01.06.2024
İçindekiler
3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
3.1. Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşleme
3.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
3.3. Belirli, Açık ve Meşru Amaçlar İçin İşleme
3.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
3.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİLGİLER
4.1. KİŞİSEL VERİ KATEGORİLERİ
4.2. KİŞİSEL VERİSİ İŞLENEN KİŞİ GRUPLARI
4.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
4.4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
4.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
4.6. KİŞİSEL VERİLERİN TOPLAMA KANALLARI
4.7. KİŞİSEL VERİLERİN AKTARILMASI
4.8. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
5. KİŞİSEL VERİLERE İLİŞKİN GÜVENLİK TEDBİRLERİ
9. YÜRÜRLÜLÜK VE DEĞİŞİKLİKLER
Kişisel verilerin korunması ve mahremiyetinin sağlanması, DEMANT İŞİTME CİHAZLARI SANAYİ VE TİCARET ANONİM ŞİRKETİ (bundan sonra “DEMANT” veya “Şirket”) için bir kurum kültürü olarak benimsenmiştir. Şirket, yürüttüğü faaliyetler kapsamında gerçek kişilere ait kişisel verileri, yürürlükte bulunan hukuk normlarına ve evrensel hukuk ilkelerine uygun bir şekilde işlemek ve korumak için azami özen ve çaba göstermektedir. Şirket, kişisel verileri veri sorumlusu sıfatıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası ("Politika” veya “KVK Politikası”) kapsamında işlemekte ve korumaktadır.
Bu KVK Politikası; Şirketimizin Veri Sorumlusu olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği, çalışanlarımız haricindeki ilgili kişilerin kişisel verilerine ilişkindir. KVK Politikası, ilgili mevzuat tarafından ortaya konulan ilke ve esasların Şirketin kişisel verilerin korunması süreçlerinde nasıl uygulandığını gösterir. İşbu Politika kişisel verilerin işlenmesi ve korunmasına ilişkin Şirket genel politikasını ve süreçlerini anlatmakta olup; KVK Kanunu m. 10 kapsamındaki aydınlatma yükümlülüğü ise ilgili kişilere somut süreç bazında sunulacak olan ilgili aydınlatma metinleri ile yerine getirilmektedir.
Kişisel verilerin korunması ve hukuka uygun olarak işlenmesinde öncelikle uygulama alanı bulacak olan bu alanda yürürlükte bulunan ilgili mevzuat, ikincil düzenlemeler ve evrensel hukuk ilkeleridir. KVK Politikamız ile yürürlükteki ilgili düzenlemeler arasında çelişki bulunması durumunda, yürürlükteki düzenlemeler geçerlidir.
Bu Politika’da gerektiğinde güncellemeler yapabiliriz, bu nedenle hizmetlerimizi kullandığınız tarihte güncel Politikamıza eriştiğinizden emin olunuz.
