Kişisel Verilerin Korunması ve Gizlilik Politikası
|
Doküman Bilgileri
|
|
Doküman Adı:
|
Kişisel
Verilerin Korunması ve Gizlilik Politikası
|
|
Doküman No:
|
P-1
|
|
Doküman
İçeriği:
|
Bu
politikanın amacı, Attarlar Sigorta Aracılık Hizmetleri Limited Şirketi tarafından, Kişisel Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin
esasları belirlemektir.
|
|
Yayınlanma
Tarihi:
|
24.02.2023
|
|
Versiyon No:
|
1
|
|
Referans /
Gerekçe
|
6698
sayılı Kişisel Verilerin Korunması Kanunu
|
|
Onaylayan:
|
Attarlar Sigorta Aracılık Hizmetleri Limited Şirketi
|
|
|
|
|
KİŞİSEL VERİLERİN KORUNMASI
VE GİZLİLİK POLİTİKASI. 3
I. VERİ GİZLİLİĞİ TAAHHÜDÜ.. 3
II. POLİTİKANIN AMACI. 3
III. POLİTİKANIN KAPSAMI. 3
IV. TANIMLAR.. 4
V. KİŞİSEL VERİ İŞLEMENİN
İLKELERİ. 6
VI. KİŞİSEL VERİLERİN İŞLENMESİ. 7
VII. ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİ. 9
VIII. KİŞİSEL VERİLERİN SİLİNMESİ,
YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ 10
IX. KİŞİSEL VERİLERİN
AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ. 11
X. ŞİRKETİN AYDINLATMA
YÜKÜMLÜLÜĞÜ.. 13
XI. VERİ ÖZNELERİNİN HAKLARI. 14
XII. VERİ YÖNETİMİ VE GÜVENLİĞİ. 15
XIII. EĞİTİM... 18
XIV. DENETİM... 18
XV. İHLALLER.. 19
XVI. SORUMLULUKLAR.. 19
XVII.POLİTİKADA YAPILACAK
DEĞİŞİKLİKLER.. 19
XVIII. POLİTİKANIN YÜRÜRLÜK TARİHİ. 20
KİŞİSEL VERİLERİN
KORUNMASI VE GİZLİLİK
POLİTİKASI
I.
VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1.
İşbu Kişisel
Verilerin Korunması ve Gizlilik Politikası (“Politika”), Attarlar Sigorta Aracılık Hizmetleri Limited Şirketi (“Şirket”) 6698 Sayılı
Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri
uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken
ve Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından
uyulması gereken esasları belirlemektedir.
1.2.
Şirket, kendi
bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya
bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
İşbu Politikanın temel amacı, Şirket tarafından Kişisel Verilerin
korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
3.1.
İşbu Politika,
Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve
söz konusu faaliyetlere uygulanır.
3.2.
İşbu Politika,
Kişisel Veri niteliği taşımayan verilere uygulanmaz.
3.3.
İşbu Politika, KVK
Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu Temsilcisi
yahut Komite’nin gerekli gördüğü hallerde zaman zaman müdürler kurulu onayı ile
değiştirilebilir.
IV.
TANIMLAR
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Veri Öznesinin Kişisel Verilerinin işlenmesine dair bilgilendirilmeye
dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.
“Anonim Hale
Getirme” Kişisel Verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Anonim Hale Getirilmiş
Veri” Gerçek kişi ile hiçbir şekilde ilişkisinin
kurulması mümkün olmayan veriyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun
olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de
kapsayacaktır).
“Kişisel Veri
İşleme” Kişisel Verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade
eder.
“Komite” İşbu Politikanın
ve Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden
sorumlu komiteyi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri
Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin
korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici
otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı
kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına
yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı
ifade eder.
“KVK
Prosedürleri” Müdürler Kurulu tarafından onaylanarak yürürlüğe giren ve
Şirketin, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Politika
kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli
Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin geri döndürülemez biçimde imha edilmesini yahut yok
edilmesini ifade eder.
“Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel
Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi,
Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden
envanteri ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel
Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan
tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek
işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan
gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu
Temsilcisi” Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini
yürüten ve müdürler kurulu kararı ile atanan çalışanı ifade eder.
5.1.
Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak
İşlenme
Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına
uygun ve ölçülülük esasına dayalı olarak işlenir.
5.2.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli
Önlemlerin Alınması
Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her
türlü gerekli önlemleri alır ve Veri Öznesinin Kişisel Verilere yönelik
değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
5.3.
Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda
İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel
Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK
Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4.
Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü
Olması
Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında
istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan
Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve
ölçülülük esasına uygun olarak işler.
5.5.
Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında
Silinmesi
5.5.1.
Şirket, Kişisel
Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel
Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel
Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.
5.5.2.
Kişisel Veri İşleme
amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir veya
Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel Verileri aktardığı üçüncü
kişilerin de Kişisel Verileri Silmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3.
Silme ve Anonim Hale
Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komite
sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite
tarafından oluşturulur.
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve
esaslar kapsamında işlenebilir.
6.1.
Açık Rıza
6.1.1.
Kişisel Veriler,
Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde
yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde
işlenir.
6.1.2.
Aydınlatma
Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine hakları
bildirilir.
6.1.3.
Veri Öznesinin Açık
Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar
ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken
süre ile muhafaza edilir.
6.1.4.
Veri Sorumlusu
Temsilcisi ve Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma
Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve
muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman
çalışanları Veri Sorumlusu Temsilcisi ve Komitenin talimatlarına, işbu
Politika’ya ve bu Politika’nın eki olan KVK Prosedürlerine uymakla yükümlüdür.
6.2.
Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1
KVK Düzenlemeleri
kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü
durumlarda (KVKK Madde 5.2 ve Madde 6.3), Şirket Veri Öznesinin Açık Rızasını
almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi
durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel
Verileri İşler. Bu kapsamda:
6.2.1.1.
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir
kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket
tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2.
Bir
sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan
doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait
Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından
işlenebilir.
6.2.1.3.
Kişisel
Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için
zorunluysa, Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket
tarafından işlenebilir.
6.2.1.4.
Veri
Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın
Şirket tarafından işlenebilir.
6.2.1.5.
Kişisel
Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya
korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri
Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6.
Veri
Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru
menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler
Şirket tarafından Açık Rıza olmaksızın işlenebilir.
7.1.
Özel Nitelikli
Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel
hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler
bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
7.2.
Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla Açık Rıza almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde
aksi öngörülene dek kişisel sağlık verileri ve cinsel hayat verileri yalnızca
Açık Rıza kapsamında yahut sır saklama yükümlülüğü altında olan Şirket hekimi
tarafından işlenebilir.
7.3.
Özel Nitelikli
Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.4.
Özel Nitelikli
Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından
Veri Sorumlusu Temsilcisi bilgilendirilir.
7.5.
Bir verinin Özel
Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman
tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
VIII. KİŞİSEL VERİLERİN SAKLANMA
SÜRESİ
Kişisel Veriler,
Şirket bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta
olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen
amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım
amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler ise, KVKK’nın
7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim
hale getirilmektedir.
IX. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE
GETİRİLMESİ
9.1.
Kişisel Verinin İşlenmesine yönelik meşru
amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir yahut Anonim Hale
Getirilir. Kişisel Verilerin Silinmesi yahut Anonim Hale Getirilmesi gereken
durumlar Veri Sorumlusu Temsilcisi ve Komite tarafından takip edilir.
9.2.
Silme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu
Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu
Temsilcisi ve Komite tarafından oluşturulur.
9.3.
Şirket Kişisel Verileri gelecekte kullanma
ihtimalini göz önünde bulundurarak saklamaz.
9.4.
Şirket’in Kişisel Veriler üzerinde
uygulayacağı tüm Silme, Yok Etme ve Anonim Hale Getirme faaliyetleri Kişisel Veri
Saklama ve İmha Politikası’nda belirtilen esaslara uygun olarak
gerçekleştirilecektir.
Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Yüklenici”) KVK Düzenlemelerine uygun şekilde Kişisel Veri
aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu
Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere
gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan
üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu
Temsilcisinden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak
durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu
Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü
kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri
Sorumlusu Temsilcisine bildirir.
9.
10.
10.1.
Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
10.1.1.
Kişisel Veriler,
KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza
olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile
(KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket
tarafından aktarılabilir.
10.1.2.
Kişisel Verilerin
Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun
olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi
müteselsilen sorumludur.
10.2.
Yurt Dışında Bulunan Üçüncü Kişilere Aktarım
10.2.1.
Şirket tarafından
yurt dışına herhangi bir kişisel veri aktarımı yapılmamaktadır.
10.
11.
11.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır.
Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında
Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri
Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:
11.1.1.
Veri
Sorumlusunun ve varsa temsilcisinin kimliği,
11.1.2.
Kişisel Verilerin
hangi amaçla işleneceği,
11.1.3.
İşlenen Kişisel
Verilerin kimlere ve hangi amaçla aktarılabileceği,
11.1.4.
Kişisel Veri
toplamanın yöntemi ve hukuki sebebi,
11.1.5.
Veri Öznelerinin
hakları.
11.2.
Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine
uygun olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi
yapar.
11.3.
Veri Özneleri tarafından talep edilmesi halinde Şirket Veri Öznesinin
işlediği Kişisel Verilerini Veri Öznesine bildirir.
11.4.
Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün
yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri
Sorumlusu Temsilcisi müteselsilen sorumludur. Bu kapsamda her bir yeni işleme
sürecinin Veri Sorumlusu Temsilcisine raporlanması amacı ile gerekli KVK
Prosedürü Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
11.5.
Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü
kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir
sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından
taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda
sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri
aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle
yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel
Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal
çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
11.
12.
12.1.Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda
belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde
cevap verir:
12.1.1.
Şirket tarafından
Kişisel Veri işlenip işlenmediği öğrenme,
12.1.2.
Kişisel Verilerinin
işlenmesi halinde buna ilişkin bilgi talep etme,
12.1.3.
Kişisel Verilerin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
12.1.4.
Yurt içinde veya
yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
12.1.5.
Kişisel Verilerin Şirket
tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
12.1.6.
Amaç, süre ve
meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin
işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel
Verilerin Silmesini veya yok edilmesini isteme,
12.1.7.
İşlenen Kişisel
Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda
Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz
etme,
12.1.8.
Kişisel Verilerin
kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara uğraması
hâlinde zararın giderilmesini talep etme.
Veri Özneleri haklarını kullanmak istediği
ve/veya Kişisel Verileri işlerken Şirketin işbu Politika kapsamında hareket
etmediğini düşündüğü durumlarda taleplerini, Veri Sorumlusu ile ilgili aşağıda
verilen ve zaman zaman değişebilecek olan e-posta adresine güvenli elektronik
imzalı olarak yahut yine aşağıda yer alan ve zaman zaman değişebilecek olan
posta adresine kimliklerini tespit edici belgeler ile ıslak imzalı bir dilekçe
ile elden teslim edebilir ya da noter aracılığıyla gönderebilir.
Veri Sorumlusu: Attarlar Sigorta Aracılık
Hizmetleri Limited Şirketi
E-posta: [email protected]
Posta: Fevzi Çakmak Mahallesi Ankara Caddesi No:188A-1
Karatay Konya / TÜRKİYE
12.2.
Veri Öznelerinin
yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete
iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün
içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından
sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri
Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep
edilebilir.
12.
13.
13.1.
Şirket, KVK
Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın
uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve
denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri
Sorumlusu Temsilcisi atar ve Komite oluşturur.
13.2.
Kişisel Verilerin
işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece
müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3.
Şirket tarafından
Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine
göre teknik sistemlerle denetlenmektedir.
13.4.
Kişisel Veri İşleme
faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.
