ERGİN SİGORTA ARACILIK HİZMETLERİ LTD. ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
GİRİŞ
Ergin Sigorta Aracılık Hizmetleri Ltd. Şti. (“Ergin Sigorta” ya da “Şirket”) olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya ‘‘Kanun”) çerçevesinde ticari faaliyetlerimizi yerine getirirken işlediğimiz kişisel verilerin korunmasına ve bu çerçevede var olan yükümlülüklerimizi yerine getirmeye özen göstermekteyiz.
Bu doğrultuda, işbu Kişisel Verilerin Korunması Politikası (“Politika”), kişisel verilerin Şirket tarafından işlenmesi yani: toplanması, kullanılması, paylaşılması ve saklanması süreçleri ve prensipleri hakkında Şirket tarafından kişisel verileri işlenen ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da yer verilen kişisel verilerin işlenmesine ilişkin esaslar Şirket çalışanlarımızı ve çalışan adaylarını, müşterileri, tedarikçilerimiz ile ziyaretçilerimizi ve Şirket ile ilişki içinde bulunan diğer gerçek kişileri kapsamaktadır.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR
TANIMLAR
İşbu Politika’da yer verilen;
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Kanun veya KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade etmektedir.
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Şirket, kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, Şirket tarafından kişisel veriler işlenirken Kanun’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.
- Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, Şirket veri işleme faaliyetlerini başta Türkiye Cumhuriyeti Anayasası ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kuralının gerektirdiği sınırlar içinde yürütmektedir.
- Doğru ve gerektiğinde güncel olma: Şirket işlediği kişisel verilerin doğru ve güncel olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla ilgili kişilere gerekli veri güncelleme imkânları tanımaktadır.
- Belirli, açık ve meşru amaçlar için işlenme: Şirket yalnızca açıkça belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca ilgili kişilerle kurulan ilişkilerle bağlantılı ve gerekli olması halinde kişisel veri işlemektedir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmektedir. İhtiyaç duyulmayan kişisel verilerin işlenmesinden ise kaçınılmaktadır.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veyahut işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda Şirket, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirket tarafından kişisel veriler aşağıda belirtilen şartlara uygun olarak işlenmektedir:
Kanun’da sayılan diğer işlenme şartlarının var olduğu haller hariç tutulmak üzere, Şirket ancak ilgili kişilerin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki işlenme şartlarından herhangi birinin varlığı durumunda ise, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilmektedir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
İlgili kişiler açısından korunmasının daha kritik önem teşkil ettiği özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, ilgili kişilerin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın da işlenmektedir. Ayrıca, sağlık ve cinsel hayata ilişkin veriler de yeterli önlemlerin alınması şartıyla ve aşağıda sayılan amaçlar dâhilinde ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rıza alınmaksızın işlenebilmektedir:
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
Bu çerçevede, Şirket’in ticari faaliyetlerini yürütebilmesi için ilgili kişinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için hazırlanan açık rıza metinleri ilgili kişilerden açık rıza temin edebilmek amacıyla kullanılmaktadır.
İŞLENEN KİŞİSEL VERİ KATEGORİLERİ, İŞLENME AMAÇLARI
Şirket işbu Politika’nın İşlenen Kişisel Veri Kategorileri Listesi başlıklı ekinde listelenen veri kategorilerine dahil olan kişisel verileri aşağıda listelenen amaçlarla işlemektedir:
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
- Çalışan adayı seçme ve yerleştirme süreçlerinin yürütülmesi,
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
- Eğitim faaliyetlerinin yürütülmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Fiziksel mekan güvenliğinin temini,
- Hukuk işlerinin takibi ve yürütülmesi,
- İletişim faaliyetlerinin yürütülmesi,
- İş faaliyetlerinin yürütülmesi/denetimi,
- İş sağlığı/güvenliği faaliyetlerinin yürütülmesi,
- Mal/hizmet satış süreçlerinin yürütülmesi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Yönetim faaliyetlerinin yürütülmesi
Yukarıda belirtilen işlenme amaçları dışında, Şirket’in gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için başkaca amaçlar kapsamında da kişisel veri işlenmesi söz konusu olabilecektir. Bu gibi durumlarda Şirket tarafından periyodik aralıklarla işbu Politika’da yer alan işlenme amaçları güncellenecektir.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Toplanan kişisel veriler, Şirket’in ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Kişisel veri işleme faaliyetleri kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak Kanun başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuat uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya saklanması zorunlu tutulan haller hariç tutulmak üzere; kişisel verilerin işlenme amaçlarının sona ermesi durumunda saklamanın devamı için başkaca meşru bir sebep bulunmaması halinde, Şirket tarafından işbu Politika’ya uygun olarak hazırlanan Şirket Kişisel Veri Saklama ve İmha Politikası çerçevesinde re’sen yahut http://www.nazarrenault.com/ilgili-kisi-basvuru-form linkinde bulunan İlgili Kişi Başvuru Formu aracılığıyla ilgili kişilerin talebi üzerine işlenmekte olan veriler imha edilecektir. Kişisel verilerin çeşitli yöntemler vasıtasıyla silinmesi durumunda, bu veriler takip eden zamanda Şirket Saklama ve İmha Politikası’na uygun olarak tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde yok edilecektir.
KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE AKTARILMASI
Şirket özel nitelikli kişisel veriler de dahil olmak üzere, kişisel verilerin üçüncü kişilerle paylaşılması hususunda, Kanun’da düzenlenen şartlara uymaktadır. Şirket tarafından işlenen kişisel verilerin paylaşıldığı kişi gruplarına Politika’nın Kişisel Verilerin Paylaşıldığı Kişi Grupları Listesi başlıklı ekinden ulaşabilirsiniz.
Bu çerçevede, kişisel veriler, Şirket tarafından ilgili kişinin açık rızası temin edilmeksizin üçüncü kişilere aktarılmamaktadır. Ancak, Kanun’da öngörülen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler ilgili kişinin açık rızası temin edilmeksizin de aktarılabilecektir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amaçlarıyla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.
ERGİN SİGORTA’NIN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kanun’un aydınlatmaya ilişkin yükümlükleri düzenleyen ilgili hükümleri kapsamında, ilgili kişilerin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde Şirket’in ilgili kişilere ilettiği bilgiler aşağıdaki gibidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un ilgili hükümlerinde[1] sayılan diğer haklar.
Şirket, kişisel verilerin işlendiği her durumda aydınlatma yükümlülüğünü yerine getirmektedir. Bu amaçla, Şirket Genel Aydınlatma Beyanı ile süreç ve ilgili kişi kategorisi bazında, ilgili mevzuat ve Kurul’un resmi web sitesinde yayımlanan rehberlere de uygun olacak şekilde hazırlanan aydınlatma beyanlarını uygulamaya koymuştur.
Öte yandan, Kanun’un istisnaları düzenleyen ilgili maddesi çerçevesinde, aşağıdaki hallerde Şirket’in aydınlatma yükümlülüğü bulunmayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Şirket kişisel verilerin ilgili kişiden elde edilmediği durumlarda kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel veriler ilgili kişi ile iletişim amacıyla kullanılıyorsa en geç ilgili kişiyle ilk iletişim kurulduğunda, kişisel verilerin aktarılacak olması durumunda ise en geç kişisel verilerin aktarılacağı esnada aydınlatma yükümlülüğünü yerine getirmektedir.
İLGİLİ KİŞİLERİN HAKLARI
Şirket tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, Kanun’un ilgili kişilerin haklarının düzenlendiği ilgili maddesi uyarınca ilgili kişiler için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun’un kişisel verilerin imhasının düzenlendiği ilgili maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İlgili kişiler, yukarıda sayılan haklarını, http://www.nazarrenault.com/ilgili-kisi-basvuru-form linkinde bulunan İlgili kişi Başvuru Formu’nu ilgili formda belirtilmiş olan sair yollar ile tarafımıza ileterek kullanabilirler. Formun doldurulması ve Şirket’e gönderilmesi hakkında detaylı bilgiler başvuru formunda yer almaktadır. Şirket, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili kişiye ulaştıracaktır.
Şirket, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirket tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, ilgili kişilerin taleplerinin sonuçlandırılması sürecinde, Şirket tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.
