BIO LEA’S
LEA KOZMETİK SANAYİ TİCARET A.Ş.
Kişisel Verilerin Korunması ve İşlenmesi Politikası
- GİRİŞ
LEA KOZMETİK SANAYİ TİCARET A.Ş. (“BIO LEA’S” veya “Şirket”) olarak müşterilerimizin, iş ortaklarımızın ve Şirketimizin çalışanları dışında Şirketimiz ile ilişkili tüm şahısların kişisel verilerini Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 7 Nisan 2016 tarihli Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) ve Kanun çerçevesinde yayımlanan ilgili yönetmelikler dâhil olmak üzere ilgili mevzuat kapsamında; güvence altına almak ve işlemek hususlarına azami hassasiyet göstermekteyiz. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda (“Politika”) Şirketimiz tarafından gerçekleştirilen kişisel veri faaliyetlerine ilişkin detaylı bilgiler, Şirketimizin kişisel verilerin korunması kapsamında benimsediği ilkeler ve ilgili mevzuata uyum açısından almış olduğu tedbirler açıklanmaktadır.
İnternet sitesinde yer alan çerez uygulamasına ilişkin ayrıntılar ise [__] linkinde yer alan BIO LEA’S Çerez Aydınlatma Metni ve Politikası altında yer almaktadır.
İşbu Politika kapsamında kullanılan kavramlara ilişkin tanımlara EK-1’de yer verilmektedir.
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz 6698 sayılı Kanun’un veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesi ve Kişisel Verileri Koruma Kurulu’nun (“KVK Kurulu”) yayımladığı rehber ve KVK Kurulu kararları ile uyumlu bir şekilde (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, iii) kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
BIO LEA’S ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle özel nitelikli kişisel verilerin de korunması bakımından da azami hassasiyet göstermekte olup bu konuda gerekli tüm teknik ve idari tedbirleri almakta, yükümlülüklerini yerine getirmektedir.
BIO LEA’S’ın Veri Sorumlusu olarak kişisel verilerin koruması konusunda aşağıdaki hususlardan sorumludur:
- Veri sahiplerinin 6698 Sayılı Kanun’un 10’ncu maddesine uygun şekilde aydınlatılması ve 11’nci maddesine göre sahip olduğu hakların kullandırılması. (6698 Sayılı Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla BIO LEA’S’In aydınlatma yükümlülüğü, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarına ilişkin BIO LEA’S’ın yükümlülükleri aşağıdaki hâllerde uygulanmayacaktır: (i) kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. (ii) veri sahiplerinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.)
- Kişisel verilerin işbu Politika’ya ve 6698 Sayılı Kanun ve ilgili diğer mevzuata aykırı işlenmesinin, erişilmesinin ve muhafaza edilmesinin önlenmesi ve bu verilerin korunması için gereken her türlü teknik ve idari önlemin alınması.
- Kişisel verilerin Veri Sorumlusu adına bir Veri İşleyen tarafından işlenmesini gerektiren durumların bulunması halinde, kişisel verilerin korunması açısından gereken teknik ve idari tedbirlere sahip bir Veri İşleyen ile çalışılması.
- Bu politika ve ilgili mevzuata BIO LEA’S içerisinde uyulduğundan emin olmak için gerekli denetimlerin yapılması veya yaptırılması.
- İşlenen kişisel verilerin mevzuata aykırı olarak ifşa edildiğinin ve/veya yetkisiz kişiler tarafından elde edildiğinin tespit edilmesi halinde, 6698 Sayılı Kanun ve ilgili diğer mevzuat uyarınca İlgili Kişinin, Kurulun ve/veya ilgili diğer resmi mercilerin bilgilendirilmesi.
- KVK Kurulu’nun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit etmesi ve hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vermesi durumunda, tebliğ edilen KVK Kurulu kararının tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi.
- Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolunması ve bu kaydın güncel tutulması.
BIO LEA’S kişisel verilerin korunmasına ilişkin olarak bünyesinde bazı kişi ve departmanları ayrıca yetkilendirmiştir. Öte yandan bu yetkilendirme BIO LEA’S’ın veri sorumlusu olarak 6698 sayılı Kanun’da belirtilen düzenlenen yükümlülüklerine halel getirmemektedir. BIO LEA’S’ın kendi bünyesinde yetkilendirdiği kişi ve departmanlara ilişkin açıklamalara aşağıda yer verilmektedir.
