1. GİRİŞ
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile kişisel verilerin korunması ve işlenmesi konusunda Ekvator Sigorta Aracılık Hizmetleri Limited Şirketi (“Ekvator Sigorta”, “Şirket”) ve bünyesinde bulunan diğer grup şirketleri tarafından uygulamada dikkate alınacak hususlar ortaya konulmaktadır.
Politika, Ekvator Sigorta’nın kuruluşundan bu yana kişisel verilerin korunmasına göstermiş̧ olduğu özen doğrultusunda yürütmekte olduğu faaliyetlerinin bu kez hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri başta olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen ilkelere ve kurallara uygun olarak yürütülmesini hedeflemektedir.
Ekvator Sigorta bünyesinde Kanun’da ve işbu Politika metninde düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından gerekli her türlü teknik ve idari tedbirler alınmaktadır. Bu kapsamda çalışanların farkındalığının sağlanması için gerekli eğitimler düzenlenmektedir.
Konu hakkında kişisel veri sahiplerine gerekli bildirimler ve uyarılar yapılmaktadır.
2. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
2.1. Kişisel Veriler
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgilerdir. Kişisel verilerin korunması, sadece gerçek kişilerin verileri ile ilgilidir. Şirketimize ait, içerisinde gerçek kişilere ilişkin bilgi içermeyen veriler, kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika, Ekvator Sigorta’ya ait diğer veriler için geçerli değildir.
2.2. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya ilgili kişinin mağduriyetine neden olabilecek nitelikte verilerdir. Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileridir.
Özel nitelikli kişisel verilerin işlenmesine ve korunmasına, Ekvator Sigorta ve grup şirketleri olarak ayrıca önem verilmektedir. Özel nitelikli kişisel veriler işlenirken öncelikle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartlarının varlığından emin olunduktan sonra veri işleme faaliyetleri yürütülmektedir. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu’nun öngördüğü tedbirlere uygun olarak mevzuatın zorunlu kıldığı durumlarda doğrudan, diğer durumlarda ise özel nitelikli kişisel veri sahibinin açık rızası alınarak işlenmektedir.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Ekvator Sigorta ve grup şirketleri kişisel verileri aşağıda belirtilen ilkelerle uyumlu olarak işlemekte olup; mevzuatta ve diğer alanlarda olan değişiklikleri yakından takip etmektedir.
3.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Ekvator Sigorta, kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işlemektedir. Bu çerçevede, kişisel veriler Şirketimiz tarafından, iş faaliyetlerinin gerektirdiği ölçüde, sınırlı bilgiler ile işlenmektedir.
3.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Ekvator Sigorta, kişisel verilerin işlendiği süre boyunca doğruluğunu ve güncelliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almıştır. Veri sahibinin başvurusu üzerine veya tespit halinde verilerin düzeltilmesini temin eder.
3.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Ekvator Sigorta, kişisel verilerin işlenme amaçlarını belirli ve açık bir şekilde ortaya koymakta ve iş faaliyetleriyle bağlantılı olarak, meşru amaçlar doğrultusunda işlemektedir.
3.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Ekvator Sigorta, kişisel verileri, veri işleme şartları ile bağlantılı olarak, veri işleme amaçlarının gerçekleştirilmesi için gerektiği ölçüde işlemektedir.