KISALTMA |
TANIM |
‘’Açık Rıza’’ |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
“Aydınlatma Yükümlülüğü” |
Kişisel verilerin elde edilmesi sırasında Veri Sorumlusu veya onun yetkilendirdiği kişilerin, İlgili Kişilere KVK Kanunu’nun 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ̆ kapsamında bilgi vermesine ilişkin Şirket’in yükümlülüğüdür. |
“İlgili Kişi”, “Veri Sahibi” |
Şirket tarafından veya Şirket adına yetkilendirilmiş̧ kişiler/kurumlar tarafından kişisel verileri işlenen veri sahibi gerçek kişilerdir. |
“İmha” |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
“Kişisel Veri” |
Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. |
“Kişisel Verinin Anonim Hale Getirilmesi” |
Kişisel verinin başka verilerle eşleştirilmesi dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. |
“Kişisel Verinin İşlenmesi” |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılmasıyla da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
“Kişisel Verinin Silinmesi” |
Kişisel verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
“Kişisel Verinin Yok Edilmesi” |
Kişisel verinin hiçbir kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
“Kurul” |
Kişisel Verileri Koruma Kurulu |
“Kurum” |
Kişisel Verileri Koruma Kurumu |
“Kanun”, “KVK Kanunu” |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
“KVK Politikası” |
Şirket tarafından benimsenmiş Kişisel Verilerin Korunması ve İşlenmesi Politikası’dır. |
“Özel Nitelikli Kişisel Veri” |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. |
“Şirket” |
DEMANT İŞİTME CİHAZLARI SANAYİ VE TİCARET ANONİM ŞİRKETİ |
“VERBİS”, “Sicil” |
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicil Bilgi Sistemi‘dir. |
“Veri İşleyen” |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
“Veri Sorumlusu” |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Şirket, KVK Kanunu’nun 4. maddesinde sayılan kişisel veri işlerken uyulması zorunlu “Genel İlkelere” riayet etmektedir:
Şirket, kişisel veri işleme faaliyetlerini hukuk normlarına ve evrensel hukuk ilkelerine ve dürüstlük kuralarına uygun olarak kişisel veri işleme süreçleri yönetir; süreçlerin şeffaflığını sağlamak için ilgili kişileri gerektiği şekilde bilgilendirir; bu süreçlerde ilgili kişinin çıkarlarını ve makul beklentilerini dikkate alır. Bu kapsamda veri işleme faaliyetinin ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önler.
Kişisel veriler, kural olarak ilgili kişilerin beyanı üzerine ve beyan edildiği şekilde işlenir ve, kişisel verilerin beyan edildiği şekilde doğru olduğu kabul edilir. Şirket, tüzel kişiliği bünyesindeki kişisel verilerin doğru ve güncel tutulması, yanlış bilgi içermemesi için gereken makul özen ve dikkati gösterir. İşlenen kişisel verilerde oluşan değişikliklerin ilgili kişi tarafından Şirkete iletilmesi halinde kişisel verisinin ilgili veri tabanında güncellenmesi için gerekli idari ve teknik mekanizmanın kurulmasını sağlar.
Şirket, meşru ve hukuka uygun olan veri işleme amaçlarını, kişisel veri işleme faaliyetine başlamadan önce belirli ve açık bir biçimde ortaya koyar ve kişisel verileri Şirketin ürün ve hizmetleriyle bağlantılı olarak ve bunlar için gerekli olduğu kadar işler.
Kişisel veriler Şirket tarafından belirlenen ve ilgili kişiye açıklanan amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlenir. Şirket, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını gözeterek, işlemenin amacı gerçekleştirecek ölçüde olmasına özen gösterir.
Şirket, kişisel veri işleme faaliyetlerini hukuk normlarına ve evrensel hukuk ilkelerine ve dürüstlük kuralarına uygun olarak kişisel veri işleme süreçleri yönetir; süreçlerin şeffaflığını sağlamak için ilgili kişileri gerektiği şekilde bilgilendirir; bu süreçlerde ilgili kişinin çıkarlarını ve makul beklentilerini dikkate alır. Bu kapsamda veri işleme faaliyetinin ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önler.
Kişisel veriler, kural olarak ilgili kişilerin beyanı üzerine ve beyan edildiği şekilde işlenir ve, kişisel verilerin beyan edildiği şekilde doğru olduğu kabul edilir. Şirket, tüzel kişiliği bünyesindeki kişisel verilerin doğru ve güncel tutulması, yanlış bilgi içermemesi için gereken makul özen ve dikkati gösterir. İşlenen kişisel verilerde oluşan değişikliklerin ilgili kişi tarafından Şirkete iletilmesi halinde kişisel verisinin ilgili veri tabanında güncellenmesi için gerekli idari ve teknik mekanizmanın kurulmasını sağlar.
Şirket, meşru ve hukuka uygun olan veri işleme amaçlarını, kişisel veri işleme faaliyetine başlamadan önce belirli ve açık bir biçimde ortaya koyar ve kişisel verileri Şirketin ürün ve hizmetleriyle bağlantılı olarak ve bunlar için gerekli olduğu kadar işler.
