Kişisel Verilerin Korunması Kanunu Kapsamında
Genel Aydinlatma Beyani

1. GİRİŞ

Türkiye Cumhuriyeti Anayasası’nın 20. maddesi uyarınca, herkes kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Bu doğrultuda Prive Sigorta A.Ş. (“Şirket”) tarafından hazırlanan bu Kişisel Verilerin Korunması ve Gizlilik Politikası’nın (“Politika”) amacı KVKK düzenlemelerine ilişkin yükümlülüklere uyumun sağlanmasıdır. İşbu Politika, kişisel verilerin Şirket tarafından toplanması, kullanılması, paylaşılması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da, Şirket tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygun olarak yer verilmiş olup, bu açıklamalar Şirket çalışanlarımızı, aktif ve potansiyel müşterilerimizi, ziyaretçilerimizi ve Şirket ile ilişki içinde bulunan diğer gerçek kişileri kapsamaktadır.

1.1. AMAÇ

Bu Politika’nın amacı, Şirket tarafından KVKK’da yer alan ilkelere uyumlu olarak kişisel verilerin toplanması, işlenmesi, korunması, saklanması, işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemek ve kişisel verileri Şirket tarafından işlenen gerçek kişileri bu hususta bilgilendirmektir.

1.2. KAPSAM

Bu Politika; Şirket çalışanlarını, çalışan adaylarını, mevzuatın izin verdiği ölçüde Şirket dağıtım kanallarını, anlaşmalı kurumlarını, müşterilerini, ziyaretçilerini, üçüncü kişileri, hizmet aldığı gerçek/tüzel kişiler ile tedarikçilerini kapsamaktadır. Bu Politika, tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla gerçek kişilere ait kişisel verilerin işlendiği süreç ve uygulamaları kapsamaktadır.

1.3. TANIMLAR


İşbu Politika ’da yer verilen terim ve kısaltmalara ilişkin tanımlar aşağıdaki gibidir:

  • Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
  • Çalışan : Prive Sigorta’ya bağımlı olarak, belirli veya belirsiz süreli olarak iş gören tüm gerçek kişiler
  • Çalışan Adayı : Prive Sigorta’ya iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Prive Sigorta ile paylaşan gerçek kişiler
  • İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
  • Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
  • Kişisel Sağlık Verileri : Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri
  • Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
  • KVKK : 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kurul : Kişisel Verileri Koruma Kurulu
  • Kurum : Kişisel Verileri Koruma Kurumu
  • TCK : 5237 sayılı Türk Ceza Kanunu
  • Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
  • Veri Sahibi : Kişisel verisi işlenen gerçek kişi
  • Kişisel Veri Başvuru Formu : Prive Sigorta bünyesinde kişisel verileri işlenen ilgili kişilerin KVK Kanunu’nun 11. maddesinde açıklanan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
  • Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
  • Ziyaretçi : Prive Sigorta’nın hizmet binalarını veya internet sitelerini çeşitli amaçlarla ziyaret eden gerçek kişiler
  • VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
  • Kişisel Verilerin Silinmesi : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi
  • Kişisel Verilerin Yok Edilmesi : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
  • Kişisel Verilerin Anonim Hale Getirilmesi : Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
  • Kişisel Veri İşleme Envanteri (Envanter) : Prive Sigorta’nın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanter
  • KVKK Komitesi : Prive Sigorta tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, geliştirilmesi ve yönetilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla farklı departman yetkililerinin katılımıyla oluşan komite
  • Bu Politika’da yer almayan tanımlar için KVKK tanımları geçerlidir.

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

KVKK’nun 3. maddesi uyarınca, kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamına girmektedir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

• Hukuka ve dürüstlük kurallarına uygun olma;


Şirket, Anayasa başta olmak üzere, KVKK ve ilgili mevzuata uygun olarak, kişisel verileri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun olarak yürütür.

• Doğru ve gerektiğinde güncel olma;


Şirket, kişisel verilerin işlenmesi faaliyetini yürütürken kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirleri alır.

• Belirli, açık ve meşru amaçlar için işlenme;


Şirket, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirler.

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma;


Şirket, kişisel verileri, belirlenen amaçların gerçekleştirilebilmesi için gerektiği ölçüde işler. Sonradan kullanılabileceği varsayımı ile veri işleme faaliyeti yürütmez. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını sağlar.

