ile

MİXOFİS tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVK

Kanunu") yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda

MİXOFİS’ın yerine getirmesi gerekenler ortaya konulmaktadır. MİXOFİS tarafından MİXOFİS KVK

Politikası düzenlemelerinin uygulanması ile MİXOFİS’ın benimsediği veri güvenliği ilkeleri sürdürülebilir

kılınmış olacaktır.

2. HEDEF

MİXOFİS, şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli

sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu

temin etmek için gereken düzeni kurmalıdır.

MİXOFİS KVK Politikası, şirket tarafından KVK Kanunu ve ilgili mevzuat ile ortaya konulan

düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. MİXOFİS KVK Politikası ile,

şirket tarafından önem verilen, KVK Kanunu'na uyum sürecinin benimsenmesi ve özenle

yürütülmesinin temini hedeflenmektedir.

3. TANIMLAR

MİXOFİS KVK Politikası'nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rıza.

Anonim Hale

Getirme

Kişisel verinin, başka ver ilerle eşleştirilerek dahi hiçbir surette

kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hale getirilmesi

Çalışan KVK

Politikası

MİXOFİS çalışanlarının kişisel verilerinin korunmasına ve

işlenmesine ilişkin ilkelerin düzenlendiği "MİXOFİS Ofis

Malzemeleri Tic. A.Ş. Çalışanları Kişisel Verilerin Korunması ve

İşlenmesi Politikası".

Kişisel Sağlık

Verilerinin

İşlenmesine ilişkin

Yönetmelik

20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete'de

yayımlanan, Kişisel Sağlık Verilerin İşlenmesi ve Mahrem

iyetinin Sağlanması Hakkında Yönetmelik.

Kişisel Sağlık Verisi

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

sağlık bilgisi.

4

Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgi.

Kişisel Veri Sahibi

Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve

çalışanlar.

Kişisel Verileri

Koruma Birimi

MİXOFİS tarafından, kişisel verilerin korunması mevzuatına

uygunluğun sağlanması, muhafazası ve sürdürülmesi

kapsamında Şirket bünyesinde gerekli koordinasyonu

sağlayacak olan birim.

Kişisel Verilerin

İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla

otomatik olmayan yollarla elde edilmesi, kaydedilmesi,

depolanması, muhafaza edilmesi, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde

edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının

engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVK Kanunu 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete'de

yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel

Verilerin Korunması Kanunu.

KVK Kurulu

Kişisel Verileri Koruma Kurulu.

KVK Kurumu Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel

Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep

veya diğer inançlar, kılık kıyafet, dernek vakıf ya da

sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve

güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik

veriler.

MİXOFİS/ Şirket 5K İTHALAT İHRACAT TİC.LTD.ŞTİ.

MİXOFİS İş

Ortakları MİXOFİS’ın ticari faaliyetlerini yürütürken çeşitli amaçlarla iş

ortaklığı kurduğu taraflar.

MİXOFİS KVK

Politikası 5K İTHALAT İHRACAT TİC.LTD.ŞTİ. Kişisel Verilerin Korunması ve

İşlenmesi Politikası.

MİXOFİS

Tedarikçileri Sözleşme temelli olarak MİXOFİS’a hizmet sunan taraflar.

MİXOFİS Veri

Sahibi Başvuru

Formu

Veri sahiplerinin, KVK Kanunu'nun 11. maddesinde yer alan

haklarına ilişkin başvurularını kullanırken yararlanacakları

başvuru formu.

5

MİXOFİS Çalışanı

Veri Sahibi

Başvuru Formu

MİXOFİS çalışanı olan veri sahiplerinin, KVK Kanunu'nun 11.

maddesinde yer alan haklarına ilişkin başvurularını kullanırken

yararlanacakları başvuru formu.

MİXOFİS Çalışan

KVK Politikası MİXOFİS bünyesine dahil şirketlerin çalışanlarının kişisel

verilerinin korunmasında ve işlenmesinde benimsenen ilkelerin

düzenlendiği " MİXOFİS Çalışanları Kişisel Verilerin Korunması

ve İşlenmesi Politikası".

