Kişisel Verilerin Korunması
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
A. AMAÇ VE KAPSAM
DCT Fethiye Özel Sağlık Hizmetleri Turizm Ticaret Ltd. Şti., DCT Özel Sağlık Hizmetleri Organizasyon İnşaat ve İnşaat Malzemeleri Otomotiv Emlak Taşımacılık Turizm Ticaret Sanayi Ltd. Şti., Dental Centre Turkey Sağlık Danışmanlığı A.Ş. ve Lab International Diş Protez Laboratuvarı Sanayi ve Ticaret Ltd. Şti. (Her biri "Şirket" veya beraber "DCT" olarak anılacaktır) Kişisel Verilerin İşlenmesi ve Korunması Politikası ("Politika"), Kişisel Verilere ilişkin mevzuat çerçevesinde şeffaflığın ve hesap verilebilirliğin sağlanması temel amacıyla hazırlanmıştır. İşbu Politika ile Şirket tarafından Kişisel Verileri işlenmekte olan kişilerin bilgilendirilmesi ve aydınlatılması hedeflenmektedir.
Politika kapsamına, Şirket tarafından Kişisel Verileri işlenmekte olan tüm gerçek kişiler girmektedir. Öte yandan Şirket çalışanlarına özgü ayrı bir Kişisel Verilerin İşlenmesi ve Korunması politikası bulunmaktadır. Bahsi geçen politikada değinilmemiş konular hakkında bu Politika uygulama alanı bulacaktır.
B. POLİTİKADA YER ALAN TANIMLAR
| Kavram | Tanım |
|---|---|
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
| Kişisel Verilerin Anonim Hâle Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
| Kişisel Veri(ler) | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kişisel Verilerin İmhası | Kişisel Verilerin Silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kişisel Verilerin Silinmesi | Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi. |
| Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veriler. |
| Veri İşleyen | Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistem. |
| Veri Sahibi ya da İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Veri Sorumlusu | Kişisel Verilerin İşleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
C. VERİ SORUMLUSUNUN KİMLİĞİ
Bu Politikanın kapsamına giren her türlü Kişisel Veri işleme faaliyeti için Veri Sorumlularının kimliklerine ilişkin bilgiler aşağıda verilmektedir.
DCT Fethiye Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi
DCT Özel Sağlık Hizmetleri Organizasyon İnşaat ve İnşaat Malzemeleri Otomotiv Emlak Taşımacılık Turizm Ticaret Sanayi Ltd. Şti.
Dental Centre Turkey Sağlık Danışmanlığı A.Ş.
Lab International Diş Protez Laboratuvarı Sanayi ve Ticaret Ltd. Şti.
Veri Sorumluları ile ilgili bilgilere VERBİS üzerinden de erişim mümkündür.
D. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Kanunun 4. maddesi uyarınca, Kişisel Verilerin işlenmesinde uyulması gereken temel ilkeler belirlenmiştir. Söz konusu ilkeler, Şirket tarafından gerçekleştirilen tüm Kişisel Veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır.
- Hukuka ve Dürüstlük Kuralına Uygun Olmak: Şirket, Kişisel Verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine ve 4721 sayılı Türk Medeni Kanunu'nda düzenlenmiş olan dürüstlük kuralına uygun olarak hareket etmektedir.
- Kişisel Verilerin Doğru ve Güncel Olmasını Sağlamak: Kişisel Verilerin bireyler hakkında doğru ve güncel bilgileri sağlaması, bireylerin haklarının korunması için büyük bir önem taşımaktadır. Şirket, işlenmekte olan Kişisel Verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek makul düzeyde özeni göstermektedir.
- Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşlemek: Kişisel Verilerin işlenmesi ile ulaşılmak istenilen amaçlar, Kişisel Veri işleme faaliyetinin hukuka uygun olup olmadığının belirlenmesinde en önemli kriteri oluşturmaktadır. Şirket, bu ilke çerçevesinde ticari faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla Kişisel Veri işleme faaliyetleri yürütmektedir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmak: Şirket, Kişisel Verileri ticari faaliyetleri kapsamında belirlenen amaçları gerçekleştirmesine yetecek kadar işlemektedir. Şirket, ihtiyaç olmayan Kişisel Verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.
- İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etmek: Şirket tarafından işlenmekte olan Kişisel Veriler, Kişisel Veri işleme şartları kapsamında değerlendirilebilecek Kişisel Veri işleme amaçlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza etmektedir. Söz konusu amaçlar ortadan kalktığında, Şirket tarafından ilgili Kişisel Verilerin muhafaza edilmesi faaliyetleri sonlandırılacaktır.
E. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER
Kişisel Verilerin İşlenmesine ilişkin hukuki sebepler, Kanunun 5. maddesinde düzenlenmiştir. Bu kapsamda Şirket tarafından güdülen Kişisel Verilerin İşlenmesi amaçlarının, Kanunda düzenlenen hukuki sebepler kapsamında değerlendirilebildiği durumlarda Kişisel Veri işleme faaliyetleri gerçekleştirilmektedir. Kanunda yer alan Kişisel Veri işleme hukuki sebepleri aşağıdaki gibidir:
- İlgili kişinin Açık Rızasının bulunması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması,
- Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri Sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
F. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER
Kanunun 6. maddesinde yer alan hukuki sebeplerin varlığı halinde Özel Nitelikli Kişisel Veriler işlenebilmektedir. Özel Nitelikli Kişisel Veriler, bireyler arasında ayrımcılık yapılmasını sağlayacak herhangi bir amaçla ya da bir bireyin hukuka aykırı muamelelere maruz kalmasına sebep olacak şekilde işlenmemektedir. Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel Verilerin İşlenmesine ilişkin hukuki sebepler şunlardır:
- İlgili Kişinin Açık Rızasının bulunması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Alenileştirilen Kişisel Verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili otoritelerce, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan kâr amacı gütmeyen oluşumlar tarafından; mevcut veya eski üyeleri ve mensupları ile bu kuruluş ve oluşumlarla düzenli temasta olan kişilerin verilerinin işlenmesi.
G. KİŞİSEL VERİLERİN KATEGORİZASYONUNA İLİŞKİN AÇIKLAMALAR
Kişisel Verilere ilişkin İlgili Kişilere sunulan aydınlatma metinlerinde, veri kategorileri kullanılmaktadır. Bu kategoriler VERBİS sistemi çerçevesinde hazırlanmış olup her bir kategori içerisinde yer alabilecek veri tipi örnekleri aşağıda gösterilmiştir:
| Kişisel Veri Kategorisi | Kategori İçerisinde Yer Alan Veri Örnekleri |
|---|---|
| Kimlik | Adı, soyadı, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, T.C. kimlik no gibi. |
| İletişim | Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi. |
| Lokasyon | Bulunduğu yerin konum bilgileri. |
| Özlük | Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi. |
| Hukuki İşlem | Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi. |
| Müşteri İşlem | Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi. |
| Fiziksel Mekân Güvenliği | Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi. |
| İşlem Güvenliği | IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi. |
| Risk Yönetimi | Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi. |
| Finans | Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi. |
| Mesleki Deneyim | Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi. |
| Pazarlama | Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler. |
| Görsel ve İşitsel Kayıtlar | Fotoğraf, video ve ses kayıtları gibi. |
| Irk ve Etnik Köken | Irk ve etnik kökeni bilgileri gibi. |
| Siyasi Düşünce Bilgileri | Siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi. |
| Felsefi İnanç, Din, Mezhep ve Diğer İnançlar | Dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi. |
| Kılık ve Kıyafet | Kılık ve kıyafete ilişkin bilgiler. |
| Dernek Üyeliği | Dernek üyeliği bilgileri gibi. |
| Vakıf Üyeliği | Vakıf üyeliği bilgileri gibi. |
| Sendika Üyeliği | Sendika üyeliği bilgileri gibi. |
| Sağlık Bilgileri | Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi. |
| Ceza Mahkûmiyeti ve Güvenlik Tedbirleri | Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi. |
| Biyometrik Veri | Avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi. |
| Genetik Veriler | Genetik veriler gibi. |
H. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketin Kişisel Verileri saklama süresi, ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. Bu süreler dolmasına rağmen, Kanunda yer alan Kişisel Veri işleme şartlarından herhangi birisinin bulunmasını sağlayacak veri işleme amaçlarının varlığı halinde Kişisel Veriler işlenmeye ve saklanmaya devam edilir.
