Kişisel Verilerin İşlenmesi ve Korunması Politikası

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1.GÄ°RÄ°Åž

KiÅŸisel verilerin korunması, Etap Sigorta Aracılık Hizmetleri Ltd. Åžti.’nin (“Etap Sigorta”) en önemli öncelikleri arasındadır. Bu baÄŸlamda, yürürlükte bulunan baÅŸta 6698 sayılı KiÅŸisel Verilerin Korunması Kanununu (“Kanun”) olmak üzere tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. Ä°ÅŸbu KiÅŸisel Verilerin Korunması ve Ä°ÅŸlenmesi Politikası (“Politika”) çerçevesinde Etap Sigorta, kiÅŸisel veri iÅŸleme faaliyetleri bakımından benimsediÄŸi temel prensipleri açıklanmakta ve böylelikle kiÅŸisel veri sahiplerini bilgilendirerek gerekli ÅŸeffaflığı saÄŸlamaktadır. Bu kapsamdaki sorumluluÄŸumuzun tam bilinci ile kiÅŸisel verileriniz iÅŸbu Politika kapsamında iÅŸlenmekte ve korunmaktadır. Bu Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Etap Sigorta tarafından iÅŸlenen, gerçek kiÅŸilere ait (Ek 1 - KiÅŸisel Veri Sahipleri) tüm kiÅŸisel verilerine iliÅŸkindir. KiÅŸisel verilerin iÅŸlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulama alanı bulacağı kabul edilir. Ä°ÅŸbu Politika, ilgili mevzuat tarafından ortaya konulan kuralları Etap Sigorta uygulamaları kapsamında somutlaÅŸtırılarak düzenlemektedir.

2.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1.KiÅŸisel Verilerin GüvenliÄŸinin SaÄŸlanması

Etap Sigorta, Kanun’un 12. maddesine uygun olarak, kiÅŸisel verilerin hukuka aykırı olarak açıklanmasını, eriÅŸimini, aktarılmasını veya baÅŸka ÅŸekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliÄŸine göre gerekli tedbirleri almaktadır. Bu kapsamda, KiÅŸisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini saÄŸlamaya yönelik teknik ve idari tedbirler alınmakta, denetimler yapılmakta veya yaptırılmaktadır.

2.2.Özel Nitelikli KiÅŸisel Verilerin Korunması

Hukuka aykırı olarak iÅŸlenmesi durumunda kiÅŸilerin maÄŸduriyet veya ayrımcılık yaÅŸamasına sebep olma riski nedeniyle özel nitelikli verilere Kanun yoluyla özel bir önem atfedilmiÅŸtir. Bu veriler; ırk, etnik köken, siyasi düÅŸünce, felsefi inanç, din, mezhep veya diÄŸer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Etap Sigorta tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak iÅŸlenen özel nitelikli kiÅŸisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, kiÅŸisel verilerin korunması için Etap Sigorta tarafından alınan teknik ve idari tedbirler, özel nitelikli kiÅŸisel veriler bakımından özenle uygulanmakta ve Etap Sigorta bünyesinde gerekli denetimler saÄŸlanmaktadır.

2.3.Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalığın Arttırılması

KiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini, kiÅŸisel verilere hukuka aykırı olarak eriÅŸilmesini önlemeye ve kiÅŸisel verilerin muhafazasını saÄŸlamaya yönelik farkındalığın artırılması için Etap Sigorta çalışanlarında farkındalık oluÅŸması için gerekli eÄŸitimlerin düzenlenmesi saÄŸlanmaktadır. Bu doÄŸrultuda Etap Sigorta, ihtiyaç duyulması halinde danışmanlar ile çalışmakta, ilgili mevzuatın güncellenmesine paralel olarak eÄŸitimlerini güncellemekte ve yenilemektedir.

3.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1.KiÅŸisel Verilerin Mevzuatta Öngörülen Ä°lkelere Uygun Olarak Ä°ÅŸlenmesi

3.1.1.Hukuka ve Dürüstlük Kuralına Uygun Ä°ÅŸleme

Etap Sigorta, kiÅŸisel verilerin iÅŸlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kiÅŸisel veriler Etap Sigorta iÅŸ faaliyetlerinin gerektirdiÄŸi ölçüde ve bunlarla sınırlı olarak iÅŸlenmektedir.

