KİŞİSEL VERİLER POLİTİKA BELGEMİZ
1.AMAÇ:
İşbu verilerin işlenmesi ve korunması politikası (“Politika”), İma Bilişim İnt.Yazılım ve Darışmanlık Hizmetleri Ekrem KILIBOZ (“Şirket”)’nin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması ve imhasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.
2.DAYANAK:
İşbu Politika metni, Türkiye Cumhuriyeti Anayasasına ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.
3.TANIMLAR:
İşbu Politikada kullanılan terimler, aşağıdaki anlamları ifade eder.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim Hale Getirme:Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Çalışan :Şirketimizin çalışanlarını ifade eder.
İkincil Mevzuat : Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüşü ifade eder.
İlgili Kullanıcılar : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
Kanun :6698 Sayılı Kişisel Verilen Korunması Kanunu (“KVKK”) ifade eder.
Kişisel Veri/ler :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişiyi ifade eder.
Kişisel Verilerin İşlenmesi:Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul :Kişisel Verileri Koruma Kurulunu ifade eder.
Kurum :Başka bir anamda kullanılmadıkçaKişisel Verileri Koruma Kurumunu ifade eder.
Maskeleme :Kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Müşteri :Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan gerçek kişileri ifade eder.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Potansiyel Müşteri : Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişileri ifade eder.
Sicil : Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan “Veri Sorumluları Sicilini” ifade eder.
Silme :Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Politika : Şirketimizin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, usul ve esasları düzenleyen Politikayı ifade eder.
Şirket/imiz : Şirketimiz İma Bilişim İnt.Yazılım ve Darışmanlık Hizmetleri Ekrem KILIBOZ ifade eder.
Tedarikçiler : Sözleşme temelli olarak Şirketimizin ürün ve/veya hizmet aldığı üçüncü kişileri ifade eder.
Toplulaştırma : Kişisel verilerin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Üçüncü Kişi :Yukarıda tanımlanan taraflarla Şirketimiz arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişileri ifade eder.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişileri ifade eder.
Veri Koruma Komisyonu:Şirketimizin Kişisel Verilerin Korunması Komisyonunu ifade eder.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Türetme :Kişisel verinin içeriğinden daha genel bir içerik oluşturularak kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Yok Etme :Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Ziyaretçi : Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişilerdir.
4.GÜNCELLEMELER:
Şirket, yasal düzenlemelere paralel olarak işbu Politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel versiyonuna Şirket web sitesinden (www.afiyetver.com) erişilebilir. Politika, Şirketimiz tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur.
5.KAPSAM:
Bu Politika; müşterilerin, potansiyel müşterilerin, çalışan adaylarının, Şirketimiz hissedarlarının, Şirketimiz yetkililerinin, ziyaretçilerin, iş birliği içinde olunan firmaların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar, kişisel veri içeren bütün uygulamalar, kişisel veri içeren bütün veri tabanları bu kapsamdadır.
Bu Politika, Şirketimizin topladığı ve işlediği kişisel verilere erişimi olan, Şirketimize bilgi sağlayan veya Şirketimizden kişisel veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, Şirketimizin bağlı şirketlerinin çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara, çözüm ortaklarına uygulanır. Bunlara ek olarak, bu Politikanın içerdiği tüm hükümler kanuna ve ikincil mevzuata tabidir. Bu Politikanın içerdiği hükümler ile ilgili kanun hükümlerinin çeliştiği veya çatıştığı hallerde, kanun hükümleri esas alınır ve uygulanır.
6.KİŞİSEL VERİLERİN KATEGORİLERİ:
Şirketimiz tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:
-Kimlik Bilgisi: Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, her türlü kimlik, evlilik cüzdanı gibi dokümanlarda yer alan T.C. kimlik numarası, uyruk bilgisi, anne adı baba adı, doğum yeri ve tarihi, cinsiyet, SGK numarası, imza bilgisi, vb. tüm bilgilerdir.
-İletişim Bilgisi: Telefon numarası, adres, e-mail, faks numarası gibi bilgilerdir.
-Özel Nitelikli Bilgiler: KVKK’nun 6. maddesinde “özel nitelikli kişisel veri” olarak belirtilen “Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat ile ilgili veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik” verilerdir.
Lokasyon Bilgisi: Şirketimiz araçlarının kullanımı sırasında edinilen lokasyon verileridir.
Fiziksel Mekân Güvenlik Bilgisi: Veri kayıt sistemi içerisinde tutulmak üzere, ticari faaliyetlerimizi yürütürken her açıdan güvenliğimizi sağlamak için Şirketimize ait mağazalarımızda yer alan kapalı devre kamera kayıt sistemleri aracılığıyla görüntüler, Genel Müdürlüğümüzde (Genel Merkezimizde) yer alan kapalı devre kamera kayıt sistemleri aracılığıyla görüntüler ve sesli görüntüler, güvenlik noktasında alınan kayıtlar, video, görüntü, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar v.b. kişisel verilerdir.
