KiÅŸisel verilerin korunması, Etap Sigorta Aracılık Hizmetleri Ltd. Åžti.’nin (“Etap Sigorta”) en önemli öncelikleri arasındadır. Bu baÄŸlamda, yürürlükte bulunan baÅŸta 6698 sayılı KiÅŸisel Verilerin Korunması Kanununu (“Kanun”) olmak üzere tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. Ä°ÅŸbu KiÅŸisel Verilerin Korunması ve Ä°ÅŸlenmesi Politikası (“Politika”) çerçevesinde Etap Sigorta, kiÅŸisel veri iÅŸleme faaliyetleri bakımından benimsediÄŸi temel prensipleri açıklanmakta ve böylelikle kiÅŸisel veri sahiplerini bilgilendirerek gerekli ÅŸeffaflığı saÄŸlamaktadır. Bu kapsamdaki sorumluluÄŸumuzun tam bilinci ile kiÅŸisel verileriniz iÅŸbu Politika kapsamında iÅŸlenmekte ve korunmaktadır. Bu Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Etap Sigorta tarafından iÅŸlenen, gerçek kiÅŸilere ait (Ek 1 - KiÅŸisel Veri Sahipleri) tüm kiÅŸisel verilerine iliÅŸkindir. KiÅŸisel verilerin iÅŸlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulama alanı bulacağı kabul edilir. Ä°ÅŸbu Politika, ilgili mevzuat tarafından ortaya konulan kuralları Etap Sigorta uygulamaları kapsamında somutlaÅŸtırılarak düzenlemektedir.
Etap Sigorta, Kanun’un 12. maddesine uygun olarak, kiÅŸisel verilerin hukuka aykırı olarak açıklanmasını, eriÅŸimini, aktarılmasını veya baÅŸka ÅŸekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliÄŸine göre gerekli tedbirleri almaktadır. Bu kapsamda, KiÅŸisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini saÄŸlamaya yönelik teknik ve idari tedbirler alınmakta, denetimler yapılmakta veya yaptırılmaktadır.
Hukuka aykırı olarak iÅŸlenmesi durumunda kiÅŸilerin maÄŸduriyet veya ayrımcılık yaÅŸamasına sebep olma riski nedeniyle özel nitelikli verilere Kanun yoluyla özel bir önem atfedilmiÅŸtir. Bu veriler; ırk, etnik köken, siyasi düÅŸünce, felsefi inanç, din, mezhep veya diÄŸer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Etap Sigorta tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak iÅŸlenen özel nitelikli kiÅŸisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, kiÅŸisel verilerin korunması için Etap Sigorta tarafından alınan teknik ve idari tedbirler, özel nitelikli kiÅŸisel veriler bakımından özenle uygulanmakta ve Etap Sigorta bünyesinde gerekli denetimler saÄŸlanmaktadır.
KiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini, kiÅŸisel verilere hukuka aykırı olarak eriÅŸilmesini önlemeye ve kiÅŸisel verilerin muhafazasını saÄŸlamaya yönelik farkındalığın artırılması için Etap Sigorta çalışanlarında farkındalık oluÅŸması için gerekli eÄŸitimlerin düzenlenmesi saÄŸlanmaktadır. Bu doÄŸrultuda Etap Sigorta, ihtiyaç duyulması halinde danışmanlar ile çalışmakta, ilgili mevzuatın güncellenmesine paralel olarak eÄŸitimlerini güncellemekte ve yenilemektedir.
Etap Sigorta, kiÅŸisel verilerin iÅŸlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kiÅŸisel veriler Etap Sigorta iÅŸ faaliyetlerinin gerektirdiÄŸi ölçüde ve bunlarla sınırlı olarak iÅŸlenmektedir.
Etap Sigorta, kiÅŸisel verilerin iÅŸlendiÄŸi süre boyunca doÄŸru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kiÅŸisel verilerin doÄŸruluÄŸunun ve güncelliÄŸinin saÄŸlanmasına iliÅŸkin gerekli mekanizmaları kurmaktadır.
