Whatsapp

Kişisel Verilerin Korunması

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

1. VERİ GİZLİLİĞİ TAAHHÜDÜ

1.1 İşbu Kişisel Verilerin Korunması Politikası (“Politika”) DOKU ESTETİK VE SAĞLIK HİZMETLERİ TİCARET LİMİTED ŞİRKETİ’nin 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Şirket içerisinde ve/ veya Şirket tarafından uyulması gereken esasları belirlemektedir.

1.2 Şirket kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.

2. POLİTİKANIN AMACI

İşbu Politikanın temel amacı, Şirket tarafından Kişisel Verilerin işlenmesine ve korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

3. POLİTİKANIN KAPSAMI

3.1 İşbu Politika, Şirket’in işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

3.2 İşbu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.

3.3 İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirket’in veya Komite’nin gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir. KVK düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

4. TANIMLAR

İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Aydınlatma Yükümlülüğü: Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Sahibine KVKK Madde 10 kapsamında bilgi vermesine ilişkin yükümlülüğünü ifade eder.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu prosedür kapsamında “Kişisel Veri “ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Verileri “de kapsayacaktır)

Kişisel Veri İşleme: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

Komite: Şirket’in Kişisel Verilerin Korunması Komitesi’ni ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.

KVK Politikaları: Şirket’in Kişisel Verilerin korunması konusunda çıkardığı politikaları ifade eder.

KVK Prosedürleri: Şirket’in, çalışanların, Komite’nin KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.

Özel Nitelikli Kişisel Veri: “Kişilerin ırk, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Silme ve Yok Etme: Kişisel Verilerin geri dönülemez biçimde imha edilmesini veya yok edilmesini ifade eder.

Veri Envanteri: “Şirket’in Kişisel Veri işleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.

Veri İşleyen: Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Sahibi: Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.

Veri Sorumlusu: Kişisel Verileri İşleme amaçları ve İşleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek ve tüzel kişiyi ifade eder.

Veri Sorumlusu İrtibat Kişisi: KVK Düzenlemeleri ile ilgili olarak Kurum ile kurulacak iletişim için veri sorumlusu tarafından sicile kayıt bildirimi yapan gerçek kişiyi ifade eder.

5. KİŞİSEL VERİ İŞLEMENİN İLKELERİ

5.1 Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

Şirket, Kişisel Verileri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler.

5.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması İçin Gerekli Önlemlerin Alınması

Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır ve Veri sahibinin KVKK Düzenlemeleri kapsamında Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.

5.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi

Kişisel Verilen işlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.

5.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında İstisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Sahibinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler. Veri Sorumlusu, Kişisel Verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgisi olmayan veya ihtiyaç duyulmayan hallerde işlemekten kaçınır.

5.5 Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi

5.5.1 Şirket, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Şirket’in KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.

5.5.2 Kişisel Veri işleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir, Yok Edilir veya Anonim hale getirilir. İşbu halde, Şirket’in Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.

5.5.3 Silme, Yok Etme, Anonim Hale Getirme süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.

6. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

6.1 Açık Rıza

6.1.1 Kişisel Veriler, Veri Sahiplerine Aydınlatma yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahiplerinin Açık Rıza vermesi halinde işlenir.

6.1.2 Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Sahiplerine hakları bildirilir.

6.1.3 Veri Sahibinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.

6.1.4 Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve alınan Açık Rızanın muhafazasını sağlamakla yükümlüdür. Kişisel Veri işleyen tüm departman çalışanları, İrtibat Kişisi ve Komite’nin talimatlarına, işbu Politika ‘ya ve bu Politika´nın eki olan KVK Prosedürlerine uymakla yükümlüdür.

6.2 Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

KVKK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2) Şirket Veri Sahibinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri İşler. Bu kapsamda;

6.2.1 Kanunlarda açıkça öngörülmesi halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

6.2.2 Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Sahibinin kendisinin ya da Veri Sahibi dışındaki bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

6.2.3 Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması halinde Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.

6.2.4 Verilerin İşlenmesi Şirket’in hukuki yükümlülüğünü yerine getirmesi için zorunluysa Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.

6.2.5 Veri sahibi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.

6.2.6 Kişisel Verilerin İşlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.

6.2.7 Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

7.1 Özel Nitelikli Kişisel Veriler yalnızca Veri Sahibinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.

7.2 Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler ( örn: Şirket Hekimi ) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza alınmaksızın işlenebilir.

7.3 Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.

7.4 Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;

7.4.1.Şirket, KVK Düzenlemeleri ve Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak eğitimler verecektir.

7.4.2.Gizlilik sözleşmeleri yapacaktır.

7.4.3.Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak tanımlayacaktır.

7.4.4.Periyodik olarak yetki kontrollerini gerçekleştirecektir.

7.4.5.Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldıracak ve ilgili çalışana tahsis edilen envanteri derhal geri alacaktır.