Kişisel veriler Şirket tarafından belirlenen ve ilgili kişiye açıklanan amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlenir. Şirket, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını gözeterek, işlemenin amacı gerçekleştirecek ölçüde olmasına özen gösterir.
Şirket, kişisel verileri mevzuatın öngördüğü veya işlenme amacının gerektirdiği süre kadar muhafaza eder. Buna karşın mevzuatın öngördüğü süre sona erdiğinde yahut işlenme amaçlarının tamamı ortadan kalktığında kişisel verileri siler, yok eder ya da anonimleştirir. Veri Sorumlusu olarak Şirket, Kişisel Veri Saklama ve İmha Politikası’nda saklama sürelerini, imha periyotlarını ve kişisel verilerin muhafaza edilmesinde uygulamaya alınacak teknik ve idari tedbirleri belirlemiştir ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlü olduğunun farkındadır.
Söz konusu ilkeler; Şirket’in kişisel verileri açık rızaya dayanarak veya diğer veri işleme şartlarına uygun bir şekilde işlemiş olup olmadığına bakılmaksızın uygulanır. Bu noktada Şirket, kişisel verileri veri işleme şartlarına ve genel ilkelere uygun şekilde işlemekte olup ilgili kişileri aydınlatma yükümlülüğünü de yerine getirmektedir.
Şirket, işlemekte olduğu kişisel veri kategorilerini, verisi işlenen ilgili kişi gruplarını, kişisel verilerin işlenme amaçlarını, kişisel verilerin işlenmesine dayanak olan hukuki şartları, kişisel verilerin toplama kanallarını, aktarıldığı alıcı gruplarını, süresi dolan kişisel verilere ilişkin saklama süreleri ve imha süreçlerini ve tüm bu süreçlerde kişisel verilerin güvenliğini sağlamak amacı ile almış olduğu güvenlik tedbirlerini aşağıda düzenlenebilir ve güncellenebilir olarak tanımlamıştır. Tüm bu bilgiler özetle ve güncellenerek Kurum web adresinde yer alan VERBİS (verbis.kvkk.gov.tr) sicil bilgi sisteminde kamuya açık yayınlanmakta ve ilgili platformda güncellenmektedir.
Tüm kişisel veri kategorileri “Kişisel Veri” ve “Özel Nitelikli Kişisel Veri” olarak temelde iki ana kategori altında düzenlenmiştir.
Şirketimiz bünyesinde işlenen tüm kişisel veri kategorileri ve tanımları aşağıdaki gibidir:
KİŞİSEL VERİ KATEGORİSİ |
TANIMI |
Kimlik Verileri |
Ad soyadı, anne- baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, T.C. kimlik no, imza gibi |
İletişim Verileri |
Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi |
Lokasyon Verileri |
Bulunduğu yerin konum bilgisi vb. |
Özlük Verileri |
Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi |
Hukuki İşlem Verileri |
Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi |
Müşteri İşlem Verileri |
Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi |
Fiziksel Mekân Güvenliği |
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi |
İşlem Güvenliği Verileri |
IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi |
Finans Verileri |
Banka, IBAN, bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi |
Mesleki Deneyim Verileri |
Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi |
Pazarlama Verileri |
Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler |
Görsel ve İşitsel Kayıtlar |
Fotoğraf, video, görsel ve işitsel kayıtlar gibi |
ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİSİ |
TANIMI |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi |
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar |
Dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi |
Sağlık Bilgileri |
Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi |
Biyometrik Veriler |
Avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi |
Sendika Üyeliği |
Sendika üyeliği bilgileri vb. |
Dernek Üyeliği |
Dernek üyeliği bilgileri vb. |
Şirketimiz bünyesinde kişisel verisi işlenen ilgili kişi grupları ve tanımları Kurum web adresinde yer alan VERBİS (verbis.kvkk.gov.tr) adresinde kamuya açık şekilde bildirilmekte ve yayınlanmaktadır.
