Askent Sokak No:3B/ 3-6 İçerenköy, Ataşehir- İstanbul
2024
1. Şirketimiz ve Politika Hakkında
2. Politikanın Amacı ve Kapsamı
3. Politikada Yer Verilen Tanımlar
4. Sorumluluk
5. Kişisel Veri İşlenme İlkeleri
6. Kişisel Verilerin İşlenme Şartları
7. Kişisel Verilerin Aktarılması
8. Kişisel Verilerin Saklanması
9. Kişisel Verilerin İmha Edilmesi
10. Kişisel Verilerin Güvenliğinin ve Hukuka Uygun Olarak İşlenmesinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler
11. Kişisel Verilerinin Gizliliğinin ve Güvenliğinin Sağlanması
12. Veri Sahiplerinin Hakları
13. Politikanın Güncellenmesi
14. Politika İle İlgili Sorular
Kosifler Oto Servis Ticaret A.Ş (“Kosifler” veya “Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile kişisel verilerin korunmasına ilişkin hazırlanan ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları doğrultusunda tüm kişisel veri işleme faaliyetlerimizi geçerli mevzuata uygun şekilde gerçekleştirmek ve elde ettiğimiz kişisel verilerin uygun şekilde korunmasını sağlamak önceliğimizdir.
Şirketimizin kişisel veri işleme faaliyetlerini Kanun’a ve ilgili mevzuata uygun şekilde gerçekleştirmesi adına rehber olacak biçimde hazırlanan işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı (“Politika”) Kosifler çalışanları ile paylaşmaktayız.
İşbu Politika ile müşterilerimizin, iş ortaklarımızın, tedarikçilerimizin kişisel verilerini işlediğimiz yetkililerini ve çalışanlarını kişisel verilerinin Kosifler tarafından yönetilen tüm kişisel veri işleme faaliyetlerinde nasıl işlendiği hususunda en uygun ve doğru şekilde bilgilendirmeyi amaçlamaktayız.
İşbu Politika’da kişisel verilerin işleme şartları belirtilmekte olup Kanun kapsamındaki yükümlülüklerimiz ile ilgili mevzuat uyarınca uymamız gerekli olan usul ve prensiplere yer verilmektedir. Çalışanlarımızın kişisel verilerinin işlenmesine ilişkin süreçlerimize ise Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası’nda yer vererek çalışanlarımızı, çalışan süreçlerini göz önünde bulundurarak ve özel olarak hazırladığımız ayrı bir politika ile bilgilendirmekteyiz.
Kanun uyarınca Kosifler, veri sorumlusu olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.
Kosifler, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Ayrıca, Şirketimiz Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla da yükümlüdür.
Kosifler, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede (en fazla yetmiş iki saat içerisinde) ilgili kişiye/kişilere ve Kurul’a bildirmekle yükümlüdür. Şirketimiz, veri sahibinin ilgili kişi başvurularında yer alan taleplerini, talebin niteliğine göre en kısa sürede (en geç otuz gün içerisinde) ücretsiz olarak sonuçlandıracaktır.
İşlemin ayrıca bir maliyet gerektirmesi durumunda ise Kosifler geçerli mevzuata uygun şekilde ücret talep edebilecektir. Kosifler, Kurul tarafından istenilen bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Şirketimiz tarafından, geçerli mevzuatına uygunluğun ve Kosifler bünyesinde kişisel verilere ilişkin süreçlerin gerekli koordinasyonunun sağlanması adına “Kişisel Verilerin Korunması Komitesi” (“Komite”) kurulmuştur.
Komite, kişisel verilerin korunmasına ilişkin politika ve prosedürleri hazırlamak, güncellenmesini sağlamak ve mevzuata uyumluluğu sağlamak ile yükümlüdür. Komite ayrıca kişisel veri işleyen olarak nitelendirilebilecek olan Şirket çalışanları için gerekli eğitimlerin planlanmasını ve gerçekleştirilmesini sağlar.
Komite, mevcut politika ve prosedürleri belirli aralıklarla gözden geçirecek ve öngörülen değişiklikleri Şirket yönetiminin onayına sunacaktır.