Etap Sigorta, kiÅŸisel verilerin iÅŸlenme amaçlarını açıkça ortaya koymakta ve yine iÅŸ faaliyetleri doÄŸrultusunda bu faaliyetlerle baÄŸlantılı amaçlar kapsamında iÅŸlemektedir.
Etap Sigorta, kiÅŸisel verileri yalnızca ÅŸirket faaliyetlerinin gerektirdiÄŸi nitelikte ve ölçüde toplamakta olup yalnızca belirlenen amaçlarla sınırlı olarak iÅŸlemektedir.
Etap Sigorta, kiÅŸisel verileri iÅŸlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduÄŸu yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Bu kapsamda, Etap Sigorta öncelikle ilgili mevzuatta kiÅŸisel verilerin saklanması için bir süre öngörülüp öngörülmediÄŸini tespit etmekte, bir süre belirlenmiÅŸse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deÄŸil ise, kiÅŸisel veriler iÅŸlendikleri amaç için gerekli olan süre kadar saklanmaktadır. KiÅŸisel veriler, belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi baÅŸvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleÅŸtirme) ile imha edilmektedir.
KiÅŸisel veri sahibinin açık rıza vermesi haricinde kiÅŸisel veri iÅŸleme faaliyetinin dayanağı aÅŸağıda belirtilen ÅŸartlardan yalnızca biri olabileceÄŸi gibi birden fazla ÅŸart da aynı kiÅŸisel veri iÅŸleme faaliyetinin dayanağı olabilmektedir. Ä°ÅŸlenen verilerin özel nitelikli kiÅŸisel veri olması halinde, iÅŸbu Politikada yer alan düzenlemelere ilave olarak KiÅŸisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı içerisinde yer alan ÅŸartlar uygulanacaktır.
KiÅŸisel verilerin iÅŸlenme ÅŸartlarından biri, veri sahibinin açık rızasıdır. KiÅŸisel veri sahibinin açık rızası, belirli bir konuya iliÅŸkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
AÅŸağıda yer alan kiÅŸisel veri iÅŸleme ÅŸartlarının varlığı durumunda ise veri sahibinin açık rızasına gerek kalmaksızın kiÅŸisel veriler iÅŸlenebilecektir.
Veri sahibinin kiÅŸisel verileri, kanunda açıkça öngörülmekte ise diÄŸer bir ifade ile ilgili kanunda kiÅŸisel verilerin iÅŸlenmesine iliÅŸkin açıkça bir hüküm olması halinde iÅŸbu veri iÅŸleme ÅŸartının varlığından söz edilebilecektir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kiÅŸinin kendisinin ya da baÅŸka bir kiÅŸinin hayatı veya beden bütünlüÄŸünü korumak için kiÅŸisel verisinin iÅŸlenmesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.
Veri sahibinin taraf olduÄŸu bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla, kiÅŸisel verilerin iÅŸlenmesinin gerekli olması halinde iÅŸbu ÅŸart yerine getirilmiÅŸ sayılabilecektir.
Etap Sigortanın hukuki yükümlülüklerini yerine getirmesi için iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
KiÅŸisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Etap Sigorta meÅŸru menfaatleri için veri iÅŸlemesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.
Etap Sigorta, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kiÅŸisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Etap Sigorta, kiÅŸisel verilerin veri sorumlusu olarak verilerin, hangi amaçlarla iÅŸlendiÄŸi, kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ile veri sahiplerinin sahip olduÄŸu hakları konusunda ilgili kiÅŸileri bilgilendirmektedir.
Etap Sigorta hukuka uygun olan kiÅŸisel veri iÅŸleme amaçları doÄŸrultusunda gerekli güvenlik önlemlerini alarak kiÅŸisel veri sahibinin kiÅŸisel verilerini ve özel nitelikli kiÅŸisel verilerini üçüncü kiÅŸilere (üçüncü kiÅŸi ÅŸirketlere, resmi ve özel mercilere, üçüncü gerçek kiÅŸilere) aktarabilmektedir. Etap Sigorta bu doÄŸrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye iÅŸbu Politikanın Ek2 (EK 2 - Etap Sigorta Tarafından KiÅŸisel Verilerin Aktarıldığı Üçüncü KiÅŸiler ve Aktarılma Amaçları) dokümanından ulaşılabilir.