Şirket, Kanun’un 4. maddesinde yer alan ve yukarıda belirtilen “Kişisel Verilerin İşlenmesinde Genel İlkeler” doğrultusunda ve Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak uygun bir şekilde kişisel verileri işlemektedir. Şirket, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişi gruplarını ayrı ayrı, ilgili aydınlatma metinlerinde veri işleme kategorileri ve amaçları konusunda bilgilendirir. Şirketin kişisel verileri işleme amaçları, Veri Sorumluları Bilişim Sistemi’nde (VERBİS) beyan edilmiş ve sistemde kamunun erişimine açık olarak tutulmaktadır (link:verbis.kvkk.gov.tr).
Şirket, Kanun’un 4. maddesinde yer alan ve yukarıda belirtilen “Kişisel Verilerin İşlenmesinde Genel İlkeler” doğrultusunda ve Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak uygun bir şekilde kişisel verileri işlemektedir. Şirket, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişi gruplarını ayrı ayrı, ilgili aydınlatma metinlerinde veri işleme kategorileri ve amaçları konusunda bilgilendirir. Şirketin kişisel verileri işleme amaçları, Veri Sorumluları Bilişim Sistemi’nde (VERBİS) beyan edilmiş ve sistemde kamunun erişimine açık olarak tutulmaktadır (link:verbis.kvkk.gov.tr).
Şirket, kişisel verileri ilgili kişinin açık rızası ile yahut diğer veri işleme şartlarından biri veya birkaçının varlığı halinde bu şart veya şartlara uygun olarak işlemektedir. İşlenen kişisel verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın “Özel Nitelikli Kişisel Verilerin İşlenmesi” başlığında belirtilen şartlar uygulanır.
İlgili Kişinin Açık Rızasının Bulunması
İlgili kişinin belirli bir konuya ilişkin, bilgilendirilmeye dayalı olan ve özgür iradeyle verdiği açık rızasının bulunması durumunda bu veri işleme şartı söz konusu olur. İlgili kişiden alınan açık rıza ispatlanabilir şekilde Şirket tarafından KVK mevzuatı kapsamında gereken süre ile muhafaza edilir. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilir.
Kanunlarda Açıkça Öngörülmesi
İlgili kanunda o kişisel verinin işlenmesine ilişkin açıkça bir hüküm bulunması halinde işbu veri işleme şartı söz konusu olur. Örnek vermek gerekirse, kişisel veriler KVK Kanunu, Tüketicinin Korunması Hakkında Kanun, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili diğer mevzuat hükümleri kapsamında yasal yükümlülüklerin yerine getirilmesi amaçlarıyla işlenir.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmamış olan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verisinin işlenmesinin zorunlu olması durumunda ilgili kişinin verisi bu veri işleme şartına dayalı olarak işlenir.
Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması
İlgili kişinin tarafı olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması durumunda bu veri işleme şartına dayanarak işleme söz konusu olur.
Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması
Şirketimizin mevzuattan ya da sözleşmeden kaynaklı hukuki yükümlülüklerini yerine getirebilmesi için kişisel verinin işlenmesinin zorunlu olması halinde bu veri işleme şartına dayanarak işleme söz konusu olur.
İlgili Kişinin Kendisi Tarafından Kişisel Verinin Alenileştirilmiş Olması
İlgili kişinin kendisi tarafından alenileştirilmiş olan kişisel veri ancak alenileştirme amacıyla sınırlı olarak işlenir.
Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri bu veri işleme şartına dayalı olarak işlenir.
Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde bu veri işleme şartına dayalı olarak işleme yapılır.
Kişisel Verileri Koruma Kanunu’nun 6/3. Maddesi gereği özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
Şirket, özel nitelikli kişisel verilerin işlenmesi sürecine ilişkin “ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI”nı ayrıca ve detaylarıyla düzenlemiş ve yayınlamıştır.