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme;


Şirket, kişisel verileri, KVKK ve ilgili ve mevzuatta öngörülen veya veri işleme faaliyetine ilişkin amaçların gerektirdiği süre ile sınırlı olarak saklar.

3. KİŞİSEL VERİLERİN İŞLENMESİ

Şirket, kişisel verileri ve özel nitelikli kişisel verileri işleme faaliyetlerini KVKK’nun sırasıyla 5. ve 6. maddelerinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir.

3.1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK'da sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. KVKK’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

3.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan amaçlar dâhilinde ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rıza alınmaksızın işlenebilmektedir:

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

Şirket’in ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin Şirket tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.

3.2. İŞLENEN KİŞİSEL VERİLERE İLİŞKİN KATEGORİZASYON


Şirket tarafından işlenen kişisel verilere ilişkin kategorilerin açıklaması ve ilişkili olduğu veri kategorisi aşağıda belirtilmektedir;

  • Kimlik Bilgisi / Ad-soyad, TC Kimlik numarası, uyruk bilgisi, anne-baba adı, doğum yeri, doğum tarihi, cinsiyet ve SGK numarası, ehliyet, nüfus cüzdanı, ikametgâh gibi dokümanlarda yer alan bilgiler / Müşteriler, Üçüncü Kişiler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • İletişim Bilgisi / Telefon numarası, adres, e-mail, faks numarası gibi bilgiler / Müşteriler, Üçüncü Kişiler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Müşteri İşlem Bilgisi / Müşteri İşlem Bilgisi Ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler ile ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri çerçevesinde işlenen bilgiler. kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri çerçevesinde işlenen bilgiler. / Müşteriler
  • İşlem Güvenliği Bilgisi / Ticari faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen kişisel veriler, IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre/parola bilgileri / Müşteriler, Üçüncü Kişiler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Risk Yönetimi Bilgisi / Ticari, teknik ve idari risklerin yönetilebilmesi ve şirket politikalarına uyum kapsamında; bu alanlardaki hukuki yükümlülüklere, genel kabul görmüş ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler, / Müşteriler, Üçüncü Kişiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Finansal Bilgi / İlgili kişiler ile kurulan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler / Müşteriler, İşbirliği içinde olduğumuz ya da olmayı planladığımız kurumların yetkilileri, Üçüncü kişiler
  • Çalışan Aday Bilgisi / Şirket çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş kişilerle ilgili işlenen kişisel veriler. / Çalışan Adayları
  • Hukuki İşlem Bilgisi / Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası kapsamında işlenen kişisel veriler / Müşteriler, Üçüncü Kişiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Özel Nitelikli Kişisel Veri / Kişilerin dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri, / Müşteriler, Üçüncü Kişiler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Pazarlama Bilgisi / Ürün ve hizmetlerimizin ilgili kişinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler / Müşteriler, Ziyaretçiler
  • Fiziksel Mekan Güvenliği / Bina giriş çıkış bilgileri, kamera kayıtları / Müşteriler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Görsel ve İşitsel Kayıtlar / Çağrı merkezi kayıtları, çeşitli süreçler için işlenen görsel bilgiler / Müşteriler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Lokasyon / Adres bilgileri, Konum bilgileri / Müşteriler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Özlük Verisi / Personelin veya Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (Özlük dosyasına giren kimlik bilgileri, iş başvuru formu, vesikalık fotoğraf, eğitim bilgileri vs.) / Müşteriler, Ziyaretçiler, Çalışanlar, Çalışan Adayları, İşbirliği içinde Olduğumuz Kurumların Çalışanları, Tedarikçiler, Acenteler, Brokerler, Eksperler
  • Personel ve Aile Yakını Verisi / Kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn: eş, anne, baba, çocuk) yakınları ve acil durumlarda ulaşılabilecek diğer kişilerin bilgisi (kişisel veri sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi, profesyonel, eğitim bilgileri vb. bilgiler) / Çalışanlar

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI


Şirket, kişisel veri işleme faaliyetini aşağıda yer alan amaçlar doğrultusunda yürütmektedir;