- Veri Koruma Komitesi
Veri Koruma Komitesi üç senede bir BIO LEA’S Yönetim Kurulu Kararı ile atanmaktadır. Veri Koruma Komitesi’nin sorumluluğu genel olarak 6698 Sayılı Kanun’un Veri Sorumlusuna yüklediği görevlerin ve yükümlülüklerin BIO LEA’S bünyesinde yerine getirilip getirilmediğinin denetlenmesidir. Bu kapsamda Veri Koruma Komitesi’nin görevleri arasında BIO LEA’S bünyesinde toplanan kişisel verilerin işbu Politika ve 6698 sayılı Kanun uygun olarak işlenmesi, Kişisel Veri İşleme Envanteri’nin tutulması ile Kişisel Veri İşleme Envanteri’nin ve VERBİS’in güncellenmesi, gereken idari ve teknik güvenlik önlemlerinin alınması, bu tedbirlerin takibi ve güncel tutulması, gerekli denetimlerin / eğitimlerin yaptırılması ve departmanlar arası koordinasyonun sağlaması bulunmaktadır. Veri Koruma Komitesi aynı zamanda ilgili prosedür kapsamında veri sahibi gerçek kişilerin başvuru ve şikayetlerinin yönetiminin ve cevaplandırılmasının sağlanmasından ve veri ihlali olması durumunda Veri İhlali Müdahale Planı doğrultusunda konuya ilişkin gerekli aksiyonların alınmasından ve sürecin eksiksiz ve herhangi bir gecikme olmaksızın yürütülmesinden sorumludur. Veri Koruma Komitesi son olarak kişisel verilerin işbu Politika’ya uygun bir şekilde saklanması ve imha edilmesinden sorumludur. Veri Koruma Komitesi bu hususlara yönelik olarak Bilgi Teknolojileri Birimi’ne gerekli talimatları verir ve Bilgi Teknolojileri Birimi’ni denetler. Veri Koruma Komitesi BIO LEA’S’ın Hukuk Departmanı ve IT Departmanı ile koordineli olarak çalışır.
- Hukuk Birimi
Bu Politika’nın gözden geçirilmesi ve ilgili mevzuata uygun şekilde düzenlenmesinden sorumludur.
- İrtibat Kişisi
İrtibat Kişisi, Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin 6698 sayılı Kanun ve 6698 sayılı Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, KVK Kurulu ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi olarak tanımlanmaktadır. Bu kapsamda BIO LEA’S’un İrtibat Kişisi BIO LEA’S adına KVK Kurulu ile irtibatı sağlamakta, KVK Kurulu ile yazışmaları yürütmektedir. Bunun yanı sıra İrtibat Kişisi veri sahipleri tarafından 6698 sayılı Kanun’un 11. Maddesi kapsamında yapılan başvuruları kabul eden, değerlendiren ve cevaplayan Veri Koruma Komitesi tarafından belirlenen kişidir.
İrtibat Kişisi Veri Koruma Komitesi üyeleri arasından seçilmekte, Veri Sorumluları Sicil Bilgi Sistemi’nde gerekli işlemlerin tamamlanması ile atanmaktadır.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
- Veri gizliliğine ilişkin ilkeler
Şirketimiz tüm Kişisel Veri İşleme faaliyetleri kapsamında aşağıda açıklanan genel ilkelere uygun şekilde hareket etmektedir.
- Hukuka ve dürüstlük kurallarına uygun hareket etme: Şirketimiz her türlü işleme sürecinde, 6698 sayılı Kanun ve sair mevzuat ile uyumlu şekilde kişisel veri işlemekte ve dürüstlük kurallarına uymaktadır.
- Doğruluk ve güncellik: Şirketimiz, 6698 sayılı Kanun’un 11. maddesi kapsamında veri sahiplerine kişisel verilerini güncellemesi için olanak sağlamakta ve kişisel verilerin sistemlerinde doğru ve güncel bir şekilde tutulması için gerekli idari ve teknik tedbirleri almaktadır.