KiÅŸisel veri sahibinin açık rızası olmasa dahi aÅŸağıda belirtilen ÅŸartlardan bir ya da birkaçının mevcut olması halinde Etap Sigorta tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler dahil olmak üzere gerekli tüm güvenlik önlemleri alınarak kiÅŸisel veriler üçüncü kiÅŸilere aktarılabilecektir.
Yukarıdakilere ek olarak kiÅŸisel veriler, Kurul tarafından yeterli korumaya sahip olduÄŸu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki ÅŸartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım ÅŸartları doÄŸrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiÄŸi ve Kurul’un izninin bulunduÄŸu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun BulunduÄŸu Yabancı Ülke”) aktarılabilecektir.
KiÅŸisel veriler, Kanun’un 10. maddesi uyarınca ilgili kiÅŸiler bilgilendirilerek, iÅŸleme amaçları doÄŸrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kiÅŸisel veri iÅŸleme ÅŸartlarından en az birine dayalı ve sınırlı olarak, Kanun’un 4. Maddesi baÅŸta olmak üzere Kanun’da belirtilen genel ilkelere uygun bir ÅŸekilde iÅŸlenmektedir. Ä°ÅŸbu Politikada belirtilen amaçlar ve ÅŸartlar çerçevesinde, iÅŸlenen kiÅŸisel veri kategorilerine Politikanın Ek3’ünde (EK 3 -KiÅŸisel Veri Kategorileri), kiÅŸisel verilerin iÅŸleme amaçlarına iliÅŸkin bilgilere Politikanın Ek4’ünde (EK 4 -KiÅŸisel Veri Ä°ÅŸleme Amaçları”) yer verilmiÅŸtir.
Etap Sigorta, kiÅŸisel verileri iÅŸlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduÄŸu yasal mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Etap Sigorta öncelikle ilgili mevzuatta kiÅŸisel verilerin saklanması için bir süre öngörülüp öngörülmediÄŸini tespit etmekte, bir süre belirlenmiÅŸse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deÄŸil ise kiÅŸisel veriler iÅŸlendikleri amaç için gerekli olan süre kadar saklanmaktadır. KiÅŸisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi baÅŸvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleÅŸtirme) ile imha edilmektedir. KiÅŸisel verilerin saklanması ve imhasına yönelik olarak Etap Sigorta KiÅŸisel Verileri Saklama ve Ä°mha Politikası uygulanır.
KiÅŸisel veri sahipleri, aÅŸağıda sayılan haklarına iliÅŸkin taleplerini Kurul’un belirlemiÅŸ olduÄŸu yöntemlerle www.etapsigorta.com.tr adresinde bulunan BaÅŸvuru Formu vasıtasıyla Etap Sigorta’ya iletebileceklerdir. KiÅŸisel veri sahipleri aÅŸağıda yer alan haklara sahiptirler.
Etap Sigorta, kiÅŸisel veri sahibi tarafından yapılacak baÅŸvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
KiÅŸisel veri sahibinin, bölüm 6.1.’de yer alan haklara iliÅŸkin talebini usulüne uygun olarak Etap Sigorta’ya iletmesi durumunda, talebin niteliÄŸine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talep ücretsiz olarak sonuçlandıracaktır. Ancak, iÅŸlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir. Bu konuda Kanun hükümleri ile birlikte Ä°lgili KiÅŸinin Veri Sorumlusuna BaÅŸvurusuna ve BaÅŸvurunun Yanıtlanmasına Ä°liÅŸkin Prosedür uygulanır.
Etap Sigorta tarafından firma içinde ve çevresinde güvenliÄŸin saÄŸlanması amacıyla yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kiÅŸisel veri iÅŸleme ÅŸartlarına uygun olarak güvenlik kamerası izleme ve kayıt altına alma faaliyetinde bulunmaktadır.
