Evren Güneş Sigorta Aracılık Hizmetleri Ltd. Şti. (Hepsi1Sigorta)
İşbu verilerin işlenmesi ve korunması politikası ("Politika"), acentelik hizmetleri alanında faaliyet gösteren şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması ve imhasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.
İşbu Politika'da kullanılan büyük harfle başlayan ve Politika içerisinde tanımlanmış olmayan terimler kendilerine aşağıda atfedilen anlamları haiz olacaklardır.
Şirket, Kanun kapsamında mevcut Kişisel Verilerin gizliliği ve güvenliği gereklerine uymayı taahhüt eder; bu nedenle Şirket Kişisel Verilerin korunması ve işlenmesi ile ilgili anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika'yı benimsemiştir.
Bu Politika, Şirket'in topladığı ve işlediği Kişisel Verilere erişimi olan, Şirket'e bilgi sağlayan veya Şirket'ten Kişisel Veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, Şirket'in bağlı şirketlerinin çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara uygulanır. Bu Politika'nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır.
Şirket, Kişisel Verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, Kanun ile getirilen kurallara uygun olarak Kişisel Verileri işlemektedir. Ayrıca Şirket, Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri takip etmekte ve bu hukuki düzenlemeler çerçevesinde gerekli hallerde yeniden düzenleme ve iyileştirmeler yapmaktadır.
Şirket; işlediği Kişisel Verilerin doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır.
Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Bundan kasıt, Şirket'in işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olmasıdır.
Şirket, Veri Sahiplerinin Kişisel Verilerinin elde edilmesinden önce kendilerine bu amaçları açıkça duyurmaktadır. Şirket, Kişisel Veri işleme amaçlarının değişmesi halinde, gerekli olduğu ölçüde, işbu Politika güncellenecektir.
Şirket, Kişisel Verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirket Kişisel Verileri kendi tespit ettiği üzere işlendikleri amaç için gerekli olan azami süre kadar saklamaktadır.
Bunlara ek olarak, Şirket, Şirket İmha Politikası'nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.
Şirket tarafından Kişisel Veriler, Kanun'da belirtilen hukuka uygun işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir.
4.2.1.1 Kişisel Veriler, Veri Sahibi'nin Açık Rızası ile işlenebilir.
4.2.1.2 Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi'nin Açık Rızası aranmaksızın da Kişisel Verilerin işlenmesi mümkündür:
Şirket'in uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin Vahit Çatalkaya'dan oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır. Veri Koruma Komisyonu, Vahit Çatalkaya tarafından yönetilir.
Veri Koruma Komisyonu'nun görevleri aşağıdaki gibidir:
Şirket tarafından Kişisel Veriler, Kanun'da belirtilen şartlara uygun olarak işlenmektedir. Özel Nitelikli Kişisel Verilerin işlenmesi için Kurul tarafından özel önlemler getirilmesi söz konusu olabilecektir.
4.2.3.1 Özel Nitelikli Kişisel Veriler, Veri Sahibi'nin Açık Rızası ile işlenebilir.
4.2.3.2 Veri Sahibi'nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rızası aranmaksızın işlenebilir.
4.2.3.3 Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.
4.2.3.4 Özellikle işveren-çalışan ilişkisi kapsamındaki süreçlerin yürütülmesi için çalışanların doğrudan ya da dolaylı olarak sağlığa ilişkin Kişisel Verileri işlenebilmektedir. Bu tip durumlarda çalışanlardan Açık Rıza alınır ve sağlığa ilişkin kişisel veriler, yalnız bu verileri işlemesi gerekli kişiler veya departmanlar tarafından işlenebilir.
4.2.3.5 Özel nitelikli kişisel verilerin işlenmesinin gerekli olmadığı; ancak işlenmesi gereken bir kişisel veriye sıkı sıkıya bağlı olduğu durumlarda (nüfus cüzdanı üzerinde yer alan özel nitelikli kişisel veriler gibi), özel nitelikli kişisel veriler maskeleme gibi bağ koparma yöntemleri ile işlenmesi gereken kişisel veriden çıkartılır.
