Sözleşmeler

KİŞİSEL VERİLER PROSEDÜRÜ LUBECAFİLL

KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI, İMHA EDİLMESİ VE VERİ GÜVENLİĞİNE İLİŞKİN PROSEDÜR

 

  • KİŞİSEL VERİLER PROSEDÜRÜ

 

Bu prosedür veya bilgilendirme metni 6698 sayılı “Kişisel Verilerin Korunması Kanunu” çerçevesinde hazırlanmış olup,  bu prosedürle çalışanlarımızın, müşterilerimizin ve potansiyel aday müşterilerin kişisel verilerinin işlenmesine ilişkin yöntem, amaç, hukuki sebepleri hakkında bilgilendirme yapılması amaçlanmıştır. Ayrıca, çalışanlarımızın, müşterilerimizin ve potansiyel aday müşterilerin bu prosedür hakkında özet olarak bilgi sahibi olmaları için prosedürün özeti internet sitemizde de yayınlanacaktır.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, yani LUBECAFİLL İLAÇ SAN. A.Ş..’yi

İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,

 

ifade eder.

 

  • Kişisel Verilerin Hangi Amaçla İşleneceği: Kişisel veriler; Sermaye Piyasası Kanunu ve diğer mevzuat kapsamında, yatırım hizmet ve faaliyetleri ile yan hizmetlerin verilebilmesi ve bunlara dair işlemlerin yerine getirilmesi, yürütülmesi ve geliştirilebilmesi, bu hizmetlere ve ürünlere yönelik tanıtım, pazarlama ve kampanya faaliyetlerinin yapılması, akdettiğiniz ve/veya akdettiğimiz sözleşmelerin gereğinin yerine getirilmesi, aldığınız/alacağınız ürün ve hizmete ilişkin iletişim kurulabilmesi, potansiyel müşteri tespiti, halka arz ve her türlü ihraç işlemlerinin gerçekleştirilmesi, istihbarat, bilgi araştırmaları, istatistik, müşteri memnuniyeti çalışmaları, kanunlarda açıkça öngörülmesi, karaparanın aklamasının önlenmesi mevzuatına ve yurtiçi ve uluslararası mevzuata uyum; SPK (Sermaye Piyasası Kurulu), BİST (Borsa  İstanbul  A.Ş.), MASAK (Mali Suçları Araştırma Kurulu), TSPB (Türkiye  Sermaye  Piyasaları Birliği), MKK (Merkezi  Kayıt  Kuruluşu A.Ş.), TAKASBANK (İstanbul Takas ve Saklama Bankası A.Ş.), GİB (Gelir İdaresi Başkanlığı), (SPL) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., YTM (Yatırımcı Tazmin Merkezi), Hazine Müsteşarlığı, Maliye Bakanlığı, Sosyal Güvenlik Kurumu ve diğer tüm otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması, müşterilerine/çalışanlarına/potansiyel müşterilerine daha iyi ve güvenilir hizmet verilebilmesi ve bunun kesintisiz olarak sürdürebilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde LUBECAFİLL İLAÇ SAN. A.Ş. tarafından “Veri Sorumlusu” sıfatıyla; elde edebilecek, kaydedebilecek, muhafaza edebilecek, hizmetlerini devam ettirebilmek amacıyla güncelleyebilecek, değiştirebilecek, yeniden düzenleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, aktarabilecek, paylaşabilecek, sınıflandırabilecek, anonim hale getirebilecek ve kanunda sayılan diğer şekillerde işleyebilecektir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusu sıfatıyla Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu olan Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

 

  • İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği: Kişisel  veriler  yasal  olarak  aktarılması  gereken  idari  ve  resmi  makamlara,  Şirketimizin  doğrudan  ve  dolaylı  hissedarları  ile  yurt  içi ve yurtdışı iştiraklerine ve bağlı ortaklıklarına, Şirketimiz çalışanlarına, iş  ortaklarımıza,  aracılık sıfatı  ile  faaliyetlerini  yürüttüğü  şirketlere, hukuk, mali ve vergi danışmanları, denetçileri, mevzuatın  izin  verdiği  hallerde şirketimizce  destek  hizmeti  veya    hizmet  alınan  yurt  içi üçüncü  kişilere,  bağımsız  denetim şirketlerine,  Sermaye  Piyasası  Kanunu uyarınca  bilgi  aktarımına  izin  verilen  kuruluşlara, Sermaye  Piyasası  Kurulu,  Borsa  İstanbul  A.Ş.,  Türkiye  Sermaye  Piyasaları Birliği,  Merkezi  Kayıt  Kuruluşu  A.Ş., Mali Suçları Araştırma Kurulu, Gelir İdaresi Başkanlığı, Maliye Bakanlığı, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., Hazine Müsteşarlığı, Sosyal Güvenlik Kurumu, Türkiye İş Kurumu, Takasbank, Yatırımcı Tazmin Merkezi, yurtdışındaki piyasalarda gerçekleştirilen sermaye piyasası faaliyetleri nedeniyle yurtdışındaki aracılara/fiyat sağlayıcılara ve diğer tüm otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması dahil diğer üçüncü kişilere hukuki zorunluluklar nedeniyle ve yasal sınırlamalar çerçevesinde aktarılabilecektir. 6698 sayılı Kanun’un kişisel verilerin aktarılmasına ilişkin 8. maddesi ve kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir. Rıza Gerektirmeyen Haller, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinin 2. fıkrası uyarınca, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusu sıfatıyla Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu olan Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Sermaye Piyasası Kanunu ve diğer ilgili mevzuatta yer alan istisna hallerinde Şirketimiz, açık rıza almaksızın kişisel verileri işleyebilme ve aktarmaya yetkilidir.

 

  • Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi: Kişisel veriler, LUBECAFİLL İLAÇ SAN. A.Ş.’nin Genel Müdürlük Birimleri ve varsa merkez dışı örgütleri,  internet sitemiz, elektronik işlem platformları, sosyal medya, müşteri görüşmeleri, telefon kayıtları, adli kayıtların taranması, web sitelerine yapılan dijital başvurular, tüm mobil uygulamalarımız, direkt satış ekiplerine yapılan yazılı/dijital başvurular, anlaşmalı kuruluşlar ve dış hizmet kuruluşları vasıtasıyla ve benzeri diğer kanalları aracılığı ile otomatik ya da otomatik olmayan yollarla, yazılı, sözlü ya da elektronik ortamda toplanmakta ve ilgili mevzuat gereğince kanuni süreler içerisinde saklanmaktadır. Bu yöntemlerle toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu prosedürün (1) ve (2) maddelerinde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir.

 

LUBECAFİLL İLAÇ SAN. A.Ş.  Kanunun 4. maddesine uygun olarak, yürüttüğü faaliyetler ile bağlantılı kişisel verileri;

a. Hukuka ve dürüstlük kurallarına uygunluk,

b. Doğru ve gerektiğinde güncellik,

c. Belirli, açık ve meşru amaçlar için işlenme,

d. İşlendikleri amaçla bağlantılılık, sınırlılık ve ölçülülük,

e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklama

ilkeleri çerçevesinde işler.

 

  • Kişisel Veri Sahibinin 6698 Sayılı Kanun’un 11. Maddesinde Sayılan Hakları: Müşterilerimiz/Personelimiz ve potansiyel müşteriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesi kapsamında Şirketimize başvurarak aşağıdaki haklarını kullanabilirler.
  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  • Yukarıda (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

 

 

 

  • Kişisel Verilerin Saklanması ve İmhası, Kişisel Veri Güvenliği ve Özel Nitelikteki Kişisel Verilerin Güvenliği: Amaç, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

Kişisel verilerin silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Türk Ticaret Kanunu mevzuat hükümleri uyarınca Müşterilerimize/Çalışanlarımıza ait aşağıda tabloda belirtilen kişisel veriler LUBECAFİLL İLAÇ SAN. A.Ş. tarafından on (10) yıl süre ile saklanması yasal zorunluluktur. Ses kayıtları için bu süre üç (3) yıldır. Müşterilerin/Çalışanlarımızın kişisel verilerini silinmesini, yok edilmesini veya anonim hale getirilmesini talep etmesi halinde, söz konusu 10 yıllık (ses kayıtları için 3 yıllık) sürenin sonunda bu talepleri yerine getirilebilecektir. Bu sürenin dolmasıyla birlikte müşteriler/çalışanlar, Kişisel Verilerin Korunması Kanununun 7 nci maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

Kişisel Verileri Saklama Süreleri Tablosu

Kişisel Verinin Açıklaması

Saklama Süresi (Yıl)

Kimlik bilgilerini içeren her türlü belge (nüfus cüzdanı, ehliyet, pasaport vb.)

10

Adres ve iletişim bilgileri ile adres bilgisini teyit edici belgeler

10

Müşterilerin imzalamış oldukları çerçeve sözleşmeleri ve ekleri

10

Eğitim ve öğretim bilgileri (özgeçmiş, diploma ve vb.)