Kanun’un 10. maddesine uyarınca, kamera ile izleme ve kayıt altına alma faaliyeti hususunda kiÅŸisel veri sahipleri aydınlatılmaktadır. Etap Sigorta tarafından video kamera ile izleme ve kayıt altına alma faaliyetinin sürdürülmesindeki amaç, iÅŸbu Politikada sayılan amaçlarla sınırlıdır. Bu doÄŸrultuda, güvenlik kameralarının izleme ve kayıt altına alma alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaÅŸmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. KiÅŸinin mahremiyetine güvenlik amaçlarını aÅŸan ÅŸekilde müdahale sonucu doÄŸurabilecek alanlarda (örneÄŸin, tuvaletler) izlemeye tabi tutulmamaktadır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Etap Sigorta çalışanının eriÅŸimi bulunmaktadır. Kayıtlara eriÅŸimi olan sınırlı sayıda kiÅŸi gizlilik taahhütnamesi ile eriÅŸtiÄŸi verilerin gizliliÄŸini koruyacağını beyan etmektedir.
Çalışanların adli sicil kaydı ve saÄŸlık bilgileri, özel nitelikli kiÅŸisel veri olarak kabul edilmektedir. Özel nitelikli kiÅŸisel veriler hakkında iÅŸbu Politikada yer alan düzenlemelere ilave olarak KiÅŸisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (Ek 5 - Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler) hükümleri uygulanır.
Çalışan ile ilgili özel nitelikli kiÅŸisel veriler, Etap Sigorta olanakları elverdiÄŸi oranda, yetkisiz eriÅŸimlerden korumak ve daha yüksek güvenlik saÄŸlamak adına, diÄŸer kiÅŸisel verilerden ayrı olarak saklanmaktadır. Etap Sigorta, bu verileri mümkün olan en dar kapsamda iÅŸlemeye özen göstermektedir. Bu verilerin iÅŸlenmesi gereken durumlarda, bu iÅŸlemeyi gerçekleÅŸtirmek amacıyla yetkilendirilen kiÅŸilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.
Çalışan ile ilgili kiÅŸisel verilere eriÅŸim sadece gerekli olması durumunda bu konuda yetkilendirilmiÅŸ Etap Sigorta çalışan(lar)ı tarafından gerçekleÅŸtirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede saÄŸlık verileri açıklanabilir.
Ä°ÅŸbu Politika, Etap Sigorta kanuni temsilcisi tarafından onaylanır ve yürürlüÄŸe girer. Tüm çalışanlara ve kamuya duyurulmak üzere internet sitesinde yayımlanır, kâğıt nüshası Etap Sigorta nezdinde saklanır. Ä°ÅŸbu Politika, tüm iÅŸ birimleri, danışmanlar, dış hizmet saÄŸlayıcıları ve kiÅŸisel veri iÅŸleyen herkes için baÄŸlayıcı olacaktır.
Etap Sigorta, Kanun’da yapılan deÄŸiÅŸiklikler, Kurul kararları, sektördeki ya da biliÅŸim alanındaki geliÅŸmeler doÄŸrultusunda iÅŸbu KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikasında deÄŸiÅŸiklik yapma hakkını saklı tutar. Ä°ÅŸbu Politikada yapılan deÄŸiÅŸiklikler derhal metne iÅŸlenir ve deÄŸiÅŸikliklere iliÅŸkin açıklamalar politikanın sonunda açıklanır.
Politikanın gereklerinin çalışanlar tarafından yerine getirilmesinde sorumluluk iÅŸverene aittir. Politikaya aykırı davranış tespit edildiÄŸinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kiÅŸisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, iÅŸveren tarafından yapılacak deÄŸerlendirme sonrasında gerekli idari iÅŸlem yapılacaktır.
