Kişisel Verilerin Korunması ve İşlenmesi Politikası

 

1. Amaç ve Kapsam

 

İşbu Kişisel Verilerin Korunması Politikasının (“Politika”) temel amacı Bilgi İletişim Servisi Ltd. Şti. (“BİS veya Şirket”) tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır. Bu Politika Şirket tarafından yönetilen tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı veri prosedürleri ile birlikte uygulanmaktadır.

 

2. Tanımlar

 
  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
  • Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi
  • Veri Sahibi/İlgili Kişi: Şirket ve Şirket’in bağlı iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere kişisel verisi işlenen gerçek kişiler.
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Özel Nitelikli Kişisel Veri: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
  • Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi
  • Kişisel Verilerin Silinmesi: kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
  • Kişisel Verilerin Yok Edilmesi: kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
  • KVK Kurulu/Kurul: Kişisel Verileri Koruma Kurulu
  • KVK Kurumu/Kurum: Kişisel Verileri Koruma Kurumu
 

3. Prosedür

 

Şirket, belirli iş faaliyetleri ve fonksiyonlar ile ilgili olarak kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasını ele alan farklı politikalara da sahiptir. Bu Politika, ek şartlar içermedikçe veya kişisel verilerin korunması için daha yüksek standart talep etmedikçe, Şirket’in işbu farklı politikalarındaki veri koruma şartlarını geçersiz kılmaz.

 

Kişisel verileri işlenmesi ve korunması hakkında yürürlükteki ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacak; ilgili mevzuat ile işbu Politikanın hükümleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak geçerli olacaktır.

 

4. Kişisel Verilerin Korunmasına Yönelik Hususlar

 

İşbu Politika, kişisel verilerin korunması için KVKK ve ilgili sair mevzuat hükümlerinde öngörülen kural ve prosedürlere göre oluşturulmuştur. Bu anlamda, Veri Sorumlusu da KVKK uyarınca: kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamakla yükümlü olduğundan gerekli her türlü teknik ve idari tedbiri almak zorundadır. Şirket, özel nitelikli kişisel verilerin korunması bakımından alınan ek tedbirler de dahil olmak üzere, ilgili tüm teknik ve idari tedbirleri almıştır.

 

5. Kişisel Verilerin İşlenmesi Politikası

 

a. Kişisel Verileri İşlerken Uyulacak İlkeler

 

Şirket tarafından işlenen kişisel veriler, ilgili mevzuat doğrultusunda işlenmektedir. Şirket’in politika ve prosedürleri, KVKK ve ilgili mevzuatta yer alan işleme ilkelerine paralel olarak uygulanmaktadır. Şöyle ki;

  • • Kişisel veriler, hukuka ve dürüstlük kuralına uygun ve şeffaf şekilde işlenir,
  • • Kişisel veriler sadece belirli, açık ve meşru amaçlarla işlenir,
  • • Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür,
  • • Kişisel veriler doğru ve gerektiğinde günceldir, gecikme yaşanmadan silinir veya düzeltilir.
  • • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir,
  • • Kişisel veriler uygun güvenliğin sağlanmasına yönelik şekilde işlenir,
  • • Veri sorumlusu KVKK ve/veya GDPR’ın diğer ilkeleri ile uyumluluk sağladığını gösterir. (Sorumlu tutulabilme).
 

b. BİS’in Kişisel Verileri İşleme Amaçları

 

Şirket, KVKK ve ilgili sair mevzuat uyarınca, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu bağlamda Şirket tarafından ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplama yöntemi ve kişisel veri toplamanın hukuki sebebi hakkında aydınlatma/bilgilendirme yapılır.

Şirket tarafından işlenen kişisel verileri işleme amaçları şu şekildedir:

 

Şirket’in ilgili kişilere, veri sorumlusu sıfatını haiz müşterileri adına sağlık ürünleri ile ilgili tanıtım, pazarlama, reklam ve kampanya faaliyetlerine aracılık etmesi, Sağlık Bakanlığı’nın ilaç firmalarına verdiği talimat doğrultusunda “Sayın Sağlık Mensubu Mektubu” gönderim işlemlerine aracılık etmesi, bu kapsamda e-posta, normal posta ve kısa mesaj aracılığı ile ilgili kişilerle iletişime geçilerek işlemlerin yerine getirilmesi, Şirket’in müşterilerine sunduğu hizmetlerini en iyi koşullar altında sağlayabilmesi, hizmetlerin güvenilir ve kesintisiz bir şekilde temin edilmesi, Şirket güvenliğinin sağlanması, müşteri memnuniyeti ve güvenilirliğinin sağlanması, Şirket tarafından sunulan hizmetlere ilişkin işlemlerin yerine getirilmesi, operasyonların yürütülmesi ve geliştirilmesi, Şirket tarafından sunulan hizmetlerin tanıtım, pazarlama, reklam ve kampanya faaliyetlerinin yapılması, müşterilerle imzalanan sözleşmelerin ifası, ilgili kamu kurum ve kuruluşlarınca talep edilen işlemlerin gerçekleştirilmesi için ilgili kurumlara bilgi verilmesi, ilgili sair kanundan doğan Şirket yükümlülüklerinin yerine getirilmesi.

c. BİS’in Kişisel Veri İşlemekteki Hukuki Sebepleri

 
  • • İlgili kişinin açık rızasının varlığı,
  • • Kanunlarda açıkça öngörülmesi,
  • • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
 

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup bu şartlar genişletilemez.