Kanunda yer alan Kişisel Veri işleme şartlarının varlığını ortadan kaldıracak Kişisel Veri işleme amaçlarının sona ermesi halinde, Şirket tarafından Kişisel Veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak altı aylık periyotlarla re'sen gerçekleştirilir ya da Veri Sahiplerinden gelen taleplerin gerektirmesi halinde neticeye bağlanır.
Şirket tarafından Kişisel Verilerin İmhası, Kişisel Verilerin yer aldığı ortamlara göre silme, anonimleştirme ya da yok etme teknikleri kullanılarak yerine getirilmektedir. Söz konusu teknikler hakkında detaylı bilgiler Kurul tarafından yayınlanmış olan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi" içerisinde yer almaktadır.
I. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI
Şirket tarafından Kişisel Verilerin yurt içinde ya da yurt dışında bulunan kişilerle/kurumlarla paylaşılması söz konusu olabilmektedir. Şirket tarafından Kişisel Veri paylaşımlarının takip edilmesi amacıyla paylaşım yapılabilecek taraflar aşağıda yer alan kategorilere ayrılmıştır:
| Veri Alıcısı Grubu | Örnekler |
|---|---|
| Gerçek veya Özel Hukuk Tüzel Kişileri | Bankalar gibi. |
| Tedarikçiler | Bilgi teknolojileri sağlayıcıları, kargo şirketleri, ham madde satıcıları gibi. |
| Yetkili Kamu Kurum ve Kuruluşları | Mahkemeler, tüketici hakem heyetleri, SGK, bakanlıklar gibi. |
| İş Ortakları | Mağaza ya da bayiler gibi. |
| İştirakler ve Bağlı Ortaklıklar | Hissedar olunan diğer şirketler. |
| Topluluk Şirketleri | Aynı ana hissedarın iştiraki olan diğer şirketler. |
J. VERİ SAHİBİNİN HAKLARI
Kanunun 11. maddesi kapsamında Veri Sahiplerine tanınan haklar aşağıda sıralanmaktadır:
- Kişisel Veri işlenip işlenmediğini öğrenme,
- Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kanunun Veri Sahibinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca Veri Sorumlusuna iletebilirsiniz. Bu kapsamda aşağıdaki adreslere başvuruda bulunmanız yeterlidir:
DCT Fethiye Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi
DCT Özel Sağlık Hizmetleri Organizasyon İnşaat ve İnşaat Malzemeleri Otomotiv Emlak Taşımacılık Turizm Ticaret Sanayi Ltd. Şti.
Dental Centre Turkey Sağlık Danışmanlığı A.Ş.
Lab International Diş Protez Laboratuvarı Sanayi ve Ticaret Ltd. Şti.
Şirket, yukarıda sıralanan haklarınıza ilişkin ileteceğiniz talepleri, iletim tarihinden sonra en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak sonuçlandıracaktır. Veri Sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla Şirket tarafından başvurucunun kimliğinin doğrulanması ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde Veri Sahibinin başvurusu cevaplanamayabilecektir.
K. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
Şirket, işlemekte olduğu Kişisel Verilerin gizliliğinin ve güvenliğinin sağlanması konusunda gereken her türlü makul dikkat ve özeni sağlamaktadır. Şirket, Kanunun 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için gereken her türlü teknik ve idari tedbirleri makul düzeyde almaktadır. Söz konusu teknik ve idari tedbirlerle Kişisel Verilerin hukuka aykırı işlenmesinin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi ile Kişisel Verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.
Şirket, Kişisel Verilerin kendi adına başka bir gerçek veya tüzel kişi (Veri İşleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili Veri İşleyenler tarafından da alınmasını sağlayacaktır.
Kişisel Verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde Şirket, ilgili mevzuat hükümleri uyarınca Veri Sahiplerine, Kurula ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.
Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan "Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)" göz önünde bulundurulmaktadır.