I.BÖLÜM- “KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI”NIN KULLANILMA AMACI
Politika ile İpek AKANSU (“Diyetisyen”) tarafından KVK Kanunu’na uyum için önem taşıyan düzenlemelerin benimsenmesinin sağlanması amaçlanmaktadır. Bu kapsamda, Politika, işyerinin KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır. Bu bakımdan işyerinin temel amacı, İpek AKANSU tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda danışanlarımızı, çalışanlarımızı, ziyaretçilerimizi ve üçüncü kişileri bilgilendirerek şeffaflık sağlamaktır.
İpek AKANSU, bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yapacak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaktır.
İşyeri bünyesinde Politika’da düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından gerekli her türlü idari ve teknik tedbir alınacak, çalışanların farkındalığının sağlanması için iç sistemler kurulacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecektir.
- BÖLÜM- KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK İPEK AKANSU TARAFINDAN BENİMSENEN İLKELER
KVK Kanunu’nun 3. maddesi uyarınca, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sisteminin parçası olmak kaydıyla(tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla) elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamına girmektedir.
Öncelikle önem arz eden hususlardan biri, kişisel verilerin işlenmesinde mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, İpek AKANSU tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:
2.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
İpek AKANSU diyetisyenlik merkezinde, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun olarak yürütür. Dürüstlük kuralına uygun olma ilkesi uyarınca İpek AKANSU veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.
2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Diyetisyen tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Diyetisyen ’in aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Diyetisyen tarafından veri sahibi olan ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanallarımız açıktır.
2.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Diyetisyen tarafından kişisel verilerin işlenmesi faaliyetleri, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde yürütülmektedir.
2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Diyetisyen tarafından, kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenerek, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.
2.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Diyetisyen, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler diyetisyen tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
III. BÖLÜM- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Veri İşleme Şartlarına Uygunluk
Diyetisyen kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:
(1) Kişisel Veri Sahibinin Açık Rızasının Varlığı
Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, Diyetisyen tarafından kişisel veri işleme faaliyeti yürütülür.
(2) Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması
Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Diyetisyen tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.
(3) Fiili İmkansızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Diyetisyen tarafından bu kapsamda veri işleme faaliyeti yürütülür.
(4) Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise Diyetisyen tarafından veri işleme faaliyeti yürütülür.
(5) Diyetisyen ‘in Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması
Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi işyeri politikası olarak benimsemiş olan Diyetisyen ‘in hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.
(6) Veri Sahibinin Kişisel Verisini Alenileştirmesi
Diyetisyen tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.
(7) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Diyetisyen tarafından bu zorunluluk kapsamında kişisel veri işleme faaliyet yürütülür.
(8) Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin Diyetisyen’ in Meşru Menfaatleri için Zorunlu Olması
Diyetisyen’in meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir. Bu kapsamda, söz konusu şartın varlığının tespiti için, Diyetisyen tarafından mehaz düzenlemede kabul gören “denge testi” uygulaması yürütülür.
3.2. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Diyetisyen tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, Diyetisyen tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.
Özel nitelikli kişisel veriler, Diyetisyen tarafından, KVK Kurulu tarafından belirlenen, işyeri için yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
(1) Kişisel Sağlık Verilerinin İşlenmesi
Diyetisyen tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
– Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; veya
–Kişisel veri sahibinin açık rızasının varlığı.
(2) Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Diyetisyen tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile genetik verileri); veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.
3.3. Kişisel Verilerin Aktarımında Uyulması Gerekenler
Diyetisyen, tarafından gerçekleştirilecek kişisel veri aktarımlarında KVK Kanunu’nun 8. maddesinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
3.3.1 Kişisel Verilerin Yurtiçinde Aktarılması
Diyetisyen tarafından, KVK Kanunu’nun 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. Diyetisyen KVK Politikası Bölüm 3.1.) uygun olarak hareket edilmektedir. İşyerimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
3.3.2. Özel Nitelikli Kişisel Verilerin Aktarılması
İşyerimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemlerde dahil olmak üzere özel nitelikli kişisel verilerin aktarılması gerektiğinde, gerekli, her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
-Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
-Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir.