10

Mali bilgiler ve teminat bilgileri

10

Hesaplarında yapmış oldukları işlemlere ait rapor, ekstreler ve her türlü kayıtlar

10

Ses kayıtları

3

Görüntü Kayıtları

1(Ay)

İmza beyannameleri

10

IP numaraları

10

Sağlık bilgileri

10

 

Potansiyel müşterilerin kişisel bilgileri, müşterilerin rızası alınmak suretiyle 5 yıl saklanabilir. Müşterilerin rızası yok ise kişisel veriler sistemlerimizde tutulmayacak, söz konusu kişisel veriler silinir veya yok edilir.

 

Kişisel veriler, yukarıda belirtilen mevzuattaki saklama süresi dolduğunda, saklama süresinin bitimini takip eden 1 (bir) ay içerisinde Şirketimizce silinir, yok edilir veya anonim hale getirilir.

 

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

Kişisel verileri saklama ve imha süreçlerinde aşağıdaki kilit çalışanlarımız yer alacaktır.

Bölüm Ünvanı Görev Tanımı

 

 

 

LUBECAFİLL İLAÇ SAN. A.Ş. (Şirket) müşterilere ait bilgilerin gizliliğini ve güvenliğini sağlama hususuna özel önem göstermekte ve ilgili mevzuat uyarınca da yasal bir yükümlülüktür. Yürütülen her türlü uygulama ve süreçte müşteri bilgilerinin korunması hususu önemle göz önünde bulundurulmakta ve tüm çalışanlarımızın bu konuda gereken hassasiyeti göstermesini sağlamaya çalışılmaktadır. Şirketimiz, destek hizmeti aldığı kuruluşların, Şirket gizlilik standartlarına ve şartlarına uymalarını sağlamak için hizmet sözleşmesine gizlilik hükümlerine yer verilmektedir.

 

Çalışanlarımıza ilişkin kişisel veriler, Şirketimizce yetkilendirilen ilgili bölüm personelince kilitli dolaplarda saklanarak ve böylece yetkisiz kişilerin ulaşmasını engelleyecektir.

 

Müşterilerin kişisel bilgileri, söz konusu bilgileri görmeye yetkili çalışanlarımız (  ………………………..) tarafından görüntülenebilecek ve ulaşılabilecektir. Müşterilerin kişisel bilgilerini içeren sözleşmeler, kimlik bilgileri ve diğer sözleşme eki olan bilgiler …………….. bölümü tarafından kapalı dolaplarda saklanacaktır. Müşterilerin kişisel bilgilerinin bulunduğu …………….. Muhasebe Programı, ………… Elektronik İşlem Platformu ve müşterilerin işlemlerine ait ses kayıtlarının tutulduğu programa ise sadece yetki verilmiş çalışanlarımız tarafından görülebilecek ve ulaşılabilecektir. ……….. Muhasebe Programı, …………… Elektronik İşlem Platformu ve ses kayıt programı yetki verilmiş çalışanlarımız tarafından kendilerine ait kullanıcı kodu ve şifre ile bağlanmaları mümkündür. Pazarlama personelinin yetkisi olmadığından bu bilgilere ulaşması mümkün olmayacaktır.

 

Şirketimiz Veri Sorumlusu olarak ve çalışanlarımız öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülükler görevden ayrıldıktan sonra da devam eder.

 

LUBECAFİLL İLAÇ SAN. A.Ş. farkındalık eğitimlerini periyodik olarak yapar; kişisel verilerin korunmasına ilişkin süreçleri merkezi olarak izler. Kişisel verilerin saklandığı tüm ortamların güvenliğini sağlar; bu kapsamdaki hukuki gereklilikleri yerine getirir.

 

Bilgi sistemleri, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur. Bilgi güvenliği ihlallerine karşı gerekli her tür idari ve teknik önlem alınır. Bilgi sistemlerine ilişkin risklerin yönetimi amacıyla tesis edilen süreç ve prosedürler, LUBECAFİLL İLAÇ SAN. A.Ş.. bünyesinde fiili olarak işleyecek şekilde yerleştirilir ve işlerliğine ilişkin gözetim ve takipler gerçekleştirilir.

 

Şirketimiz, kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik “B-Özel Nitelikli Kişisel Veriler” prosedürünün 2. maddesindeki tedbirleri uygular.

