Request Demo Arrow icon indicating the next step or action for demo request Sign in Sign in Micromarin Social Media

GİZLİLİK POLİTİKASI

BÖLÜM I: GİRİŞ VE KAPSAM

1.1. Politikanın Amacı, Kapsamı ve Hukuki Çerçeve

Bu Gizlilik Politikası (“Politika”), Micromarin Yazılım A.Ş. (“Micromarin” veya “Şirket”) tarafından denizcilik sektörüne yönelik sunulan tüm yazılım ürünlerini ve hizmetleri (“Platform”) aracılığıyla işlenen kişisel verilerin korunması ve gizliliği konusundaki taahhütleri tanımlamaktadır. Şirketin birincil hedefi, veri sorumlusu sıfatıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuata tam uyum sağlamaktır. Bu uyum çerçevesi, aynı zamanda, Micromarin’in küresel müşterilerine hitap edebilmesi amacıyla Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gibi uluslararası standartların şeffaflık, amaç sınırlaması, ölçülülük ve hesap verebilirlik gibi temel ilkelerini de içermektedir.

Politikanın kapsamına giren ilgili kişiler, Platform hizmetlerini kullanan tüm gerçek kişilerdir; bunlar arasında müşteri personeli, denizciler (mürettebat), iş başvuru sahipleri, tedarikçiler ve Platform kullanıcıları yer almaktadır. Bu politika, yalnızca AB vatandaşlarının değil, AB sınırları dışındaki kişilerin verilerinin korunması gerekliliklerini de ele alarak küresel bir veri gizliliği standardı oluşturmayı hedeflemektedir.

1.2. Hizmet Olarak Yazılım (SaaS) Mimarisi ve Micromarin’in Hukuki Rollerinin Ayrımı

Hizmet Olarak Yazılım (SaaS) sağlayıcısı olarak Micromarin, kişisel verilerin işlenmesi sürecinde iki temel ve farklı hukuki rol üstlenmektedir: Veri Sorumlusu (Controller) ve Veri İşleyen (Processor). Bu ayrım, özellikle denizcilik şirketlerinin karmaşık iş süreçlerinin yönetildiği ERP platformlarında, hukuki sorumluluk matrisinin netleştirilmesi açısından hayati öneme sahiptir.

Micromarin'in Veri Sorumlusu/Kontrolör rolü, şirketin verilerin işlenme amaçlarını ve vasıtalarını tek başına veya başkalarıyla birlikte belirlediği durumları kapsar. Bu roller genellikle Platformun kendi operasyonel güvenliğini, performansını ve pazarlamasını sağlamaya yöneliktir. Örnek olarak, IP adresleri, oturum kayıtları, cihaz bilgileri, işlem güvenliği bilgileri ve doğrudan Micromarin ile kurulan destek süreçlerine ait çağrı merkezi kayıtları gibi verilerin işlenmesi bu kapsamdadır. Ayrıca, zorunlu olmayan analitik çerezler ile reklam/hedefleme çerezleri aracılığıyla toplanan veriler de bu rol altında, ilgili kişilerin rızasına bağlı olarak işlenir.

Micromarin'in ağırlıklı rolü ise Veri İşleyen sıfatıdır. Bu rol, Micromarin’in, müşterisi olan denizcilik şirketlerinin (bu durumda asıl Veri Sorumlusu olan) yazılı talimatları doğrultusunda ve onlar adına veri işlediği tüm durumları içerir. ERP modülleri içinde tutulan ve müşterinin temel iş süreçlerini (bordro, mürettebat yönetimi, seyahat planlaması, sertifika takibi) ilgilendiren tüm personel verileri bu kategoriye girer. Bu verilerin işlenme amaçları ve hukuki dayanakları tamamen Müşteri (Veri Sorumlusu) tarafından belirlenmektedir. Micromarin bu veriler üzerinde sadece teknik yönetim ve saklama faaliyetlerini gerçekleştirir.