- Belirli, açık ve meşru amaçlar için işleme: Şirketimiz, her türlü veri işleme faaliyetini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak veri sahiplerini aydınlatma metinleri aracılığıyla açık ve kolay anlaşılır bir şekilde bilgilendirmektedir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirketimiz tarafından kişisel veriler, toplandıkları esnada veri sahibine bildirilen amaç için gerektiği ölçüde ve sadece bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
- İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Şirketimiz tarafından işlenen tüm kişisel veriler, işlenme amaçlarının gerektirdiği süre boyunca ve her halükarda yürürlükteki mevzuat kapsamında belirtilen kanuni süreler ve kanuni zamanaşımı süreleri boyunca saklanmakta, bu sürelerin sona ermesini takiben söz konusu kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- Kişisel verilerin işlenmesinin işlenme şartları
Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları 6698 sayılı Kanun’un 5. Ve 6. Maddelerinde düzenlenmektedir. Bu kapsamda genel kural ilgili kişinin açık rıza alınması olsa da aşağıda belirtilen bazı durumlarda veri sahibinin açık rızası alınmadan da kişisel verilerinin işlenmesi mümkündür. Söz konusu veri işleme şartlarına aşağıda yer verilmektedir:
- Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
- Kanunlarda Açıkça Öngörülmesi: Kişisel verilerin işlenmesinin gerekliliği yürürlükteki mevzuatta belirtilen düzenlemelerden kaynaklanıyorsa kişisel verilerin veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması durumunda veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması durumunda veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması durumunda veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel verileri alenileştirme amacıyla sınırlı olmak üzere veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması durumunda veri sahibinin açık rızası olmadan işlenmesi mümkündür.
- Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Şirketimiz özel nitelikli kişisel verileri, işbu Politika’da belirtilen şekilde, gerekli her türlü idari ve teknik tedbirler alarak ve aşağıdaki şartların mevcut olması halinde işlemektedir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
- Toplanan kişisel veriler
Şirketimizin topladığı kişisel veriler Şirketimiz ile olan ilişkinin niteliği, yürütülen işbirliği ve kanuni yükümlülüklere göre değişmektedir. Şirketimiz tarafından toplanan kişisel verilere aşağıda yer verilmektedir:
- Müşterilerden toplanan kişisel veriler
Kimlik Verileri: Adı, soyadı, T.C. kimlik numarası, doğum tarihi, cinsiyet.
İletişim Verileri: Adres, telefon numarası, e-postası adresi, kayıtlı elektronik posta adresi (KEP)
Finansal Veriler: Banka hesap bilgileri, kredi kartı bilgisi
Mesleki Veriler: Çalıştığı şirket, çalıştığı departman, meslek, meslek kartı bilgileri
Müşteri Verileri: Çağrı merkezi kayıtları, fatura bilgileri, muayene raporları, talep bilgileri, müşteri şikayet kayıtları ve bilgileri
Hukuki İşlem Bilgisi: Mahkeme ve idari merci kararları gibi belgelerde yer alan veriler
- Veri sahipleri
6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu Politika’da yer verilen prensipler doğrultusunda müşterilerin, iş ortağı niteliğindeki istasyonların çalışanlarının, çalışan adaylarının taşeron, tedarikçi ve danışmanlık firmaların çalışanları ve/veya yetkililerinin kişisel verileri işlenebilmektedir.
Bu kapsamda yukarıda yer verilen veri kategorilerinin içerikleri kapsamında Şirketimizin söz konusu veri sahiplerinin hangi verilerini işlediğine ilişkin açıklamalara yukarıda yer verilmektedir:
- Kişisel Veri İşlemenin Hukuki Sebepleri
Özel nitelikli olan veya olmayan her türlü kişisel veri, 6698 Sayılı Kanun ve sair mevzuata uygun şekilde, kişisel verilerin ait olduğu veri sahibinin açık rızası dahilinde veya (işbu Politika’nın 3.2. maddesinde belirtilen) 6698 Sayılı Kanun’un 5.2. ve 6. madde hükümlerinde öngörülen istisnai hallerde işlenebilmekte ve saklanabilmektedir.
Özel nitelikli kişisel veriler 6698 Sayılı Kanunun 6.2. maddesi uyarınca ilgili kişinin açık rızası olmadıkça ve 6.3. madde uyarınca kanunlarda açıkça öngörülmedikçe özel nitelikli kişisel veriler saklanmaz ve işlenmez.
- Kişisel verilerin işlenme amaçları
Şirketimiz tarafından toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen veri işleme amaçları doğrultusunda veri sahipleri özelinde aşağıdaki amaçlar doğrultusunda işlenmektedir.