3.1.2.KiÅŸisel Verilerin DoÄŸru ve GerektiÄŸinde Güncel Olmasını SaÄŸlama

Etap Sigorta, kiÅŸisel verilerin iÅŸlendiÄŸi süre boyunca doÄŸru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kiÅŸisel verilerin doÄŸruluÄŸunun ve güncelliÄŸinin saÄŸlanmasına iliÅŸkin gerekli mekanizmaları kurmaktadır.

3.1.3.Belirli, Açık ve MeÅŸru Amaçlarla Ä°ÅŸleme

Etap Sigorta, kiÅŸisel verilerin iÅŸlenme amaçlarını açıkça ortaya koymakta ve yine iÅŸ faaliyetleri doÄŸrultusunda bu faaliyetlerle baÄŸlantılı amaçlar kapsamında iÅŸlemektedir.

3.1.4.Ä°ÅŸlendikleri Amaçla BaÄŸlantılı, Sınırlı ve Ölçülü Olma

Etap Sigorta, kiÅŸisel verileri yalnızca ÅŸirket faaliyetlerinin gerektirdiÄŸi nitelikte ve ölçüde toplamakta olup yalnızca belirlenen amaçlarla sınırlı olarak iÅŸlemektedir.

3.1.5.Ä°lgili Mevzuatta Öngörülen veya Ä°ÅŸlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Etap Sigorta, kiÅŸisel verileri iÅŸlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduÄŸu yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Bu kapsamda, Etap Sigorta öncelikle ilgili mevzuatta kiÅŸisel verilerin saklanması için bir süre öngörülüp öngörülmediÄŸini tespit etmekte, bir süre belirlenmiÅŸse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deÄŸil ise, kiÅŸisel veriler iÅŸlendikleri amaç için gerekli olan süre kadar saklanmaktadır. KiÅŸisel veriler, belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi baÅŸvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleÅŸtirme) ile imha edilmektedir.

3.2.Kişisel Verilerin İşlenme Şartları

KiÅŸisel veri sahibinin açık rıza vermesi haricinde kiÅŸisel veri iÅŸleme faaliyetinin dayanağı aÅŸağıda belirtilen ÅŸartlardan yalnızca biri olabileceÄŸi gibi birden fazla ÅŸart da aynı kiÅŸisel veri iÅŸleme faaliyetinin dayanağı olabilmektedir. Ä°ÅŸlenen verilerin özel nitelikli kiÅŸisel veri olması halinde, iÅŸbu Politikada yer alan düzenlemelere ilave olarak KiÅŸisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı içerisinde yer alan ÅŸartlar uygulanacaktır.

a)KiÅŸisel Veri Sahibinin Açık Rızasının Bulunması

KiÅŸisel verilerin iÅŸlenme ÅŸartlarından biri, veri sahibinin açık rızasıdır. KiÅŸisel veri sahibinin açık rızası, belirli bir konuya iliÅŸkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

b)Hukuka Uygunluk Halleri

AÅŸağıda yer alan kiÅŸisel veri iÅŸleme ÅŸartlarının varlığı durumunda ise veri sahibinin açık rızasına gerek kalmaksızın kiÅŸisel veriler iÅŸlenebilecektir.

  1. Kanunlarda Açıkça Öngörülmesi
  2. Veri sahibinin kiÅŸisel verileri, kanunda açıkça öngörülmekte ise diÄŸer bir ifade ile ilgili kanunda kiÅŸisel verilerin iÅŸlenmesine iliÅŸkin açıkça bir hüküm olması halinde iÅŸbu veri iÅŸleme ÅŸartının varlığından söz edilebilecektir.

  3. Fiili Ä°mkânsızlık Sebebiyle Ä°lgilinin Açık Rızasının Alınamaması
  4. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kiÅŸinin kendisinin ya da baÅŸka bir kiÅŸinin hayatı veya beden bütünlüÄŸünü korumak için kiÅŸisel verisinin iÅŸlenmesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.

  5. SözleÅŸmenin Kurulması veya Ä°fasıyla DoÄŸrudan Ä°lgili Olması
  6. Veri sahibinin taraf olduÄŸu bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla, kiÅŸisel verilerin iÅŸlenmesinin gerekli olması halinde iÅŸbu ÅŸart yerine getirilmiÅŸ sayılabilecektir.