13.5.
Şirket çalışanları,
Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak
bilgilendirilmekte ve eğitilmektedir.
13.6.
Şirket çalışanları,
Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve
ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar
şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin
haklı nedenle feshi sebebidir.
13.7.
Şirket çalışanın
Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut
böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri
Sorumlusu Temsilcisi’ne bildirir.
13.8.
Kişisel Verilerin
güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi ve Komite
tarafından oluşturulur.
13.9.
Kendisine Şirket
cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının
güvenliğinden sorumludur.
13.10.
Her Şirket çalışanı
veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki
dosyaların güvenliğinden sorumludur.
13.11.
KVK Düzenlemeleri
kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep
edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik
önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile
yükümlüdür.
13.12.
Şirkette Kişisel
Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun
olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve
donanımlar kurulmaktadır.
13.13.
Şirkette Kişisel
Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme
programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.14.
Şirkette Kişisel
Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu
kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel
Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak
klasöre taşınmaz, Veri Sorumlusu Temsilcisinin önceden yazılı onayı alınmadan
Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket
dışına çıkartılamaz.
13.15.
Komite, Müdürler
Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin korunmasına
yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri
sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Müdürler
Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara
uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri
Sorumlusu Temsilcisi çalışanların farkındalığını artırmak üzere gerekli
eğitimleri düzenler.
13.16.
Şirket içerisindeki
bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Komite
tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında
bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler.
Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara
verilir ve bunların listesi ve takibi Komite tarafından yapılır.
13.17.
Şirket içerisinde
işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul
edilir.
13.18.
Şirket çalışanları,
Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş
ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş
ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
13.
14.
14.1.Genel
Kullanılmakta olan internet tarayıcısı aracılığı ile internet ağ
sunucusu tarafından kullanıcıların cihazlarına gönderilen küçük veri dosyaları
çerez olarak anılmakta olup, internet siteleri bu çerezler vasıtası ile
kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak
farklılaşmaktadır.
Bu çerezler, Şirket tarafından yönetilmekte olan sistemler
aracılığıyla oluşturulmakla birlikte, aynı zamanda Şirket tarafından
yetkilendirilen bazı hizmet sağlayıcılar kullanıcıların cihazlarına benzeri
teknolojiler yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz
tanımlayıcı bilgileri edinebilmektedir. Ayrıca, Şirket sistemlerinde bulunan
üçüncü taraflara ait linkler, bu üçüncü taraflara ait gizlilik politikalarına
tabi olmakla birlikte, gizlilik uygulamalarına ait sorumluluk Şirket’e ait
olmamaktadır ve bu bağlamda ilgili link kapsamındaki site ziyaret edildiğinde
siteye ait gizlilik politikasının okunması önerilmektedir.
Şirket çerez kullanımı bakımından KVKK Düzenlemeleri özelinde gerekli
değerlendirmeyi yapar ve KVKK Düzenlemeleri kapsamında gerekli yükümlülükleri
ayrıca yerine getirir.
14.2.Çerez Türleri
Ana kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler,
temel olarak 4 ana grupta toplanmaktadır:
·
Oturum Çerezleri: İnternet
sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen bilgilerin
sistemsel olarak hatırlanması gibi çeşitli özelliklerden faydalanmaya olanak
sağlayan çerezlerdir ve Şirket internet sitesine ait fonksiyonların düzgün bir
şekilde işleyebilmesi için gereklidir.
·
Performans Çerezleri: Sayfaların
ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili sayfada
harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri konularında
bilgi toplayan çerezlerdir ve Şirket internet sitesinin performansını arttırma
amacıyla kullanılmaktadır.
·
Fonksiyonel Çerezler: Kullanıcıya
kolaylık sağlanması amacıyla önceden seçili olan seçeneklerin hatırlatılmasını
sağlayan çerezlerdir ve Şirket internet sitesi kapsamında kullanıcılara
gelişmiş internet özellikleri sağlanmasını hedeflemektedir.