Şirketimizin geçerli mevzuatına uyum sağlamaya yönelik çalışmalarını İrtibat Kişisi takip eder. Zira, İrtibat Kişisi’nin başlıca sorumluluğu, Komite’nin yukarıda sayılan görev ve sorumluluklarını yerine getirmesine yönelik çalışmaktır.
İrtibat Kişisi, Komite üyesidir ve gerekli durumlarda Komite’yi toplantıya çağırır. İrtibat Kişisi aynı zamanda Şirketimizin veri sorumluları sicili ve Kurum nezdinde geçerli mevzuat uyarınca irtibat kişisi olarak hareket eder.
İrtibat Kişisi’nin Şirketimiz’de bulunmaması durumunda ise farklı bir Şirket çalışan Komite tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Politika kapsamında İrtibat Kişisi’ne atanan tüm görevlerin yerine getirilmesinden sorumludur.
Kosifler bünyesinde yer alan her iş biriminin veri işleme süreçlerinin geçerli mevzuata uygun şekilde yürütülmesinden birim yöneticisi sorumludur. Birim yöneticisi, görevli olduğu iş birimi kapsamında Politika ile yasal mevzuatın gereklerini yerine getirir, bu bağlamda İrtibat Kişisi ve Komite ile iş birliği içerisinde çalışır.
Birim yöneticisi, kişisel veri ihlali durumunda ilk müdahaleyi yapar, Komite’yi bu ihlalden derhal haberdar eder ve alınması gereken tedbirler konusunda Komite ile iş birliği içerisinde çalışır. Birim yöneticisi, görev ve sorumlulukları doğrultusunda Komite’nin kararlarının uygulanması ve Komite faaliyetlerinin gereği gibi sürdürülmesi amacıyla her türlü makul desteği sağlayacaktır. Birim yöneticisi ayrıca kişisel veri işleme süreçlerinin iyileştirilmesine yönelik istek, talep ve önerilerini Komite’ye iletir.
Kosifler bünyesinde görevli çalışanlar, Politika kapsamındaki şart ve koşullara, Komite kararlarına ve geçerli mevzuat hükümlerine uygun şekilde hareket etmekle yükümlüdür. Kosifler çalışanları ayrıca Komite’nin kararlarının, faaliyetlerinin gereği gibi hayata geçirilmesi amacıyla gerekli makul çabayı göstermekle yükümlüdür.
Şirketimiz kişisel verileri işlerken Kanun’un 4. Maddesinde yer alan kişisel veri işleme ilkelerine uygun hareket etmektedir. Şirketimiz bünyesinde yer alan yönetim ve denetim mekanizmaları ile Kanun’da belirtilen veri işleme ilkelerine uygunluk kontrol edilmektedir. İlgili veri işleme ilkelerine ilişkin açıklamalar aşağıda başlıklar altında yer verilmektedir:
| No. | Veri İşleme İlkesi | Açıklama |
|---|---|---|
| 1. | Hukuka ve dürüstlük kurallarına uygun olma | Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte ve geçerli mevzuattan doğan yükümlülüklerini yerine getirmektedir. |
| 2. | Doğru ve gerektiğinde güncel olma | Kosifler’in veri sorumlusu sıfatıyla işlediği kişisel verilerinizin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteme hakkına sahipsiniz. Şirketimiz bu ilke gereğince, ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları her zaman açık tutmaktadır. |
| 3. | Belirli, Açık ve Meşru Amaçlar İçin İşlenme | Şirketimiz tarafından belirlenen kişisel veri işleme amaçları, meşru ve hukuka uygun olacak biçimde açık ve kesin niteliktedir. Şirketimiz, kişisel verileri süreçle bağlantılı ilgili sürecin yürütülmesi için gerekli olduğu ölçüde işlemektedir. İlgili kişilerin kişisel verileri Şirketimiz tarafından işlenme amacı dışında bir veri işleme faaliyetine konu edilmemektedir. |
| 4. | İşleme Amaçlarıyla Bağlantılı, Sınırlı ve Ölçülü Olma | Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine uygun şekilde işlemekte ve amacın gerçekleştirilmesi için uygun veya gerekli olmayan kişisel verileri işlememektedir. Kişisel veri işleme faaliyetinin başında amacın gerçekleştirilmesi için gerekli olan kişisel verileri tespit etmekte ve ihtiyaç duyulmayan hiçbir veriyi toplamamaktadır. |