Öte yandan, Kanun’un istisnalarının düzenlendiği ilgili maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, Kanun’un ilgili kişilerin haklarının düzenlendiği maddesinde sayılan yukarıdaki haklar aşağıdaki durumlarda kullanılamayacaktır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEDBİRLER
Şirket Kanun’un veri güvenliğine ilişkin maddesi kapsamında kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Şirket’in bu kapsamda aldığı önlemler aşağıda sayılmıştır:
İdari Tedbirler:
Şirket idari tedbirler kapsamında;
- Şirket içinde “gerekli olmadıkça kişisel veriler ile bağlantılı tüm işlemler yasaktır.” prensibinin uygulanması için gerekli önlemleri alır. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından edilmemesi için gerekli tedbirleri alır, ilgili kişisel verilerin elde edilmesi hâlinde ise hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli güncel eğitimleri verir.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir ve bu hususta, kişisel verilerin özel nitelikli veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliğini ve niceliğini de dikkate alır.
- İşlenen kişisel verilerin güncelliğini düzenli aralıklarla kontrol eder, ihtiyaç duyulmayan kişisel verileri ise saklama ve imha politikası kapsamında güvenli bir şekilde imha eder.
Teknik Tedbirler:
Şirket teknik tedbirler kapsamında;
- Kişisel veri güvenliğinin takibi amacı ile kurulan sistemler kapsamında gerekli iç kontrolleri yapar ve kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerini geliştirir.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar. Siber güvenliğin (ağ güvenliği, uygulama güvenliği, anti-virüs sistemleri de dâhil olmak üzere) sağlanması için gerekli yazılımların mevcut ve güncel olmasını sağlar. Hukuka aykırı işleme tespiti halinde ilgili kişiye ve Kurul’a bildirim yapılabilmesi için gerekli sistem ve altyapı oluşturulur.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır. Fiziksel ortamlarda saklanan kişisel veriler için ise gerekli fiziksel güvenlik önlemleri alır ve giriş-çıkış kayıtları düzenler.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
- Güvenli kayıt tutma (loglama) sistemleri kullanılır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER NEZDİNDE ALINAN İDARİ VE TEKNİK TEDBİRLER
İlgili kişiler açısından korunması daha kritik önem teşkil eden özel nitelikli kişisel verilerin işlenmesinde Şirket tarafından hassasiyet gösterilmektedir. İşbu Politika’nın Kişisel Verilerin İşlenme Şartları başlıklı bölümünde sayılmış olan işlenme şartları dâhilinde ve yeterli önlemlerin alınması koşuluyla özel nitelikli kişisel verilerin üçüncü kişilere aktarılabilmesi de mümkün olacaktır.
İşbu Politika’da kişisel verilere ilişkin olarak öngörülen idari ve teknik tedbirlere ek olarak,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeler sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
- Verilere uzaktan erişim gerektiği durumlarda en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda ise;
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmakta,
- Bu ortamların fiziksel güvenliğin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler üçüncü kişilere aktarılacaksa;
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa veri aktarımı sunucular arasında VPN kurularak veya FTP yöntemiyle gerçekleştirilmekte,
Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
GÖRÜNTÜ KAYITLARININ İŞLENMESİ
Şirket tarafından, Şirket tesis ve işletmelerinin genel ve ticari güvenliğinin temin edebilmesi ve benzeri amaçlarla, Kanun’da öngörülen ve işbu Politika’da yer verilen temel ilkelere uygun olarak, ziyaretçilerin, çalışanların ve diğer ilgili kişilerin ses ve görüntü kaydı alınmakta ve bu kayıtlar işlenme amaçlarına uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır (bkz.“Kişisel Verilerin Saklanması ve İmhası” bölümü).
Ses ve görüntü kaydı alınan yerlerde, ilgili kişilerin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Şirket tarafından kişisel verilerin korunmasına ilişkin olarak Kanun başta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek olduğu yerlerde görüntüleme yapılmamaktadır.
DİĞER HUSUSLAR
- Kanun ve diğer ilişkili mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle Kanun ve diğer ilişkili mevzuat hükümleri uygulanacaktır.
- Şirket tarafından hazırlanan işbu Politika 02/01/2020 tarihinde yürürlüğe girmiştir. İşbu Politika’da değişiklik olması durumunda, Politika yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Bahse konu olan güncellemeler işbu Politika’nın Güncelleme Tablosu başlıklı ekinden takip edilebilecektir.
Ergin Sigorta Aracılık Hizmetleri Ltd. Şti.
[1] a) Bknz. İşbu Politika’nın İlgili Kişinin Hakları başlıklı bölümü