3.5. Kişisel Verilerin Kanuni Düzenlemeler Tarafından Öngörülen ve Ticari Gereklilikler Süresince Saklanması
Ekvator Sigorta, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süreye uyar. Böyle bir süre belirlenmiş̧ ise, sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4. KİŞİSEL VERİLERİ İŞLEME AMAÇLARIMIZ
Ekvator Sigorta ve bünyesinde bulunan grup şirketlerinin kişisel veri işleme amaçları aşağıda örnek mahiyetinde belirtilmiştir:
– Çalışanlara yönelik ücret ödeme sürecinin yerine getirilmesi ve Kamu Kurumlarına yapılması zaruri olan bildirimlerin düzenlenmesi,
– Çalışanlara yönelik eğitimlerin düzenlenmesi,
– Çalışanlar için özlük dosyalarının oluşturulması,
– Finans işlemlerinin yürütülmesi,
– Pazarlama faaliyetlerinin yürütülmesi,
– Lojistik faaliyetlerinin yürütülmesi,
– Sözleşme süreçlerinin yürütülmesi,
– Mevzuata uyum sağlanması,
– Finans ve muhasebe işlemlerinin yerine getirilmesi,
– Çalışanlar için vekaletname, yetki belgesi gibi temsil faaliyetlerini gerçekleştirmeye yönelik belgelerin düzenlenmesi,
– Bankalar ile gerekli irtibatın kurulması,
– Resmi makamlardan gelen tebligatlara yazılı olarak geri dönüş yapılması,
– Ticari ilişki içerisinde bulunan tüzel veya gerçek kişiler ile irtibat kurulması,
– İşyeri güvenliğinin sağlanması,
– Taşeron çalışanlara yönelik yükümlülüklerin yerine getirilmesi,
– İmzalanan sözleşmelere dair işlemlerin gerçekleştirilmesi,
– Yasal zorunlulukların yerine getirilmesi,
– Çalışan işe giriş saatlerinin takip edilmesi,
– 6331 Sayılı Kanun çerçevesinde öngörülen yükümlülüklerin yerine getirilmesi,
– Doğabilecek hukuki uyuşmazlıklar bakımından kayıtların tutulması,
– 5651 Sayılı Kanun uyarınca internet erişimi kayıtlarının tutulması,
– Ziyaretçi kayıtlarının oluşturulması,
– Stratejik planlama faaliyetlerinin yürütülmesi,
– Fiziksel mekan güvenliğinin temin edilmesi
5. KİŞİSEL VERİLERİN AKTARILMASI
Ekvator Sigorta ve grup bünyesinde bulunan şirketler, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak, hukuka uygun bir şekilde, kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini yurt içindeki üçüncü kişilere aktarabilmektedir. Bu doğrultuda Kanunu’nun 8. maddesinde düzenlenmiş̧ olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
5.1. Kişisel Verilerin Yurt İçinde Aktarılması
Ekvator Sigorta, Kanun’un 8. Maddesi gereğince, yurt içinde yürütülen veri aktarımı faaliyetlerinde veri işleme şartlarına uygun olarak hareket etmektedir. Dolayısıyla veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarım yapılmaz. Ancak Kanun’da öngörülen istisnalar çerçevesinde, veri sahibinin açık rızası aranmayacak hallerden birinin mevcut olması halinde kişisel verilerin, veri sahibinin açık rızası olmaksızın yurt içinde üçüncü kişilere aktarımı mümkündür.
5.2. Kişisel Verilerin Yurt Dışına Aktarılması
Ekvator Sigorta ve bünyesindeki grup şirketleri, Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.
5.3. Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler
Ekvator Sigorta, Kanun’un 8. maddesine uygun olarak, işbu Politika’nın 3. maddesinde öngörülen ilkeler çerçevesinde, veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
– İşbirliği İçerisinde Olunan Üçüncü Taraf Şirketler,
– Resmi Merciler
– Bankalar
– Avukatlar
– İşyeri Hekimi
– Anlaşmalı OSGB Firmaları
– Şirket Hissedarları
– Grup Şirketleri
6. KİŞİSEL VERİLERİN İŞLENMESİNDE AÇIK RIZANIN ARANMADIĞI İSTİSNAİ HALLER
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartların bulunması halinde; Şirket tarafından gerekli idari ve teknik tedbirler alınarak kişisel veriler işlenebilir.
– Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmüş̧ olması,
– Fiili imkansızlık nedeniyle çalışan veri sahibinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması,
– Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
– Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri işleme faaliyeti yürütülmesinin zorunlu olması,
– Kişisel veri sahibinin kişisel verisini alenileştirmesi,
– Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
– Şirketimizin meşru menfaati için veri işlemenin zorunlu olması.
7. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLER
7.1. Veri Sorumluları Siciline (VERBİS) Kaydolma Yükümlülüğü
Ekvator Sigorta ve bünyesinde bulunan diğer şirketler, öngörülen kıstasları taşıması halinde; Kanun’da ve Veri Sorumluları Sicili Hakkında Yönetmelik’te Kişisel Verileri Koruma Kurulu tarafınca kurulacağı öngörülen Veri Sorumluları Sicili‘ne kayıt yükümlülüğünü yerine getirecek olup, bu doğrultuda aşağıda yer alan bilgileri kamuoyuyla paylaşacaktır:
– Veri sorumlusunun ve irtibat kişisi olarak veri sorumlusu temsilcisinin kimlik ve adres bilgileri,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri kategorileri,
– Kişisel verilerin aktarılacağı alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler,
– Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
7.2. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Ekvator Sigorta, kişisel verilerin elde edilmesi sırasında Kanun’un 10. maddesi kapsamında aşağıda yer alan bilgileri veri sahipleri ile paylaşacaktır:
– Veri Sorumlusunun kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
– Veri sahibinin hakları.
7.3. Kişisel Veri Sahibinin Taleplerine Uyma Yükümlülüğü
Kişisel veri sahiplerinin, gerek duydukları hallerde yazılı olarak veya Kişisel Veri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle başvuruda bulunarak Kanun’un 11. maddesi kapsamında kendi verilerine ilişkin bilgi talebinde bulunma hakları vardır.
Bu kapsamda kişisel veri sahipleri;
– Kişisel verilerinin işlenip işlenmediğini öğrenme,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
– Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
– Kişisel verilerinin eksik veya yanlış̧ işlenmiş̧ olması durumunda bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen kişisel verilerinin analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu duruma itiraz etme,
– Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
7.4. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Ekvator Sigorta ve grup bünyesindeki diğer şirketler, kişisel verileri Kanun’un 12. maddesine uygun olarak, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve söz konusu verilerin hukuka uygun olarak saklanmasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.
8. BAŞVURU
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini Gayrettepe Mah. Gönenoğlu Sk. No:7 34349 Beşiktaş İstanbul / Türkiye adresine ıslak imzalı olarak veya mevzuatta belirlenen diğer yollarla bildirmeleri durumunda talepleri en geç 30 gün içinde sonuçlandırılır.
9. KİŞİSEL VERİLERİ KORUMA KURULU’NA ŞİKAYET HAKKI
Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya zamanında başvuruya cevap verilmemesi durumunda 30 gün içinde Kişisel Verileri Koruma Kurulu’na şikayet hakkı bulunduğu konusunda bilgilendirilmelidir.
10. POLİTİKAYA UYUM
– Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin sistemler güncellenmektedir.
– Kişisel verilerin korunmasına ilişkin gerekli güvenlik sistemleri oluşturulmuştur. Sistemin güncelliği sağlanmaktadır.
– Kişisel veri sahipleri verilerin elde edilmesi sırasında aydınlatılmakta, bilgi talep etmesi durumunda gerekli bilgilendirme yapılmaktadır.
– Kişisel verilerin korunması ve işlenmesi politikalarını oluştururken Kanun’da ve ilgili mevzuatta öngörülen düzenlemelere uygun hareket edilmektedir.
11. POLİTİKANIN YAYINLANMASI VE YÜRÜRLÜLÜĞÜ
Ekvator Sigorta tarafından düzenlenerek yürürlüğe giren Politika, Şirket’in internet sitesinde (www.ekvatorsigorta.com) yayımlanır ve talebi üzerine ilgili kişilerin erişimine sunulur. Politika düzenli olarak denetlenip, gerekli görülürse mevzuattaki gelişmeler de göz önünde bulundurularak güncellenir.