| 5. | İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme | Şirketimiz tarafından işlenen kişisel veriler, ilgili Kanun’da ve ilgili diğer düzenlemelerde belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Şirketimiz ilgili mevzuatta öngörülen süre sonunda veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileriniz, Kanun’a ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. |
Kişisel verilerin işlenme şartları Kanun’un 5. ve 6. maddelerinde yer almaktadır. Bu işleme şartları, kişisel veri işleme faaliyetinin hukuki sebebini ifade etmektedir. Şirketimiz, kişisel verileri işlerken bu veri işleme şartlarına uygun hareket etmektedir. Şirketimiz aydınlatma yükümlülüğünü yerine getirirken kişisel verilerin hangi veri işleme şartına/hukuki sebebe dayandığını açıkça belirtmekte ve veri sahiplerinin veri işleme faaliyetimizin yasallığı hakkında bilgilendirmektedir. Kanun’un 5. maddesinde yer alan ve Şirketimizin kişisel verileri işlerken dayandığı veri işleme şartları aşağıdaki gibidir:
Yukarıda sayılan kişisel veri işleme şartlarından “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan veri işleme şartlarından biri bulunmuyorsa dayanılmaktadır. Örneğin, kişisel verilerin işlenmesi “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanıyorsa, Şirketimiz söz konusu kişisel verileri işlemek için veri sahiplerinin açık rızasına dayanmamaktadır.
Kanun’un 5. maddesi kişisel verilerin işlenme şartlarını düzenlerken Kanun’un 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Özel nitelikli kişisel veriler, Kanun’da sınırlı sayı ilkesi uyarınca belirtilmiştir. Özel nitelikli kişisel verilerin taşıdığı hassasiyet sebebiyle veri işleme şartları da kişisel verilere göre farklılık arz etmektedir.
Zira, Şirketimiz, Kanun’un 6. Maddesi uyarınca, aşağıdaki veri işleme şartlarından en az birinin bulunması halinde özel nitelikli kişisel verileri işlemektedir:
Şirketimiz, yukarıda belirtilen kişisel veri işleme amaçları doğrultusunda elde ettiği kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimizin gerçekleştirdiği veri aktarımları her bir kişisel veri işleme faaliyetine göre farklılık arz etmektedir. Şirketimiz aydınlatma yükümlülüğü kapsamında her bir kişisel veri işleme faaliyeti kapsamında kişisel verilerin hangi üçüncü kişilere aktarılacağını aydınlatma metinleri uyarınca veri sahiplerine açıklamaktadır.
Şirketimiz, kişisel verileri üçüncü taraflara aktarırken Kanun’un 8. ve 9. maddelerinde yer alan kurallara ve Kurul tarafından belirlenmiş olan ek düzenlemelere uygun davranılmasına büyük önem göstermektedir. Kişisel verilerin aktarılması süreçlerinde kişisel verinin niteliğine uygun gerekli güvenlik önlemlerini alarak aktarımı gerçekleştirmektedir.
Şirketimiz tarafından elde edilen kişisel veriler, kişisel verilerin aktarılmasının veri işlene amacını yerine getirebilmek için gerekli olduğu hallerde aşağıdaki veri işleme şartlarının bulunması halinde üçüncü taraflara aktarılabilmektedir:
Yukarıda belirtilen “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan aktarım şartlarından biri bulunmuyorsa dayanılmaktadır. İlgili kişinin açık rızasının bulunması dışındaki şartlardan biri bulunuyorsa, aktarım söz konusu şartlardan birine dayalı olarak gerçekleştirilmektedir.
Özel nitelikli kişisel verilerin aktarılması süreçlerinde, özel nitelikli kişisel verilerin aktarım şartlarından birinin varlığı halinde söz konusu veri aktarım şartı dikkate alınarak aktarılabilmektedir. Aksi durumda aktarım için veri sahibinin açık rızasına başvurulmaktadır
Şirket faaliyetlerimizin en verimli şekilde yürütülmesi ve teknolojinin imkanlarından faydalanılması için bilişim teknolojisi aracılığı ile kişisel verilerinizi gerekli teknik ve idari tedbirleri alarak yurt dışına aktarmaktayız. Kişisel verileriniz, Şirket faaliyetlerimizin yürütülmesi ve iş organizasyonunun sağlanması amacıyla yurt dışında bulunan işletmelerimize aktarırken Kanun’un 9. maddesinde yer alan kurallara uygun hareket edilmektedir.