4.2.3.6 Şirket'in kayıt altına alınan telefon görüşmeleri sırasında görüşmenin sağlandığı diğer tarafın bir özel nitelikli kişisel veri paylaştığının anlaşıldığı anda o kişiye derhal paylaştığı kişisel verinin özel nitelikli bir kişisel veri olduğu ve paylaştığı kişisel verinin kaydedilmesine rıza gösterip gösterilmediği sorulur. Kişinin rıza göstermemesi halinde görüşme kaydedilmez, kaydedildiyse silinir veya maskelenir.
4.3.1 Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür iradeyle açıklanmış olması gerekmektedir.
4.3.2 Veri Sahibi'nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilmesi gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır.
4.3.3 Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilen onay beyanı şeklinde anlaşılmalıdır. Açık uçlu bir rıza, Açık Rıza olarak kabul edilemez. Veri Sorumlusu'nun, gerçekleştireceği farklı işlemler için kural olarak Veri Sahibi'nin Açık Rızasının bir defa alınması yeterlidir. Ancak daha sonra, söz konusu verinin asıl amacından farklı amaçlarla işlenmesinin istenmesi halinde buna ilişkin ayrıca rıza alınması gerekecektir.
4.3.4 Açık Rıza, özgürce, hiçbir baskı altında kalmadan verilmelidir ve ancak Veri Sahibi'nin gerçek bir tercih ortaya koyabildiği halde geçerlidir.
4.3.5 Bu koşullar sağlandığı sürece rızanın alınma şekli özgürce belirlenebilir. Bunlar, iş sözleşmelerine konulan hükümler, başvuru ya da satın alma formlarında yer alan onay kutuları ve Kişisel Verilerin girildiği çevrimiçi formlarda yer alan kutular şeklinde olabilir.
4.3.6 Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin bir şekilde yapılması gerekir.
4.3.7 Rıza, Veri Sahibi tarafından her zaman geri alınabilir.
4.3.8 Veri Koruma Komisyonu, ilgili departmanlar ile birlikte, Veri Sahibi'nin Kişisel Veri işleme ile ilgili Açık Rızasının alınması ve belgelenmesi için sistemler kuracaktır.
4.4.1.1 Kişisel Veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamalıdır.
4.4.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.
4.4.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemleri alınmalıdır veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korunmalıdır.
4.4.1.4 Kişisel Verilerin üçüncü kişilere aktarılması yazılı anlaşmalara tabi olacaktır.
4.4.1.5 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:
Şirketimiz yeterli önlemleri alarak işlemekte olduğu Kişisel Verileri, yukarıda belirtilen şartlara tabi olarak, yurt dışında yerleşik üçüncü kişilere aktarabilmektedir. Ancak Kişisel Veriler, Kanun'a uygun olarak, Veri Sahibi'nin aktarıma Açık Rıza vermiş olduğu haller hariç olmak üzere, sadece Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumayı taahhüt eden Veri Sorumlusunun bulunduğu yabancı ülkelere aktarılmaktadır.
Yurt dışına aktarımlara; kullandığımız CRM, toplu e-posta gönderim, e-posta ve yedekleme ile Şirket'in faaliyetlerini yürütebilmesi için ihtiyaç duyabileceği diğer hizmetleri sağlayan programların ve uygulamaların (Emarsys, Google Adwords, Google Analytics, Facebook, Insider vb.) sunucularının yurt dışında olduğu durumlar da dahildir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket'e ait işyerinde kapalı devre kamerayla izleme faaliyeti ile çalışan, ziyaretçi gibi kişilerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Kapalı devre kamera ile izleme faaliyeti kapsamında işlenen kişisel veriler, en fazla 30 gün süreyle muhafaza edilir. Kamera kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişiminin bulunması esastır. Erişim yetkilendirmesi Veri Koruma Komisyonu tarafından yapılır. Kayıtlara erişimi olanlara ayrıca gizlilik taahhütnamesi imzalattırılır.