 

6. Kişisel Verilerin Aktarılması

 

a. Yurtiçi Aktarım

 

Kişisel verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar saklı kalmak üzere, Şirket tarafından ilgili kişilere ait kişisel veriler ilgili kişinin açık rızası olmaksızın başka kişilere aktarılmamaktadır meğerki KVKK’nın 5 ve/veya 6. maddesinde sayılı hususlar söz konusu olsun.

Şirket, kişisel verileri KVKK ve ilgili mevzuatta belirtilen tüm güvenlik önlemlerini alarak ve Kanun ve/veya sözleşme gereği Türkiye’deki üçüncü kişilere aktarabilir.

 

b. Yurtdışı Aktarım

 

Şirket, KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. İlgili kişinin açık rızasının aranmadığı haller için, kişisel verinin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlayıp sağlamadığı şartı aranır. Kurul tarafından veri aktarılan ülkenin güvenli ülke statüsünde sayılmadığı durumlar için, Kurul izni ile birlikte yeterli korumayı taahhüt edecek bir veri aktarım protokolü imzalanır.

 

c. Aktarım Yapılan Kurum ve Kuruluşlar

 

Şirket, aşağıda sayılı mevzuatlar gereğince, kişisel verileri ilgili kamu kurum ve kuruluşları ile paylaşılabilir:

  • • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • • 4857 sayılı İş Kanunu
  • • 6098 sayılı Türk Borçlar Kanunu
  • • 6102 sayılı Türk Ticaret Kanunu
  • • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
  • • 4982 saylı Bilgi Edinme Kanunu
  • • 5343 sayılı Emekli Sağlığı Kanunu
  • • 2828 sayılı Sosyal Hizmetler Kanunu
  • • 213 sayılı Vergi Usul Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
 

7. Kişisel Veri Envanteri

 

Şirket KVKK ve GDPR uyumluluk süreci boyunca riskleri ve fırsatları tespit etmek için yaklaşımının bir parçası olarak bir veri envanteri oluşturmuştur. Şirketin veri envanteri şunları belirler:

  • • Kişisel veriyi kullanan iş süreçleri;
  • • Kişisel verinin kaynağı;
  • • İşleme faaliyeti;
  • • İşleme faaliyetinin amacı ve hukuki sebebi
  • • İşlenen kişisel verinin, veri kategorileri envanteri yönetimi;
  • • Kişisel verilerin alıcıları ve potansiyel alıcıları;
  • • Alınan idari ve teknik tedbirler
  • • Her türlü veri transferi; ve
  • • Tüm saklama ve imha süreleri ve gereklilikleri.
 

8. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

 
  • 8.1. KVKK’nın 7.maddesi ve ilgili diğer mevzuat hükümleri gereğince, işlenen kişisel verilerin işleme sebeplerinin ortadan kalkması halinde Şirket’in kararı, periyodik kontrolü ve/veya ilgili kişinin talebi üzerine kişisel veriler silinir, imha edilir veya anonim hale getirilir.
  • 8.2. Şirket, bu doğrultuda Kişisel Verileri Saklama ve İmha Politikası hazırlamıştır.
  • 8.3. Şirket verinin esasen toplanma sebebi ile bağlantılı olarak, kişisel veriyi veri sahibinin kimliğinin saptanmasına olanak verecek şekilde gerekli olandan uzun süre saklamayacaktır.
  • 8.4. Şirket kişisel veriyi, veri sahibinin hak ve özgürlüklerini koruma amacıyla uygun teknik ve organizasyonel tedbirleri alarak sadece kamu yararı, bilimsel veya tarihsel araştırma veya istatistik amaçlarıyla daha uzun süre saklayabilir.
  • 8.5. Kişisel verinin her bir kategorisi için saklama süresi ve Şirketin veriyi saklamak zorunda olduğu yasal yükümlülükler de dahil olmak üzere bu sürenin belirlenmesinde kullanılan kriteri Saklama ve İmha Politikası’nda belirtilmiştir.
  • 8.6. Şirketin veri saklama ve imha prosedürleri Saklama ve İmha Politikası tüm durumlarda uygulanacaktır.
  • 8.7. Kişisel veriler KVKK hükümleri ve ilgili mevzuat doğrultusunda güvenli bir şekilde yok edilecektir – güvenliği sağlamak amacıyla uygun bir şekilde işleme ve böylelikle veri sahibinin “hak ve özgürlüklerini” koruma. – Verinin her türlü yok edilmesi Saklama ve İmha Politikası doğrultusunda yapılacaktır.
 

9. İlgili Kişinin Hakları ve Haklarını Kullanması

 

Kişisel verileri Şirket tarafından işlenen gerçek kişiler, kişisel veri işleme ve haklarında kaydedilen veriler ile ilgili olarak Şirket’e Bilgi İletişim Servisi Ltd Şti. Altıyol, Osmanağa Mah. Söğütlüçeşme Cad.No:92 Abdullah Uzlar İş Merkezi K:4 D:82 34714 Kadıköy İstanbul adresinden veya bis@bis.com.tr e-posta adresinden başvurarak aşağıdaki haklarını kullanabilirler:

 
  • a. Kişisel veri işlenip işlenmediğini öğrenme,
  • b. Kişisel verileri işlenmişse bu bilginin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
  • c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve bu yönde yapılan işlemin üçüncü kişilere bildirilmesini isteme,
  • e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bunun üçüncü kişilere bildirilmesini isteme,
  • f. İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme,
  • g. Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • h.Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
 

Copyright © 2015 Bilgi İletişim Servisi Ltd.Şti.

web sitesi tasarımı        Hashtag