 

Şirketimiz, kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar elektronik ortam ise “B-Özel Nitelikli Kişisel Veriler” prosedürünün 3. maddesindeki tedbirleri uygular.

 

Şirketimiz, kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar, fiziksel ortam ise “B-Özel Nitelikli Kişisel Veriler” prosedürünün 4. maddesindeki tedbirleri uygular.

 

Şirketimiz, kişisel veriler aktarılacaksa “B-Özel Nitelikli Kişisel Veriler” prosedürünün 5. maddesindeki tedbirleri uygular.

 

  • Kişisel Veri İşleme Envanteri: Şirketin kişisel veri işleme envanteri aşağıda yer almaktadır.

 

Veri Adı

Veriyi Görenler

Veri Konusu

Veri Kategorisi

Veri Kaynağı

Veriyi İşleyen

Veri Saklamacısı

Veri Saklama Ortamı

Veri İşleme Amacı

Veri İşleme Süresi

Alıcı Grupları

Adı soyadı, TC kimlik no, kimlik numarası, anne-baba adı, doğum yeri ve tarihi, cilt/hane/sıra no, cinsiyet, uyruk, nüfusa kayıtlı olduğu il/ilçe/mahalle, vergi numarası

Operasyon, Muhasebe, Müşteri Temsilcileri, …………………………

 

Müşteri Personel

Kimlik bilgisi

Kurum içi

Operasyon,

Pazarlama, İnsan Kaynakları ………………

Operasyon,  İnsan Kaynakları,  Bilgi İşlem……………………..

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

MKK, Takasbank,

SPK, BİST, TSPB, SGK,  İŞKUR, YTM, SPL, Yurtdışı Takas Kurumu, Yurtdışı Borsalar, Adli Makamlar, Personel maaş anlaşması kapsamında anlaşmalı banka, Dış Hizmet Sağlayıcılar

Adres bilgisi, telefon bilgisi, e-mail adresi

Operasyon,

İnsan Kaynakları,

……………………………………

Müşteri Personel

İletişim bilgisi

Kurum içi

Operasyon

Pazarlama

İnsan Kaynaklar…………………...

Operasyon,  İnsan kaynakları, …………………………

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

MKK, Takasbank, SPK, BİST, TSPB, SGK, YTM, SPL, Adli Makamlar,  Personel maaş anlaşması kapsamında anlaşmalı banka, Dış Hizmet Sağlayıcılar

Müşteri hesap numarasına ait MKK sicil numarası

Operasyon, Muhasebe,

…………….

Müşteri

Hesap bilgisi

Kurum içi

Muhasebe………..

Bilgi İşlem  …………

Elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

MKK, Takasbank, SPK, BİST, Dış Hizmet Sağlayıcılar

Müşteri hesap numarası

Operasyon, Muhasebe,

Müşteri Temsilcisi,

……………………….

Müşteri

Hesap bilgisi

Kurum içi

Operasyon  ………….

Operasyon,  Bilgi İşlem  …………………

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

MKK, Takasbank, SPK, BİST, TSPB, YTM, Dış Hizmet Sağlayıcılar

Çerçeve sözleşmeleri ve ekleri(iş/meslek bilgisi, uygunluk ve yerindelik testleri dahil)

Operasyon, Müşteri Temsilcileri, Pazarlama, ……………………….

 

Müşteri, Personel

Hesap bilgisi

Kurum içi

Operasyon,

Pazarlama, Müşteri Temsilcileri ………………..

Operasyon, Bilgi İşlem ……………..

 

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

 

 

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, BİST, TSPB, YTM, Dış Hizmet Sağlayıcılar

Mali bilgiler ve teminat bilgileri, overall bilgileri

Operasyon, Muhasebe, …………………………….

Müşteri, Personel

Hesap bilgisi

Kurum içi

Operasyon,

Pazarlama, ……………………….

Operasyon, Bilgi İşlem ……………………..

 

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, BİST, TSPB, YTM, Adli Makamlar,  Dış Hizmet Sağlayıcılar

Deneme hesapları

Hazine, …………………….

Müşteri

Hesap bilgisi

Kurum içi

Hazine  ………………….

Bilgi İşlem  ………………………….

 

Elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, TSPB,  Dış Hizmet Sağlayıcılar

IP numaraları, login bilgileri

Operasyon, Teftiş, …………………………

Müşteri

İşlem bilgisi

Kurum içi

Otomatik sistem

Bilgi İşlem ………………….

Elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, BİST, TSPB, Dış Hizmet Sağlayıcılar

Ses kayıtları

Operasyon, Teftiş,

Bilgi İşlem, ……………………………

Müşteri, Personel

İşlem bilgisi

Kurum içi

Otomatik sistem

Bilgi İşlem

………………………

Elektronik ortam ve taşınabilir kayıt araçları

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, BİST, TSPB, Dış Hizmet Sağlayıcılar

Görüntü kayıtları

Teftiş,

Bilgi İşlem, …………………………….

Müşteri, Personel

Güvenlik bilgisi

Kurum içi

Otomatik sistem

Bilgi İşlem …………………………..

 

Elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, BİST

Cv, okul ve eğitim bilgisi, iş deneyimi geçmişi, hobiler, tercihler, grup üyelikleri gibi özlük bilgileri

İnsan Kaynakları, ………………………………

Personel

Özel bilgiler

Kurum içi

İnsan Kaynakları ………………………

İnsan Kaynakları  …………………..

 

 

Fiziki ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

SPK, SPL,  Dış Hizmet Sağlayıcılar

Sağlık, vakıf  yada sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleri, ırk ve etnik köken, siyasi düşünce, kılık ve kıyafet

İnsan Kaynakları, ………………………………..

Personel

Özel nitelikli kişisel bilgiler

Kurum içi

İnsan Kaynakları ……………………..

İnsan Kaynakları,  …………………………

 

 

Fiziki ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

Sağlık Kurumları, İşyeri Hekimi

Personel hizmet sözleşmesi, Aile durum bilgisi, banka hesapları

İnsan Kaynakları, ………………………….

Personel

Özel bilgiler

Kurum içi

İnsan Kaynakları  ……………………..

İnsan Kaynakları  …………………….

 

 

Fiziki ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

Adli Makamlar,  SPK, Dış Hizmet Sağlayıcılar

Şirket yetki durum bilgisi, Organizasyon şeması

…………………………..

 

Personel

KAP bildirimleri, Ticaret sicil gazetesinde yayımlanan bilgiler ve internet sitemizde yer alan bilgiler

Kurum içi

………………………….

…………………………………

 

 

Fiziki ortam ve elektronik ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

Tüm kamuya açık bilgi

Personel adayı (stajyer)

İnsan Kaynakları, ………………………….

Personel

Özel bilgiler

Kurum içi

İnsan Kaynakları  ………………………

İnsan Kaynakları ……………………………..

 

 

Fiziki ortam

Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması

Sözleşme süresince ve mevzuatta belirtilen süre

Adli Makamlar,   Dış Hizmet Sağlayıcılar

Potansiyel müşteri

Pazarlama, Müşteri Temsilcileri, …………………………….

Potansiyel müşteri

Kişisel veri

Kurum içi

Pazarlama, Müşteri Temsilcileri  …………………….

Bilgi İşlem ……………………………

 

 

Elektronik ortam

Yeni müşteri kazanım çalışmaları

Müşterinin rızası var ise 5 yıl, yok ise hemen silinir.

 

 

  • ÖZEL NİTELİKLİ KİŞİSEL VERİLER PROSEDÜRÜ

 

      • Özel nitelikli kişisel verilerin işlenme şartları: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Yukarıda sayılan özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

      • Şirketimiz, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik aşağıdaki tedbirleri sağlar.
  • Kanun ve buna bağlı yönetmelikler ile özel nitelikteki kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  • Gizlilik sözleşmelerinin yapılması,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve sürelerinin belirlenmesi,
  • Periyodik yetki kontrollerinin yapılması,
  • Görev değişikliği olan yada işten ayrılan çalışanlarımızın bu alandaki yetkilerinin derhal kaldırılması, veri sorumlusu tarafından kendisine verilen envanterin iade alınması.

 

      • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar elektronik ortam ise aşağıdaki önlemler alınır.
  • Siber güvenlik önlemleri,
  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  • Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin takip edilmesi, gerekli güvenlik testlerinin yapılması/yaptırılması,
  • Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenli testlerinin yapılması/yaptırılması, test sonuçlarının kayıt altına alınması.

 

      • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar, fiziksel ortam ise aşağıdaki önlemler alınır.
  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (su baskını, yangın, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi.

 

      • Özel nitelikli kişisel veriler aktarılacaksa aşağıdaki önlemler alınır.
  • Verilerin e-posta yoluyla aktarılması gerekiyorsa kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  • Taşınabilir bellek, CD, DVD bibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kullanılarak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması yada yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizli belge” formatında gönderilmesi.

 

 

X