Şirketimiz öncelikle, kişisel verileri yurt dışına aktarmadan önce kişisel verinin niteliğine uygun olarak gerekli idari ve teknik önlemleri almaktadır. Bu doğrultuda özellikle hassas veri kategorisinde bulunan özel nitelikli kişisel verilerin aktarılmasında aktarımın yapılacağı vasıta özelinde gerekli önlemler alınmaktadır
Şirketimiz kişisel verilerinizi ve özel nitelikli kişisel verilerinizi yurt dışına aktarırken Kanun’un 9. Maddesinde öngörülen kurallara uygun hareket etmekte ve kişisel verilerinizin üçüncü taraflarca güvenli bir şekilde ve işbu Metne uygun olarak işlenmesini sağlamak için gerekli tüm idari ve teknik tedbirleri almaktadır
Kosifler içerisinde, kişisel verilerinize erişim bu Politika içerisinde tanımlanan amaçlar doğrultusunda sadece bilgileri bilmesi zorunlu çalışanlarla sınırlı olacaktır. Verilerinizin toplanma amaçlarını gerçekleştirmek için Kişisel Verilerinizi aşağıda belirtilen kişi ve kurumlara aktarıyoruz:
Kosifler grup şirketlerine bağlı olarak faaliyet göstermemiz nedeniyle, verileriniz Türkiye’de kurulu bağlı olarak faaliyet gösterdiğimiz grup şirketleri ile paylaşılmakta ve onların erişimine açılmaktadır. Bu paylaşım yalnızca ilgili Kosifler grup şirketindeki yetkili çalışanlar ile yapılacaktır. Ancak genel olarak yaptığımız veri paylaşımının şirket karlılığı, verimliliği gibi şirket faaliyetlerine ilişkin finansal raporlamalar kapsamında kişisel veri içermeyecek şekilde yürütüldüğünü belirtmek isteriz. Bazı özel durumlarda Kosifler grup şirketleri ile anonim bilgi paylaşmak yerine kişisel veri paylaşmamız söz konusu olabilir (sözleşme süreçlerinin yürütülmesi gibi). Kişisel verilerinizin Kosifler grup şirketleri arasında aktarımına ilişkin Veri Paylaşım Sözleşmesi imzalanmış ve gerekli tedbirler uygulamaya alınmıştır.
Şirketimiz, ticari faaliyetlerini yürütürken bilgi ve iletişim teknolojisi sağlayıcıları, kargo şirketleri, seyahat acenteleri gibi güvenilir üçüncü şahıslarla çalışabilir ve bu kapsamda faaliyetlerimizi yürütmek için veri paylaşımında bulunabilir. Şirketimizin faaliyetlerini en verimli şekilde yürütmek ve teknolojinin imkanlarından maksimum düzeyde faydalanmak için bulut bilişim teknolojileri kullanmakta ve bu kapsamda bilişim hizmeti sunan firmalar aracılığı ile kişisel verilerinizi yurt içinde ve yurt dışında işleyebilmekteyiz.
Kanunların gerektirdiği durumlarda veya haklarımızı korumamız gerektiğinde, kişisel verilerinizi ilgili resmi, adli ve idari merciler ile paylaşabiliriz.
İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veri paylaşımı yapılabilmektedir (Örn. İş Sağlığı ve Güvenliği Şirketi).
Hak kazandığınız maaş ve yan hakların tarafınıza sağlanabilmesi, Şirket kredi kartı işlemlerinin yönetilmesi ve adınıza şirket kredi kartı tanımlanması ve tahsis edilmesi, Kişisel Verilerinizi aşağıda belirtilenler gibi profesyonel danışmanlar dahil diğer kişiler ile paylaşıyoruz:
Kosifler özel nitelikli kişisel verileri üçüncü kişilere aktarırken Kanun’un 8 ve 9. maddelerinde belirtilen esaslara uymaktadır. Özel nitelikli kişisel veriler, yeterli önlemlerin alınması kaydıyla 6. başlıkta sayılan şartlardan birinin bulunması halinde ilgili şarta dayanarak özel nitelikli kişisel veriler aktarılabilir.