MİXOFİS KVK

Politikası MİXOFİS Kişisel Verilerin Korunması ve İşlenmesi Politikası.

Türkiye

Cumhuriyeti

Anayasası

9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de

yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye

Cumhuriyeti Anayasası.

Türk Ceza

Kanunu 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de

yayımlanan; 26 Eylül 2004 t arihli ve 5237 sayılı Türk Ceza

Kanunu.

Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına

kişisel veri işleyen gerçek ve tüzel kişi.

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen,

verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

4. ROLLER VE SORUMLULUKLAR

MİXOFİS KVK Politikası' nın tüm MİXOFİS’ın işleyiş, faaliyet ve süreçlerinde uygulanmasından,

CEO'su sorumlu olmakla birlikte; MİXOFİS KVK Politikası'na uygun hazırlanan yönetmelik, prosedür,

kılavuz, standart ve eğitim faaliyetlerinin MİXOFİS bünyesinde uygulanmasında, MİXOFİS Mali ve İdari

İşler Direktörlüğü Hukuk İşleri Birimi tavsiye kaynağı ve rehber olacaktır. MİXOFİS genelindeki tüm

çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, MİXOFİS KVK Politikası'na

uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, MİXOFİS Mali ve İdari İşler

Direktörlüğü ve Pazarlama Direktörlüğü ekipleriyle iş birliği yapmakla yükümlüdürler. MİXOFİS'ın tüm

organ ve departmanları MİXOFİS KVK Politikası'na uyulmasını gözetmekle sorumludur.

5. POLİTİKA ESASLARI

5.1.MİXOFİS TARAFINDAN BENİMSENEN TEMEL İLKELER

MİXOFİS tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi

için aşağıda sıralanan temel ilkeler benimsenmelidir:

6

5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

MİXOFİS, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına

uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak

yürütmelidirler.

5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Avanas, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamalı, bu çerçevede alınması

gereken idari ve teknik tedbirleri almalı, gerekli süreçleri yürütmelidirler. Şirket bu kapsamda, kişisel

veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit

etmeye yönelik mekanizmalar kurmalıdır.

5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

MİXOFİS, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için

gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine

başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride

kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme

faaliyetidir) gerekmektedir. Bu çerçevede, MİXOFİS, veri sahiplerinin temel haklarını ve kendi meşru

menfaatlerini göz önünde bulundurmalıdırlar.

5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre

kadar muhafaza etme

MİXOFİS, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı

olarak muhafaza etmelidirler . Bu doğrultuda Şirket, Türk Ceza Kanunu'nun 138. maddesi ve KVK

Kanunu'nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmelidir. MİXOFİS bünyesine

dahil şirketler, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren

sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidirler.

İleride kullanılma ihtimaline dayanılarak kişisel veriler saklanmamalıdır.

5.2.KiŞiSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK

GERÇEKLEŞTİRİLMESİ

MİXOFİS kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK

Kanunu'nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik'te belirlenen

veri işleme şartlarına uygun hareket etmelidirler.

Şirket bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme

şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme

faaliyetini gerçekleştirmemelidirler.

Şirket, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları

kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli

denetim mekanizmalarını yürüt melidirler.

MİXOFİS bünyesine dahil şirketler, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası

başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile MİXOFİS KVK Politikası'nda

ortaya konulan kurallara uymalıdırlar.

7

5.3.KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK

GERÇEKLEŞTİRİLMESİ

MİXOFİS tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü

kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu'nun 8. ve 9.

maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.

5.4.KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

MİXOFİS, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı

olarak erişimesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için,

imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar.

Bu kapsamda şirket tarafından gerekli (i) idari ve (ii) teknik tedbirler alınmalı, (iii) şirket bünyesinde

denetim sistemi kurulmalı ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK

Kanunu'nda öngörülen tedbirler alınmalıdır .

5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı

Erişilmesini Önlemek için MİXOFİS’ın Alacağı İdari Tedbirler

• MİXOFİS, kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını eğitilmeli ve

bilinçlendirmelidir.

