KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1-KVKK
1.1. POLİTİKANIN AMACI
Tuğba Börek (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesine ve korunmasına önem vermekteyiz. İşbu Tuğba Börek Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin Kanun’da yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır. Bu çerçevede Politika, Şirket tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Şirket’in işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.
1.2. KAPSAM
Bu Politika; Şirketimiz tarafından, kişisel veri sahiplerinin, tüm kişisel verilerinin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgi, işbu Politika’nın EK 1’inde yer alan “Kişisel Veri Sahipleri” listesinde belirtilmektedir.
1.3. POLİTİKA’NIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat hükümleri ile Politika hükümleri arasında uyumsuzluk veya çelişki bulunması durumunda, Şirketimiz yürürlükteki mevzuat hükümlerinin uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
1.4. POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen bu Politika [01.01.2020] tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. İşbu Politika, Şirketimizin internet sitesinde (https://tugbaborek.com.tr) yayımlanır ve Kişisel Veri Sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar.
2-KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik gerekli her türlü (i) idari ve (ii) teknik tedbirleri almakta, (iii) şirket bünyesinde denetimler yapmakta veya yaptırmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket etmektedir.
(i) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan İdari Tedbirler
Şirketimiz, kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.
Kişisel verilerin aktarıma konu olduğu durumlarda, Şirketimiz tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenir, bu kapsamda, Kanun’da öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
Şirketimiz, Kanun’a uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit eder, bu uygulamaları iç politikalar ile düzenler.
(ii) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Şirketimiz Tarafından Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.
Teknik konularda, uzman personel istihdam edilir.
Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
Güvenliği temin edecek yazılım ve sistemler kurulur.
Şirketimiz bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
(iii) Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütmesi
Şirketimiz tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği, Şirketimizin iç denetim birimleri tarafından denetlenir. Şirketimiz, söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilir. Gerçekleştirilen denetim faaliyetlerinin sonuçları raporlanır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır.
(iv) Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum Kurul’a ve ilgili veri sahiplerine bildirim yapılır.
2.2. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirketimizin tüm organ ve departmanları, işbu Politika’ya uyulmasını gözetmekle sorumludur. Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirketimiz mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır.
3- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Şirketimiz tarafından kişisel veriler, Kanun’da ve bu Politika’da öngörülen usul ve esaslara uygun olarak işlenir. Şirketimiz, kişisel verileri işlerken aşağıdaki ilkelerle hareket eder:
(i) Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz, kişisel verilerinizin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve veri sahiplerinin makul beklentilerini dikkate almaya önem verir.
(ii) Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve Kişisel Veri Sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
(iii) Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
(iv) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz veri işleme faaliyetini, toplama amacını gerçekleştirmek için gerekli olan kişisel verilerle sınırlandırılmakta ve kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
(v) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
3.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından Kişisel Veri Sahiplerinin kişisel verileri, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:
(i) Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel Veri Sahibi’nin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, Şirketimiz tarafından kişisel veri işleme faaliyeti yürütülür. Kişisel Veri Sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
(ii) Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Bu durumda Şirket, ilgili hukuki düzenleme çerçevesinde kişisel verileri işleyecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan veri sahibine ait kişisel veriler, veri sahibinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde Şirketimiz tarafından işlenebilecektir.
(iv) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibi ile Şirketimiz arasında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde kişisel veri işleme faaliyeti gerçekleştirilecektir.
(v) Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
(vi) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini herhangi bir şekilde alenileştirmiş olması halinde, ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
(vii) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
(viii) Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Şirketimiz ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla, Kişisel Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesine Genel Yaklaşım
Hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle Kanun kapsamında özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Şirketimiz, Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen idari ve teknik tedbirlerin alınması konusunda gerekli işlemleri yürütmektedir.
3.3.2 Çalışanların Sağlık Verilerinin İşlenmesine İlişkin Genel Yaklaşım
Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması
Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza, sağlık ve hastalık raporları olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanın işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara ilişkin bilgiler kullanılırken çalışanın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.
Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
Şirketimiz, çalışanlara yapılacak sağlık test ve muayenelerinde, sadece gerçekten gereken bilgilerin toplandığından emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterir.
Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi
Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirecek Şirket çalışanlarının ilgili mevzuat ve oluşturulan politikalar hakkında bilgi sahibi olması sağlanır. Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir. Şirketimiz, çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.
Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim
Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınarak ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür.