- Müşteri verileri
- Sizinle kuracağımız hizmet ilişkisini yürütebilmek
- Hakkınızda sistemlerimizde sorgulama yapılabilmesi
- Sizinle kuracağımız sözleşmesel ilişkinin yürütülmesi
- Şikayet ve taleplerinizin karşılanması ve değerlendirilmesi
- Yukarıdaki amaçlar doğrultusunda tarafınızla iletişim faaliyetlerinin yürütülmesi ve tarafınıza ileti gönderilmesi
- Size verdiğimiz hizmet kalitesini arttırmak ve pazarlama, tanıtım ve müşteri memnuniyeti faaliyetlerini yürütmek
- Hizmetlerimizden memnun olup olmadığınızın takibinin yapılması ve müşteri memnuniyeti faaliyetlerinin yürütülmesi,
- Ürün ve hizmetlerin tanıtım, pazarlama ve reklam süreçlerinin planlanması ve yürütülmesi,
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi
- Sizlerin faydalanabileceği kampanyaların organize edilmesi
- Etkinlik organizasyonu ve yönetimi
- Nihai tüketicilerin ürün alma eğilimlerinin hesaplanması
- Ürün ve hizmetlere bağlılığının sağlanması veya artırılmasına yönelik aktiviteleri planlanması
- Sizlere özel günlerde hediye gönderimi
- Pazar araştırması, planlama, istatistiki analizler ve anket çalışmalarının yapılması
- Yukarıdaki amaçlar doğrultusunda tarafınızla iletişim faaliyetlerinin yürütülmesi,
- Şirket’in iş ve yönetim faaliyetlerini yürütmek ve Şirket politikalarına ve yürürlükteki mevzuata uygun hareket etmek
- Şirket içerisinde kalite kontrol yapılması
- Müşterilere sunulacak hizmet kalitesini artırmak amaçlı ses kayıtlarının incelenmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- İlgili bakanlıklar dahil hukuken yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
- Yönetim faaliyetlerinin yürütülmesi
- Hukuk işlerinin takibi ve yürütülmesi
- İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
- Saklama, depolama ve arşiv faaliyetlerinin yürütülmesi
- Bilgi güvenliği süreçlerinin yürütülmesi
- Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları
Şirketimiz tarafından toplanan kişisel verilerinizi, yurt içi veya yurt dışında bulunan 3. Kişilere 6698 Sayılı Kanun’un yurt içinde aktarımla ilgili 8’nci maddesinde ve yurt dışına aktarımla ilgili 9’ncu maddesinde öngörülen hukuki sebepler doğrultusunda aktarmaktadır. Bu kapsamda Şirketimiz tarafından toplanan kişisel verileriniz aşağıdaki kişi ve kuruluşlara aktarılmaktadır.
- Müşteri verileri
- Müşteri verileri müşteriye verdiğimiz hizmet kalitesini arttırmak ve pazarlama, tanıtım ve müşteri memnuniyeti faaliyetlerini yürütmek amacıyla toplu SMS ve e-posta gönderen şirketler, pazarlama şirketleri ve ajanslar ve kampanya amaçlı iş birliğinde bulunulan firmalara aktarılmaktadır.
- Müşteri verileri Şirket’in iş ve yönetim faaliyetlerini yürütmek ve Şirket politikalarına ve yürürlükteki mevzuata uygun hareket etmek amacıyla muhasebe danışmanlık şirketleri, bağımsız denetim kuruluşları, avukatlar, hukuk danışmanları, vergi danışmanları gibi dış danışmanlar, serbest mali müşavirler, yazılım şirketleri, arşiv ve depolama şirketleri, teknik destek hizmeti sağlayan şirketler, bilgi güvenliği ve altyapı hizmet sağlayıcıları, çağrı merkezi hizmet sağlayıcıları, ilgili bakanlıklar, mahkemeler ve kanunen yetkili kurum ve kuruluşlar, iştiraklerimiz ve yurt içinde bulunan iştiraklerimize aktarılmaktadır.
- Kişisel verilerin toplama yöntemleri
Müşterilere ait yukarıda belirtilen tüm veriler, Şirketimiz tarafından sözlü ve/veya yazılı olarak, fiziki ve/veya elektronik ortamda ve/veya ilgili gerçek kişi tarafından şahsen sunulması suretiyle ve/veya telefon, çağrı merkezi araması, SMS, e-posta ve diğer iletişim vasıtaları aracılığıyla ve/veya görüşmeler esnasında ilgili gerçek kişi tarafından şahsen verilmesi suretiyle toplanmaktadır.