  • Acentelik sözleşmeleri kapsamında ilgili süreçlerin yürütülmesi,
  • Anlaşmalı kurumlar ve/veya tedarikçilerle ile yapılan sözleşmeler kapsamında ilişkilerin ve iş süreçlerinin yönetimi,
  • Asistans hizmetlerinin verilmesi,
  • Brokerlik başvurularının değerlendirilmesi,
  • Çalışan adayları ile ilgili süreçlerin yürütülmesi,
  • Eksper ve ekspertiz raporlarının oluşturulup, eksper performans takibinin yapılması,
  • Faaliyetlerin Şirket prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin sağlanması için gerekli denetim faaliyetlerinin planlanması ve icrası,
  • Hasar dosyasının hazırlanması, takibi ve sonuçlandırılması,
  • Hukuki iş ve işlemlerin yürütülmesi ve takibi,
  • Hizmet binalarımıza giriş kaydının oluşturulması ve güvenliğinin sağlanması,
  • İç kontrol süreçlerinin yürütülmesi,
  • Veri sahiplerinin taleplerinin karşılanabilmesi,
  • Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve yürütülmesi,
  • Müşteri talep ve şikayetlerinin değerlendirilmesi,
  • Pazarlama ve kampanya faaliyetleri kapsamındaki süreçlerin yürütülmesi,
  • Poliçe iptal işlemlerinin gerçekleştirilmesi,
  • Poliçe teklifi oluşturulması, poliçe ve zeyil düzenlenmesi,
  • Poliçe yenileme tekliflerinin sunulması,
  • Prim tahsilatına ilişkin işlemlerin yapılması,
  • Komisyon hesap ve ödeme işlemlerinin yapılması,
  • Reasürans ve koasürans süreçlerinin yürütülmesi,
  • Risk yönetimi süreçlerinin yönetilmesi,
  • Sigorta destek hizmetlerinin sağlanması,
  • Sigorta sözleşmesinin ifası kapsamında destek hizmet sağlayıcılara ilişkin süreçlerin yürütülmesi,
  • Sigorta şirketleri ve üçüncü kişiler tarafından iletilen rücu taleplerinin değerlendirilmesi ve cevaplandırılması,
  • Sigorta şirketleri ve üçüncü kişilere rücu taleplerinin yapılması ve bu taleplerin takibi,
  • Sigorta tazminatlarının hesaplanması, sigortalı veya lehtara ödenmesi,
  • Şirketimizin işletmesel faaliyetlerinin, iş ilişkilerimizin ve insan kaynakları süreçlerinin yürütülebilmesi,
  • Şirketler hukukundan doğan süreçlerin gerçekleştirilmesi,
  • Ürün ve hizmetlerimizin müşterilerimize en uygun şekilde sunulması için araştırma ve analizlerin yapılması,
  • Yetkili kurum ve kuruluşlara gerekli bilgilerin verilmesi.

5. KİŞİSEL VERİLERİN SAKLANMASI

Şirket tarafından işlenen kişisel veriler, ticari faaliyetlerin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuat uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya saklanması zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından işbu Politika’ya uygun olarak hazırlanan aşağıdaki Kişisel Veri Saklama ve İmha Süreleri tablosu çerçevesinde re’sen yahut ekte bulunan veri sahibi başvuru formu aracılığıyla veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin çeşitli yöntemler vasıtasıyla yok edilmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir. Ancak veri sorumlusunun meşru menfaatinin bulunduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Türk Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel veri saklama ve imha süreleri;

  • Çalışan, müşteri, üçüncü kişiler ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Çalışan Finansman Süreçleri / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Acente, tedarikçi ve üçüncü kişilerle imzalanan sözleşmeler / Sözleşmenin sona ermesini müteakip 10 yıl / 180 gün içerisinde
  • İşe alım ve bordrolama / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • İş sağlığı ve güvenliği uygulamaları / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Ödeme işlemleri / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Sözleşme süreçlerinin yürütülmesi / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Çalışan özlük dosyanın oluşturulması ve muhafazası / İş ilişkisinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Çalışanlar için oluşturulan yazılım sistem hesapları, işlem güvenliği bilgilerinin kurulması / İş sözleşmesinin sona ermesine müteakip 1 yıl / 180 gün içerisinde
  • Sigortacılık yazılım hizmetlerinin kurulması, sürdürülmesi, pazarlama faaliyetlerinin ifası / Müşteri ile temasın ardından 2 yıl / 180 gün içerisinde
  • Poliçe teklifi, poliçelerin oluşturulması ve ifası süreçlerinin sürdürülmesi / Poliçenin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Acentelik faaliyetlerini yürüten gerçek kişi acente ve acente çalışanlarının sisteme tanımlanması ve muhafazası / Acente sözleşmesinin sona ermesine müteakip 10 yıl / 180 gün içerisinde
  • Müşterilerin şikâyet süreçlerinin yönetimi / Şikayetin kayıtlara gelmesine müteakip 2 yıl / 180 gün içerisinde
  • Müşterilerin tazminat taleplerinin yönetimi, hasar ve zarara ilişkin değerlendirme yapmak / Zararın oluşmasını müteakip 10 yıl / 180 gün içerisinde
  • Görsel ve işitsel veriler ile fiziksel mekan güvenliği verileri / İlk kayıt tarihinden itibaren 6 ay / 180 gün içerisinde
  • Şirket tarafından muhafaza edilen kişisel verilerin saklama süresinin sona ermesinden sonra verilerin imha edileceği süreyi ifade eder.