  7. Etap Sigortanın Hukuki YükümlülüÄŸünü Yerine Getirmesi
  8. Etap Sigortanın hukuki yükümlülüklerini yerine getirmesi için iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.

  9. KiÅŸisel Veri Sahibinin KiÅŸisel Verisini AlenileÅŸtirmesi
  10. Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

  11. Bir Hakkın Tesisi veya Korunması için Veri Ä°ÅŸlemenin Zorunlu Olması
  12. Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.

  13. KiÅŸisel Veri Sahibinin KiÅŸisel Verisini AlenileÅŸtirmesi
  14. Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

  15. Etap Sigorta MeÅŸru Menfaati için Veri Ä°ÅŸlemenin Zorunlu Olması
  16. KiÅŸisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Etap Sigorta meÅŸru menfaatleri için veri iÅŸlemesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.

3.3.Kişisel Veri Sahibinin Aydınlatılması

Etap Sigorta, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kiÅŸisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Etap Sigorta, kiÅŸisel verilerin veri sorumlusu olarak verilerin, hangi amaçlarla iÅŸlendiÄŸi, kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ile veri sahiplerinin sahip olduÄŸu hakları konusunda ilgili kiÅŸileri bilgilendirmektedir.

3.4.Kişisel Verilerin Aktarılması

Etap Sigorta hukuka uygun olan kiÅŸisel veri iÅŸleme amaçları doÄŸrultusunda gerekli güvenlik önlemlerini alarak kiÅŸisel veri sahibinin kiÅŸisel verilerini ve özel nitelikli kiÅŸisel verilerini üçüncü kiÅŸilere (üçüncü kiÅŸi ÅŸirketlere, resmi ve özel mercilere, üçüncü gerçek kiÅŸilere) aktarabilmektedir. Etap Sigorta bu doÄŸrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye iÅŸbu Politikanın Ek2 (EK 2 - Etap Sigorta Tarafından KiÅŸisel Verilerin Aktarıldığı Üçüncü KiÅŸiler ve Aktarılma Amaçları) dokümanından ulaşılabilir.

KiÅŸisel veri sahibinin açık rızası olmasa dahi aÅŸağıda belirtilen ÅŸartlardan bir ya da birkaçının mevcut olması halinde Etap Sigorta tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler dahil olmak üzere gerekli tüm güvenlik önlemleri alınarak kiÅŸisel veriler üçüncü kiÅŸilere aktarılabilecektir.

  • KiÅŸisel verilerin aktarılmasına iliÅŸkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • KiÅŸisel verilerin Etap Sigorta tarafından aktarılmasının bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili ve gerekli olması,
  • KiÅŸisel verilerin aktarılmasının Etap Sigortanın hukuki yükümlülüÄŸünü yerine getirebilmesi için zorunlu olması,
  • KiÅŸisel verilerin veri sahibi tarafından alenileÅŸtirilmiÅŸ olması ÅŸartıyla, alenileÅŸtirme amacıyla sınırlı bir ÅŸekilde Etap Sigorta tarafından aktarılması,
  • KiÅŸisel verilerin Etap Sigorta tarafından aktarılmasının Etap Sigorta, veri sahibi veya üçüncü kiÅŸilere ait haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Etap Sigorta meÅŸru menfaatleri için kiÅŸisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kiÅŸinin kendisinin ya da bir baÅŸkasının hayatı veya beden bütünlüÄŸünü koruması için zorunlu olması.

Yukarıdakilere ek olarak kiÅŸisel veriler, Kurul tarafından yeterli korumaya sahip olduÄŸu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki ÅŸartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım ÅŸartları doÄŸrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiÄŸi ve Kurul’un izninin bulunduÄŸu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun BulunduÄŸu Yabancı Ülke”) aktarılabilecektir.