- BÖLÜM-DİYETİSYEN’İN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLERİ
4.1 Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Diyetisyen, veri işlemeye başlamadan önce KVK Kurulu tarafından belirlenerek ilan edilecek süre içinde Veri Sorumluları Sicili’ne kayıt olmalıdır. Veri Sorumluları Sicili’ne kayıt başvurusunda aşağıdaki bilgiler sunulmalıdır:
(1) Veri sorumlusu olarak şirketin ve varsa temsilcisinin kimlik ve adres bilgileri.
(2) Kişisel verilerin hangi amaçla işleneceği.
(3)Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
(4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
(5) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
(6) Kişisel veri güvenliğine ilişkin alınan tedbirler.
(7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
4.2. DİYETİSYEN TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Diyetisyen, KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Diyetisyen tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:
(1) Şirketimizin unvanı,
(2) Diyetisyen tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
(5) Veri sahibinin hakları olan(KVKK. m.11);
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- a) Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
4.3 KİŞİSEL VERİ SAHİBİNİ BİLGİLENDİRME YÜKÜMLÜLÜĞÜ
Kişisel veri sahipleri, gerek duydukları hallerde yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin bilgi talebinde bulunma hakları vardır. Bu kapsamda, işyeri, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 11’inci maddesine uygun olarak gerekli başvuru kanalları, başvuruların değerlendirilmesi, iç işleyiş, Kanun’da öngörülen sürelerde başvuruların cevaplandırılması ve sair idari ve teknik düzenlemelere ilişkin prosedür ve süreçleri oluşturmalı ve uygulamalıdır. Kişisel veri sahipleri bu kapsamda (KVK Kanunu m.11 uyarınca);
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- a) Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
4.3.1 Kişisel Veri Sahibinin Haklarını Kullanması
Veri sahiplerinin kişisel verilerine ilişkin taleplerini işyerimize yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Diyetisyen veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Diyetisyen tarafından Kişisel Verilerin Korunması Kurulunca belirlenen tarifedeki ücret alınacaktır. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Kanun’un 13(f.1) maddesi gereğince, yukarıda belirtilen haklarınızı kullanmak ile ilgili talebinizi, yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Diyetisyen’e iletebilirsiniz. Bu çerçevede Diyetisyen’ e Kanun’un 11. Maddesi kapsamında yapacağınız başvurularda yazılı olarak başvurunuzu ileteceğiniz kanallar ve usuller aşağıda açıklanmaktadır.
Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi, kimliğinizi tespit edici belgeler ile birlikte, https://ipekakansu.com/ adresindeki 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Veri Sahibi Başvuru Formu’nu eksiksiz olarak doldurarak;
-Islak imzalı bir nüshasını “Yıldırım Beyazıt Mah. Kümbetler Sk. Demirpark Plus 6/A Melikgazi/KAYSERİ” adresine şahsen elden teslim edebilir,
-Noter vasıtasıyla veya iadeli taahhütlü posta yoluyla yukarıdaki adresimize gönderebilir,
-Güvenli Elektronik imza ile imzalayarak, ipekakansu@gmail.com adresine e-posta ile iletebilirsiniz.
Diyetisyen, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Diyetisyen, ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletname bulunmalıdır.
Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması, başkalarının gizliliğini tehlikeye atması ve KVK Kanunu uyarınca kapsam dışında kalan hallerden birinin mevcut olması halinde Diyetisyen tarafından gerekçesi açıklanarak talep reddedilebilecektir.