6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirket’in belirlediği saklama sürelerinin sonuna gelinmişse, kişisel veriler ilgili kişinin talebi veya re’sen Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Şirket tarafından kullanılan imha tekniklerine ilişkin detaylar aşağıda yer almaktadır. KVKK’nun 7. maddesi uyarınca, kişisel verilerin ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya kişisel veri sahibinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir. Bu hususa ilişkin usul ve esaslar KVKK ve bu Kanun dayanak alınarak oluşturacak ikincil mevzuata göre yerine getirilecektir.

  • Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri


    Fiziksel olarak yok etme, uzman tarafından güvenli olarak silmeyi ifade eder.
  • Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri


    Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir hale getirilmesini ifade eder. Örnek: maskeleme

7. KİŞİSEL VERİLERİN AKTARILMASI

7.1. KİŞİSEL VERİLERİN YURT İÇİNDE AKTARIMI

Şirket tarafından işlenen kişisel veriler, veri sahibinin açık rızası temin edilmeksizin üçüncü kişilere aktarılmamaktadır. Ancak, KVKK’da öngörülen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

7.2. KİŞİSEL VERİLERİN YURT DIŞINDA AKTARIMI

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler de dâhil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Şirket tarafından kişisel veriler yurt dışına aktarılabilecektir. Aktarım yapılacak olan ülkenin, Kurul tarafından belirlenecek olan yeterli korumanın bulunduğu ülkeler arasında yer almaması durumunda, Şirket ve ilgili ülkedeki veri sorumlusu/veri işleyen tarafından yeterli koruma yazılı olarak taahhüt edilecektir.

7.3. KİŞİSEL VERİLERİN AKTARIM AMAÇLARI


Kişisel veriler aşağıda sayılan amaçlar doğrultusunda üçüncü kişilere aktarılmaktadır:

  • Sigortacılıkta risk değerlendirmesi yapılması,
  • Sigorta sözleşmesinden kaynaklanan hakların kullanılması ve yükümlülüklerin yerine getirilmesi,
  • Hasar ve rücu süreçlerinin işletilmesi,
  • Reasürans ve koasürans işlemlerinin gerçekleştirilmesi,
  • Ticari ileti gönderimi ve müşteri memnuniyet araştırmaları için destek hizmet alınması,
  • Pazarlama ve kampanya faaliyetleri kapsamındaki süreçlerin yürütülmesi,
  • Satış sonrası hizmetlerin gerçekleştirilmesi,
  • Hukuki iş ve işlemlerin yürütülmesi ve takibi,
  • Mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi ve denetim faaliyetlerinin gerçekleştirilmesi.

7.4. KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİ GRUPLARI

Şirket tarafından işlenen kişisel veriler yukarıda sayılan amaçlar doğrultusunda faaliyetin niteliğiyle bağlantılı olarak yetkili acenteler/brokerler, reasürörler, eksperler, asistans şirketleri, aktüerler, organizasyon şirketleri, destek hizmet sağlayıcıları, Sigortacılık Kanunu ve diğer mevzuat hükümleri çerçevesinde kanuni temsilciler, bankalar/finansman şirketleri, servisler ve anlaşmalı kurumlar, yol yardım hizmeti veren kuruluşlar, tahsil alacak şirketleri, vekalet ilişkisi içerisinde olduğumuz gerçek ve tüzel kişiler, yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir.

8. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • KVKK’nun 11. maddesinde1 sayılan diğer haklar.

Şirket, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve veri sahibi kategorisi bazında, aydınlatma beyanları hazırlamış ve uygulamaya koymuştur. Öte yandan, KVKK’nun 28(2). maddesi çerçevesinde, aşağıdaki hallerde Şirket’in aydınlatma yükümlülüğü bulunmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

9. VERİ SAHİBİNİN HAKLARI

KVKK’nun 13. maddesine uygun olarak, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine yapılması gereken bilgilendirme işbu Politika’nın yanı sıra Kişisel Veri Sahibi Başvuru Formu aracılığıyla gerçekleştirilmektedir. Kişisel veri sahipleri, kişisel verilerinin işlenmesi faaliyetlerine ilişkin şikâyet veya taleplerini ilgili formda belirtilen esaslar çerçevesinde tarafımıza ulaştırabilir.

9.1. BAŞVURU HAKKI


KVKK’nun 11. maddesi uyarınca, kişisel verileri işlenen herkes Şirkete başvurarak kendisi ile ilgili aşağıda yer alan konularla ilgili taleplerde bulunabilir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

9.2. BAŞVURU HAKKININ KAPSAM DIŞI OLDUĞU HALLER


KVK Kanunu’nun 28(1). maddesi gereğince, aşağıdaki hallerde kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

  • Kişisel verilerinin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerinin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarî faaliyetler kapsamında işlenmesi,
  • Kişisel verilerinin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • KVKK’nun 28(2). maddesi gereğince kişisel veri sahiplerinin haklarını (zararın giderilmesini talep etme hakkı hariç olmak üzere) ileri sürmeleri mümkün olamayacaktır:
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

9.3. BAŞVURULARIN ŞİRKET TARAFINDAN DEĞERLENDİRİLMESİ

Veri sahipleri, yukarıda sayılan haklarını, Kişisel Veri Sahibi Başvuru Formu’nun ıslak imzalı bir nüshasını, ekinde kimlik fotokopisine yer vermek suretiyle, ilgili formda belirtilen esaslar çerçevesinde tarafımıza ulaştırabilir. Şirket, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır. Şirket, talebin niteliğine göre, talebi mümkün olan en kısa sürede ve her halükârda en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, başvurunun incelenmesi ve sonuçlandırılmasına yönelik olarak gerçekleştirilecek işlemlerin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarifedeki ücretler veri sahibine fatura edilecektir. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, Şirket tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir. Şirket iletilen talepleri değerlendirecek ve değerlendirme sonucuna göre talebi kabul edebilecek veya gerekçesini açıklamak suretiyle reddedebilecek ve bu cevabı yazılı olarak veya elektronik ortamda talep sahibine iletebilecektir. Talebin kabul edilmesi halinde Şirket talebi en kısa sürede yerine getirilmesi ile yükümlü olacaktır. Kişisel veri sahibinin başvurusu aşağıda belirtilen durumlarda reddedilebilecektir:

  • Diğer kişilerin hak ve özgürlüklerini engellemesi,
  • Orantısız çaba gerektirmesi,
  • Bilginin kamuya açık bir bilgi olması,
  • Başkalarının gizliliğini tehlikeye atması,
  • KVK Kanunu uyarınca kapsam dışında kalan hallerden birinin mevcut olması.

9.4. KURULA ŞİKAYET HAKKI

Şirkete iletilen taleplerin Şirket tarafından reddedilmesi veya Şirket tarafından verilen cevabın yetersiz bulunması halinde cevabın veri sahibine bildirildiği tarihten itibaren 30 günlük sürenin sonundan veya Şirket’in süresinde cevap vermemesi durumunda talebin yapıldığı tarihten itibaren 30 günlük sürenin sonundan itibaren 30 gün içerisinde veri sahibinin Kurul’a şikayet hakkı bulunmaktadır.

10. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Şirket, KVKK’nun 12. Maddesi kapsamında kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

10.1. VERİ GÜVENLİĞİ İÇİN ALINAN İDARİ TEDBİRLER


Şirket, idari tedbirler kapsamında;

  • Şirket içinde “gerekli olmadıkça kişisel veriler ile bağlantılı tüm işlemler yasaktır.” prensibinin uygulanması için gerekli teknik önlemleri alır. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • Şirket tarafından çalışanlara yönelik gizlilik sözleşmeleri imzalatılmaktadır.
  • Veri sahiplerine yönelik aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri envanteri hazırlanmıştır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

10.2. VERİ GÜVENLİĞİ İÇİN ALINAN TEKNİK TEDBİRLER


Şirket, teknik tedbirler kapsamında;

  • Şirket bünyesinde kişisel verilere erişim imkanı sağlayan sistemler üzerinde yetki ve erişim kontrolleri uygulanmaktadır.
  • Alınan teknik önlemler risk yönetimi, iç kontrol ve iç denetim süreçleri kapsamında icrai faaliyetlerden bağımsız olarak ayrıca gözetilmektedir.
  • Yeterli uzmanlık düzeyinde personel istihdam edilmektedir.
  • Sızma testleri ile Şirket’in bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
  • Şirket içerisinde ağ ve uygulama güvenliği sağlanmakta ve saldırı tespit ile önleme sistemleri, güvenlik duvarları, güncel anti-virüs sistemleri kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak yetki kontrolü yapılmakta ve uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Şirket tarafından anahtar yönetimi, kullanıcı hesaplarının yönetimi yapılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli bir şekilde saklanması için veri kaybı önleme yazılımları ve veri yedekleme programları kullanılmaktadır.
  • Şirket’in internet sayfasına erişimde güvenli protokol kullanılmaktadır.
  • İşleme amacı ve saklama süresi biten kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanmaktadır.
  • Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli yaptırılmakta ve test sonuçlarının kayıt altına alınmaktadır.

10.3. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLERİN DENETİMİ

Şirket, KVKK uyarınca, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları, Şirketin iç işleyişi kapsamında KVKK Komitesine, üst yönetime ve konu ile ilgili bölüme raporlanmakta, aksiyonlar planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlanan aksiyonların takibi, ilgili süreç sahipleri ve KVKK Komitesi tarafından takip edilerek yürütülmektedir.

10.4. KİŞİSEL VERİLERİN KANUNİ OLMAYAN YOLLAR İLE İFŞASI DURUMUNDA ALINACAK TEDBİRLER

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi veya ifşa edilmesi halinde Şirket, bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirecektir.

11. ŞİRKET İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDEN YAPILAN VERİ İŞLEME FAALİYETLERİ

11.1. ŞİRKET İÇERİSİNDE KAMERA İLE İZLEME

Şirket tarafından, Şirket tesis ve işletmelerinin genel ve ticari güvenliğinin temin edebilmesi, personel giriş ve çıkışlarının takibinin sağlanması ve Şirketimizin operasyonel faaliyetlerinin yürütülmesi ve benzeri amaçlarla, KVKK’da öngörülen ve işbu Politika’da yer verilen temel ilkelere uygun olarak, ziyaretçilerin, çalışanların ve diğer veri sahiplerinin görüntü kaydı alınmakta ve bu kayıtlar işlenme amaçlarına uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Görüntü kaydı alınan yerlerde, veri sahiplerinin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek olduğu yerlerde görüntüleme yapılmamaktadır.

11.2. ZİYARETÇİLERİN ŞİRKETE GİRİŞ - ÇIKIŞLARI

Şirketi ziyaret eden misafirlerimizin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyeti gerçekleştirilmektedir. Şirkete gelen kişilerin ad-soyad bilgisi elde edilirken söz konusu veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda kayıt sistemine kaydedilmekte ve bu kayıtlar işlenme amaçlarına uygun süre zarfında güvenli bir şekilde saklanmaktadır.

11.3. İNTERNET SİTESİ ZİYARETÇİLERİ

Şirketimize ait internet sitesini ziyaret eden kişilerin ziyaret amaçlarıyla uygun bir şekilde ziyaretlerini gerçekleştirebilmeleri için kendilerine özelleştirilmiş içerikler gösterilebilmesi ve çevrimiçi reklamcılık faaliyetlerinde bulunulabilmesi için (teknik vasıtalar ile örneğin cookie) site içerisindeki internet hareketleri kaydedilmektedir. Şirketimizin bu faaliyetleri ile ilgili detaylı açıklamalar internet sitemizde Çerez Bilgilendirmesi metinleri içerisinde yer almaktadır.

12. DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.