4.Ä°ÅžLENEN KİŞİSEL VERÄ°LERVE Ä°ÅžLENME AMAÇLARI

KiÅŸisel veriler, Kanun’un 10. maddesi uyarınca ilgili kiÅŸiler bilgilendirilerek, iÅŸleme amaçları doÄŸrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kiÅŸisel veri iÅŸleme ÅŸartlarından en az birine dayalı ve sınırlı olarak, Kanun’un 4. Maddesi baÅŸta olmak üzere Kanun’da belirtilen genel ilkelere uygun bir ÅŸekilde iÅŸlenmektedir. Ä°ÅŸbu Politikada belirtilen amaçlar ve ÅŸartlar çerçevesinde, iÅŸlenen kiÅŸisel veri kategorilerine Politikanın Ek3’ünde (EK 3 -KiÅŸisel Veri Kategorileri), kiÅŸisel verilerin iÅŸleme amaçlarına iliÅŸkin bilgilere Politikanın Ek4’ünde (EK 4 -KiÅŸisel Veri Ä°ÅŸleme Amaçları”) yer verilmiÅŸtir.

5.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Etap Sigorta, kiÅŸisel verileri iÅŸlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduÄŸu yasal mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Etap Sigorta öncelikle ilgili mevzuatta kiÅŸisel verilerin saklanması için bir süre öngörülüp öngörülmediÄŸini tespit etmekte, bir süre belirlenmiÅŸse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deÄŸil ise kiÅŸisel veriler iÅŸlendikleri amaç için gerekli olan süre kadar saklanmaktadır. KiÅŸisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi baÅŸvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleÅŸtirme) ile imha edilmektedir. KiÅŸisel verilerin saklanması ve imhasına yönelik olarak Etap Sigorta KiÅŸisel Verileri Saklama ve Ä°mha Politikası uygulanır.

6.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

6.1.Kişisel Veri Sahibinin Hakları ve Hakların Kullanılması

KiÅŸisel veri sahipleri, aÅŸağıda sayılan haklarına iliÅŸkin taleplerini Kurul’un belirlemiÅŸ olduÄŸu yöntemlerle www.etapsigorta.com.tr adresinde bulunan BaÅŸvuru Formu vasıtasıyla Etap Sigorta’ya iletebileceklerdir. KiÅŸisel veri sahipleri aÅŸağıda yer alan haklara sahiptirler.

  1. KiÅŸisel verisinin iÅŸlenip iÅŸlenmediÄŸini öÄŸrenme,
  2. KiÅŸisel verileri iÅŸlenmiÅŸse buna iliÅŸkin bilgi talep etme,
  3. KiÅŸisel verilerin iÅŸlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öÄŸrenme,
  4. Yurt içinde veya yurt dışında kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸileri bilme,
  5. KiÅŸisel verilerin eksik veya yanlış iÅŸlenmiÅŸ olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan iÅŸlemin kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸilere bildirilmesini isteme,
  6. Kanun ve ilgili diÄŸer kanun hükümlerine uygun olarak iÅŸlenmiÅŸ olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kiÅŸisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan iÅŸlemin kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸilere bildirilmesini isteme,
  7. Ä°ÅŸlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kiÅŸinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  8. KiÅŸisel verilerin kanuna aykırı olarak iÅŸlenmesi sebebiyle zarara uÄŸraması hâlinde zararın giderilmesini talep etme.

6.2.Etap Sigortanın Başvurulara Cevap Vermesi

Etap Sigorta, kiÅŸisel veri sahibi tarafından yapılacak baÅŸvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.

KiÅŸisel veri sahibinin, bölüm 6.1.’de yer alan haklara iliÅŸkin talebini usulüne uygun olarak Etap Sigorta’ya iletmesi durumunda, talebin niteliÄŸine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talep ücretsiz olarak sonuçlandıracaktır. Ancak, iÅŸlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir. Bu konuda Kanun hükümleri ile birlikte Ä°lgili KiÅŸinin Veri Sorumlusuna BaÅŸvurusuna ve BaÅŸvurunun Yanıtlanmasına Ä°liÅŸkin Prosedür uygulanır.

7.KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENDİĞİ ÖZEL DURUMLAR

7.1.Etap Sigorta Ä°çinde ve Çevresinde Yürütülen Kamera ile Ä°zleme ve Kayıt Altına Alma Faaliyetleri

Etap Sigorta tarafından firma içinde ve çevresinde güvenliÄŸin saÄŸlanması amacıyla yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kiÅŸisel veri iÅŸleme ÅŸartlarına uygun olarak güvenlik kamerası izleme ve kayıt altına alma faaliyetinde bulunmaktadır.