7.5 Özel Nitelikli Kişisel Verilerin elektronik ortamlara aktarılması durumunda, Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve / veya erişildiği elektronik ortamlar ile ilgili olarak Şirket;

7.5.1.Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip edecektir.

7.5.2.Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapacaktır.

7.5.3.Özel Nitelikli Kişisel Verilere uzaktan erişim olması halinde iki kademeli kimlik doğrulama sistemi sağlayacaktır.

7.6.Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket;

7.6.1.Özel Nitelikli Kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.

7.6.2.Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engelleyecektir.

7. Özel Nitelikli Kişisel verilerin aktarılması halinde, Şirket;

7.1 Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (“KEP”) hesabı kullanacaktır.

7.2 Özel Nitelikli Kişisel Verilerin kâğıt ortamında fiziksel olarak aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri alacak ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.

7.3 Yukarıdaki düzenlemelere ek olarak, Komite ve İrtibat Kişisi Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.

7.4 Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Komite ’ye bilgi verilir.

7.5 Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Komite ’den görüş alınır.

8. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ

Kişisel Veriler, Şirket bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika ’da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, KVKK ‘nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

9.1 Kişisel Verilerin işlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim hale getirilir. Kişisel Verilerin Silinmesi, Yok edilmesi yahut Anonim Hale Getirilmesi gereken durumlar Komite ve departmanlar tarafından takip edilir.

9.2 Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.

9.3Şirket, Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklayamaz.

9.4 Şirket’in Kişisel Veriler üzerinde uygulayacağı tüm Silme, Yok Etme ve Anonim Hale Getirme Faaliyetleri, Kişisel Veri Saklama, İmha Politikasında belirtilen esaslara uygun olarak gerçekleştirilecektir.

10. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ

Şirket, Kişisel Veri İşleme amaçları doğrultusunda gerekli önlemleri almak kaydıyla Kişisel Verileri yurt içinde ve /veya yurt dışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVK düzenlemelerine uygun şekilde aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreçlere uymakla yükümlüdür.

10.1 Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı

10.1.1 Kişisel Veriler, KVKK Madde 5.2 ‘de ve yeterli önlemler alınmak kaydıyla Madde 6.3´de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Sahibinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2 ) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.

10.1.2 Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Komite müteselsilen sorumludur.

10.2 Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı

10.2.1 Kişisel Veriler, Veri Sahibinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2 ) yurt dışında bulunan üçüncü kişilere , Şirket tarafından aktarılabilir.

10.2.2 Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir;

10.2.3 Kişisel Verilerin aktarılacağı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması,

10.2.4 Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurulun güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.

10.2.5 Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları, Komite ve Temsilcisi müteselsilen sorumludur.

11. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirket, KVKK ’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Sahiplerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Sahiplerine yapılacak olan bildirim sırasıyla şu unsurları içerir;

11.1 Veri Sorumlusunun (ve varsa temsilcisinin) kimliği,

11.2 Kişisel Verilerin hangi amaçla işleneceği,

11.3 İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,

11.4 Kişisel Veri toplamanın yöntemi ve hukuki sebebi,

11.5 Veri Sahiplerinin KVKK Madde 11’de sayılan hakları.

11.6 Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK ’nın 11. Maddesine uygun olarak Veri Sahibinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.

11.7 Veri Sahipleri tarafından KVKK Düzenlemelerine uygun olarak talep edilmesi halinde Şirket, Veri Sahibine işlediği kişisel verilerine ait gerekli bilgilendirmeyi yapar.

11.8 Kişisel Verilerin işlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Komite müteselsilen sorumludur.

11.9 Veri işleyen statüsündeki üçüncü kişiler, veri işlemeye başlamadan önce yukarıda belirtilen yükümlülüklere uygun davranacağını yazılı bir sözleşme ile taahhüt eder.

12. VERİ ÖZNELERİNİN (İLGİLİ KİŞİLERİN) HAKLARI

12.1 Şirket Kişisel Verisini işlediği Veri sahiplerinin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevap verir;

12.1.1 Şirket tarafından Kişisel Veri İşlenip İşlenmediği öğrenme,

12.1.2 Kişisel Verilerinin İşlenmesi halinde, buna ilişkin bilgi talep etme

12.1.3 Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

12.1.4.Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,

12.1.5.Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

12.1.6.Amaç, süre meşruiyet prensipleri dahilinde değerlendirilmek üzere Kişisel Verilerin İşlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silinmesini veya yok edilmesini isteme,

12.1.7.Şirket tarafından Kişisel Verilerin düzeltilmesi, Silinmesi ya da Yok Edilmesi halinde bu işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

12.1.8.İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Veri Sahibinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,

12.1.9.Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Sahibinin zarara uğraması halinde zararın giderilmesini talep etme.