• Kişisel veri lerin aktarıma konu olduğu durumlarda, şirket kişisel verilerin aktarıldığı kişiler ile

akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik

yükümlülükleri yerine getireceğine ilişkin kayıtlar eklemelidir. Bu kapsamda, aktarılan tarafın

kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşlarında bu

tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmalıdır.

• MİXOFİS tarafından gerçekleştirilen süreçler detaylı olarak incelenmeli, süreç kapsamında

yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmelidir. Bu kapsamda,

yürütülen veri işleme faaliyetlerinin KVK Kanunu'nda öngörülen kişisel veri işleme şartlarına

uygunluğunun sağlanması için atılması gereken adımlar belirlenmelidir .

• MİXOFİS, şirket yapılarına göre KVK Kanunu' na uyumun sağlanması için yerine getirilmesi

gereken uygulamaları tespit etmeli, bu uygulamaları iç politikalar ile düzenlemelidir.

5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı

Erişilmesini Önlemek için MİXOFİS’ın Alacağı Teknik Tedbirler

• Kişisel verilerin korunmasına ili şkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler

alınmalı ve alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir .

• Teknik konularda, uzman personel istihdam edilmelidir.

• Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla deneti m yapılmalıdır.

• Güvenliği temin edecek yazılım ve sistemler kurulmalıdır.

• MİXOFİS tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı

doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.

5.4.3. MİXOFİS Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetleri Yürütmesi

MİXOFİS tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik

tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, polit ika, prosedür ve talimatlara uyumu,

işleyişi ve etkinliği MİXOFİS İç Denetim Birimleri tarafından denetlenmelidir. MİXOFİS İç Denetim

8

Birimleri söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış

kaynaklı denetim firmalarına da yaptırabilir.

Gerçekleştirilen denetim faaliyetlerinin sonuçları, ilgili MİXOFİS Denetim Birimi tarafından, şirket

yöneticilerine raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi

süreç sahiplerinin asli sorumluluğundadır. İlgili birim de bu rapor kapsamındaki aksiyonların takibini,

doğrulama testlerini ve denetimlerini yapmalıdır.

Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin

geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler MİXOFİS’ta ilgili icra birimlerince yürütülmelidir.

5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler

MİXOFİS, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde

edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu'na ve ilgili veri sahiplerine bildirmelidir.

Bu yükümlülüğün yerine getirilmesi için gereken iç yapı, Şirket bünyesinde kurgulanmalıdır.

5.5.KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER VE YAPTIRIMLAR

MİXOFİS, KVK Kanunu'nun veri sorumluları için öngördüğü yükümlülüklere uymalıdır. Bu kapsamda

şirketin uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

MİXOFİS, KVK Kanunu'nun 16. maddesine uygun olarak, KVK Kurulu tarafından ilan edilecek süre içinde

ve KVK Kurulu tarafından belirlenecek usule uygun olarak Veri Sorumluları Sicili'ne kaydolmalıdırlar.

Kayıt başvurusunda Veri Sorumluları Sicili'ne sunulması gereken bilgiler aşağıda yer almaktadır:

1. Veri sorumlusu statüsündeki MİXOFİS’ın ve varsa temsilcisinin kimlik bilgileri ve adresleri,

2. Kişisel verilerin işlenme amacı,

3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri hakkında bilgiler,

4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,

5. Yurt dışına aktarımı yapılabilecek kişisel veriler,

6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,

7. Kişisel verilerin işlenme amacının gerektirdiğ i azami işleme süresi.

KVK Kanunu'nun 18. maddesi gereğince; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı

hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü

MİXOFİS, KVK Kanunu'nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri

sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü

kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır :

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçla işleneceği,

3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5. Veri sahibinin hakları olan;

5.1. Kişisel verilerinin işlenip işlenmediğini öğrenme,

5.2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

9

5.3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını

öğrenme,

5.4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5.5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve

yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

5.6. Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve

yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

5.7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin

kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

5.8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın

giderilmesini talep etme.