Müşteri Bilgisi: Ticari faaliyetlerimiz ve bu faaliyetler kapsamında ilgili birimlerin operasyonları sonucunda, gerçek kişi müşterilerden elde edilen ve üretilen bilgilerdir.
Müşteri İşlem Bilgileri: Veri kayıt sistemi içerisinde yer alan müşterimize ait, ürün ve hizmetlerimizin satın alınmasına yönelik kayıtlar ile satın alma için gereken talimatlar kapsamında elde edilen bilgiler ile ürün ve hizmetlerimizi satın alan ve/veya kullanan kişisel veri sahibinin beğenisi ve ihtiyaçları doğrultusunda kullanım ve satın alma alışkanlıklarının kişiselleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme neticesinde meydana getirilen rapor ve değerlendirmelerdir.
Talep/Şikâyet Yönetimi Bilgileri: Şirketimizin müşterisi olan ya da olmayan gerçek kişiler tarafından Şirketimize ait iletişim kanallarına yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel verilerdir.
İtibar ve Olay Yönetim Bilgisi: Şirketimizin ticari itibarını korumak ve kamuoyunun doğru bilgilendirilmesini sağlamak maksadı ile Şirketimiz çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili sosyal medya v.b. mecralardan toplanan kişisel veriler, değerlendirmelerdir.
Finansal Bilgi: Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişki çerçevesinde her türlü finansal sonucu gösteren kayıtlar kapsamında işlenen IBAN numarası, kredi kartı bilgisi, finansal profil vb. kişisel verilerdir.
Pazarlama Bilgisi: Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmelerdir.
Risk Yönetimi Bilgisi: Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel verilerdir.
7.KİŞİSEL VERİLERİN İŞLENMESİ:
Şirketimiz tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla veri sahibi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, sesli görüntü kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelir.
7.1.Kişisel Verilerin İşlenme Amaçları:
Şirketimiz tarafından sunulan hizmet ve ürünleri tanıtmak, iletişimi arttırmak, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, pazarlama reklam ve tanıtım faaliyetleri yapmak, adli ve idari mercilerce öngörülen bilgi saklama, raporlama ve bilgilendirme yükümlülüklerini yerine getirmek, Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olanlarla ilgili hukuki, teknik ve ticari-iş güvenliğinin temini, Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması, ilgili kanunlar uyarınca düzenleme yükümlülüğümüzün bulunduğu evrakların düzenlenebilmesi, stratejilerin planlanması ve buna bağlı iş süreçlerinin yürütülmesi, Şirketimizin insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi, Şirketimiz nezdinde güvenliğin temin edilmesi, gerekli kalite ve standart denetimlerimizin yapılabilmesi, kanun ve yönetmelikler ile belirlenmiş sair yükümlülüklerimizin yerine getirilmesi, veri sahipleri ile iletişime geçilmesi ve talep ve şikâyet yönetiminin sağlanması amacıyla, ayrıca da bu amaçlarla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir.
7.2.Kişisel Verilerin İşlenmesinde Uyulacak İlkeler:
7.2.1.Şirketimiz, kişisel verileri, hukuka ve dürüstlük kurallarına uygun olarak işlemektedir. Ayrıca Şirketimiz, Kurul tarafından zaman zaman yayınlanacak ikincil mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri de takip etmekte ve uygulamalarında bu hukuki düzenlemeler çerçevesinde gerekli olması halinde yeniden düzenleme ve iyileştirmeler yapmaktadır.
7.2.2.Şirketimiz, işlediği kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır.
7.2.3.Şirketimiz kişisel verileri belirli, açık ve meşru amaçlar için işlemektedir. Şirketimiz veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla kişisel veri işlemektedir. Bundan kasıt, Şirketimizin işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olmasıdır. Şirketimiz veri sahiplerinin kişisel verilerinin elde edilmesinden önce kendilerine bu amaçları açıkça duyurmaktadır. Şirket kişisel veri işleme amaçlarının değişmesi halinde, gerekli olduğu ölçüde, işbu Politika güncellenecektir. Ayrıca veri işleme amaçlarındaki değişikliklerin mümkün olduğu ölçüde farklı kanallardan veri sahiplerine duyurulması için çaba gösterilecektir.
7.2.4.Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Ancak Şirketimiz farklı mevzuatlara tabi olarak kişisel verilerin korunması gerekebileceği özellikle dava zamanaşımı süreleri de dikkate alınarak, Şirket, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için azami muhafaza süreleri esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirketimiz kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Bunlara ek olarak, Şirketimiz işbu Politikadaki verilerin muhafaza ve imhasına dair öngörülen kural ve prosedürlere de uymaktadır.
7.3.Kişisel Verilerin İşlenme Şartları:
Şirketimiz kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde de işbu Politikada yer alan şartlar uygulanır. Dolayısıyla aşağıdaki hallerde kişisel veriler işlenebilecektir:
7.3.1.Kişisel veri sahibinin açık rızasının bulunması: Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.