| KiÅŸisel Veri Sahibi Kategorisi | Açıklama |
| Çalışan | Etap Sigortada sözleÅŸme ile çalışan gerçek kiÅŸi |
| Hissedar | Etap Sigorta hisselerine sahip gerçek kiÅŸi |
| Tedarikçi | Etap Sigorta ile yürüttüÄŸü faaliyetler çerçevesinde her türlü mal ve hizmet tedariki sunan kurum ve kuruluÅŸların hissedarı, yetkilisi ve çalışanı olan gerçek kiÅŸiler |
| Ürün veya Hizmet Alan KiÅŸi | Etap Sigorta ile herhangi bir sözleÅŸme iliÅŸkisi olup olmadığına bakılmaksızın Etap Sigortanın sunduÄŸu mal ve hizmetler kapsamında kiÅŸisel verileri elde edilen gerçek kiÅŸiler ile tüzel kiÅŸi müÅŸterilerin çalışanları veya yetkilileri |
| Potansiyel Ürün veya Hizmet Alıcısı | Etap Sigortanın sunduÄŸu mal ve hizmetler kapsamında kendisine teklif vermek amacıyla kiÅŸisel verileri elde edilen gerçek kiÅŸiler ile tüzel kiÅŸi müÅŸterilerin çalışanları veya yetkilileri |
| Ziyaretçi | Etap Sigortanın sahip olduÄŸu fiziksel yerleÅŸkelere çeÅŸitli amaçlarla girmiÅŸ olan gerçek kiÅŸiler ile web sitesini ziyaret eden gerçek kiÅŸiler |
| DiÄŸer | Bankacı, Ciranta, Doktorvb. diÄŸer 3. gerçek kiÅŸiler |
Etap Sigorta, Kanun’un 8. ve 9. maddelerine uygun olarak iÅŸbu Politika ile yönetilen veri sahiplerinin kiÅŸisel verilerini, gerçek kiÅŸiler veya özel hukuk tüzel kiÅŸilerine ve yetkili kamu kurum ve kuruluÅŸlarına aÅŸağıda belirtilen kapsam ve amaçlarla aktarabilir.
| Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
| Gerçek kiÅŸiler veya özel hukuk tüzel kiÅŸileri | Ticari faaliyetlerini yürütürken sözleÅŸme temelli olarak Etap Sigortaya mal ve hizmet sunan taraflardır. | Dış kaynaklı olarak ve ticari faaliyetlerini yürütmek üzere mal ve hizmet saÄŸlamak amacıyla sınırlı olarak |
| Yetkili Kamu Kurum ve KuruluÅŸları | Ä°lgili mevzuat hükümlerine göre Etap Sigortadan bilgi ve belge almaya yetkili kamu kurum ve kuruluÅŸlarıdır. | Ä°lgili kamu kurum ve kuruluÅŸlarının hukuki yetkisi dahilinde talep ettiÄŸi amaçla sınırlı olarak |
| KiÅŸisel Veri Sahibi Kategorisi | Açıklama |
| Kimlik | Ad-soyad, T.C./vergi kimlik numarası, uyruk bilgisi, doÄŸum yeri, doÄŸum tarihi, cinsiyet, medeni durum, iÅŸyeri bilgisi, SGK/Kurum sicil numarası vb. bilgiler ile ehliyet, nüfus cüzdanı ve pasaport gibi belgeler üzerindeki bilgiler. |
| İletişim | Telefon numarası, adres, e-posta adresi, faks numarası vb. bilgiler. |
| Fiziksel Mekân GüvenliÄŸi | Kamera kaydı. |
| MüÅŸteri Ä°ÅŸlem | Fatura, senet, çek, dekont bilgileri, araç bilgisi (marka, model, motor ÅŸasi no, ruhsat bilgileri vb.), seyahat bilgisi (nakliyat, güzergâh bilgisi vb.) |
| Finans | Banka hesap bilgileri, IBAN numarası, gelir bilgisi, tapu vb. mal varlığı bilgileri, banka hesap hareketleri, kredi kartı bilgileri vb. |
| Görsel ve Ä°ÅŸitsel Kayıtlar | FotoÄŸraf |
| Özlük | Ä°ÅŸe baÅŸlama tarihi, izin baÅŸlangıç-bitiÅŸ tarihi, ücret hesap pusulası, özlük dosyasına iliÅŸkin tutanaklar vb. |
| Hukuki Ä°ÅŸlem | Ä°mza, imza sirküleri, vekaletname bilgileri, mahkeme ve idari merci kararları vb. |
| Mesleki Deneyim | ÖÄŸrenim ve meslek bilgileri. |
| Özel Nitelikli KiÅŸisel Veriler | Din bilgisi, saÄŸlık bilgisi(boy-kilo bilgileri, kan grubu, muhtelif saÄŸlık raporları, tetkik, tanı, reçete, engel durumu vb. bilgiler), ceza mahkumiyeti ve güvenlik tedbirleri bilgisi. |
| DiÄŸer Bilgiler | Ä°mza |
| KiÅŸisel Veri Ä°ÅŸleme Amaçları |
| Çalışan adayı/stajyer seçme ve yerleÅŸtirme süreçlerinin yürütülmesi |
| Çalışanlar Ä°çin Ä°ÅŸ Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