4.3.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
- a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- b) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- c) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
(1)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
(2)Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
(3)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
(4)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
4.4. DİYETİSYEN TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Diyetisyen tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre uygun, gerekli, her türlü tedbir alınmaktadır. Bu kapsamda işyerimiz Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak, gerekli, güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır. Bu kapsamda, işyerimiz tarafından, kişisel verilerin korunması için alınan gerekli teknik ve idari tedbirler, gerektiğinde özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve işyerimiz bünyesinde gerekli denetimler sağlanmaktadır.
4.4.1. İşyeri Binası Girişleri İle Bina İçerisinde Yürütülen Giriş Çıkışların Takibi
Diyetisyen tarafından güvenliğin sağlanması amacıyla, işyeri bina giriş ve çıkışlarında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Diyetisyen tarafından kişisel veri işleme faaliyeti yapılmaktadır. Kişinin mahremiyetine müdahale sonucu doğurabilecek alanlarda izleme söz konusu olmamaktadır. İşyeri, güvenlik kamerası ile izleme faaliyeti kapsamında; işyerinin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Diyetisyen tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli uygun teknik ve idari tedbirler alınmaktadır. Güvenlik kamerası kayıtlarına yalnızca Diyetisyen ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
4.4.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Diyetisyen Tarafından Alınan İdari Tedbirler
- Diyetisyen, kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.
- Kişisel verilerin aktarıma konu olduğu durumlarda, Diyetisyen tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.
- Diyetisyen tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenir, bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
- Diyetisyen, KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit eder, bu uygulamaları iç politikalar ile düzenler.
4.4.3 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Diyetisyen Tarafından Alınan Teknik Tedbirler
- Diyetisyen tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.
- Teknik konularda, uzman personel istihdam edilir.
- Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
- Güvenliği temin edecek yazılım ve sistemler kurulur.
- Diyetisyen bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
4.4.4 Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
Diyetisyen tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.
V.BÖLÜM- KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
İşyerimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Diyetisyen öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat uyarınca şirketin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
KVK Kanunu’nun 7. maddesi uyarınca, kişisel verilerin ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya kişisel veri sahibinin talebi üzerine Diyetisyen tarafından silinir, yok edilir veya anonim hale getirilir.
- BÖLÜM- DİYETİSYEN, KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Diyetisyen tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Standardı’nın yürürlüğünü sağlamak için işyerimizde “Kişisel Veriler Uyum Birimi” kurulmuştur.
Bu birimin görevleri aşağıda belirtilmektedir;
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel Politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak.
- Kişisel verilerin korunması ve işlenmesine ilişkin Politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede işyeri içi görevlendirmede bulunulması ve koordinasyonun sağlanması.
- KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek, uygulanmasını gözetmek ve koordinasyonunu sağlamak.
- Diyetisyen’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek.
- Kişisel verilerin korunması ve Politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin yapılması yönünde eğitimler düzenlenmesini sağlamak.
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak işyeri içinde yapılması gerekenler konusundaki önerilerini almak.
- KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek.
- Diyetisyenin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.
İşbu Politika, gerekli görüldüğü hallerde Diyetisyen tarafından revize edilebilir. Revizyonun söz konusu olduğu hallerde, Politika’nın en güncel haline Diyetisyen ‘in https://ipekakansu.com/ internet sitesinde yer verilecektir. İlgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Diyetisyen KVK Politikası’nda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.
EK-1 Tanımlar
KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
Açık rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Kurulu | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
Özel nitelikli kişisel veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. |
Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Kişisel veri sahibi | KVK Kanunu’nda “ilgili kişi” olarak addedilen, kişisel verisi işlenen gerçek kişi. |
Kişisel Veri Sahibi Başvuru Formu | Diyetisyen bünyesinde kişisel verileri işlenen kişisel veri sahiplerinin KVK Kanunu’nun 11. maddesinde açıklanan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri Sorumluları Sicili | Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili. |
Veri Envanteri |
Diyetisyen’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter.
|
İpek AKANSU/Diyetisyen | Uzm. Diyetisyen İpek AKANSU Beslenme ve Diyet Danışmanlığı Merkezi |