Ayrıca, güvenlik amacıyla şirketin merkezine girişlerde kimlik kontrolü yapılır ve ziyaretçi defteri tutulur. Misafir olarak şirket işyerine gelen Veri Sahipleri, Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla bu kapsamda aydınlatılmaktadırlar.
Şirket tarafından, talep eden ziyaretçilere Şirket işyerleri içerisinde kaldıkları süre boyunca internet erişimi sağlanabilir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınır; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüklerin yerine getirilmesi amacıyla işlenebilir.
Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.
Şirketin internet sitesinde; siteyi ziyaret eden kişilerin ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Çerez/Cookie) site içerisindeki internet hareketleri kaydedilebilir. Bu kapsamda kişisel verilerin korunması ve işlenmesine dair detaylı açıklamalara Şirket'in internet sitesindeki "Çerez Politikası" metninde yer verilir.
4.6.1 Veri Sahibi'nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Verinin elde edildiği her durumda, Veri Sahibi'nin uygun şekilde aydınlatılması esastır. Bu kapsamda aşağıdakiler Veri Sahibi'ne açıklanacaktır:
4.6.2 Yukarıdaki aydınlatma yükümlülükleri aşağıdaki hallerde uygulanmayacaktır:
4.6.3 Aydınlatma mümkün olan en kısa sürede ve tercihen Veri Sahibi'yle ilk temas anında yerine getirilmelidir. Aydınlatma sözlü, elektronik olarak veya yazılı olarak yapılabilir.
Kural olarak, Şirket tarafından Veri Koruma Komisyonu'nun onayı alınmadan yeni veya genişletilmiş Kişisel ve/veya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir.
4.8.1 Şirket, Veri Koruma Komisyonu aracılığıyla Veri Sahibi'nin Kanun'un 11. maddesinde sayılan haklarını kullanmasını sağlamak için uyumlu bir sistem kuracaktır.
4.8.2 Veri Sahibi, Şirket ve Veri Koruma Komisyonu tarafından belirlenen politika ve prosedürlere uygun olarak yapılmış bir talep ile kendi Kişisel Verileri hakkında aşağıdaki haklara sahiptir:
4.8.3 Veri Sahibi tarafından yukarıdaki hakların kullanılması için Şirket'e yapılacak olan tüm talepler yazılı olarak evrengunessigorta@hs01.kep.tr adresinde sunulan talep formu doldurularak yapılmalıdır. Başvurular şahsen veya noter vasıtasıyla veya güvenli elektronik imza ile e-posta yoluyla iletilebilir.
4.8.4 Şirket, yazılı talep aldığı tarihten itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Şirket tarafından dikkate alınmayacaktır.
Kişisel Verilerin saklanmasına ve imhasına ilişkin usul ve esaslar, kişisel verilerin saklama süreleri ile birlikte Şirket'in Saklama ve İmha Politikası'nda yer almaktadır.
Şirket, Kanun'da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Verileri mevzuatlarda öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir.
Kişisel Veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, Kişisel Veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir.
Şirket, belirtilen süreler sona erdiğinde ilgili Kişisel Verileri imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Şirket resen veya Veri Sahibi'nin talebi üzerine, Kişisel Verileri silebilir, yok edebilir veya anonim hale getirebilir.
İşbu Politika'nın uygulaması açısından Şirket, orantılılık ilkesine dikkat edecektir. Şirket'in veri işleme faaliyetleri ve ilgili Kişisel Verinin korunması açısından harcanan masraf ve emeğin verinin korunması amacıyla orantılı olmasına dikkat edilecektir.
Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.