Kişisel verilerin şirket dışı taraflarla (müşteri, bir grup şirketi, tedarikçi, kamu kurumu vb.) paylaşımı, kişisel verilerin korunması açısından hassasiyet taşımaktadır. Özel nitelikli kişisel verileri paylaşırken, aşağıdaki üç husus değerlendirilmelidir:
| No. | Konu | Açıklama |
|---|---|---|
| 1. | Özel nitelikli kişisel verileri paylaşmanız zorunlu mu? | Eğer süreç özel nitelikli verileri (ya da herhangi bir kişisel veriyi) paylaşmadan da yürütülebilecek ise, özel nitelikli verileri şirket dışı üçüncü bir tarafla paylaşmamalısınız. Örneğin, işyeri hekimi bir kişinin aşı olup olmadığı hakkında topladığı bilgiyi, zorunlu olmadığı müddetçe şirket içi veya şirket dışı taraflarla doğrudan paylaşmamalıdır. İşyeri hekimi bunun yerine, kişinin aşı durumu hakkında bilgi edinip, kişinin tesislere girişi uygundur/değildir gibi sınırlı bilgi paylaşımı yapabilir. |
| 2. | Özel nitelikli verilerin tümünü paylaşmanız zorunlu mu? | Eğer zorunluluk hali yoksa bu verilerin tümünü üçüncü bir taraf ile paylaşmamalısınız. Bu verileri paylaşırken olabildiğince sınırlamalı ve minimum veri paylaşmalısınız. Eğer teknik olarak mümkünse, veriyi tamamen anonimleştirip paylaşmanız önerilmektedir. |
| 3. | Özel nitelikli verileri paylaşmak için gerekli tedbirler alındı mı? | Özel nitelikli verilerin üçüncü bir tarafa aktarımında, bu verilerin güvenliğini sağlamak sizlerin sorumluluğundadır. Özel nitelikli verileri paylaşırken her zaman güvenli veri aktarım yöntemlerini tercih etmelisiniz. Örneğin, toplu olarak özel nitelikli kişisel verileri paylaşmanız gereken durumlarda, Bilgi Teknolojileri biriminin yönlendirmeleri doğrultusunda FTP, SFTP gibi güvenli veri aktarım yöntemlerini tercih etmelisiniz. |
Ayrıca, özel nitelikli kişisel verileri paylaştığınız üçüncü taraflar ile “Kişisel Verilerin Aktarılması ve Güvenliğine İlişkin Sözleşme”nin imzalanması gerekmektedir. Özel nitelikli kişisel verileri bir üçüncü taraf ile paylaşmadan önce, kullanılacak metinler ve alınacak diğer uyum aksiyonları için lütfen Hukuk birimi ile iletişime geçiniz.
Kanunda özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde alınması gereken önlemler, Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda (“Karar”) belirlenmişti
Kosifler, özel nitelikli kişisel verilerin güvenliğini sağlamak için Karar’da belirtilen önlemleri almakla yükümlüdür. Bu noktada, aşağıda belirtilen önlemlerin uygulanmasına ilişkin olarak, çalışanların büyük özen göstermesi beklenmektedir:
Çalışanlarımızın özel nitelikli kişisel verilerin işlendiği ve/veya muhafaza edildiği elektronik ortamlarda aşağıdaki tedbirleri almaları gerekmektedir:
Çalışanlarımızın özel nitelikli kişisel verilerin işlendiği ve/veya muhafaza edildiği fiziksel ortamlarda aşağıdaki tedbirleri almaları gerekmektedir:
Belirtilen önlemler dışında da çalışanlarımızın kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin güvenli bir şekilde muhafazasını sağlamak adına Şirket tarafından alınan önlemlere uygunluk göstermeleri gerekmektedir. Ayrıca Çalışanlarımızın ve Veri İşleyenlerimizin, özel nitelikli veriler başta olmak üzere tüm kişisel verileri “Gizli Bilgi” olarak değerlendirmeleri ve üçüncü kişilere izinsiz/hukuka aykırı şekilde paylaşmamaları gerekmektedir.