Kanun’un 10. maddesine uyarınca, kamera ile izleme ve kayıt altına alma faaliyeti hususunda kiÅŸisel veri sahipleri aydınlatılmaktadır. Etap Sigorta tarafından video kamera ile izleme ve kayıt altına alma faaliyetinin sürdürülmesindeki amaç, iÅŸbu Politikada sayılan amaçlarla sınırlıdır. Bu doÄŸrultuda, güvenlik kameralarının izleme ve kayıt altına alma alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaÅŸmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. KiÅŸinin mahremiyetine güvenlik amaçlarını aÅŸan ÅŸekilde müdahale sonucu doÄŸurabilecek alanlarda (örneÄŸin, tuvaletler) izlemeye tabi tutulmamaktadır.

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Etap Sigorta çalışanının eriÅŸimi bulunmaktadır. Kayıtlara eriÅŸimi olan sınırlı sayıda kiÅŸi gizlilik taahhütnamesi ile eriÅŸtiÄŸi verilerin gizliliÄŸini koruyacağını beyan etmektedir.

7.2.Çalışanların Özel Nitelikli KiÅŸisel Verilerine Ä°liÅŸkin Kurallar

Çalışanların adli sicil kaydı ve saÄŸlık bilgileri, özel nitelikli kiÅŸisel veri olarak kabul edilmektedir. Özel nitelikli kiÅŸisel veriler hakkında iÅŸbu Politikada yer alan düzenlemelere ilave olarak KiÅŸisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (Ek 5 - Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler) hükümleri uygulanır.

Çalışan ile ilgili özel nitelikli kiÅŸisel veriler, Etap Sigorta olanakları elverdiÄŸi oranda, yetkisiz eriÅŸimlerden korumak ve daha yüksek güvenlik saÄŸlamak adına, diÄŸer kiÅŸisel verilerden ayrı olarak saklanmaktadır. Etap Sigorta, bu verileri mümkün olan en dar kapsamda iÅŸlemeye özen göstermektedir. Bu verilerin iÅŸlenmesi gereken durumlarda, bu iÅŸlemeyi gerçekleÅŸtirmek amacıyla yetkilendirilen kiÅŸilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.

Çalışan ile ilgili kiÅŸisel verilere eriÅŸim sadece gerekli olması durumunda bu konuda yetkilendirilmiÅŸ Etap Sigorta çalışan(lar)ı tarafından gerçekleÅŸtirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede saÄŸlık verileri açıklanabilir.

8.YAYINLANMA VE YÜRÜRLÜK

Ä°ÅŸbu Politika, Etap Sigorta kanuni temsilcisi tarafından onaylanır ve yürürlüÄŸe girer. Tüm çalışanlara ve kamuya duyurulmak üzere internet sitesinde yayımlanır, kâğıt nüshası Etap Sigorta nezdinde saklanır. Ä°ÅŸbu Politika, tüm iÅŸ birimleri, danışmanlar, dış hizmet saÄŸlayıcıları ve kiÅŸisel veri iÅŸleyen herkes için baÄŸlayıcı olacaktır.

Etap Sigorta, Kanun’da yapılan deÄŸiÅŸiklikler, Kurul kararları, sektördeki ya da biliÅŸim alanındaki geliÅŸmeler doÄŸrultusunda iÅŸbu KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikasında deÄŸiÅŸiklik yapma hakkını saklı tutar. Ä°ÅŸbu Politikada yapılan deÄŸiÅŸiklikler derhal metne iÅŸlenir ve deÄŸiÅŸikliklere iliÅŸkin açıklamalar politikanın sonunda açıklanır.

Politikanın gereklerinin çalışanlar tarafından yerine getirilmesinde sorumluluk iÅŸverene aittir. Politikaya aykırı davranış tespit edildiÄŸinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kiÅŸisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, iÅŸveren tarafından yapılacak deÄŸerlendirme sonrasında gerekli idari iÅŸlem yapılacaktır.