Bu ayrımın önemi, sorumlulukların dağıtılmasında yatmaktadır. GDPR Madde 82 uyarınca, birden fazla veri sorumlusu veya veri işleyenin aynı hukuka aykırı işleme faaliyetine dahil olması durumunda, her bir taraf zararın tamamından müteselsil sorumlu tutulabilir. Bu nedenle, Micromarin salt bir İşleyen rolünde kaldığı sürece, müşterinin sisteme yüklediği özel nitelikli verilerin (örneğin denizcilerin sağlık verileri) işlenme amaçlarının ve hukuki dayanaklarının yeterliliğinden Müşteri Veri Sorumlusu sorumludur. Micromarin ise bu verilerin güvenliğini ve erişilebilirliğini sağlama konusunda mutlak teknik sorumluluğu üstlenir.

Veri Kategorisi Micromarin’in Hukuki Rolü Sorumluluğun Temel Kapsamı Verinin Kaynağı
Müşteri/Mürettebat Verileri (Bordro, Sertifikalar, Sağlık) Veri İşleyen (Processor) İşleme amaç ve araçları Müşteri tarafından belirlenir. Müşteriler (Gemi İşletmecileri)
Platform Kullanıcı/Üyelik Bilgileri (Login, IP, Oturum, Çerezler) Veri Sorumlusu (Controller) İşleme amaç ve araçları Micromarin tarafından belirlenir (Güvenlik, Performans, Pazarlama). Doğrudan İlgili Kişi

BÖLÜM II: TOPLANAN VERİLER

2.1. Sizin Sağladığınız Veriler

Hesap ve Profil Bilgileri: Bir hesap oluşturmak için adınızı-soyadınızı, e‑posta adresinizi, doğum tarihinizi ve bir şifre sağlamanız gerekmektedir. Profilinizde hangi bilgilerin görüneceğini siz belirleyebilirsiniz; örneğin temel kimlik bilgileri, adres ve iletişim bilgileri, eğitim geçmişi, iş deneyimleri, yetkinlikler, profil fotoğrafı, ikamet ettiğiniz şehir veya bölge, fiziksel özellikler. Bu alanları doldurmak zorunlu değildir, ancak eksiksiz bir profil işverenlerin sizi ve uygun iş fırsatlarını daha kolay bulmasını sağlar. Hassas nitelikteki bilgileri paylaşma ve bunların herkese açık olup olmaması tamamen sizin kontrolünüzdedir. Gizli kalmasını istediğiniz kişisel verileri profilinize eklememeniz veya paylaşmamanız tavsiye edilir. Eksiksiz bir profil oluşturmanız, platformumuzun sunduğu imkanlardan en etkili şekilde faydalanmanızı sağlar.

Ürünlerimiz Aracılığıyla Sağladığınız İçerik: Platformda içerik paylaşımı yaptığınızda, bir özgeçmiş yüklediğinizde veya platform üzerinden bir iş başvurusu yaptığınızda bize verdiğiniz, paylaştığınız veya yüklediğiniz kişisel verileri toplarız.

Kişisel verilerinizi yayımlamak veya yüklemek tamamen sizin tercihinizdir; bunu yapmayı seçmezseniz, platform üzerinden bağlantı kurma ve etkileşim imkanlarınız sınırlı olabilir.

2.2. Otomatik Topladığımız Veriler

Platforma erişmek için kullandığınız bilgisayar, telefon, tablet veya diğer cihazlara ilişkin bilgilerinizi toplarız. Bu bilgiler, hizmetlere eriştiğiniz veya kullandığınız sırada bağlantı türünüz ve cihaz ayarlarını içerir. Ayrıca işletim sistemi, tarayıcı türü, IP adresi, cihaz tanımlayıcıları verilerini de kaydederiz. Hizmet deneyiminizi iyileştirmek amacıyla IP adresi veya ülke tercihine göre yaklaşık konum belirleyebiliriz. Topladığımız veri miktarı, kullandığınız cihazın türüne ve cihaz ayarlarınıza bağlı olarak değişir.