7.3.1.1.Açık Rıza: Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür iradeyle açıklanmış olması gerekmektedir.
-Veri sahibi, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir şekildedir.
-Açık rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilen onay beyanı şeklinde anlaşılmalıdır. Açık uçlu bir rıza, açık rıza olarak kabul edilemez. Veri sorumlusunun, gerçekleştireceği farklı işlemler için kural olarak veri sahibinin açık rızasının bir defa alınması yeterlidir. Ancak daha sonra, söz konusu verinin asıl amacından farklı amaçlarla işlenmesinin istenmesi halinde buna ilişkin ayrıca rıza alınması gerekir.
-Açık rıza, özgürce, hiçbir baskı altında kalmadan verilmelidir ve ancak veri sahibinin gerçek bir tercih ortaya koyabildiği halde geçerlidir.
-Bu koşullar sağlandığı sürece rızanın alınma şekli özgürce belirlenebilir. Bunlar, iş sözleşmelerine konulan hükümler, başvuru ya da satın alma formlarında yer alan onay kutuları ve kişisel verilerin girildiği çevrimiçi formlarda yer alan kutular şeklinde olabilir.
-Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin bir şekilde yapılması gerekir.
Rıza, veri sahibi tarafından her zaman geri alınabilir.
İşbu Politika kapsamında belirtilen Veri Koruma Komisyonu, ilgili departmanlar ile birlikte, veri sahibinin kişisel veri işleme ile ilgili açık rızasının alınması ve belgelenmesi için sistemler kuracaktır.
7.3.2.Kanunlarda açıkça öngörülmesi (Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir),
7.3.3.Fiili imkânsızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
7.3.4.Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
7.3.5.Şirketimizce hukuki yükümlülüğün yerine getirilmesi için veri işleme faaliyetinin zorunlu olması (Örneğin kredi kartı sahiplerinin bilgisi dışında kredi kartlarından yapılan harcamalara ilişkin olarak Savcılığa yapılan şikayetler uyarınca Savcılık kararıyla kişisel verilerin talep edilmesi halinde verilerin sunulması),
7.3.6.Kişisel veri sahibinin kendisi tarafından kişisel verisini alenileştirmiş olması (Örneğin, Şirketimizin sosyal medya hesabının ana sayfasına telefon numarasını bırakıp iş aradığını yazan kişinin bu verileri artık onun açık rızası olmaksızın ve fakat bu kapsamla sınırlı kalmak kaydıyla işlenebilir),
7.3.7.Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
7.3.8.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile şirketimizin meşru menfaati için veri işlemenin zorunlu olması (Örneğin mali işler departmanı tarafından yapılacak hesaplamalardaki kişisel veri işleme faaliyetleri).
7.4.Özel Nitelikli Kişisel Verilerin İşlenmesi:
Özel nitelikli kişisel veriler, veri sahibinin açık rızası ile işlenebilir. Ancak, veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin açık rızası aranmaksızın işlenebilir.
Özellikle işveren-çalışan ilişki kapsamındaki süreçlerin (izin, avans, özlük dosyasının oluşturulması vb.) yürütülmesi için çalışanların doğrudan ya da dolaylı olarak sağlığa ilişkin kişisel verileri işlenebilmektedir. Bu tip durumlarda çalışanlardan açık rıza alınır ve sağlığa ilişkin kişisel veriler, yalnız bu verileri işlemesi gerekli kişiler veya departmanlar tarafından işlenebilir ve bu yetkililerce erişilebilir. Yürürlükteki mevzuat ve Kurum ve Kurul kararı çerçevesinde rıza gerektirmeyen haller içerisinde belirlendiği takdirde açık rıza olmaksızın bu kişisel veriler işlenebilir.
Özel nitelikli kişisel verilerin işlenmesi için Kurul tarafından özel önlemler getirilmesi söz konusu olabilecektir. Kurul tarafından yeni önlemler getirilmesi halinde, Şirketimiz bu önlemlere uymak için gerekli düzenlemeleri yapacaktır.
7.5.Kişisel Verilerin Üçüncü Kişilere Aktarılması:
7.5.1.Kişisel veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmayacaktır. Kişisel veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilecektir. Şirketimiz tarafından aktarılan tüm özel nitelikli kişisel veriler için gerekli güvenlik önlemleri alınacak veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korunacaktır. Kişisel verilerin üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Şirketimiz, Veri Koruma Komisyonu ile birlikte bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.
7.5.2.Kişisel veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:
-Veri sahibinin söz konusu aktarıma açık rıza vermesi,
-Aktarımın kanunlarda açıkça öngörülmesi,
-Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
-Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
-Aktarımın veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-Veri sahibinin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
-Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
-Aktarımın, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.
Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından verilir.