Kişisel Verilerin Korunması ve İşlenmesi Politikası

Mevzuat Referansı: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Yürürlük Tarihi: [YURURLUK_TARIHI]
Son Güncelleme: [SON_GUNCELLEME_TARIHI]

Bu politika, Mundi Portföy Yönetim A.Ş. ("Şirket") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat uyarınca, kişisel verilerin işlenmesine ilişkin ilke ve kuralları belirlemek amacıyla hazırlanmıştır.

1. Politikanın Amacı ve Kapsamı

1.1 Amaç

Bu politikanın amacı, Şirket tarafından yürütülen faaliyetler kapsamında elde edilen kişisel verilerin işlenmesi, korunması ve saklanmasına ilişkin ilkeleri ve kuralları belirlemektir.

1.2 Kapsam

Bu politika, Şirket tarafından işlenen tüm kişisel verileri ve ilgili süreçleri kapsamaktadır:

  • Müşterilere ait kişisel veriler
  • Çalışanlara ve çalışan adaylarına ait kişisel veriler
  • İş ortaklarına ait kişisel veriler
  • Ziyaretçilere ait kişisel veriler
  • Diğer ilgili kişilere ait kişisel veriler

2. Tanımlar

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (Şirket).

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

3. Kişisel Veri İşleme İlkeleri

Şirket, kişisel verilerin işlenmesinde aşağıdaki ilkelere uyar:

1

Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel veriler, hukuka ve dürüstlük kurallarına uygun olarak işlenir.

2

Doğru ve Güncel Tutma

Kişisel veriler doğru ve gerektiğinde güncel tutulur.

3

Belirli, Açık ve Meşru Amaçlar

Kişisel veriler belirli, açık ve meşru amaçlar için işlenir.

4

Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenir.

5

İlgili Mevzuatta Öngörülen Süre Kadar Saklama

Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.

4. Kişisel Veri İşleme Şartları

4.1 Genel İşleme Şartları

Kişisel veriler, KVKK'nın 5. maddesinde belirtilen aşağıdaki şartlardan en az birinin varlığı halinde işlenebilir:

  • İlgili kişinin açık rızasının bulunması
  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

4.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler, KVKK'nın 6. maddesinde belirtilen şartlara uygun olarak ve yeterli önlemler alınarak işlenir:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir

5. Kişisel Verilerin Aktarılması

5.1 Yurt İçinde Aktarım

Kişisel veriler, KVKK'nın 8. ve 9. maddelerinde belirtilen şartlara uygun olarak yurt içinde üçüncü kişilere aktarılabilir.

5.2 Yurt Dışına Aktarım

Kişisel veriler, aşağıdaki şartların varlığı halinde yurt dışına aktarılabilir:

  • İlgili kişinin açık rızası bulunması
  • KVKK'nın 5. ve 6. maddelerinde belirtilen şartlardan birinin mevcut olması ve:
    • Kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması, veya
    • Yeterli korumanın bulunmaması durumunda, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması

6. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda:

  • Şirketin talebi üzerine veya re'sen silinir, yok edilir veya anonim hale getirilir
  • İlgili kişinin talebi halinde, 30 gün içinde gerekli işlem yapılır
  • Yapılan işlem, kişisel verilerin aktarıldığı üçüncü kişilere bildirilir
  • Silme, yok etme ve anonim hale getirme işlemleri, Kurul tarafından belirlenen usul ve esaslara uygun olarak gerçekleştirilir

7. Veri Güvenliği Önlemleri

Şirket, kişisel verilerin güvenliğini sağlamak için aşağıdaki önlemleri alır:

7.1 Teknik Önlemler

  • Güvenlik duvarı (firewall) kullanımı
  • Antivirüs ve anti-malware yazılımları
  • Veri şifreleme teknolojileri
  • Güvenli veri aktarım protokolleri (SSL/TLS)
  • Düzenli yedekleme sistemleri
  • Erişim loglarının tutulması ve izlenmesi
  • Penetrasyon testleri

7.2 İdari Önlemler

  • Kişisel veri işleme envanterinin tutulması
  • Erişim yetkilendirme sistemlerinin kurulması
  • Personel eğitimleri
  • Gizlilik taahhütnameleri
  • Düzenli denetimler ve uygunluk kontrolleri
  • Veri ihlali yönetim süreçleri
  • Veri koruma politika ve prosedürlerinin oluşturulması

8. İlgili Kişi Hakları ve Başvuru Prosedürü

8.1 İlgili Kişi Hakları

İlgili kişiler, KVKK'nın 11. maddesinde sayılan haklara sahiptir. Detaylı bilgi için KVKK Aydınlatma Metnimizi inceleyebilirsiniz.

8.2 Başvuru Prosedürü

İlgili kişiler, haklarını kullanmak için KVKK Başvuru Formu üzerinden başvuru yapabilirler. Başvurular en geç 30 gün içinde yanıtlanır.

9. Veri İhlali Yönetimi

Kişisel veri ihlali durumunda:

  • İhlal derhal tespit edilir ve kayıt altına alınır
  • İhlalın niteliği ve etkileri değerlendirilir
  • Gerekli tedbirler alınır
  • İlgili kişiler ve Kurul bilgilendirilir
  • İhlal raporu hazırlanır ve arşivlenir

10. Politikanın Yürürlüğü ve Güncellenmesi

Bu politika, yayın tarihinde yürürlüğe girer ve gerektiğinde güncellenir. Güncellemeler internet sitesinde yayınlanır.

Yürürlük Tarihi: [YURURLUK_TARIHI]

Son Güncelleme: [SON_GUNCELLEME_TARIHI]

11. İletişim

Bu politika ile ilgili sorularınız için:

Mundi Portföy Yönetim A.Ş.

KVKK İletişim: kvkk@mundiportfoy.com

Telefon: [TELEFON]

Adres: [MERKEZ_ADRES]

Önemli Duyuru

Mundi Portföy Yönetimi A.Ş., 19 Kasım 2025 tarihli, E-12233903-350.01-81387 sayılı SPK yazısı ile kuruluş izni almıştır. Faaliyet izni başvuru süreci devam etmektedir.