2.3. Çerezler ve Diğer Teknolojiler

Micromarin’in Platformları, kullanıcı deneyimini iyileştirmek ve operasyonel güvenliği sağlamak amacıyla çerezleri ve benzeri takip teknolojilerini kullanır. Bu Politika, şeffaflığı ve kullanıcının seçim hakkını öncelikli tutan uluslararası rıza standartlarını benimser.

  • Kesinlikle Gerekli (Zorunlu) Çerezler: Oturumun sürdürülmesi, sahteciliğin önlenmesi, güvenlik ve yük dengeleme gibi temel işlevleri yerine getirmek için kullanılır. Bu çerezler için açık rıza aranmayabilir ve hukuki dayanakları genellikle sözleşmenin ifası (KVKK m.5/2-c) veya meşru menfaattir (KVKK m.5/2-f).
  • İşlevsellik, Performans/Analitik ve Reklam/Hedefleme Çerezleri: Bu çerezler (dil seçimi, ziyaretçi istatistikleri, kişiselleştirilmiş kampanyalar) zorunlu nitelikte olmadıkları için daima ilgili kişinin açık rızasına tabidir. Micromarin, bu çerezlerin açık rıza alınmadan çalıştırılmayacağını taahhüt eder.

Micromarin, ziyaret anında kullanıcıya görünür bir çerez yönetim paneli sunar. Bu panelde “Kabul Et”, “Reddet” ve “Tercihler” seçenekleri, kullanıcının iradesini serbestçe belirleyebilmesi için dengeli biçimde yer alır. Rıza, zorunlu olmayan çerezler için önceden seçili değildir ve rızayı geri çekme süreci, rıza verme kadar kolaydır. Ayrıca, kullanıcının hizmeti kullanmasını gereksiz yere çerez kabulüne bağlayan "Çerez Duvarı" uygulaması yapılmamaktadır.

2.4. Özel Nitelikli Veri Grupları ve İşleme Amaçları

Denizcilik sektörü, uluslararası gemi operasyonlarının ve mürettebat güvenliğinin kendine has gereklilikleri nedeniyle, Kişisel Verilerin Korunması Kanunu (KVKK) Madde 6’da belirtilen Özel Nitelikli Kişisel Verileri (ÖNKV) yoğun olarak işlemektedir. Micromarin’in ERP sistemi, müşterileri adına bu hassas verileri yönetmekte ve uluslararası düzenlemelere uyumu desteklemektedir.

Micromarin’in Platform’da işlediği Özel Nitelikli Veri grupları şunlardır:

  • Sağlık ve Özel Nitelikli Kişisel Veriler: Gemiye çıkış sağlık uygunluğu, sağlık vize tarihleri, kan grubu, aşı bilgileri, engellilik durumu, ilaç/madde (uyuşturucu) testi sonuçları ve psikometrik test sonuçları. Bu veriler, İş Sağlığı ve Güvenliği (İSG) gerekliliklerini karşılamak ve gemi personelinin uluslararası seferlerde çalışabilirliğini doğrulamak için kritik öneme sahiptir.
  • Hukuk ve Askerlik Durumu: Adli kayıtlar ve askerlik durumu bilgileri. Bu veriler, uluslararası şirketlerde güvenlik ve uyumluluk gerekliliklerini yerine getirmek, özellikle ISPS Code (Uluslararası Gemi ve Liman Tesisi Güvenliği Kodu) kapsamındaki zorunlu güvenlik araştırmaları için işlenmektedir.
  • Mesleki Bilgiler ve Yeterlilikler: STCW (Denizci Eğitim, Belgelendirme ve Vardiya Tutma Standartları) ve diğer uluslararası denizcilik sertifikalarının doğrulanması.