Şirket'in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına makul adımlar atan bir Veri İşleyen seçilecektir.
Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket'in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapacaktır.
Şirket'in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirecektir.
7.1.1 Şirket, Kişisel Verilerin güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.
7.1.2 Alınması gereken güvenlik önlemleri şirketin bilgi güvenliği politikalarına uygun olarak belirlenecek ve yerine getirilecektir.
7.1.3 Şirket'in kendi ürettiği yazılımların, kişisel verilerin işlenme şartlarına aykırılık oluşturmaması ve barındırdıkları kişisel verilerin güvenli bir şekilde yer alabilmesine ilişkin önlemler alınır.
7.1.4 Şirket, özel nitelikli kişisel verilerin korunmasına yönelik ek güvenlik önlemleri alır.
Kişisel Verilerin işlenmesi sürecinin herhangi bir aşamasına dahil olan herkes, açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahhüdünde bulunmak ve gizlilik sözleşmesi imzalamak zorundadır.
8.1.1 Kendi Kişisel Verilerinin işlenmesiyle ilgili şikayetleri ve soruları olan çalışanlar, bu konuyu öncelikle Veri Koruma Komisyonu ile görüşmelidirler. Veri Sahibi'nin Veri Koruma Komisyonu'na bir soru veya şikayet iletmek istemediği durumlarda veya Veri Koruma Komisyonu'nun, Veri Sahibi'nin soru veya taleplerine talep tarihinden itibaren 30 gün içerisinde tatminkar bir çözüm bulamadığı durumlarda, çalışan bu durumu süre sonunda yazılı olarak Veri Koruma Departmanı'na yöneltmelidir.
8.1.2 Sorunun Veri Koruma Komisyonu aracılığıyla çözülemediği hallerde, şirket iç yönetmelik ve düzenlemeleri ile iş sözleşmesi hükümlerine göre ihtilafların çözümü yoluna gidilmelidir.
Şirket, Veri Koruma Komisyonu aracılığıyla bir program belirlemeli ve tüm iş birimleri için veri koruma uyum denetimi yapmalıdır. Şirket, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri belirli makul bir süre içinde düzeltmek için bir plan ve program üretmelidir.
Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:
9.2.1 Departmanlar, hangi Kişisel Verilerin toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.
9.2.2 Departmanlar, bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunup bulunmadığını tespit edecektir.
9.2.3 Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Verinin aktarıldığı kişilerin kimliklerini tespit etmelidir.
9.2.4 Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması ve şirket politika ve prosedürlerinde güncelleme yapılması için Veri Koruma Komisyonu'na bildirilmelidir.
Bu politika çalışanlara İnsan Kaynakları Departmanı tarafından sunulacaktır.
Bu Politika yayınlandığı anda yürürlüğe girer. Tüm departmanlar işbirliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir.
Bu Politika'da her zaman değişiklikler yapılabilir. Önemli değişikliklerin bildirimi çalışanlara, Şirket'in İnsan Kaynakları Departmanı tarafından ve diğerlerine Veri Koruma Komisyonu tarafından seçilen uygun bir mekanizma aracılığıyla iletilecektir.
Veri Koruma Komisyonu, bu Politika'yı korumakla yükümlüdür. Her departman yöneticisi bu Politika'nın uygulanmasından sorumludur. Bu Politika'nın uygulanmasıyla ilgili olan sorular Veri Koruma Komisyonu'na yönlendirilmelidir.
Bu politikanın her bir bölümü uygulanacak hukuk uyarınca söz konusu bölümü ayakta tutmaya yönelik olarak yorumlanacaktır. Ancak herhangi bir hükmün yasaklanması veya geçersiz sayılması halinde, bu hükmün geçersizliği hükmün geri kalan kısmını veya bu Politika'nın geri kalan diğer hükümlerini etkilemeksizin, yalnızca o yasak ve geçersizlik açısından söz konusu olacaktır.