KVKK
Kişisel Verilerin Korunması Kanunu
Kişisel Verileri İşleme Politikası
Bilsem Online Kişisel Verileri İşleme Politikası
LABOR BİLİŞİM MEDİKAL
İNŞ. YAY. TİC. LTD. ŞTİ./BİLSEM ONLINE
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. BÖLÜM
POLİTİKA’NIN HAZIRLANMA AMACI VE KAPSAMI
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2010 yılında kişisel verilerin korunmasının Anayasal bir hak olmasının ardından 2016 yılında yürürlüğe girmiş kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza etmek ve temel hak ve özgürlüklerin zarar görmemesi adına geliştirilmiş bu konu hakkında usul ve esasları gösteren hukuki bir koruma aygıtıdır.
6698 Sayılı Kanunun (“KVKK” ya da “Kanun”) 16. Maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel verilerin korunması ve işlenmesi politikası hazırlama yükümlülüğü vardır.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası Labor Bilişim Medikal İnş. Yay. Tic. LTD. ŞTİ./Bilsem Online (“Bilsem Online”) veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kanun ve sair mevzuatı uyarınca kişisel verilerin korunması ve işlenmesine ilişkin Bilsem Online tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
TANIMLAR
Sicil, kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi Kişisel Verilerin İşlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Kişisel verilerin silinmesi, verinin hiçbir şekilde kullanılamaz hale getirilmesi işlemi Kişisel verilerin yok edilmesi, verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Kişisel Verileri Koruma Kanunun ve Yönetmeliğin Tanımladığı Özneler
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
İlgili Kullanıcı, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Alıcı Grubu, veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İlgili kişi, kişisel verisi işlenen gerçek kişidir.
Envanter, Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır. Diğer bir ifadeyle, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusunun bir tür kendi kendini denetlemesidir.
2. BÖLÜM
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenmesi, Kanunun 3üncü maddesinde tanımlanmıştır. Buna göre; veri sorumlusu olarak Bilsem Online kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, kişisel verilerin işlenmesi olarak kabul etmekteyiz.
Kişisel verilerin işlenme şartları ise Kanunun 5nci maddesinde sayılmış olup, buna göre hareket edip aşağıdaki hallerden en az birinin bulunması durumunda kişisel verileri kanunen işlemekteyiz.
• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez.
Veri sorumlusu sıfatıyla Bilsem Online olarak, yukarıda sayılmış şartları sağlayarak veri işlemekteyiz.
I.AÇIK RIZA
Veri sorumlusu olarak Bilsem Online veri işleme faaliyetinin gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağı değerlendirip, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna başvurmaktayız.
II. KANUNLARDA AÇIKCA ÖNGÖRÜLMESİ
Veri işleme şartlarından birisi de kanunlarda açıkça öngörülmesidir. Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm veri işleme şartını oluşturacaktır. Örneğin, 29188 sayılı Mesafeli Sözleşmelere Yönetmeliği ve diğer ilgili mevzuat kapsamında işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgileri kaydetmek bu kapsamdadır.
III. FİİLİ İMKANSIZLIK
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
IV. SÖZLEŞMENİN KURULMASI VE İFASI İÇİN GEREKLİ OLMASI
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür.
V. VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.
Bilsem Online olarak kullanıcılara sağlayacağımız kişiselleştirilmiş hizmet dolayısıyla ilgili kişileri aydınlatarak çeşitli kişisel verilerini işlemekteyiz.
VI. KİŞİSEL VERİLERİN İLGİLİ KİŞİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI
İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir. Ancak, kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir.
Bu sebepler prensip olarak bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasını alenileştirmek olarak algılamayıp, kişinin paylaştığı verisini sadece o amaçla alenileştirdiğini kabul etmektedir.
VII. KİŞİSEL VERİLERİN İŞLENMESİNİN BİR HAKKIN TESİSİ VEYA KULLANILMASI İÇİN ZORUNLU OLMASI
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür.
Ayrıca, Bilsem Online olarak taraf olduğumuz sözleşmeler sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması bu kapsamda değerlendirilecektir.
VIII. VERİ İŞLEMENİN İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK KAYDIYLA VERİ SORUMLUSUNUN VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN ZORUNLU OLMASI
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür.
Bazı durumlarda veri sorumlusunun meşru menfaati bakımından veri işleme söz konusu olabilmektedir. Örneğin kullanıcılarımızın temel hak ve özgürlüklerine zarar vermemek kaydıyla, kullanıcılara özgü kişiselleştirilmiş hizmetleri sunabilmek maksatlı sitedeki faaliyetlerine istinaden, gerçekleşen işlemlere ilişkin bilgilerin -teklif verme, satın alma, satma, siteye kullanıcılar tarafından oluşturulan veya kullanıcıların hesabına bağlı olan ürün veya ürün içerikleri gibi- loglar ve çerezler aracılığıyla oluşturulmasını veri sorumlusunun meşru menfaati kapsamında değerlendirmekteyiz.