Ek olarak, Micromarin, gemi personeli için üniforma temini ve sağlık/güvenlik gereklilikleri kapsamında fiziksel özellikler ve görünüm (boy, kilo, üniforma bedeni, saç rengi, göz rengi) ile alışkanlıklar (sigara kullanımı, dövme, yara izi) gibi görünüme dayalı kişisel verileri de işlemektedir.

2.5. Özel Nitelikli Verilerin Hukuki Dayanakları ve Ölçülülük Prensibi

Özel nitelikli kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlı olsa da (KVKK m.6/2), denizcilik ve iş sağlığı alanındaki katı ulusal ve uluslararası zorunluluklar nedeniyle kanuni istisnalar uygulanmaktadır.

Sağlık Verileri İşleme İstisnası: KVKK Madde 6/3 uyarınca, sağlık verileri, kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan yetkili kişiler (işyeri hekimi veya işyeri sağlık personeli) tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Micromarin, Veri İşleyen olarak, bu verilerin ERP sisteminde bu yasal dayanağa uygun olarak (İSG kayıtlarının tutulması) saklanmasını müşterileri adına sağlamaktadır.

Sektörel Zorunluluk ve Ölçülülük:Mesleki yeterlilikler ve bazı kimlik verileri, KVKK m.5/2-c (sözleşmenin kurulması/ifası) ve m.5/2-a (kanunda açıkça öngörülme) kapsamında, mürettebatın uluslararası seferlerde çalışabilirliğini ve denizcilik iş sözleşmelerinin gerektirdiği zorunlulukları yerine getirmek amacıyla işlenir.

Görünüşe dayalı verilerin toplanması, ölçülülük ilkesi kapsamında detaylı değerlendirmeyi gerektirir. Micromarin, boy, kilo, üniforma bedeni gibi fiziksel özellikleri ve hatta dövme veya yara izi gibi verileri dahi toplamaktadır. Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma genel ilkesine (KVKK m.4) uyumun kanıtlanabilmesi için [8], bu tür detayların sadece gemi güvenliği, üniforma ve koruyucu ekipman temini veya belirli pozisyonlar için sağlık ve güvenlik risk değerlendirmesi gibi mutlak zorunlu ve sınırlı operasyonel amaçlarla kullanıldığı garanti edilmelidir. Bu yaklaşım, denizcilik sektöründeki karmaşık yapılarda veri risklerini yönetmek için bütüncül bir uyum sürecinin zorunlu olduğunu göstermektedir.

BÖLÜM III: VERİ GÜVENLİĞİ VE ALTYAPI TAAHHÜTLERİ

Micromarin, denizcilik operasyonlarının kritik ve hassas doğası gereği, SaaS platformunun altyapısında en yüksek düzeyde teknik ve idari güvenlik taahhüdü sunmaktadır. Bu taahhütler, müşterilerin hassas verilerini çok kiracılı bulut ortamlarında korumak için tasarlanmıştır.

3.1. Teknik ve Yönetimsel Güvenlik Kontrolleri

Şirket, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini (Bilgi Güvenliği Yönetim Sistemi'nin temel hedefleri) sağlamak amacıyla ulusal ve uluslararası standartlara uygun bir dizi teknik ve idari tedbiri uygulamaktadır.

Bu tedbirler kapsamında, düzenli aralıklarla ulusal ve uluslararası standartlara uygun olarak sızma testleri (Penetration Tests) yaptırılarak sistem açıkları proaktif olarak kontrol edilmektedir. Veri işleme süreçlerine yönelik risk analizleri periyodik olarak gerçekleştirilmekte, tespit edilen risklerin azaltılması için önleyici ve düzeltici aksiyonlar alınmaktadır. Veri iletim güvenliği için, web sitesi, mobil uygulama ve diğer dijital platformlar üzerinden iletilen kişisel veriler, yetkisiz erişimi engellemek amacıyla SSL (Secure Sockets Layer) teknolojisi ile şifrelenmektedir. Ayrıca, veri tabanı katmanında bulunan hassas verilerin korunması için kolonlara erişimin engellenmesi veya verilerin şifrelenmesi gibi üst seviye veri maskeleme yaklaşımları tercih edilmektedir. Yetkisiz erişimi engellemek amacıyla ise sıkı erişim kontrol sistemleri ve yetkilendirme mekanizmaları uygulanmaktadır.