EK 1 – KiÅŸisel Veri Sahipleri

KiÅŸisel Veri Sahibi Kategorisi Açıklama
Çalışan Etap Sigortada sözleÅŸme ile çalışan gerçek kiÅŸi
Hissedar Etap Sigorta hisselerine sahip gerçek kiÅŸi
Tedarikçi Etap Sigorta ile yürüttüÄŸü faaliyetler çerçevesinde her türlü mal ve hizmet tedariki sunan kurum ve kuruluÅŸların hissedarı, yetkilisi ve çalışanı olan gerçek kiÅŸiler
Ürün veya Hizmet Alan KiÅŸi Etap Sigorta ile herhangi bir sözleÅŸme iliÅŸkisi olup olmadığına bakılmaksızın Etap Sigortanın sunduÄŸu mal ve hizmetler kapsamında kiÅŸisel verileri elde edilen gerçek kiÅŸiler ile tüzel kiÅŸi müÅŸterilerin çalışanları veya yetkilileri
Potansiyel Ürün veya Hizmet Alıcısı Etap Sigortanın sunduÄŸu mal ve hizmetler kapsamında kendisine teklif vermek amacıyla kiÅŸisel verileri elde edilen gerçek kiÅŸiler ile tüzel kiÅŸi müÅŸterilerin çalışanları veya yetkilileri
Ziyaretçi Etap Sigortanın sahip olduÄŸu fiziksel yerleÅŸkelere çeÅŸitli amaçlarla girmiÅŸ olan gerçek kiÅŸiler ile web sitesini ziyaret eden gerçek kiÅŸiler
DiÄŸer Bankacı, Ciranta, Doktorvb. diÄŸer 3. gerçek kiÅŸiler

EK 2 – Etap Sigorta Tarafından KiÅŸisel Verilerin Aktarıldığı Üçüncü KiÅŸiler ve Aktarılma Amaçları

Etap Sigorta, Kanun’un 8. ve 9. maddelerine uygun olarak iÅŸbu Politika ile yönetilen veri sahiplerinin kiÅŸisel verilerini, gerçek kiÅŸiler veya özel hukuk tüzel kiÅŸilerine ve yetkili kamu kurum ve kuruluÅŸlarına aÅŸağıda belirtilen kapsam ve amaçlarla aktarabilir.

Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarım Amacı
Gerçek kiÅŸiler veya özel hukuk tüzel kiÅŸileri Ticari faaliyetlerini yürütürken sözleÅŸme temelli olarak Etap Sigortaya mal ve hizmet sunan taraflardır. Dış kaynaklı olarak ve ticari faaliyetlerini yürütmek üzere mal ve hizmet saÄŸlamak amacıyla sınırlı olarak
Yetkili Kamu Kurum ve KuruluÅŸları Ä°lgili mevzuat hükümlerine göre Etap Sigortadan bilgi ve belge almaya yetkili kamu kurum ve kuruluÅŸlarıdır. Ä°lgili kamu kurum ve kuruluÅŸlarının hukuki yetkisi dahilinde talep ettiÄŸi amaçla sınırlı olarak

EK 3 – KiÅŸisel Veri Kategorileri

KiÅŸisel Veri Sahibi Kategorisi Açıklama
Kimlik Ad-soyad, T.C./vergi kimlik numarası, uyruk bilgisi, doÄŸum yeri, doÄŸum tarihi, cinsiyet, medeni durum, iÅŸyeri bilgisi, SGK/Kurum sicil numarası vb. bilgiler ile ehliyet, nüfus cüzdanı ve pasaport gibi belgeler üzerindeki bilgiler.
İletişim Telefon numarası, adres, e-posta adresi, faks numarası vb. bilgiler.
Fiziksel Mekân GüvenliÄŸi Kamera kaydı.
MüÅŸteri Ä°ÅŸlem Fatura, senet, çek, dekont bilgileri, araç bilgisi (marka, model, motor ÅŸasi no, ruhsat bilgileri vb.), seyahat bilgisi (nakliyat, güzergâh bilgisi vb.)
Finans Banka hesap bilgileri, IBAN numarası, gelir bilgisi, tapu vb. mal varlığı bilgileri, banka hesap hareketleri, kredi kartı bilgileri vb.
Görsel ve Ä°ÅŸitsel Kayıtlar FotoÄŸraf
Özlük Ä°ÅŸe baÅŸlama tarihi, izin baÅŸlangıç-bitiÅŸ tarihi, ücret hesap pusulası, özlük dosyasına iliÅŸkin tutanaklar vb.
Hukuki Ä°ÅŸlem Ä°mza, imza sirküleri, vekaletname bilgileri, mahkeme ve idari merci kararları vb.
Mesleki Deneyim ÖÄŸrenim ve meslek bilgileri.
Özel Nitelikli KiÅŸisel Veriler Din bilgisi, saÄŸlık bilgisi(boy-kilo bilgileri, kan grubu, muhtelif saÄŸlık raporları, tetkik, tanı, reçete, engel durumu vb. bilgiler), ceza mahkumiyeti ve güvenlik tedbirleri bilgisi.
DiÄŸer Bilgiler Ä°mza

