1.1. İşbu Kişisel Verilerin Korunması Politikası (“Veri Gizliliği”), İnternational Support Asistans Sağlık Turizm ve Ticaret Anonim Şirketi’nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
1.2. Şirket, kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Veri Gizliliği ve Veri Gizliliğine bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
2. İşbu Veri Gizliliğinin temel amacı, Şirket tarafından Kişisel Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
3.1. İşbu Veri Gizliliği; Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
3.2. İşbu Veri Gizliliği Anonim Hale Getirilmiş veriler veya Kişisel Veri niteliği taşımayan verilere uygulanmaz.
3.3. İşbu Veri Gizliliği KVK Düzenlemelerinin gerektirmesi halinde yahut Şirket’in Veri Sorumlusu Temsilcisi yahut komitesinin gerekli gördüğü hallerde zaman zaman değiştirilebilir.
4. İşbu Veri Gizliliğinde geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Veri Öznesinin Kişisel Verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkisinin kurulması mümkün olmayan veriyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Veri Gizliliği kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler” ile “Kişisel Sağlık Verileri”ni de kapsayacaktır).
“Kişisel Sağlık Verisi” 20.10.2016 tarih ve 29863 sayılı Resmî Gazetede yayımlanan Kişisel Sağlık Verilerin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik kapsamında belirtildiği şekilde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini ifade eder.
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.
“Komite” işbu Veri Gizliliğinde yer işbu Veri Gizliliğinin ve Veri Gizliliğine bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirket’in, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Veri Gizliliği kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin geri döndürülemez biçimde imha edilmesini yahut yok edilmesini ifade eder.
“Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve İşleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Şirket içerisinde veri yönetimi, gizliliği ve güvenliği politikalarının hazırlanması ve uygulanmasından sorumlu olan ve yönetim kurulu kararı ile atanan çalışanı ifade eder.
“Yönetmelik” 20.10.2016 tarih ve 29863 sayılı Resmî Gazetede yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’i ifade eder.
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması
Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır. Veri Öznesinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla İşleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler.
5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi
5.5.1. Şirket, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istenmesi halinde Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir veya Anonim Hale Getirilir. Şirket’in Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3. Silme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komitesi sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
6.1. Açık Rıza
6.1.1. Bu halde Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine hakları bildirilir.
6.1.3. Veri Öznesinden Açık Rızası KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
6.1.4. Veri Sorumlusu Temsilcisi ve Komite tüm Kişisel Veri İşleme süreçlerin bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Veri Sorumlusu Temsilcisi ve Komite’nin talimatlarına, işbu Veri Gizliliği’ne ve bu Veri Gizliliği’nin eki olan KVK Prosedürlerine uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1. Kişisel Verilerin KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3), Şirket Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri işler. Bu kapsamda:
6.2.1.1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir kişinin hayatını veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.3. Kişisel Verilerin işlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.4. Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.5. Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6. Sözleşme kurulmasının öncesinde veya sırasında, sözleşme taraflarının taleplerinin karşılanması amacıyla da Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
7.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlenmelerinin zorunlu tutulması halinde işlenebilir.
7.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek Kişisel Sağlık Verileri ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.
7.3. Özel Nitelikli Kişisel Veriler işlenirken, Kurul tarafından belirlenen önlemler alınır.
7.4. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda ilgili çalışan tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
7.5. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
8.1. Kişisel Veriler İşlenmelerine yönelik meşru amaç ortadan kalktığında Silinir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi yahut Anonim Hale Getirilmesi gereken durumlar Veri Sorumlusu Temsilcisi ve Komite tarafından takip edilir.
8.2. Silme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komitesi sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
8.3. Şirket Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
Şirket, üçüncü bir gerçek ya da tüzel kişiyle (“Yüklenici ”) KVK Düzenlemelerine uygun şekilde Kişisel Veri aktarabilir. Şirket bu durumda Kişisel Veri aktardığı üçüncü kişilerin de işbu Veri Gizliliği’ne uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Bu kapsamda her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisi’nden temin edilir. Her bir çalışan Kişisel Veri aktarımı yapılacak durumda işbu Veri Gizliliği’nde yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisi’ne bildirir.
9.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
9.1.1. Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
9.1.2. Kişisel Verilerin Türkiye’de üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
9.2. Yurt Dışında Bulunan Üçüncü Kişilere Aktarım
9.2.1. Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
9.2.2. Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
9.2.2.1. Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip edin),
9.2.2.2. Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki veri sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
9.2.3. Kişisel Verilerin Yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
9.3. Kişisel Sağlık Verilerinin Aktarımı
9.3.1. Kişisel Sağlık Verileri Anonim Hale Getirilmeden Şirket tarafından aktarılmaz.
9.3.2. Kişisel Sağlık Verileri Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması durumunda kamu kurum ve kuruluşlarına aktarabilir.
9.3.3. Kişisel Sağlık Verilerinin Anonim Hale Getirilmeden aktarılması söz konusu olduğunda Şirket Veri Sorumlusu Temsilcisi’ne bildirimde bulunulur ve bu durumda Veri Sorumlusu Temsilcisi Kişisel Sağlık Verilerinin aktarımına yönelik KVK Düzenlemeleri kapsamında yükümlülüklerin yerine getirilmesi için gerekli tedbirleri alır.
