GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLKELERİ
BEBAK
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLKELERİ
- AMAÇ VE KAPSAM
İşbu Gizlilik ve Kişisel Verilerin Korunması İlkeleri (bundan sonra “İlkeler” olarak anılacaktır), Bebak Kozmetik Laboratuvarları Anonim Şirketi (bundan sonra “Şirket” olarak anılacaktır) kişisel verilerin korunmasına ilişkin benimsediği ilkeleri belirlemekte ve tüm ilgili kişi gruplarını 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “6698 sayılı KVKK” olarak anılacaktır) kapsamında bilgilendirmeyi hedeflemektedir.
- KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER
Şirket olarak Veri Sorumlusu sıfatı ile aşağıdaki ilkeler çerçevesinde kişisel verilerinizi işlemekteyiz.
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerinizin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu ilke uyarınca özellikle, kişisel veri işleme amaçlarımıza ulaşmaya çalışırken çıkarlarınızı ve makul beklentilerinizi de dikkate almakta, haklarımızı kötüye kullanmamakta ve veri işleme faaliyetlerimizde şeffaflık prensibine uygun hareket etmekteyiz.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke doğrultusunda meşru menfaatleriniz dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulmaktadır. Ayrıca, kişisel verilerin toplandığı kaynakların doğruluğu kontrol edilmekte ve kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmaktadır. Dolayısıyla, bu ilke 6698 sayılı KVKK uyarınca sahip olduğunuz kişisel verilerin düzeltilmesini talep etme hakkı ile de uyumlu olarak uygulanmaktadır.
- Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel verileriniz açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Bu bağlamda, kişisel veri işleme faaliyetlerimizin, ilgili kişilerce açık bir şekilde anlaşılabilir olmasını sağlamakta, hangi amaçlara ve hukuki işleme şartlarına dayandığını işbu İlkeler’in 3. maddesi ile tespit ve açıkça ifade etmekteyiz.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel verileriniz, öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Yine bu ilke kapsamında mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamakta veya işlenmemektedir.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel verileriniz ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu konuda Şirket, ilgili idari ve teknik tedbirleri almakta ve uygulamaktayız. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. İlgili süreçlerin gerekliliğinin ortadan kalkması halinde kişisel verilerinizin ilgisiz departmanlar tarafından erişilmesi 6698 sayılı KVKK’da belirtilen silme eylemi kapsamında engellenir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel verileriniz kişisel verilerin korunması mevzuatına uygun şekilde yok edilmekte veya anonim hale getirilmektedir.
- KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI
Kişisel verileriniz, 6698 sayılı KVKK’nın kapsamında kişisel ve özel nitelikli kişisel verileriniz aşağıda öngörülen şartlar çerçevesinde işlenebilmektedir.
- Kanunlarda Açıkça Öngörülmesi
Temel kural kişisel verilerin ilgili kişilerin açık rızası olmadan işlenememesi olup, bu istisnaya göre kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, kişisel verileriniz işlenebilecektir.
- Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişisel verileriniz işlenebilecektir.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verileriniz işlenebilecektir.
- Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket’in bağlı bulunduğu ve sorumlu olduğu mevzuat, sözleşme ve benzeri hukuki yükümlülüklerini yerine getirmek için işlemenin zorunlu olması halinde kişisel verileriniz işlenebilecektir.
- Kişisel Verilerin Alenileştirilmesi
Kişisel verileriniz tarafınızca alenileştirilmiş, yani sizin tarafınızdan kamuoyu ile paylaşılmış olması halinde, alenileştirmenin amacıyla bağlantılı ve ölçülü olarak işlenebilecektir.
- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Şirket’in sahip olduğu hukuki ve ticari haklara ilişkin süreçlerin yürütülmesi ve yönetilmesi kapsamında söz konusu hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel verileriniz işlenebilecektir.
- Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi
Şirket’in meşru menfaatleri için veri işlemenin gerekli olması halinde kişisel verileriniz işlenebilecektir. Şirketimiz söz konusu işleme şartına bağlı olarak veri işlemesi gerekmesi durumunda sizlerin temel hak ve özgürlüklerini de gözeterek değerlendirme yapmakta ve değerlendirme sonucuna göre karar vermektedir.
- Açık Rızaya Dayalı Olarak İşlenmesi
Kişisel verilerin açık rızaya dayanılarak işlenmesi asıl kural olmakla birlikte, işbu maddede belirtilen diğer şartların varlığı halinde ilgili kişilerin açık rızasına dayanılmamaktadır. Aksi halde, hakkın kötüye kullanılmasından bahsedilebilecektir. Bu bağlamda kişisel verileriniz, işbu İlkelerde belirtilen şartlardan herhangi birine dayalı olarak işlenmediği durumlarda, açık rızanıza dayalı olarak işlenmektedir.
- Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel verilerinizi 6698 sayılı KVKK’nın 6. Maddesi uyarınca açık rızanıza dayalı olarak işlemekteyiz. Yine aynı maddede sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileriniz ancak kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verileriniz ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ce bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi konusundaki hususlara dikkat ederek açık rızanız aranmaksızın işleyebilmekteyiz.
- KİŞİSEL VERİLERİN AKTARIMI
Kişisel ve özel nitelikli verileriniz; işbu ilkelerin 2. maddesi kapsamında yurt içindeki iş ortaklarımıza, kamu kurum ve kuruluşlarına ve benzerlerine aktarılabilmektedir. Söz konusu aktarımlar gerçekleştirilirken 6698 sayılı KVKK’nın 8. maddesine uyumluluk gözetilmektedir. Gerekli olması durumunda açık rızanız alınmakta ve aktarım bu çerçevede sağlanmaktadır.
Kişisel ve özel nitelikli verileriniz; işbu İlkelerin 2. maddesi kapsamında yurt içindeki iş ortaklarımıza, kamu kurum ve kuruluşlarına ve benzerlerine ve yurtdışındaki iş ortaklarımıza aktarılabilmektedir. Söz konusu aktarımlar gerçekleştirilirken 6698 sayılı KVKK’nın 8. ve 9. maddelerine uyumluluk gözetilmektedir. Gerekli olması durumunda açık rızanız alınmakta ve aktarım bu çerçevede sağlanmaktadır.
- KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirket, kişisel verilerin güvenliğini sağlamak, hukuka aykırı olarak işlenmesini önlemek adına, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul her türlü idari ve teknik tedbirleri almaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken makul ölçüde her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, kişilerin ve sistemlerin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanmaktadır.
Şirket, kendi kurum veya kuruluşunda, 6698 sayılı KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta ve yaptırmaktadır.
Alınan önlemler aşağıdaki gibidir.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- İLGİLİ KİŞİNİN HAKLARI, BAŞVURU USUL VE ESASLARI
- İlgili Kişinin Hakları
İlgili kişinin hakları 6698 sayılı KVKK’nın 11. maddesinde aşağıdaki gibi düzenlenmiştir. Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- a) Kişisel veri işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
- Başvuru Usul ve Esasları
İlgili kişi olarak, 6698 sayılı KVKK’nın 11. maddesinde yer alan haklarınıza ilişkin taleplerinizi İlgili Kişi Başvuru Formu’nda yer alan usul ve esaslar doğrultusunda, ilgili formu doldurarak ve her halükarda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile öngörülen asgari koşulları sağlayan; bebakkozmetik@hs01.kep.tr KEP adresimize, *** e-posta adresine; mobil imzalı yahut e-imzalı olarak ileteceğiniz ileti ile yahut ilgili form ile Gazitepe Mah. Aybar Sokak No:7 Silivri/İstanbul adresine şahsen yapacağınız imzalı, yazılı başvuru veya noter kanalı ile başvurunuzu gerçekleştirebilirsiniz. Yapacağınız başvuruyu Şirket, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır.