COSMOS OTOMOTİV LTD.ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. GİRİŞ
Kişisel Verilerin Korunması Kanunu ve Veri Sorumluları Sicili Hakkında Yönetmelik, kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.
İlgili kanun kapsamında kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veri işleme terimi ise kişisel verilerin toplanmasından silinmesine kadar geçen sürede yapılan her türlü işlem anlamına gelmektedir.
Kişisel verilerin işlenmesinde Cosmos Otomotiv Ltd. Şti.’nin (“Şirket”) uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.
2. POLİTİKANIN AMACI
İşbu politikada Şirket müşterilerinin ve ticari ilişkide bulunduğu üçüncü kişiler ile onların müşterilerinin kişisel verileri işlenirken hangi kurallara uyulacağı düzenlenmektedir. Dolayısıyla bu politikanın amacı müşterilerinin ve politika kapsamında yer alan diğer kişisel verilerin nasıl işleneceğini tespit etmektedir. Bu politikanın bir diğer amacı da müşterilerin kişisel verilerinin işlenmesi konusunda bilgilendirilmesidir.
3. POLİTİKANIN KAPSAMI
Bu politika Şirket müşterilerini ve ticari ilişkide bulunduğu üçüncü kişiler ile onların müşterilerini kapsamaktadır. Bu politika kapsamında müşteri ifadesi, politika uygulanabilir olduğu ölçüde eski müşterileri ve potansiyel müşterileri d kapsar (“Müşteri”).
4. YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK
İşbu Politika 24/05/2024 tarihinde yürürlüğe girmiştir. Bu politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde müşterilerimiz , ilgili güncelleme hakkında çeşitli kanallar aracılığı ile bilgilendirileceklerdir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Bu politikanın uygulanmasından Şirket’in Genel Müdürü ve belirleyeceği bir kişi sorumludur.
5. MÜŞTERİLERDEN TOPLANAN VE İŞLENEN KİŞİSEL VERİLERİN İŞLENMESİ
Şirket, bu politikada belirtilen bilgilerin tamamını veya bir kısmını işleyebilir. Şirket ayrıca, Müşteri’nin aşağıdaki bilgilerini toplayabilir ve işleyebilir.
- İsim, soyisim, , e-posta adresi, telefon numarası ve diğer iletişim bilgileri, plaka
- MÜŞTERİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER
a. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama Müşterilerin meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulur.
c. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler açık ve belirli veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için ve gerekli olduğu kadarıyla işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
e. Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketimizin bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
7. MÜŞTERİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan sadece bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir.
Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde burada yazan kuralların yanında; aşağıda bu bölüm altında “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” Başlığı içerisinde yer alan şartlar uygulanır.
Müşterilerimiz , işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında da bilgilendirilir.
a. Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Şirket verisi işlenecek Müşterinin ayrıca açık rızasını almadan kişisel verilerini işler.
b. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan Müşterinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde Müşterinin açık rızası alınmaksızın verileri işlenebilir.
c. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler açık rıza aranmaksızın işlenebilir.
d. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın Müşteri verileri işlenebilir.
e. Müşterinin Kişisel Verisini Alenileştirmesi
Müşterinin, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde de açık rızaya gerek olmaksızın veriler işlenebilir.
- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde Müşterinin açık rızası alınmaksızın verileri işlenebilir.
g. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi
Müşterinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemenin zorunlu olması halinde Müşterinin açık rızası alınmaksızın verileri işlenebilir.
- Müşterinin Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi Müşteri kişisel verilerinin, yukarıda 8.a – 8.g maddelerinde belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, açık rızaya dayalı olarak işlenmektedir.
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER
Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
- Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi Özel nitelikli kişisel veriler, Müşterinin açık rızası olması halinde, bu politikada belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir. Özel nitelikli kişisel verilerin işlenmesi durumunda, sadece iş ile ilgili yetkisi bulunan kişiler bu veriye erişmelidir.
b. Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller
Özel nitelikli kişisel veriler, Müşterinin açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Müşterinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Müşterinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
9. MÜŞTERİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri Şirket tarafından bilgilendirilir. Bu kapsamda varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile çalışanların sahip oldukları haklar kendilerine bildirilir.
Müşterinin , kişisel verilerine ilişkin bilgi talep etmesi halinde, Şirket tarafından gerekli bilgilendirme yapılır.
10. KİŞİSEL VERİLERİN KATEGORİZASYONU
Bu politika kapsamında, Şirket tarafından çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
KİŞİSEL VERİ
KATEGORİZASYONU |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Kimlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, e-mail gibi bilgiler |
İşlem Güvenliği Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; Şirket faaliyetlerimizi yürütürken gerek çalışanlarımız gerekse de Şirketin teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz |
Özel Nitelikli Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
6698 Sayılı Kanunun 6ıncı maddesinde belirtilen veriler |
Talep/Şikâyet Yönetimi
Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
a. İşleme Koşulları
Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir. Bu koşullar;
- Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
- Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin işlenmesinin Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin çalışan tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi
- Kişisel verilerin Şirket tarafından işlenmesinin Şirketin veya çalışanların veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
- Müşterinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
- Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
- Müşterinin açık rızasının alınması kaydıyla yukarıda sıralanmış maddeler dışında, şirket süreçlerinin belirlenmiş şekilde işletilmesi için gereklilik arz etmesi.
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için Şirket kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
b. İşleme Amaçları
Şirketimiz, kişisel verileri; sayılanlarla sınırlı olmamak üzere, aşağıda belirtilen amaçlarla işlemektedir:
- Şirketimiz tarafından sunulan mal ve hizmetlerin sağlanması, satışı, satış sonrası destek hizmetleri süreçlerinin planlanması, takibi ve geliştirilmesi, pazarlama, kampanya, etkinlik ve kişiselleştirilmiş reklam faaliyetleri başta olmak üzere açık rızanız ile ilgili iletişim ve tanıtım faaliyetlerinin gerçekleştirilmesi,
Şirketimizin pazarlama stratejisini belirlemek, istatistiki bilgiler üretmek, kullanıcı profili oluşturma, tekilleştirme yapmak, veri tabanı oluşturarak listeleme, raporlama, doğrulama, analiz ve değerlendirmeler yapmak, üyelik işlemleri süreçlerinin planlanması ve/veya icrası, anket ve müşteri memnuniyeti araştırmaları ve etkinlik faaliyetlerinin gerçekleştirilmesini sağlamak,
- Satış işlemlerinin gerçekleşmesi, satış sonrasındaki hizmetlerimizin (özellikle garanti hizmetimizin)müşterilere sağlanması,
Bu amaçlar çerçevesinde Şirketimizce yürütülen faaliyetlerin önemli bir kısmı, Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddesinin 3. Fıkrasında belirtilen kişisel veri sahibinin açık rızasını gerektirmeyen faaliyet ve süreçlerdir. Şirketimiz Kanun’un anılan maddeleri kapsamında olmayan faaliyet ve süreçleri için kişisel veri sahibinin açık rızasını ayrıca almaktadır. Bu çerçevede alınan kişisel verilerin Şirketimizce, Kanun’da sayılan ve açık rıza gerektiren faaliyetler yanında Kanun’da açık rıza gerektirmeden veri işlemeye izin veren faaliyetler için de kullanılabileceği unutulmamalıdır.
Müşterinin açık rızasını vermemesi durumunda yukarıda amaca giren tüm kişisel veri işleme faaliyetlerin yapılamaması değil; madde 7.1’de belirtilen çalışanın veri işlemeye yönelik açık rızasına gerek olmayan aynı amaç kapsamı içindeki kişisel veri işleme faaliyetlerinin dışında kalan ve bu amaca yönelmiş kişisel veri işleme faaliyetlerinin yapılamayacağı anlamı çıkmalıdır.
12. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUM
Şirket birleşme ve devralmaları ile şirket yapısını değiştiren diğer işlemler sırasında kişisel veriler mümkün olduğunca anonimleştirerek paylaşılır. Anonimleştirilmesi mümkün olmayan kişisel verilerin, bu tip işlemler kapsamında paylaşılmasının gerekmesi halinde bunların paylaşıldığı kişilerden aşağıdaki konulara ilişkin garanti alınmasına özen gösterilir:
- Kişisel veriler sadece yürütülecek işlemler çerçevesinde kullanılacaktır,
- Kişisel veriler ile ilgili gizlilik kurallarına uygun davranılacaktır,
- Ayrı bir hukuki sebep bulunmadıkça veya zorunlu olmadıkça kişisel veriler üçüncü kişilere aktarılmayacaktır.
13. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Kişisel veriler ve özel nitelikli kişisel veriler, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarılabilmektedir.
a. Kişisel Verilerin Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, işbu Sözleşmede belirtilen hallerin varlığı durumunda üçüncü kişilere aktarılabilir:
b. Özel Nitelikli Kişisel Verilerin Aktarılması
Müşterinin özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.
- Müşterinin açık rızası var ise veya
- Müşterinin açık rızası yok ise;
- Müşterinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Müşterinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilir.
- Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları Kişisel verileriniz aşağıda sıralanan kişi kategorilerine aktarılabilir:
- Şirket iş ortaklarına,
- Şirket tedarikçilerine,
- Şirket iştiraklerine,
- Şirket Hissedarlarına
- Hukuken Yetkili kamu kurum ve kuruluşlarına
- Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı
Yapılabilecek Kişiler |
Tanımı | Veri Aktarım Amacı |
İş Ortağı | Şirketin faaliyetlerini yürütürken şirketin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Şirketin faaliyetlerini yürütürken Şirketin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirkete hizmet sunan tarafları tanımlamaktadır. | Şirketin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketin faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirkete sunulmasını sağlamak amacıyla sınırlı olarak. |
İştirakler | Şirketin hissedarı olduğu şirketler | Şirketin ileride tesis edilebilecek iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hissedarlar | İlgili mevzuat hükümlerine
göre Şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan ana hissedarlar |
İlgili mevzuat hükümlerine göre Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketin bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel
Hukuk Kişileri |
İlgili mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
14. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelerde mukim üçüncü kişilere aktarılabilmektedir.
a. Kişisel Verilerin Yurtdışına Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, işbu Sözleşmede belirtilen hallerden birinin varlığı durumunda yurtdışına aktarabilmektedir:
- Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması Özel nitelikli kişisel veriler aşağıdaki durumlarda yurtdışına aktarabilmektedir.
- Müşterinin açık rızası var ise veya
- Müşterinin açık rızası yok ise;
- Müşterinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Müşterinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir.
15. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece Kişisel Veri Sahibine bildirir veriler silinir, yok edilir veya anonim hale getirilir.
Veri sorumlusu, Kişisel Veri Sorumlusu’nun talebi olması halinde en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Ancak Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
16. KİŞİSEL VERİLERİN GÜVENLİĞİ
Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.
Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler görev ve sorumlulukları hakkında eğitilir.
Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal tespiti yapılır ve makul sürede soruşturma başlatılır.
Şirket ile ilgisi olmayan Müşteri kişisel verileri içeren e-posta veya diğer dokümanların tespit edilmesi halinde bunların imha edilmesi (silme, yok etme ve anonim hale getirme) için bildirimde bulunulur. Belirlenen sürede gerekli aksiyonların alınmaması halinde imha işlemleri Şirket tarafından gerçekleştirilir.
İşbu kişisel verilerin veri sahibi tarafından talep edilmeden paylaşılması ve üçüncü kişiler tarafından kullanılması halinde ise Şirket’e sorumluluk atfedilemeyecektir.
Kişisel verileri işleyen çalışanlarımız, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:
- Kişisel verilerin korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
- Kişisel verileri doğru, tam ve eksiksiz işleme,
- Güncelliğini kaybeden kişisel verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
- Kişisel verilerin işlenmesinde herhangi bir hukuka aykırılık fark ettiğinde ilgili yöneticiyi bilgilendirme,
- Kişisel verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma,
- MÜŞTERİLERİN KANUNİ HAKLARI VE BUNLARI KULLANMA YÖNTEMLERİ
a. Kişisel Verilere İlişkin Kanuni Haklar
Kişisel verilere ilişkin olarak Müşterilerin kullanabileceği kanuni haklar aşağıda sayılmaktadır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
b. Kişisel Verilere İlişkin Kanuni Hakların Kullanılmasına İlişkin Esaslar
Kişisel verilere ilişkin hakları kullanmak için Müşteriler “Kişisel Veri Sahibi Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Form”u kullanabilir. Bu doğrultuda yapacağınız başvurulara en geç 30 gün içerisinde cevap verilmektedir.
Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın “Kişisel Veri Sahiplerinin Hakları; Bu Hakların Kullanılması ve Değerlendirilmesi Metodolojisi” başlıklı bölümünde, Müşteriler kanuni haklarını kullanmak için detaylı bilgilere ulaşabilir.
18. ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Şirketin işbu politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda kaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür ve talimatların Şirketin diğer alanlarda yürüttüğü temel politikalarla da bağı kurularak, Şirketin benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında harmonizasyon da sağlanmaktadır.
- MÜŞTERİNİN KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ POLİTİKASI
YÖNETİM YAPISI
Şirket içerisinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politika, prosedür ve talimatları yönetmek üzere “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Bu komitenin görevleri Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda açıklanmıştır.
20. KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI UYUM DENETİM SÜRECİ
Şirketimiz tarafından belirlenecek olan Kişisel Verilerin Korunması Denetim Ekibi tarafından yılda 1 kere denetim takvimi oluşturularak Grup Şirketleri’nin politikaya uygun faaliyetlerini sürdürüp sürdürmediği tespit edilecektir. Denetim sürecinde genel olarak;
- Aydınlatma metinleri, Başvuru formları, Onay Formları vb. kanuni yükümlülüklerin yerine getirilip getirilmediği,
- Verilerin işlenme ve görüntülenme yetkilerinin doğru olup olmadığı,
- Yeni veri alanlarının oluşturulup oluşturulmadığı, denetler.
KVKK Denetim Ekibi, Genel Müdür başta olmak üzere, belirleyeceği kişiler suretiyle oluşturulur.
21. EK-1 TANIMLAR
Açık Rıza | : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme
|
: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Veri Sahibi | : Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve potansiyel müşteriler . |
Kişisel Veri | : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; adsoyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb. |
Özel Nitelikli Kişisel
Veri
|
: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen
|
: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, [ŞİRKET]’in verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri, scriptler çerçevesinde arama yapan callcenter firması vb. |
Veri Sorumlusu
|
: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur. |