İşbu OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI’nın çalışan dışı kişisel verileri işlenirken uyulması gereken kuralları 6698 sayılı KVKK uyarınca düzenlemektedir. Kişisel verilerin korunması şirketimizin en önemli önceliklerinden biridir. Şirketimiz kişisel verileri işlerken hukuka uygunluk ve dürüstlük kurallarına azami özen göstererek işleme faaliyetlerini yürütmektedir.
Bu Politika’da yer alan “çalışan dışı” ifadesi, uygun olduğu ölçüde, şirketimizden hizmet alanları ve şirketimiz ile konusu dahilinde ilişikte bulunan kişileri kapsayacaktır.
Güncellenebilirlik
İş bu politika mevzuat değişikliklerine uygun olarak değiştirilip güncellenebilecektir. Yapılacak güncellemeler hem çevrimiçi ortamlarda hem de belge arşivinde gecikmeksizin yerini alacaktır.
1- ÇALIŞAN DIŞI KİŞİSEL VERİLERİNİN İŞLENMESİ
1.1 Çalışan dışı Kişisel Verilerinin İşlenmesinde Genel Yaklaşım
Şirketimiz sunduğu aydınlatma metinleri ile çalışan dışı kişilerin; kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.
Şirketimiz, işlediği kişisel verileri değerlendirerek, KVKK’da yer alan şartlardan en az birisine dayalı olarak bu verileri işler.
Bu şartlar:
-
- Kişinin açık rızasının olması,
-
- Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
-
- Fiili imkânsızlık sebebiyle kişinin açık rızasının alınamaması,
-
- Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
-
- Şirketimiz hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
-
- Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
-
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
-
- Meşru menfaate dayalı olarak verilerin işlenmesidir.
Yukarıda yazılı şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.
Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır. Şirketimiz hiçbir zaman battaniye açık rıza almaz.
1.2 Gerektiği Kadar ve Gerekli Süre Boyunca Kişisel Veri Toplanması
Şirketimiz, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan ve çalışan dışı olan kişilerden kişisel veri toplar. Şirketimiz, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlar. Ayrıca şirketimiz alınan verilerin ancak kanunen öngörülen veyahut açık rıza metninde belirtilen süre kadar işlenmesi konusunda hassasiyet gösterir. İşlenme süresi bitmiş olan veriler; imha, anonimleştirme ve silme yolu ile ortadan kaldırılır.
Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır.
Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.
1.3 Kişisel Verilerin Güncelliğinin Sağlanması
Şirketimiz, çalışan dışı kişilerin kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alır.
Bu kapsamda özellikle aşağıda hususlara dikkat edilir:
-
- Çalışan dışı kişilerin, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
-
- Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
-
- Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili kişinin kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
-
- Çalışan dışı kişilerin değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
-
- Çalışan dışı kişilerin değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili sorumlu tarafından aktif takip yapılır.
Yukarıda açıklanan yöntem haricinde şirketimiz; kendine özgü koşullara göre kişilerin işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.
1.4 Özel Nitelikli Çalışan Dışı Kişilerin Verilerinin İşlenmesi
Kişisel verilerin bir kısmı, KVKK kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
Özel nitelikli kişisel kanunda açıklandığı üzere veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz, sağlık verilerini, çalışan dışı kişinin açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:
-
- Çalışan dışı kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,
-
- Çalışan dışı kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.
2. ÇALIŞAN DIŞI KİŞİLERİN SAĞLIĞINA İLİŞKİN VERİLER
2.1 Çalışan Dışı Kişilerin Sağlık Verilerinin İşlenmesine İlişkin Genel Yaklaşım
Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Çalışan dışı kişilerin sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır.
2.2 Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi
Çalışan dışı kişilerin sağlık verilerini işleyecek veya işlemeye yetkilendirecek şirket çalışanlarının ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışan dışı kişilerin sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir. Şirketimiz, çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.
Periyodik eğitimlerde bu verilerin şirketimiz açısından önemini ve işleme faaliyetinde uyulması gereken esasları ilgili personellere tekraren anlatılır. Bu konuda şirketimiz tarafından belirlenecek sürelerle personele ölçme ve değerlendirme testleri yapılır. Bu testlerden başarısız olan çalışanların derhal veri işleme faaliyetleri sonlandırılır. Bir daha yapılacak testten geçer not alıncaya kadar ilgili personel özel nitelikli veri işleme faaliyetlerinden uzak tutulur.
3. ÇALIŞAN DIŞI KİŞİLERİN VERİLERİNİN OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI TARAFINDAN İŞLENMESİ
OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI aşağıdaki durumlarda kişisel verileri temin etmekte ve işlemektedir:
-
- Şirketimizden hizmet alacak kişilere gerekli hizmetin verilebilmesi
-
- Şirketimizden hizmet alacak kişilerin kimliğinin belirlenebilmesi
-
- Şirketimizden hizmet alacak kişilerin aldığı hizmetlerin gerekli kamu kurumlarına raporlanabilmesi ve ödemelerinin alınabilmesi
-
- Ve diğer tüm kanuni yükümlülüklerin yerine getirilebilmesi
4. KİŞİSEL VERİLERİN PAYLAŞIMI VE AKTARIMI
4.1 Kişisel Verilerin Paylaşımı
OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI, çalışan dışı kişisel verileri aşağıdaki durumlarda üçüncü taraflarla paylaşabilir:
-
- Kanunlarda açıkça öngörülmesi durumunda,
-
- Kişinin açık rızası olması halinde,
-
- Şirketimizin hukuki yükümlülüklerini yerine getirebilmesi için gerekli olması halinde,
-
- Hizmetlerin ifası için üçüncü taraf hizmet sağlayıcılarla (örneğin, sağlık kurumları, ödeme kuruluşları, sigorta şirketleri) paylaşılması halinde.
4.2 Kişisel Verilerin Yurt Dışına Aktarımı
Kişisel veriler, KVKK’da belirtilen koşullar çerçevesinde yurtdışına aktarılabilir. Bu kapsamda, aktarım yapılacak ülkenin yeterli koruma seviyesine sahip olması veya ilgili kişiden açık rıza alınması gerekmektedir.
5. KİŞİSEL VERİLERİN GÜVENLİĞİ
OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI, çalışan dışı kişisel verilerin güvenliğini sağlamak için teknik ve idari tedbirleri alır. Bunlar arasında:
-
- Verilerin yetkisiz erişime karşı korunması,
-
- Verilerin kaybolmasını, zarar görmesini veya hukuka aykırı işlemesini önleyecek güvenlik önlemleri,
-
- Yetkisiz erişim ve sızıntı durumunda müdahale prosedürleri,
-
- Personelin gizlilik yükümlülükleri ve eğitimleri yer almaktadır.
6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI
Kişisel veri sahipleri, KVKK kapsamında aşağıdaki haklara sahiptir:
-
- Kişisel veri işlenip işlenmediğini öğrenme,
-
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
-
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
-
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
-
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
-
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak silinmesini veya yok edilmesini isteme,
-
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
-
- Kanun hükümlerine uygun olarak kişisel verilerin korunmasını sağlamak için zararın giderilmesini talep etme.
7. POLİTİKANIN YÜRÜRLÜĞE GİRİŞİ VE UYGULANMASI
Bu politika, OKMOÇ SAĞLIK TURİZM SEYAHAT ACENTASI yönetim kurulu tarafından onaylanmış olup, yayımı ile birlikte yürürlüğe girer.
Şirketimiz, bu politika kapsamında alınan tedbirleri ve uygulamaları düzenli olarak gözden geçirir, gerekirse günceller.