Erişim kontrolü alanında, müşteri verilerini barındıran üretim ortamlarına yalnızca Micromarin'in kalıcı personeli erişebilir ve bu erişim, düzenli iş sorumlulukları gerektiren yetkili personel ile sınırlıdır. Altyapıya erişim, yetkili personelle sınırlı tutulmakta ve en üst düzey erişim kontrol taahhüdü olarak, iki faktörlü (2FA) kimlik doğrulaması gereklidir. Bu sıkı prosedürler, Micromarin’in veri güvenliği konusunda azami hassasiyet gösterdiğinin ve siber risklere karşı güçlü bir duruş sergilediğinin göstergesidir.

BÖLÜM IV: VERİ SAHİBİ HAKLARI VE KÜRESEL BAŞVURU YÖNETİMİ

4.1. İlgili Kişinin Kapsamlı Hakları

Micromarin, KVKK Madde 11'de belirtilen temel hakların tamamını ilgili kişilere tanımakta ve küresel müşterilerin beklentilerini karşılamak amacıyla GDPR'ın getirdiği gelişmiş hakları da bu politika kapsamına entegre etmektedir.

İlgili kişilerin temel hakları: Kişisel verilerinin işlenip işlenmediğini öğrenme, işleme amaçlarını ve bunların amaca uygun kullanılıp kullanılmadığını bilme, aktarım yapılan üçüncü kişileri öğrenme, eksik veya yanlış işlenen verilerin düzeltilmesini isteme, kanuna aykırı işlem sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Bu temel haklara ek olarak, küresel veri gizliliği standartlarının gerektirdiği aşağıdaki haklar da tanınmaktadır:

  • Unutulma Hakkı (Right to Erasure): Verilerin işlenmesini gerektiren amaç ortadan kalktığında veya ilgili kişi rızasını geri çektiğinde, yasal istisnalar saklı kalmak kaydıyla verilerin derhal silinmesini talep etme hakkı.
  • Veri Taşınabilirliği Hakkı (Right to Data Portability): İlgili kişinin, veri sorumlusuna sağladığı kişisel verilerin, yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta alma hakkı. Bu hak, özellikle SaaS platformlarında kullanıcıya ait verilerin başka bir sisteme kolayca taşınabilmesini sağlamaktadır.
  • İşlenmeye İtiraz Hakkı: Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı.

4.2. Başvuru Yöntemleri ve Usul Esasları

İlgili kişiler, KVKK'nın 13. Maddesi ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca haklarını kullanmak için Şirketimize başvuruda bulunabilirler. Başvurunun geçerli sayılması ve kimlik doğrulamasının sağlanması için aşağıdaki yöntemler ve bilgiler zorunludur:

Başvuru Yöntemi Adres ve Usul
Fiziki (Yazılı) Başvuru Islak imzalı Başvuru Formu, kapalı zarf içerisinde, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Gereği Bilgi Talebi” notu ile Micromarin Yazılım A.Ş. adresine (İçerenköy Mah. Çayır Cad. Bay Plaza No: 5 İç Kapı No: 7 Ataşehir/İstanbul) şahsen elden tutanak ile veya noter aracılığıyla tebligat çekilerek teslim edilebilir.
Elektronik Başvuru (KEP) 5070 Sayılı Elektronik İmza Kanunu'nda tanımlı olan Güvenli Elektronik İmza kullanılarak şirketin Kayıtlı Elektronik Posta (KEP) adresine (micromarin@hs01.kep.tr) konu kısmına "Kişisel Verilerin Korunması Kanunu Gereği Bilgi Talebi" notu eklenerek gönderilebilir.
Elektronik Başvuru (E-posta) Başvuru sahibinin, Şirket sisteminde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle başvuru yapılabilir.