Şirket, kişisel verileri hukuki düzenlemeler ve işbu Politika’da yer alan amaçlara uygun ve işleme şartlarına dayalı olarak, fiziki ve elektronik ortamlardan elde etmektedir. Bu ortamlar ve kişisel verilerin elde edildiği kanallar aşağıdaki gibidir:
FİZİKSEL VERİ TOPLAMA |
ELEKTRONİK VERİ TOPLAMA |
Fiziki Posta |
E-Posta |
Matbu Formlar |
Web Sitesi |
|
Kullanılan Yazılım ve Uygulamalar |
|
BT Kapsamındaki Cihazlar |
|
Kurumsal Sosyal Medya Hesapları |
|
İletişim Platformu |
İş süreçlerinin gelişimi, değişimi ve teknolojik gelişmelere bağlı olarak bu kanallar farklılaşabilmektedir. Şeffaflık ilkesi gereği bu değişiklikler Politika’da yapılacak güncellemeler ile sunulacaktır.
Şirket, veri aktarım faaliyetlerinde hukuka uygun davranır. Kişisel verilerin aktarıldığı üçüncü kişilere ancak hizmetin gerektirdiği ölçüde veri aktarımında bulunur. “Veri işleyen” olan “Aktarım Alıcı” gruplarını veri aktarım sözleşmeleri vasıtasıyla veri güvenliğine ilişkin uygun şekilde talimatlandırır.
ALICI GRUPLARI |
AKTARIM AMACI ÖRNEĞİ |
Yetkili Kamu Kurum ve Kuruluşları |
Yasal yükümlülüklerimizin yerine getirilmesi amacıyla aktarılmaktadır. |
Gerçek kişiler veya özel hukuk tüzel kişileri |
Hukuk işlerinin takibi ve yürütülmesi, danışmanlık hizmetlerinin alınması, faaliyetlerin mevzuata uygun yürütülmesi amaçlı aktarılmaktadır. |
Grup/Topluluk Şirketleri |
Faaliyetlerin birlikte yürütülmesi, iş süreçlerinin yönetiminde destek alınması, bilgi paylaşımı yapılması amaçlarıyla aktarılmaktadır. |
İş Ortakları |
Sözleşme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, bilgi paylaşımı süreçleri kapsamında aktarılmaktadır. |
Tedarikçi (Ürün / Hizmet Sağlayan) Firmalar |
Ürün / hizmet tedariği, iş sürekliliğinin sağlanması faaliyetleri ve sözleşmenin kurulması ve ifası amaçlı aktarılmaktadır. |
Bağımsız Denetim Şirketi |
İş faaliyetlerinin yürütülmesi denetimlerin sağlanması amaçlı aktarılmaktadır. |
Mali Müşavirlik Firmaları |
Finans ve muhasebe faaliyetlerinin yürütülmesi, yasal yükümlülükler kapsamında destek alınması amaçlı aktarılmaktadır. |
Banka |
Finans ve muhasebe süreçlerinin yürütülmesi amaçlı aktarılmaktadır. |
OSGB |
İş Sağlığı / Güvenliği faaliyetlerinin mevzuata uygun yürütülmesi amaçlı aktarılmaktadır. |
Müşteri / Ürün ya da Hizmet Alan Gerçek veya Tüzel Kişi / Bayi |
İletişim faaliyetlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, ürün ve hizmetlerin satış süreçlerinin yürütülmesi sözleşme süreçlerinin yürütülmesi amaçlı aktarılmaktadır. |
Sigorta Şirketleri, Acente |
Sigorta işlemlerinin gerçekleştirilmesi |
Şirket kişisel verileri yurt dışına ancak KVK Kanunu’nun 9. maddesinde yer alan düzenlemelerin öngördüğü şekilde ve gerekli idari ve teknik tedbirleri alarak aktarabilir. Bu aktarım aşağıdaki şartlardan birinin gerçekleşmesiyle mümkündür:
Kişisel veriler, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, Şirketimiz tarafından yurt dışına aktarılabilir.
Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde Şirketimiz tarafından yurt dışına aktarılabilir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. Söz konusu iki şarttan birinin gerçekleşmemiş olması halinde kişisel veriler ancak ilgili kişinin açık rızasının bulunması halinde yurt dışına aktarılabilir.
Yeterlilik kararının bulunmaması ve yukarıda yazılı olan uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde Şirketimiz yurt dışına kişisel veri aktarabilir:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Kişisel verilerin aktarıldığı alıcı grupları ve paylaşım amaçlarına ilişkin örnekler aşağıdaki gibidir:
ALICI GRUPLARI |
AKTARIM AMACI ÖRNEĞİ |
İş ortakları |
Sözleşme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, bilgi paylaşımı süreçleri kapsamında aktarılmaktadır. |
Grup / Topluluk Şirketleri |
Faaliyetlerin birlikte yürütülmesi, iş süreçlerinin yönetiminde destek alınması, bilgi paylaşımı yapılması amaçlarıyla aktarılmaktadır. |
Tedarikçi (Ürün / Hizmet Sağlayan) Firmalar |
Ürün / hizmet tedariği, iş sürekliliğinin sağlanması faaliyetleri, sözleşmenin kurulması ve ifası, iletişim faaliyetlerinin yürütülmesi, teknik destek alınması amaçlı aktarılmaktadır. |
Kişisel verilerin aktarıldığı alıcı grupları ve yurtdışına aktarılan kişisel veri kategorileri değişiklik gösterebilecektir. Bu değişiklikler ve güncellemeler, Kurum web adresinde yer alan VERBİS (verbis.kvkk.gov.tr) adresinde kamuya açık şekilde bildirilmekte ve yayınlanmaktadır.
Veri Sorumlusu olarak Şirket, ”Kişisel Veri Saklama ve İmha Politikası”nda saklama sürelerini, imha periyotlarını ve kişisel verilerin muhafaza edilmesinde uygulamaya alınacak teknik ve idari tedbirleri belirlemiş; VERBİS’te her kişisel veri kategorisi için ayrı şekilde bu süreleri beyan etmiştir. Şirket, kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlü olduğunun farkındadır.
KVK Kanunu uyarınca kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu süreler belirlenmiş olup bu sürenin geçmesinden sonra ise ilgili kişisel veriler “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” uyarınca ilgili Politika’da belirlenen periyodik imha sürelerinin sonunda silinmekte, yok edilmekte veya analitik amaçlarla kullanılabilmesi için anonim hale getirilmektedir. Bu KVK Politikası’nda verilen iletişim bilgileri aracılığıyla daha fazla bilgi talep edebilirsiniz.
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar dahilinde ve uygulama maliyeti de dikkate alınarak teknik ve idari tedbirler almaktadır. Kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve ilave tedbirlerle uygulanmakta ve Şirket bünyesinde gerekli denetimler periyodik olarak en üst düzeyde sağlanmakta, alınan bu güvenlik tedbirleri ayrıca VERBİS’te belirtilmektedir.
Şirket, kişisel verilerin yalnızca belirlenen amaçlar kapsamında işlenmesini sağlamak ve kötü niyetli olarak kullanılması, kişisel verilere yetkisiz şekilde erişilmesi, aktarımı, yok edilmesi veya değiştirilmesi gibi riskleri azaltmak için uygun her türlü güvenlik tedbirini alır. Bu güvenlik tedbirleri kişisel verilerin yeterli düzeyde veri koruması sağlamayan ülkelere aktarılmaması gibi konularda alınan sair önlemleri de kapsamaktadır.
Şirketin işlediği kişisel veriler gizlidir ve Şirket bu gizliliğe riayet etmektedir. Kişisel verilere ancak Şirket’in yetkilendirdiği kişiler erişebilir. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Şirket içinde de KVK Politikası’na riayet edilmesi sağlanmaktadır.