- Kişisel verilerin saklanması ve imhası
Şirketimiz, yukarıda belirtilen veri sahiplerinden topladığı kişisel verileri işlendikleri amaç için gerekli olan süre ve en fazla mevzuat kapsamında belirtilen kanuni süreler ve kanuni zamanaşımı süreleri boyunca saklamaktadır. Bu kapsamda Şirketimiz öncelikle faaliyeti kapsamında ilgili mevzuat altında belirlenen kanuni bir süre veya zamanaşımı olup olmadığını tespit etmekte, böyle bir süre mevcut değilse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Söz konusu sürelerin sona ermesini takiben söz konusu kişisel veriler periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- Veri güvenliği
Şirketimiz, kişisel verilerinizin gizliliği ve güvenliğinin sağlanması konusunda azami gayret göstermekte olup kişisel verilerinizin gizliliğini ve güvenliğini sağlamak adına yetkisiz erişimleri, veri kayıplarını, verilerin kasten ya da kazara silinmesini, imha edilmesini, ifşa edilmesini, değiştirilmesini veya zarar görmesini engelleyecek şekilde gerekli teknik ve idari tedbirleri almaktadır. Şirketimiz ayrıca sağlık verileri gibi özel nitelikli kişisel verileri de işlediği ve sakladığı için KVK Kurulu’nun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 Sayılı Kararı uyarınca belirtilen teknik ve idari tedbirleri de almaktadır. Bu kapsamda Şirketimizin almış olduğu idari ve teknik tedbirlere aşağıda yer verilmektedir:
- İdari Tedbirler
- Mevcut risk ve tehditler belirlenmiştir.
- 6698 sayılı Kanun ve mevzuat kapsamında özel nitelikli kişisel veriler ile kişisel verilerin işlenmesi ve korunmasına ilişkin çalışanlara düzenli olarak eğitim verilmekte, farkındalık çalışmaları yaptırılmaktadır.
- Şirket içi periyodik ve/veya rastgele denetimler yapmakta ve yaptırmaktadır.
- Kişisel verilere erişimi bulunan çalışanlara 6698 sayılı Kanun ve sair mevzuat kapsamında dikkat etmesi gereken hususlara ilişkin bilgi verilmektedir.
- Kişisel verileri güvenliğini sağlamak amacıyla çalışanların kişisel verilere erişimleri kısıtlanmakta ve yetki matrisleri belirlenmektedir. Bu kapsamda belirli çalışanlara işleri doğrultusunda ihtiyaçları olan kişisel verilere erişim yetkisi tanınmakta olup bu çalışanların yetki kapsamları ve süreleri net ve kesin bir şekilde tanımlanmaktadır. Periyodik olarak yetki kontrollerinin gerçekleştirilmekte, bunların takibi yapılmaktadır. Erişim logları düzenli olarak tutulmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin politikaları düzenlemektedir.
- Veri Koruma Komitesi kişisel veri işleme faaliyetlerinin takibini departman bazında yapmaktadır.
- Kişisel verilerin işlenmesine yönelik olarak veri minimizasyonu ilkesi uyarınca faaliyet gösterilmekte, ihtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’ne uygun ve güvenli bir şekilde imha etmektedir.
- Kişisel veri güvenliği sorunları oluşması durumunda bu sorunları hızlı bir şekilde raporlamaktadır.
- Kişisel verilere ilişkin veri sahiplerinden talep gelmesi halinde Şirket olarak nasıl hareket edileceğine ilişkin Gerçek Kişi Başvuru ve Şikayet Prosedürü oluşturulmuştur.
- Teknik Tedbirler
- Fiziki ortamda bulunan kişisel verilerin mutlaka kilitli dolaplarda ve/veya arşiv odalarında muhafaza edilmesi ve sadece erişime yetkilendirilmiş kişiler tarafından erişilmesi sağlanmaktadır.
- Kişisel veri içeren arşiv odaları gibi fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri içeren fiziksel ortamları dış risklere (yangın, sel vb.) karşı güvenliği sağlamaktadır.
- Kişisel verilerin tutulduğu elektronik ortamlarda verileri kriptografik yöntemler kullanılarak muhafaza etmekte, kriptografik anahtarların güvenli ve farklı ortamlarda tutmaktadır.
- Kişisel üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır, log kayıtlarını kullanıcı müdahalesi olmayacak şekilde tutulmakta ve log kayıtları periyodik bir şekilde kontrol etmektedir.
- Kişisel verilerin bulunduğu elektronik ortamlarda ve yazılımlarda güvenlik duvarları, güvenlik teknolojisi standartları ve güncel anti-virüs sistemleri kullanılmakta, güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altında tutulmaktadır.
- Kişisel verilerin bulunduğu elektronik ortamlarda ve yazılımlarda periyodik olarak sızma testleri uygulanmakta ve test sonuçları kayıt altında tutulmaktadır.
- Kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılmaktadır
- Kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa, şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanarak veya SFTP yöntemi aracılığıyla veri aktarımı sağlanmaktadır.
- Kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa, kriptografik yöntemlerle şifreleyerek ve kriptografik anahtarı farklı ortamda tutularak veri aktarım sağlanmaktadır
- Kişisel verilerin kağıt ortamında aktarılması aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri almakta ve evrakı “gizlilik dereceli belgeler” formatında gönderilmektedir.
- Ağ güvenliği ve uygulama güvenliği sağlanmakta, ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Kişisel verilerin anonim hale getirilmesine yönelik gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Şirketimiz tüm idari ve teknik tedbirlere rağmen yapılan siber saldırılar sonucunda kişisel verilere erişim sağlanması, kişisel verilerin ifşa edilmesi, zarar görmesi, silinmesi, değiştirilmesi ve/veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, bu durumu en kısa zamanda veri sahiplerine ve KVK Kurulu’na bildirir, kendi bünyesinde raporlama yapar ve gerekli tedbirleri yerine getirir. Bu sürece ilişkin ayrıntılar Veri İhlal Bildirim Prosedürü’nde anlatılmaktadır.
- Veri sahibinin hakları
Kişisel veri sahipleri 6698 sayılı Kanun’un 11. maddesinde düzenlendiği üzere aşağıda yer alan haklara sahiptir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6698 sayılı Kanun’un 28/2. maddesin veri sahiplerinin talep hakkı bulunmayan halleri sıralamıştır. Bu kapsamda veri sahipleri aşağıdaki konulara ilişkin olarak yukarıda belirtilen haklarını kullanamayacaktır:
- Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili Kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması, hallerinde verilere yönelik olarak zararın giderilmesini talep etme hakkı hariç olmak üzere yukarıda belirlenen haklar kullanılamayacaktır.
Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini,
- BIO LEA’S’ın internet sitesinde yayınlanan Kişisel Veri Sahibi Başvuru Formunu doldurup imzaladıktan sonra ıslak imzalı olarak, kimlik tespitini sağlayacak belgeler ile birlikte Şirketimize bizzat elden teslim edebilecektir veya
- Kişisel Veri Sahibi Başvuru Formunu ıslak imzalı bir kopyasını Şirketimiz adresine noter vasıtasıyla gönderebilecektir veya
- Kişisel Veri Sahibi Başvuru Formunu “güvenli elektronik imza” ile imzalayarak kayıtlı elektronik posta (KEP) adresi kullanarak Şirketimizin [__] adresine gönderebilecektir veya
- Kişisel Veri Sahibi Başvuru Formunu Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle [__] gönderebilecektir.
Taleplerin noter vasıtasıyla veri sahibi adına bir üçüncü kişi tarafından gönderilebilmesi için, bu üçüncü kişiye noterlikçe düzenlenmiş özel vekaletname vermiş olmanız gerekmektedir.
Veri sahiplerinin taleplerini Şirketimize iletmeniz durumunda Şirketimiz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.
EK-1
TANIMLAR
6698 Sayılı Kanun (veya Kanun) : Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Anonim hale getirme: Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan: BIO LEA’S ile tam zamanlı, yarı zamanlı iş sözleşmesi ile veya stajyer olarak çalışan gerçek kişileri ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Örneğin; ad, soyad, doğum tarihi, IP adresi vb.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
KVK Kurulu: Kişisel Verileri Koruma Kurulunu ifade eder.
Kişisel Veri İşleme Envanteri veya Envanter: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder
İrtibat Kişisi: Bu politika belgesinin 2.3. maddesinde tanımlanan kişiyi ifade eder.
Veri sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel verileri ifade eder.
Mevzuat: Kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin kuralların belirlendiği başta 6698 Sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili diğer mevzuatı ifade eder.
Veri İşleyen: BIO LEA’S’un verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi: Kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kriterlere göre yapılandırılmış olup birincil olarak BIO LEA’S nezdinde tutulan, ikincil olarak veri yedekleme/felaketten kurtarma gibi amaçlarla BIO LEA’S nezdinde tutulan kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. İşbu Kişisel Verilerin Korunması Politikası kapsamında Veri Sorumlusu BIO LEA’S’tur..
Veri Koruma Komitesi: Bu politika belgesinin 2.1. maddesinde tanımlanan kişiyi ifade eder.
VERBİS: Veri sorumluları sicil bilgi sistemini ifade eder.