Başvuru içeriğinde zorunlu olarak başvuru sahibinin adı, soyadı, T.C. Kimlik Numarası (veya yabancılar için pasaport/kimlik numarası), tebligata esas yerleşim yeri/iş yeri adresi, bildirime esas elektronik posta/telefon numarası ve talep konusu yer almalıdır.

BÖLÜM V: VERİ SAKLAMA, İMHA VE ANONİMİZASYON

5.1. Saklama Süreleri ve Sektörel Yükümlülükler

Kişisel veriler, yasal mevzuatlarda belirtilen saklama süreleri boyunca veya ilgili işleme amaçlarının gerektirdiği süre boyunca muhafaza edilir ve bu sürelerin sonunda silinir, yok edilir ya da anonim hale getirilir. Özellikle denizcilik sektörü ve personel yönetimi, Türk Ticaret Kanunu (TTK), Sosyal Güvenlik Kurumu (SGK) ve İş Sağlığı ve Güvenliği (İSG) mevzuatı nedeniyle uzun süreli yasal saklama yükümlülükleri gerektirmektedir.

Micromarin, müşterileri adına sakladığı verilere ilişkin minimum yasal saklama sürelerini aşağıdaki tabloda belirtilen mevzuatlara göre uygular.

5.2. Silme, Yok Etme ve Gelişmiş Anonimleştirme Yöntemleri

Saklama süresi dolan veya işlenme amacı ortadan kalkan kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik hükümlerine uygun olarak periyodik imha süreçlerine tabi tutulur. İmha süreçleri, verilerin niteliğine göre silme (tekrar kullanılamaz hale getirme), yok etme (fiziksel imha) veya anonimleştirme yöntemleri kullanılarak gerçekleştirilir.

Micromarin, özellikle büyük veri analizi ve sektörel raporlama ihtiyaçları için kişisel verilerin anonimleştirilmesine büyük önem vermektedir. Anonimleştirme süreci, verilerin maskeleme, genelleştirme, kayıt silme veya veri değiş tokuşu gibi gelişmiş teknikler kullanılarak kimliği belirlenemez hale getirilmesini içerir. Bu maskeleme yaklaşımları, keşif, sınıflandırma, maskeleme ve verinin yönetiminden oluşan dört aşamalı bir metodoloji ile uygulanır ve veri kaybı sorunlarını ortadan kaldırmayı amaçlar. Bu sayede, iş ortaklarıyla paylaşılan veriler, KVKK gerekliliklerine uygun olarak anonim biçimde tutulabilir.

BÖLÜM VI: POLİTİKA GÜNCELLEMELERİ

6.1. Gizlilik Politikasında Yapılacak Değişiklikler

Gizlilik politikamız dinamik bir süreçtir;

  • Değişen yasal gereklilikler, teknolojik gelişmeler ve güncel sektörel uygulamalara göre yılda en az bir kere ve platformda önemli değişiklikler gündeme geldiğinde güncellenir.
  • Her güncelleme, web sitesi/uygulama platformunda açıkça duyurulur, gerektiğinde kullanıcıya ayrıca bildirim gönderilir.
  • Şirket içinde düzenli denetimler yapılarak, süreçlerin güncel politika ve yasalara uyumu izlenir.
  • Değişiklikler, yeni saklama süreleri, yeni veri kategorileri veya işleme amaçlarını içeriyorsa süresi içinde duyurulur.

6.2. Politika ile Aydınlatma Metni ve Çift Referans Kullanımı

Gizlilik politikası dokümanımız, Kişisel Verilerin Korunmasına ve İşlenmesine İlişkin Aydınlatma Metni ile uyumlu olup, kullanıcıya veri işleme süreçlerinde tam şeffaflık sağlar. Politika ve aydınlatma metni arasında herhangi bir çelişki olması halinde, güncel olan ve daha sıkı koruma sağlayan belge esas alınır.