Kişisel Verileri Koruma Kurulu’nun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti doğrultusunda, eski tip kimlik fotokopilerinin talep edilmesi / alınması ile elde edilen “kan grubu” ve “din hanesi” bilgilerinin işlenmesi hassasiyet teşkil etmektedir. Zira, Kurul bahsi geçen kararında, kimlik fotokopisinde yer alan kan grubu ve din hanesi bilgilerinin özel nitelikli veri olarak değerlendirileceği belirtilmiştir.
İlgili süreç kapsamında kimliğin her iki yüzünün de alınması gerekiyorsa, kimlikteki kan grubu ve din hanesi bilgileri karartılmalı/maskelenmelidir.
Sağlık bilgilerinin özel nitelikli veri olması ve veri güvenliği anlamında hassasiyet taşıması nedeniyle, sağlık verilerinin diğer veri ve kayıtlardan ayrı bir şekilde, kişisel sağlık dosyası şeklinde saklanması gerekmektedir. Söz konusu dosyaların üzerinde “GİZLİ” ibaresi yer almalı ve dosyalar iş yeri hekimi kontrolünde, kilitli dolaplar içerisinde ya da sadece iş yeri hekiminin erişiminin olduğu sistemlerde tutulmalıdır.
Sağlık verisi toplanan tüm süreçlerde, öncelikle bu verinin toplanmasına ilişkin ihtiyacın derecesi değerlendirilmelidir. Eğer süreç için sağlık verisinin toplanması mutlaka zorunlu değil ise, bu veri hiç toplanmamalıdır.
Sağlık bilgisinin toplanmasının zorunlu olduğu süreçlerde ise, öncelikle bu verinin münhasıran işyeri hekimi tarafından işlenmesinin mümkün olup olmadığı değerlendirilmelidir. Örneğin, Şirket tesislerinde çalışacak personellerin bulaşıcı hastalık risk durumlarıyla ilgili bilgileri toplanmak isteniyorsa, kişiler sağlık durumuyla ilgili bilgileri sağlamaları için işyeri hekimine yönlendirilmelidir. İşyeri hekimi çalışandan gerekli bilgileri topladığında, gerekli birimlere çalışanın sağlık durumuyla ilgili bilgi vermeden, “çalışanın tesislere girişi uygundur/değildir” şeklinde sınırlı bilgi verebilir.
Adli sicil kaydı, özel nitelikli (hassas) veri kategorisinde değerlendirilmektedir. Bu veri genellikle kişinin rızası olmadan kullanılamamaktadır.
Adli sicil bilgisi iş süreciniz için mutlaka zorunlu değilse, hiç toplanmamalıdır. Ancak bu belgenin toplanmasına devam edilmek istenildiği durumlarda, riski minimize etmek için aşağıdaki önlemler alınmalıdır:
Tüm kişilerden adli sicil kaydı talep etmek yerine, yalnızca belirli, kritik pozisyonlarda çalışacak kişiler için adli sicil kaydı toplanması değerlendirilebilir. Adli sicil sorgulaması gerekmeyen pozisyonlarda çalışan kişilerden bu belge hiç temin edilmez.
Adli sicil kayıtları kişilerden fiziki ortamda istenip, kontroller sağlandıktan sonra belge kişiye iade edilebilir ve kişilerin dosyalarında ayrıca muhafaza edilmez.
Kişisel verilerinizi yalnızca toplandıkları amacı yerine getirmek için gerekli süre boyunca saklıyoruz ve ilgili sürelerin sona ermesinin sonunda kişisel verilerinizi saklamamız gereken başkaca bir sebep bulunmuyorsa kişisel verilerinizi Kanun’a uygun bir şekilde imha ediyoruz.
Kişisel verilerinizin imha sürelerini belirlerken aşağıdaki kriterleri dikkate alıyoruz:
Kosifler, geçerli mevzuata uygun şekilde işlenmiş olmasına rağmen, işlemiş olduğu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişisel verileri kendi inisiyatifi doğrultusunda ve/veya ilgili kişinin bu yönde bir talebi olması halinde işlenen siler, imha eder veya anonim hâle getirir.