Veri Sahipleri haklarını kullanmak istediği ve /veya Kişisel Verileri işlerken Şirket’in işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, şirket internet sitesinde yer alan formu doldurarak veya kendi taleplerini Kurum tarafından belirlenen şartları taşıyacak şekilde oluşturarak aşağıda verilen ve zaman zaman değişebilecek olan e-posta adresine, Şirket’e daha önce bildirilmiş ve Şirket sistemine kayıtlı olan e-posta adresinden gönderebilecekleri e-posta ile ( sisteme kayıtlı e-posta adresi kontrol edilmelidir) veya güvenli elektronik imzalı veya mobil imzalı olarak Şirket KEP adresine yahut aşağıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tevsik edici belgeler ile birlikte ıslak imzalı bir dilekçe ile elden ya da noter aracılığıyla teslim edebilirler ve ileride bunlara eklenebilecek Kurum tarafından belirlenen diğer yöntemlerle gönderebilirler. Güncel başvuru yöntemleri ve başvuru içeriği başvuru öncesinde mevzuattan teyit edilmelidir.

Veri Sorumlusu : DOKU ESTETİK VE SAĞLIK HİZMETLERİ TİCARET LİMİTED ŞİRKETİ

Kayıtlı E-posta (KEP) : [email protected]

Posta : MERKEZ MAHALLESİ İSTİKLAL SOKAK NO: 9/75 ŞİŞLİ İSTANBUL

Veri Sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebi niteliğine göre en geç (30) otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması halinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.

13. VERİ YÖNETİMİ VE GÜVENLİĞİ

13.1 Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Komite oluşturur.

13.2 Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.

13.3 Şirket tarafından Kişisel Veri işleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.

13.4 Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.

13.5 Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.

13.6 Şirket çalışanları, Kişisel Veriler üzerinde yalnızca kendilerine tanımlanan yetki dahilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.

13.7 Şirket çalışanı Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde bu durumu Komite’ ye bildirir.

13.8 Komite tarafından Kişisel Verilerin güvenliğine yönelik detaylı bir KVK Prosedürü oluşturulur.

13.9 Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

13.10 Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.

13.11 KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

13.12 Şirket’te Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

13.13 Şirket’te Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.

13.14 Şirket’e Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunması için gerekli önlemler alınacaktır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmayacaktır. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmayacak, Komite ‘den önceden yazılı onayı alınmadan Şirket bilgisayarındaki bilgiler USB vb. başka bir aygıta aktarılmayacak, Şirket dışına çıkartılamayacaktır.

13.15 Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin Korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite çalışanların farkındalığını arttırmak üzere gerekli eğitimleri düzenler.

13.16 Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Komite tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilecek ve ilgili departman Komite talimatlarına uygun hareket edecektir. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilecek ve bunların listesi ve takibi Komite tarafından yapılacaktır.

13.17 Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi “olarak kabul edilir.

13.18 Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

14 VERİ İHLALİ MÜDAHALE PLANI

14.1 Kişisel verilerin korunması kanunu ve ilgili mevzuata aykırı tutum ve davranışı fark eden çalışan durumu derhal ŞİRKET Kişisel Verileri Koruma Komitesine bildirimde bulunur.

14.2 İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, kuruma 72 saat içerisinde bildirim yapılır.

14.3 Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılır.

14.4 Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanır.

14.5 Kurula yapılacak bildirimde kurum https://ihlalbildirim.kvkk.gov.tr adresinde yayınlanan “Kişisel Veri İhlal Bildirim Formu kullanılır.

14.6 Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır.

14.7 Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması sağlanır.

14.8 Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin komiteye bildirimi sağlanır.

İlgili plan belirli aralıklarla komite tarafından gözden geçirilir.

15. EĞİTİM

15.1 Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ve KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir. Bu eğitimleri bizzat veya online olarak sunabilir.

15.2 Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.

15.3 Şirket çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

16. DENETİM

Şirket, işbu Politika ve KVK Düzenlemelerine Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite bu denetimlere dair KVK Prosedürü oluşturur. Yönetimin onayına sunar ve anılan prosedürün uygulanmasını sağlar.

17. İHLALLER

17.1 Şirket’in her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komite ’ye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.

17.2 Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Sahibi veya Kurum’a yapılacak bildirimi hazırlar. İrtibat Kişisi Kurum ile yapılan yazışma ve iletişimi yürütür.

18. SORUMLULUKLAR

Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Komite şeklindedir. Bu kapsamda; Politika’nın uygulanmasından sorumlu Komite, Şirket Yönetimi tarafından Yönetim kararı veya imza ve ilzama yetkili organlarca atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.

19. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

19.1 Şirket tarafından işbu Politika zaman zaman Yönetimin onayı ile değiştirilebilir.

19.2 Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Sahiplerinin erişimine sunar.

20. POLİTİKANIN YÜRÜRLÜK TARİHİ

Politikanın işbu versiyonu ../../2023 tarihinde Şirket Yönetim tarafından onaylanarak yürürlüğe girmiştir.