| Çalışanlar Ä°çin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi |
| Faaliyetlerin Mevzuata Uygun Yürütülmesi |
| Finans ve Muhasebe Ä°ÅŸlerinin Yürütülmesi |
| Fiziksel Mekân GüvenliÄŸinin Temini |
| Hukuk Ä°ÅŸlerinin Takibi ve Yürütülmesi |
| Ä°ÅŸ Faaliyetlerinin Yürütülmesi/Denetimi |
| Lojistik Faaliyetlerinin Yürütülmesi |
| Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi |
| Mal/Hizmet Satış Süreçlerinin Yürütülmesi |
| Reklam/kampanya/promosyon Süreçlerinin Yürütülmesi |
| Saklama ve ArÅŸiv Faaliyetlerinin Yürütülmesi |
| SözleÅŸme Süreçlerinin Yürütülmesi |
| Ürün/hizmet Pazarlama Süreçlerinin Yürütülmesi |
| Yetkili KiÅŸi/kurum ve KuruluÅŸlara Bilgi Verilmesi |
Karar Tarihi : 31/01/2018 Karar No : 2018/10 Konu Özeti : “Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüÅŸülmesi.
Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen ÅŸekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliÄŸi ile karar verilmiÅŸtir.
6698 sayılı KiÅŸisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kiÅŸisel verilerin iÅŸlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması ÅŸarttır.” hükmü yer almaktadır. Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kiÅŸisel veri iÅŸleyen veri sorumluları tarafından alınması gereken yeterli önlemler KiÅŸisel Verileri Koruma Kurulu tarafından aÅŸağıdaki ÅŸekilde belirlenmiÅŸtir: 1- Özel nitelikli kiÅŸisel verilerin güvenliÄŸine yönelik sistemli, kuralları net bir ÅŸekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi, 2- Özel nitelikli kiÅŸisel verilerin iÅŸlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna baÄŸlı yönetmelikler ile özel nitelikli kiÅŸisel veri güvenliÄŸi konularında düzenli olarak eÄŸitimler verilmesi, b) Gizlilik sözleÅŸmelerinin yapılması, c) Verilere eriÅŸim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, ç) Periyodik olarak yetki kontrollerinin gerçekleÅŸtirilmesi, d) Görev deÄŸiÅŸikliÄŸi olan ya da iÅŸten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, 3- Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi ortamlar, elektronik ortam ise a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, c) Veriler üzerinde gerçekleÅŸtirilen tüm hareketlerin iÅŸlem kayıtlarının güvenli olarak loglanması, ç) Verilerin bulunduÄŸu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, d) Verilere bir yazılım aracılığı ile eriÅŸiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, e) Verilere uzaktan eriÅŸim gerekiyorsa en az iki kademeli kimlik doÄŸrulama sisteminin saÄŸlanması, 4- Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi ortamlar, fiziksel ortam ise a) Özel nitelikli kiÅŸisel verilerin bulunduÄŸu ortamın niteliÄŸine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, b) Bu ortamların fiziksel güvenliÄŸinin saÄŸlanarak yetkisiz giriÅŸ çıkışların engellenmesi, 5- Özel nitelikli kiÅŸisel veriler aktarılacaksa a) Verilerin e-posta yoluyla aktarılması gerekiyorsa ÅŸifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle ÅŸifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleÅŸtiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleÅŸtirilmesi, ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kiÅŸiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir. 6- Yukarıda belirtilen önlemlerin yanı sıra KiÅŸisel Verileri Koruma Kurumunun internet sitesinde yayımlanan KiÅŸisel Veri GüvenliÄŸi Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