Bu kapsamda Kişisel Veri Saklama ve İmha Politikası hazırlanmıştır. Şirketimizin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda ilgili kişinin talebini yerine getirmeme hakkı saklıdır. Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlendiğinde, veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Şirketimiz, kendisi adına kişisel verileri işlemesi için bir kişi veya kuruluş ile anlaştığında, kişisel veriler bu kişi veya kuruluşlar tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
Şirketimiz, fiziki ve elektronik kayıt ortamlarında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin aktarıldığı süreçlerde güvenli bir şekilde aktarılmasını sağlamak ve kişisel verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirketimiz tarafından alınan tedbirler aşağıdaki şekildedir:
| Teknik Tedbirler | İdari Tedbirler |
|---|---|
|
|
Şirketimiz, işlediği kişisel verilerin güvenliğinin sağlanması, işleme faaliyetlerinin Kanun’a ve ilgili mevzuata uygun olarak yürütülmesi amacıyla gerekli gizlilik önlemlerini almaktadır
Kişisel verilerin Kanun’a ve işbu Politika hükümlerine aykırı şekilde üçüncü kişilere açıklanmaması, işlenme amacının dışında bir amaçla kullanılmaması ve Kanun’a uygun olmayan yollarla başkaları tarafından erişim sağlanmasının engellenmesi adına Şirketimizin kendi teknolojik imkân ve uygulama maliyetleri çerçevesinde tüm teknik ve idari tedbirler alınmaktadır
Şirketimiz ayrıca, elde ettiği kişisel verilere yönelik olarak bir saldırı gerçekleştirilmesi veya başkaca yollarla kişisel verilere erişim sağlanması, kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesi halinde ilgili veri ihlalinin etkilerinin ortadan kaldırılması veya etkilerinin azaltılması için söz konusu durumu başta kişisel verileri yetkisiz kişilerce erişilen veri sahiplerine ve Kurul’a bildirmek üzere Şirket içerisinde gerekli mekanizmaları oluşturmuştur. Bu doğrultuda bir Veri İhlali Müdahale Prosedürü oluşturulmuş ve bu prosedür Şirketimiz bünyesinde görevli çalışanlar ile paylaşılmıştır.
Ayrıca, kişisel verilerin gizliliğinin ve güvenliğinin sağlanması adına, çalışanlarımızın kişisel veri işleme süreçlerine yönelik farkındalıklarının arttırılması ve kişisel veri koruma bilincinin güçlendirilmesine çeşitli farkındalık ve eğitim çalışmaları yürütülmektedir
Kanun’un 11. maddesi “ilgili kişi haklarını” düzenlemektedir. Kişisel verisi Kosifler tarafından işlenen tüm gerçek kişiler, Kanun uyarınca Şirketimize başvurma ve Kanun’da sayılmış yasal haklarını kullanma hakkına sahiptir.
Kanun’un 11. maddesinde sayılan haklara aşağıda yer verilmiştir:
Kanun’un 11. maddesi kapsamındaki haklarınıza ilişkin taleplerinizi;
Taleplerinizi iletmek için ayrıca Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen diğer yöntemleri de tercih edebilirsiniz.
Kosifler veri sorumlusu sıfatına haiz olduğu durumlarda Kanun’un 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.
Kosifler, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca ilgili kişinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir.
Kanun’un 28. maddesi gereğince aşağıdaki hallerin Kanun’un kapsamında olmaması sebebiyle, ilgili kişilerin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, ilgili kişilerin haklarını ileri sürmeleri mümkün olmayacaktır:
Şirketimiz işbu Politika’yı yılda en az bir kes gözden geçirmekte ve gerekli hallerde güncellemektedir. Kanun ve ikincil düzenlemeler ile Kurul kararları olmak üzere ilgili mevzuatta yapılan değişiklikler nedeniyle Politika güncellenmemiş olsa bile, ilgili mevzuatta meydana gelen değişiklikler derhal uygulanacaktır.
Bu Politikaya ve kişisel verilerin işlenmesine ilişkin tüm sorularınız için kvkk@kosifler.com.tr e-posta adresi üzerinden iletişime geçebilirsiniz.
Son güncelleme Tarihi: 16/09/2024
Site deneyiminizi iyileştirmek, içerikleri ve reklamları kişiselleştirmek ve site trafiğini analiz etmek amacıyla çerezler kullanıyoruz. Çerezler hakkında Çerez Politikamızı inceleyebilirsiniz. Kesinlikle gerekli olmayan çerezlerin kullanımına ve çerezler aracılığıyla toplanan kişisel verilerinin yurt dışına aktarılmasına onay vermek için "Kabul Et" butonuna tıklayabilirsiniz.