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Bilsem Online tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir.
Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
A) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu sıfatıyla Bilsem Online tarafından, veri işlemedeki hedeflerimize ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini her zaman dikkate almaktayız. Ayrıca prensip olarak ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmekteyiz. Bahsedilen ilke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusu sıfatıyla Bilsem Online tarafından bilgilendirme ve uyarı yükümlülüklerine her zaman uygun hareket etmekteyiz.
B) Doğru ve Gerektiğinde Güncel Olma İlkesi
Bilsem Online olarak kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü taşıdığımızın farkındayız. Buna uygun olarak da her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmaktayız.
C) Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
Bu itibarla Bilsem Online olarak, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda yüksek bir hassasiyet gösterip, söz konusu hukuki metinleri karşı tarafa sunarken herkes tarafından kolayca anlaşılabilmesi adına teknik-hukuki terminoloji kullanımı minimum seviyede tutmaktayız.
Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.
D) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
Bilsem Online olarak işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin gereksiz yere işlenmesinden kaçınmaktayız. Bu noktada belirlenen amaca hizmet edebilmesi adına minimum seviyede kişisel veri işlemekteyiz.
Bunun gibi, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna da gidilmemektedir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Bilsem Online prensip olarak amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesinden sonra, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmaktadır.
E) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Bilsem Online kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza etmektedir. Kanunun 12nci maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu konuda, Bilsem Online olarak, idari ve teknik tedbirleri almakla yükümlü olduğumuzun farkındayız.
Kişisel verilerin saklanması için amaçla sınırlılık ilkesi uyarınca veri sorumlusu sıfatıyla Bilsem Online olarak belirlenen saklama sürelerinin yanı sıra, tabi olduğumuz ilgili mevzuat kapsamında da belirlediğimiz saklama süreleri mevcuttur. Buna göre; veri sorumlusu olarak Bilsem Online, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye riayet edecek; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklamaktayız.
Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyeceğinden yukarıda bahsedilmişti.
Ayrıca veri sorumlusu sıfatıyla Bilsem Online olarak, Kanunun 16ncı maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9uncu maddesini göz önünde bulundurarak tespit edip gerekli olan süreleri hukuki metinlerimizde yayınlanmıştır.
3. BÖLÜM
KİŞİSEL VERİ KATEGORİLERİ
A) Kimlik Bilgisi:
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren bilgiler. İletişim Bilgisi verileri ise; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel veriler olarak kabul görmekteyiz.
B) İşlem Güvenliği Bilgisi
Veri sorumlusu Bilsem Online olarak faaliyetleri yürütürken veri sahibinin teknik, idari, hukuki güvenliğinin sağlanması için işlenen kişisel veriler.
C) Risk Yönetimi Bilgisi
Teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler.
D) Finansal Bilgi
Bilsem Online ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi gibi kişisel veriler.
E) Talep/Şikayet Yönetimi Bilgisi
Bilsem Online ’a yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.
F) Aile Bireyleri ve Yakın Bilgisi
Bilsem Online iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Bilsem Online ’ın ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler.
4. BÖLÜM
TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Bilsem Online, KVK Kanunu’nun 10ncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Bilsem Online tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:
(1) Bilsem Online tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
(2) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(3) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
(4) Veri sahibinin hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenmek,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5. BÖLÜM
YURTDIŞINA AKTARIM
Kanunun 9. maddesine göre yurtdışına veri aktarımı;
§ İlgili kişinin açık rızasının bulunması,
§ Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
§ Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A) Yeterli korumanın bulunması halinde
Kişisel veriler;
§ Kanunlarda açıkça öngörülmesi,
§ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
§ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
§ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
§ İlgili kişinin kendisi tarafından alenileştirilmiş olması,
§ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
§ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler ise,
§ Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
§ Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
§ Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
§ Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
§ Kurulun izninin bulunması
gerekmektedir.
6. BÖLÜM
BİLSEM ONLİNE TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
Veri sahiplerinin kişisel verilerine ilişkin taleplerini Bilsem Online ’a yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Bilsem Online veri sorumlusu sıfatıyla ilgili kişinin Kanunun 11nci maddesinde yazılı herhangi bir hakkını Kanunun 13ncü maddesine uygun olarak kullanmak adına tarafımıza iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Bilsem Online veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
BİLSEM ONLİNE TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Bilsem Online tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) Bilsem Online bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.
(1) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Bilsem Online Tarafından Alınan İdari Tedbirler
– Bilsem Online kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.
– Kişisel verilerin aktarıma konu olduğu durumlarda, Bilsem Online tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.
– Bilsem Online tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenir, bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
– Bilsem Online, KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit eder, bu uygulamaları iç politikalar ile düzenler.
(2) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Bilsem Online Tarafından Alınan Teknik Tedbirler
– Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
–Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
–Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
–Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