KVK Kanunu'nun 18. maddesi gereğince; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında

5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

MİXOFİS, KVK Kanunu'nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve

veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;

1. Kişisel veriler in hukuka aykırı işlenmesini önlemek,

2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

3. Kişisel veriler in muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye

yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.

MİXOFİS ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli

denetimleri yapmak veya yaptırmakla yükümlüdür.

KVK Kanunu'nun 18. Maddesi gereğince; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler

hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

MİXOFİS; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette

bulunan ve KVK Kurumu'nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket

etmelidirler.

KVK Kanunu'nun 18. maddesi gereğince; KVK Kurulu tarafından verilen kararları yerine getirmeyenler

hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası ver ilir.

5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

MİXOFİS, veri sorumlusu sıfatıyla KVK Kanunu'nun 13. maddesi gereğince, veri sahiplerinin kişisel

verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde

sonuçlandırmalıdırlar.

KVK Kanunu'nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile

ilgili aşağıda yer alan konularda talepte bulunabilirler:

1. Kişisel verilerinin işlenip işlenmediğini öğrenme,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını

öğrenme,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

10

5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu

kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildiri lmesini isteme,

6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,

işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok

edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere

bildirilmesini isteme,

7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin

kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın

giderilmesini talep etme.

KVK Kanunu'nun 14. maddesi gereğince; veri sahibinin başvurusunun reddedilmesi, veri sahibine

iletilen cevabın yetersiz bulunması veya KVK Kanunu'nda belirtilen 30 günlük süre içinde başvuruya

cevap verilmemişse, başvuruda bulunan kişisel veri sahibinin 30 gün içinde KVK Kurulu'na şikayet hakkı

bulunmaktadır.

5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü

MİXOFİS, KVK Kanunu'nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir

biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka

uygun olarak yürütülmelidir.

KVK Kanunu'nun 18. Maddesi gereğince, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler

hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Türk Ceza Kanun'nun 136. maddesi gereğince, kişisel verileri, hukuka aykırı olarak bir başkasına veren,

yayan veya ele geçiren kişi, iki yıldan, dört yıla kadar hapis cezası ile cezalandırılır. Türk Ceza

Kanunu'nun 140. maddesi gereğince; tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine

hükmolunur.

5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü

MİXOFİS KVK Kanunu'nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme

sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hal getirilmesi veya yok edilmesine yönelik

gerekli iç sistemlerini kurmalıdırlar.

Türk Ceza Kanunu'nun 138. maddesi gereğince; kanunların belirlediği sürelerin geçmiş olmasına karşın

verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki

yıla kadar hapis cezası verilir . Türk Ceza Kanunu'nun 140. maddesi gereğince; tüzel kişiler hakkında

bunlara özgü güvenlik tedbirlerine hükmolunur.

6. POLİTİKA'YA VE KVK KANUNU'NA UYUM İÇİN MİXOFİS TARAFINDAN YERİNE GETİRİLECEK

TEMEL HUSUSLAR

MİXOFİS, KVK Kanunu'na ve yol gösterici nitelikte olan MİXOFİS KVK Politikası'na uyum için belirli

birtakım sistemleri kendi bünyelerinde kurgulamalıdırlar. Bu kapsamda Şirket arafından öncelikle

yerine getirilmesi gerekenler aşağıda yer almaktadır :

11

6.1.KVK KANUNU İLE ÖNGÖRÜLEN YÜRÜRLÜK SÜRELERİNE RİAYET ETMEK

7 Nisan 2016 7 Nisan 2016 tarihinden itibaren MİXOFİS

aşağıda yer alan düzenlemelere uygun

davranmalıdır:

(1) Kişisel verilerin işlenmesi ile ilgili temel

ilkeler

(2) Kişisel verilerin işlenme şartları

(3) Veri sahiplerinin aydınlatılması

(4) Veri güvenliğinin sağlanması.