·
Reklam Ve Üçüncü Taraf Çerezleri: Üçüncü parti
tedarikçilere ait çerezlerdir ve Şirket internet sitesindeki bazı
fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak
sağlamaktadır.
14.3.Çerezlerin Kullanım Amaçları
Şirket tarafından kullanılmakta olan çerezlere ait kullanım amaçları
aşağıdaki gibidir:
·
Operasyonel amaçlı kullanımlar: Şirket,
sistemlerinin idaresi ve güvenliğinin sağlanması amacıyla, bu sitedeki
fonksiyonlardan yararlanmayı sağlayan veyahut ta düzensiz davranışları tespit
eden çerezler kullanabilmektedir.
·
İşlevselliğe yönelik kullanımlar: Şirket,
sistemlerinin kullanımını kolaylaştırmak ve kullanıcı özelinde kullanım
özellikleri sağlamak amacıyla, kullanıcıların bilgilerini ve geçmiş seçimlerini
hatırlatan çerezler kullanabilmektedir.
·
Performansa yönelik kullanımlar: Şirket,
sistemlerinin performansının artırılması ve ölçülmesi amacıyla, gönderilen
iletilerle olan etkileşimi ve kullanıcı davranışlarını değerlendiren ve analiz
eden çerezler kullanabilmektedir.
·
Reklam
amaçlı kullanımlar: Şirket, kendine veya üçüncü
taraflara ait sistemlerin üzerinden kullanıcıların ilgi alanları kapsamında
reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların etkinliğini
ölçen veya tıklanma durumunu analiz eden çerezler kullanabilmektedir.
14.4.Çerezleri Devre Dışı Bırakmak
Çerez kullanımı birçok tarayıcıda önceden tanımlı bir şekilde seçili
olarak bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından
değiştirebilmekte ve dolayısıyla da mevcut çerezleri silip ileriki çerez
kullanımlarını da reddedebilmektedir; nitekim çerez kullanımının iptal edilmesi
halinde Şirket sistemlerindeki bir takım özelliklerden faydalanılamaması söz
konusu olabilmektedir.
Çerez kullanım seçiminin değiştirilmesine ait yöntem, tarayıcı tipine
bağlı olarak değişmekte olup, ilgili hizmet sağlayıcıdan dilendiği zaman
öğrenilebilmektedir.
XV. EĞİTİM
15.
15.1.Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika
ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli
eğitimleri verir.
15.2.
Eğitimlerde Özel Nitelikli Kişisel Verilerin
tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
15.3.
Şirket çalışanı
Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket
ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı)
eğitim verir.
Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları,
departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir
ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu
kapsamda gerekli rutin denetimleri yapar. Komite ve Veri Sorumlusu Temsilcisi
bu denetimlere dair KVK Prosedürü oluşturur, Müdürler Kurulu’nun onayına sunar
ve anılan prosedürün uygulanmasını sağlar.
15.1.
Şirketin her bir
çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve
esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komiteye raporlar. Bu
kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine
uygun şekilde eylem planı oluşturur.
15.2.
Yapılan
bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya
ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri
Öznesi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Temsilcisi Kurum ile yapılan
yazışma ve iletişimi yürütür.
Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri
Sorumlusu Temsilcisi şeklindedir. Bu kapsamda;
16.1.
Politika’nın
uygulanmasından sorumlu Komite ve Veri Sorumlusun Temsilcisi Şirket müdürler
kurulu tarafından müdürler kurulu kararı ile atanır ve bu kapsamda
değişiklikler de yine anılan yolla yapılır.
XIX.
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
17.1.
Şirket tarafından
işbu Politika zaman zaman Müdürler Kurulu onayı ile değiştirilebilir.
17.2.
Şirket, Politika
üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika
metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi
üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.
İlgili web adresi: https://www.attarlar.com.tr/
İşbu Politika’nın işbu versiyonu 24.02.2023 tarihinde Şirket Müdürler Kurulu tarafından onaylanarak
yürürlüğe girmiştir.