9.3.4. Kişisel Sağlık Verilerinin aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
10.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:
10.1.1. Veri Sorumlusunun ve varsa temsilcisinin kimliği,
10.1.2. Kişisel Verilerin hangi amaçla işleneceği,
10.1.3. İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
10.1.4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
10.1.5. Veri Öznelerinin hakları.
10.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. maddesine uygun olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
10.3. Veri Özneleri tarafından talep edilmesi halinde Şirket Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.
10.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğü’nün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri Sorumlusu Temsilcisine raporlanması amacı ile gerekli KVK Prosedürü Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
10.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirket’e Kişisel Veri aktardığı ilişkilerde sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisi’nden temin edilir. Her bir çalışan Şirket’e üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Veri Gizliliği’nde yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisi’ne bildirir.
11.1. Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:
11.1.1. Şirketin kendi Kişisel Verilerini işleyip işlemediği öğrenme,
11.1.2. Şirketin hangi Kişisel Verilerini işlediği öğrenme,
11.1.3. Şirketin Kişisel Verilerini aktarıp aktarmadığını öğrenme,
11.1.4. Şirketin Kişisel Verilerini aktardığı üçüncü kişileri ve üçüncü kişilerin Veri Sorumlusunu ve Veri İşleyenin kimliğini öğrenme,
11.1.5. Şirketin Kişisel Verilerini işleme amacını öğrenme,
11.1.6. Şirketin Kişisel Verilerini güncellemesi isteme,
11.1.7. Şirketin Kişisel Verilerini Silmesini, Anonim Hale Getirmesini veya yok etmesini isteme,
11.1.8. Şirkette bulunan Kişisel Verilerinin bir kopyasını alma.
Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel Verileri işlerken Şirketin işbu Veri Gizliliği kapsamında hareket etmediğini düşündüğü durumlarda, aşağıdaki Şirket Veri Sorumlusu ile ilgili iletişim bilgilerini kullanarak irtibat kurabilir.
Veri Sorumlusu: İnternational Support Asistans Sağlık ve Turizm Ticaret A.Ş.
E-posta: iletisim@hastanelerburada.com
Posta: Fulya Mah. Büyükdere Cad. No:36/26 Mecidiyeköy - Şişli / İstanbul
Telefon: 0850 600 0 300
11.2. Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, Kurul tarafından bir ücret öngörülmesi hâlinde, Şirket tarafından Kurul tarafından belirlenen tarifedeki ücret alınır.
12.1. Şirket KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Veri Gizliliğinin uygulanması için gerekli KVK Prosedürlerini oluşturmak ve bunların denetimini sağlamak üzere Veri Sorumlusu Temsilcisi atar ve Veri Koruma Komitesi oluşturur.
12.2. Kişisel Verilerin işbu Veri Gizliliği ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar, Komite üyeleri ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
12.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.
12.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.
12.5. Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
12.6. Şirkette Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Temsilcisi ve Komite müteselsilen sorumludur.
12.7. Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürü’ne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
12.8. Şirket, çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Temsilcisi’ne bildirir.
12.9. Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
12.10. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
12.11. Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.
12.12. KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
12.13. Şirkette Kişisel Verilerin güvenli ortamlarda saklanması teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
12.14. Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
12.15. Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Temsilcisinin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.
12.16. Komite ve Veri Sorumlusu Temsilcisi, Şirket içerisinde bulunan tüm Kişisel Verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlamak, duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda Komite ve Veri Sorumlusu Temsilcisi çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
12.17. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Veri Sorumlusu Temsilcisi tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Veri Sorumlusu Temsilcisinin talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Veri Sorumlusu Temsilcisi tarafından yapılır.
12.18. Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
12.19. Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
13.1. Şirket Kişisel Verilerin korunması konusunda çalışanlarına Veri Gizliliği ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
13.2. Eğitimlerde Kişisel Sağlık Verileri ve Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
13.3. Şirket çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket bu çalışanını bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verecektir.
Şirket, işbu Veri Gizliliği ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda rutin denetimleri yapar. Komite ve Veri Sorumlusu Temsilcisi bu denetimlere dair KVK Prosedürü oluşturur ve uygulanmasını sağlar.
15.1. Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Veri Gizliliği kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Veri Sorumlusu Temsilcisi’ne raporlar. Bu kapsamda gerekli KVK Prosedürü Komite ve Veri Sorumlusu Temsilcisi tarafından oluşturulur.
15.2. Yapılan bilgilendirmeler sonucunda Veri Sorumlusu Temsilcisi KVK Düzenlemeleri hükümleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlal eylem veya olaylarına ilişkin olarak Veri Öznesi veya yetkili Kurula bildirim yapmakla yükümlüdür. İhlaller halinde eylem planı da Veri Sorumlusu Temsilcisi tarafından oluşturulur.
Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu Temsilcisi şeklindedir. Bu kapsamda;
16.1. Veri Gizliliği’nin uygulanmasından sorumlu Komite üyeleri ve Veri Sorumlusun Temsilcisi Şirket yönetimi tarafından atanır.
16.2. Veri Gizliliği ve KVK Prosedürleri ile KVK Düzenlemeleri’ne aykırı eylemlerden sırası ile ilgili aykırılığa sebep olan süreci işleten çalışanlar ve kendisine raporlama yapılmasına rağmen bu konuda önlem almayan ilgili Komite üyeleri ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
17.1. Şirket tarafından işbu Veri Gizliliği zaman zaman değiştirilebilir.
17.2. Şirket, Veri Gizliliği üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Veri Gizliliği metnini e-posta yolu ile çalışanlarıyla paylaşır ve web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.
İşbu Veri Gizliliği 01.06.2020 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.