7 Ekim 2016 7 Ekim 2016 t arihinden itibaren MİXOFİS

aşağıda yer alan düzenlemelere uygun

davranmalıdır :

(1) Kişisel veriler in aktarım ı şartları

(2) Veri Sahibi başvurularının sonuçlandırılması

(3) Veri Sorumluları Siciline kayıt ve bildirim.

7 Nisan 2017 7 Nisan 2017 tarih inden itibaren KVK

Kanunu'na ilişkin Yönetmelikler yürürlüğe

girecektir ve Şirket tarafından bu düzenlemelere

uygun hareket edilmelidir.

7 Nisan 2018 7 Nisan 2016 tarihinden önce işlenmiş kişisel

veriler 7 Nisan 2018 tarihine kadar Şirket tar

afından KVK Kanun'a uyumlu hale

getirilmelidir. Uyumlu hale getirilmemiş kişisel

veriler silinmeli veya anonim hale

getirilmelidir.

6.2.MİXOFİS KVK YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK POLİTİKASI'NDA AÇIKLANAN

YÜKÜMLÜLÜKLERİ YERİNE GETİRMEK

MİXOFİStarafından MİXOFİS KVK Politikası'nın 5.5. başlığı altında açıklanmış olan temel yükümlülüklere

uygun hareket edilmelidir.

6.3.KİŞİSEL VERİLERİ N KORUNMASI VE İŞLENMESİ POLİTİKASI İLE TEMEL POLİTİKALARI

OLUŞTURMAK

MİXOFİS kendi iç işleyişlerini ve KVK Kanunu'nda öngörülen düzenlemeleri dikkate alarak Kişisel

Verilerin Korunması ve İşlenmesi Politikası oluşturmalıdırlar.

MİXOFİS tarafından oluşturulacak olan bu politikanın dili sade ve veri sahipleri tarafından anlaşılabilir

olmalıdır.

6.4.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN ŞİRKET TARAFINDAN POLİTİKA,

TÜZÜK/İÇ TÜZÜK, YÖNETMELİK, PROSEDÜR VE KILAVUZLAR HAZIRLANMASI

12

Kişisel verilerin korunması hukukuna uyumun sağlanmasının temini amacıyla, MİXOFİS tarafından,

kamuya sunulmak veya şirket içinde kullanılmak üzere gerekli dokümanlar hazırlanmalıdır.

Bu kapsamda hazırlanacak olan dokümanlar, MİXOFİS tarafından uygulanan dokümantasyon modeline

uygun olarak düzenlenmelidir.

MİXOFİS tarafından kamuya sunulacak politikalarda gerçekleştirilecek değişiklikler, veri sahiplerinin

kolaylıkla erişim sağayabileceği biçimde sunulmalıdır.

6.5.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

MİXOFİS KVK Politikası ve ilişkili diğer politikaları yönetmek üzere, şirket bünyesinde Kişisel Verilerin

Korunması Birimi kurulmalı ya da kişisel verilerin korunmasından sorumlu bir kişi atanmalıdır. Bu

kapsamda ilgili birim veya kişi tarafından yürütülecek temel faaliyetler aşağıda sıralanmaktadır:

(1) Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi

ve dokümanların ilgili kişilerin onayına sunulması,

(2) Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve

gerekli denetimlerin yürütülmesinin sağlanması,

(3) MİXOFİS’ın yükümlülüklerini (MİXOFİS KVK Politikası Başık 5.5.) yerine getirip getirmediğinin

takibi,

(4) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.

Birimin oluşumu ve görev dağılımı Yönetim Kurulu tarafından belirlenir. Birim kurulması yerine kişisel

verilerin korunmasından ve işlenmesinden sorumlu bir kişi atanmasına karar verilmişse, bu kişinin

atanması sürecini de aynı şekilde Şirket üst yönetimi yürütür. Yukarıda belirtilen asgari görevlere ek

olarak, Şirket'in ihtiyaçları ve yürüttükleri faaliyetler göz önüne alınarak Birim ve atanacak sorumlu

kişiye birtakım ek görev ve sorumluluklar verilebilir.