EK 4 – KiÅŸisel Veri Ä°ÅŸleme Amaçları

KiÅŸisel Veri Ä°ÅŸleme Amaçları
Çalışan adayı/stajyer seçme ve yerleÅŸtirme süreçlerinin yürütülmesi
Çalışanlar Ä°çin Ä°ÅŸ Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar Ä°çin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe Ä°ÅŸlerinin Yürütülmesi
Fiziksel Mekân GüvenliÄŸinin Temini
Hukuk Ä°ÅŸlerinin Takibi ve Yürütülmesi
Ä°ÅŸ Faaliyetlerinin Yürütülmesi/Denetimi
Lojistik Faaliyetlerinin Yürütülmesi
Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal/Hizmet Satış Süreçlerinin Yürütülmesi
Reklam/kampanya/promosyon Süreçlerinin Yürütülmesi
Saklama ve ArÅŸiv Faaliyetlerinin Yürütülmesi
SözleÅŸme Süreçlerinin Yürütülmesi
Ürün/hizmet Pazarlama Süreçlerinin Yürütülmesi
Yetkili KiÅŸi/kurum ve KuruluÅŸlara Bilgi Verilmesi

EK 5 - Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

Karar Tarihi : 31/01/2018 Karar No : 2018/10 Konu Özeti : “Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüÅŸülmesi.

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen ÅŸekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliÄŸi ile karar verilmiÅŸtir.

Özel Nitelikli KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı KiÅŸisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kiÅŸisel verilerin iÅŸlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması ÅŸarttır.” hükmü yer almaktadır. Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kiÅŸisel veri iÅŸleyen veri sorumluları tarafından alınması gereken yeterli önlemler KiÅŸisel Verileri Koruma Kurulu tarafından aÅŸağıdaki ÅŸekilde belirlenmiÅŸtir: 1- Özel nitelikli kiÅŸisel verilerin güvenliÄŸine yönelik sistemli, kuralları net bir ÅŸekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi, 2- Özel nitelikli kiÅŸisel verilerin iÅŸlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna baÄŸlı yönetmelikler ile özel nitelikli kiÅŸisel veri güvenliÄŸi konularında düzenli olarak eÄŸitimler verilmesi, b) Gizlilik sözleÅŸmelerinin yapılması, c) Verilere eriÅŸim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, ç) Periyodik olarak yetki kontrollerinin gerçekleÅŸtirilmesi, d) Görev deÄŸiÅŸikliÄŸi olan ya da iÅŸten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, 3- Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi ortamlar, elektronik ortam ise a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, c) Veriler üzerinde gerçekleÅŸtirilen tüm hareketlerin iÅŸlem kayıtlarının güvenli olarak loglanması, ç) Verilerin bulunduÄŸu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, d) Verilere bir yazılım aracılığı ile eriÅŸiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, e) Verilere uzaktan eriÅŸim gerekiyorsa en az iki kademeli kimlik doÄŸrulama sisteminin saÄŸlanması, 4- Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi ortamlar, fiziksel ortam ise a) Özel nitelikli kiÅŸisel verilerin bulunduÄŸu ortamın niteliÄŸine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, b) Bu ortamların fiziksel güvenliÄŸinin saÄŸlanarak yetkisiz giriÅŸ çıkışların engellenmesi, 5- Özel nitelikli kiÅŸisel veriler aktarılacaksa a) Verilerin e-posta yoluyla aktarılması gerekiyorsa ÅŸifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle ÅŸifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleÅŸtiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleÅŸtirilmesi, ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kiÅŸiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir. 6- Yukarıda belirtilen önlemlerin yanı sıra KiÅŸisel Verileri Koruma Kurumunun internet sitesinde yayımlanan KiÅŸisel Veri GüvenliÄŸi Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.