Muayene ve Testlerden Elde Edilen Sağlık Verilerinin İşlenmesi
Sağlık Verilerinin İşlenmesine İlişkin Şirket Politikasının Çalışanlara Bildirilmesi
Şirketimiz, çalışanların sağlık verilerinin işlenmesine ilişkin izlenen politikaların şeffaf olmasına özen gösterir. Şirketimiz; sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen verilerin nasıl kullanılacağı ve korunacağına ilişkin şartları belirler. Bu şartlar hakkında çalışanları bilgilendirmeye özen gösterir.
İşe Alınması Muhtemel Olan Adayların Muayene ve Testler Aracılığıyla Sağlık Verilerinin İşlenmesi
Şirketimiz, işe alınması muhtemel olan adayların söz konusu işe uygun olup olmadığına karar vermek için ilgili adaya testler yapılmasını talep edebilir. Bu testleri aynı zamanda herhangi bir kanuni yükümlülüğünü yerine getirmek için veya muhtemel çalışanın tabi olacağı sigorta türünü belirlemek için de yapabilir. Şirketimiz, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler. Şirketimiz, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler. İşe alım sürecinde tıbbi muayene veya sağlık testi sadece kişinin gerçekten işe alınma ihtimali yüksek ise yapılır. Şirketimiz, iş başvurusu sürecinin ilk zamanlarında, işe alınma ihtimalinin yüksek olması halinde sağlık muayenesi veya testi yapılabileceğine dair adayı bilgilendirir.
Çalışanların Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması
Şirketimiz, iş sağlığı ve güvenliği programı kapsamında tıbbi muayene ve testler aracılığıyla çalışanlara ait sağlık verilerini toplayabilir. Yasal mevzuata göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, çalışanın kendi seçimine bırakılır. Şirketimiz, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.
Muayeneden Elde Edilen Numunelerin Belirtilen İşleme Amacı Dışında Kullanılmaması
Şirketimiz, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda çalışanları açıkça bilgilendirir. Şirketimiz hiçbir şekilde çalışandan gizli bir şekilde ona ait biyometrik/genetik numunelerini (parmak izi, saç teli vs.) toplayamaz. Kanuni sebeplere dayalı olarak gerçekleştirilen faaliyetler istisna oluşturur.
3.4. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) yurtiçinde [veya yurtdışına] aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. ve 9. maddelerinde öngörülen düzenlemelere ve Kurul tarafından belirlenmiş olan ilave düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgi, işbu Politika’nın EK 2’sinde yer alan “Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” belgesinde belirtilmektedir.
3.4.1. Kişisel Verilerin Aktarılması
Şirketimiz, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kurul tarafından belirlenmiş olan ilave düzenlemelere uygun olarak; kişisel verilerin aktarılması şartlarının bulunması durumunda kişisel verileri yurtiçinde veya yurtdışına aktarabilmektedir.
Kişisel verilerin yurtiçinde üçüncü kişilere aktarımı:Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politika’nın 3.2 başlığı altında açıklanmış olan veri işleme şartlarından bir ya da birkaçının mevcut olması halinde, Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
Kişisel verilerin yurtdışında üçüncü kişilere aktarımı:Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politika’nın 3.2 başlığı altında açıklanmış olan veri işleme şartlarından bir ya da birkaçının mevcut olması halinde, aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması ile, Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler yurtdışına aktarılabilecektir.
3.4.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilecek güvenli ülkelerden olmaması halinde, Şirket ve ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi üzerine, Kurul’un bu işleme izin vermesi ile özel nitelikli kişisel veriler yurtdışında üçüncü taraflara aktarılabilmektedir.
4-ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
Şirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorileri ve kategoriler hakkında detaylı bilgiler, Politika’nın EK 3’ünde yer alan “Kişisel Veri Kategorileri” belgesinde belirtilmektedir.
Şirketimiz tarafından işlenen kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler ise, Politika’nın EK 4’ünde yer alan “Kişisel Veri İşleme Amaçları” belgesinde belirtilmektedir.
5- KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ VE SAKLANMA SÜRESİ
5.1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye uygunluğunun denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, çağrı merkezi, Şirket internet sitesi gibi muhtelif yollardan, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla ve/veya mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket ve/veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.
5.2. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5.3. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
6- KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
Şirketimiz, Kanun’un 10. maddesine ve ve ikincil mevzuata uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Şirketimiz tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:
Şirketimizin unvanı,
Şirketimiz tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Veri sahibinin Kanunun 11. maddesinde sayılan diğer hakları.
6.2. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, Kanun’un 10.maddesi uyarınca Kişisel Veri Sahipleri’ne haklarını bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Kanun’un 11.maddesi uyarınca, Kişisel Veri Sahipleri aşağıda yer alan haklara sahiptirler:
Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.