İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Etap Sigorta Aracılık Hizmetleri Ltd. Şti.(“Etap Sigorta”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat uyarınca saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Etap Sigorta tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Etap Sigorta nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbirsurette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Etap Sigorta personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Etap Sigortaile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi:Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha:Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik: 8.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Etap Sigorta tarafından belirlenen irtibat kişisi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Verileri Saklama ve İmha Politikasına uygun olarak işlenmesi, saklanması ve imha edilmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Bu bağlamda İrtibat kişisi, Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Verileri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek, ilgili kişilerin başvurularının incelenmesi ve değerlendirilmesi, saklama ve imha süreçlerinin yürütülmesi ve denetiminin yapılması ve tüm iş ve işlemlerin gerektiğinde Şirket yönetimine raporlanmasından sorumludur.
Ayrıca İrtibat Kişisi, alınmakta olan teknik ve idari tedbirlerin Etap Sigorta çalışanları tarafından gereği gibi uygulanması, bölüm çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında aktif rol üstlenir.
Kişisel veriler, Etap Sigorta tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Etap Sigorta tarafından; çalışanlar, müşteriler, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunanlar gibi üçüncü kişilerin, şirket ve kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
4.1 Saklamaya ve İmhaya İlişkin Genel İlkeler
İlgili kişilere ait kişisel veriler, Etap Sigorta tarafından özellikle (i) Etap Sigorta faaliyetlerinin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Saklamayı gerektiren sebepler aşağıdaki gibidir:
Etap Sigorta bünyesinde tutulan kişisel veriler, Kanun ve Etap Sigorta Kişisel Verilerin İşlenmesi ve Korunması Politikası (İlgili politikaya web sitesinden ulaşılabilir.) uyarınca, burada belirtilen amaç ve nedenlerle ilgili mevzuatta öngörülen süre kadar saklanmaktadır.
Kişisel veriler;
durumlarında, Etap Sigorta tarafından yahut ilgili kişinin talebi üzerine, açık rızanın geri alınması halinde ilgili kişinin talebinin kabulü tarihinden itibaren silinir, yok edilir veya anonim hale getirilir.
Etap Sigorta tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır.
Etap Sigorta tarafından tespit edilen saklama ve imha süreleri, ilgili mevzuat hükümlerine dayanmaktadır. Söz konusu saklama süresinin bitimini takip eden ilk periyodik imha süresinde imhası gerçekleştirilmektedir.
İş Kanunu, SGK kapsamında saklanılan veriler ve iş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlarda yer alan kişisel veriler, çalışan ile iş ilişkisinin sona ermesine müteakip 10 yıl sonra, Türk Ticaret Kanunu kapsamında saklanılan veriler, ilgili evrak tarihinin bir sonraki yılından itibaren 10 yıl sonra silinir. İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması durumunda kişisel veri, dava zaman aşımı müddeti bitimini takip eden ilk periyodik imha süresinde imha edilir.
Etap Sigortanın ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği kişisel veri için mevzuatta öngörülen saklama süresinden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin belirtilen sürelerden fazla saklanmasını gerektiriyorsa, yukarıda belirtilen süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Yönetmeliğin 11. maddesi gereğince Etap Sigorta, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Etap Sigorta nezdinde her yıl Ocak ve Temmuz aylarının son gününe kadar periyodik imha işlemi gerçekleştirilir.
Saklama süresi dolan kişisel veriler, yukarıdaki tabloda yer alan imha süreleri çerçevesinde, belirlenen periyodlarla işbu Politikada yer verilen usullere uygun olarak silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
İlgili kişi, Etap Sigortaya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Talep edildiğinde ilgili kişinin;
Her durumda talebin kabulü, kısmen kabulü veya ret kararlarına ilişkin cevaplar en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda ilgili kişiye bildirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Etap Sigorta tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.
Etap Sigorta, idari tedbirler kapsamında;
Etap Sigorta teknik tedbirler kapsamında;
Etap Sigorta tarafından kullanılan silme, yok etme ve anonim hale getirme tekniklerine aşağıda yer verilmiştir.
Karartma: Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Yazılımdan güvenli olarak silme: Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.
Fiziksel yok etme: Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
De-manyetize etme: Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.
Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.
Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Alt ve üst sınır kodlama / Global kodlama: Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.
Mikro birleştirilme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
Veri karma ve bozma: Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
İşbu Politika, Etap Sigorta kanuni temsilcisi tarafından onaylanır. Tüm çalışanlara duyurularak yürürlüğe girer ve yürürlüğü itibarıyla tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
İşbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, www.etapsigorta.com.tr internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Etap Sigorta nezdinde saklanır.
Etap Sigorta, Kanun’da yapılan değişiklikler, Kurul kararları, sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi, işverenin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kişisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, işveren tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.