Şirket’in gerekli veri güvenliği önlemlerini almasına karşın, Şirket tarafından işletilen platformlara veya Şirket sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda Şirket, söz konusu ihlali gidermek için derhal harekete geçer ve ilgilinin zararını en aza indirir. Şirket, bu durumu derhal ilgili kişilere ve Kurul’a bildirir ve gerekli önlemleri alır. Kişisel verilerin ihlaline ilişkin olarak kurallar ve prosedürler “Kişisel Veri İhlal Yönetimi Politikası” yer almaktadır.
Şirket, KVK Kanunu’nun 10. maddesine ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerine uygun olarak ilgili kişileri, veri sorumlusunun kimliği, kişisel verilerinin hangi yöntemlerle toplandığı, işlemenin hukuki sebebi, amaçları, kişisel verilerin hangi amaçlarla kimlere aktarıldığı ve ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili aydınlatma metinleri ile bilgilendirmektedir.
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu bağlamda ilgili kişinin kişisel verileri üzerindeki hakları KVK Kanunu’nun 11. maddesinde aşağıda şekilde sıralanmıştır:
Kişisel verisinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVK Kanunu’nun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
İşbu silme, yok etme veya düzeltme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinin KVK Kanunu’na aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İlgili kişi, yukarıda belirtilen hakları kapsamında taleplerini, Şirketin kayıtlı elektronik posta (KEP) adresine, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle yazılı olarak iletebilir. İlgili kişi başvuru için Şirketin internet sayfasında bulunan “Veri Sahibi Başvuru Formu”nu kullanabilir. Yapılan başvuruda;
Ad, soyad ve başvuru yazılı ise imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
Talep konusunun bulunması ve
ayrıca, konuya ilişkin bilgi ve belgelerin başvuruya eklenmesi zorunludur. Başvurular ancak Türkçe olması halinde değerlendirmeye alınacaktır. İlgili kişiler adına üçüncü kişilerin başvuru talebinde bulunabilmesi için ilgili kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
İlgili kişilerin yukarıda sayılan haklarına ilişkin taleplerini bu KVK Politikası’nda belirtildiği gibi; her hâlükârda “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de öngörülen başvuru usullerine uygun olarak Şirket’e iletmesi durumunda Şirket, işbu talebi niteliğine göre en kısa sürede ve en geç başvuru tarihinden itibaren 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde Şirket, Kurulca belirlenen tarifedeki ücreti alabilecektir.
Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Şirket, kişisel verilerin korunması için belirlediği uygulama esaslarını politikalarda belirtmekte, ilgili olduğu ölçüde söz konusu politikaları kamuoyuna açık ortamlarda yayımlamaktadır. Bu konuda hazırlanan tüm şirket politika ve düzenlemeleri bir bütündür ve birbirini tamamlar. Şirket bu şekilde kişisel veri işleme faaliyetleri konusunda ilgili kişileri bilgilendirerek şeffaflık ve hesap verilebilirliği sağlamayı amaçlamaktadır.
İşbu Politika’da atıf yapılan diğer ilişkili dokümanlar aşağıdaki gibidir:
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
KİŞİSEL VERİ İHLAL YÖNETİMİ POLİTİKASI
İLGİLİ KİŞİ (VERİ SAHİBİ) BAŞVURU FORMU
KVK Politikası veya kişisel verilerinizin işlenmesi ve korunmasına yönelik yaklaşımımız hakkında herhangi bir sorunuz varsa veya KVK Kanunu’nda belirtilen haklardan herhangi birini kullanmak istiyorsanız, aşağıdaki yollardan herhangi birini kullanarak bilgi alabilirsiniz:
DEMANT İŞİTME CİHAZLARI SANAYİ VE TİCARET ANONİM ŞİRKETİ
SAHRAYICEDİT MAHALLESİ BATMAN SK. ROYAL PLAZA Apt. NO: 18/7 KADIKÖY/İSTANBUL
Telefon: 0216 577 30 30
KEP Adresi: sesisitme@hs01.kep.tr