GİZLİLİK ve KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
DUYUMED İŞİTME CİHAZLARI ANONİM ŞİRKETİ’NİN (“DUYUMED” veya “ŞİRKET”) Kanun’un öngördüğü ilkeler kapsamında, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili Kanun’dan kaynaklı yükümlülüklerini yerine getirmektedir.
Kanun’a uygun bir şekilde düzenlenmiş olan işbu Gizlilik ve Kişisel Verilerin Korunması Politikası (“Politika”) kişisel verisi işlenen gerçek kişilerin (“ilgili kişi”) erişimine sunulmaktadır.
1. Gizlilik ve Kişisel Verilerin Korunması Politikasının Kapsam ve Amacı
İşbu Kişisel Verilerin Korunması Politikası, DUYUMED’in;
a. Kişisel verilerin toplandığı yöntemler ve hukuki sebepleri,
b. Hangi kişi gruplarının kişisel verilerinin işlendiğini (İlgili Kişi Kategorizasyonu),
c. İlgili kişilerin hangi kategoride kişisel verilerinin işlendiği (Veri Kategorileri) ve örnek veri türleri,
d. İlgili kişisel verilerin hangi amaçlarla kullanıldığı,
e. Kişisel verilerin kimlere hangi amaçlarla aktarılabileceği,
f. Kamu kurum ve kuruluşları ile resmi makamlar ile gerçekleştirilen kişisel veri paylaşımı,
g. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler
h. Kişisel verilerin saklanma süreleri,
i. Veri Sahiplerinin Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri
j. Çerez (Cookie) kullanımı ve yönetimi,
k. Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi şartları,
ayrıntılı olarak belirtmektedir.
a. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri
DUYUMED, kişisel verileri doğrudan ilgili kişinin kendisinden, Web Sitesi, e-posta, sözleşmeler, başvurular, formlar, Web Siteleri’ndeki çerezler, kartvizit, telefon, fax, satış ve pazarlama birimi, posta, fax, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak öğrenilen veriler, Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak iş bu Politika’nın (d) maddesinde belirtilen amaçlarla doğru orantılı olarak Kanun’un 5. ve 6. Maddelerinde belirtilen aşağıdaki hukuki sebepler doğrultusunda toplamaktadır:
– Gerekli olduğu durumlarda sizlerden aldığımız açık rızanız
– Kanunlarda kişisel verilerinizi işlediğimiz sürecin açıkça öngörülmesi
– Sizlerle bir sözleşme ilişkisi kurmamız veya bu sözleşmeden kaynaklanan ifa yükümlülüğümüz ile doğrudan doğruya ilgili olması kaydıyla, sizlere ait kişisel verilerin islenmesinin gerekli olması
– Hukuki yükümlülüğümüzü yerine getirebilmek için zorunlu olan durumlar
– Sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla, sizlerin verilerini işlememizin zorunlu oluşu
b. İlgili Kişi Kategorizasyonu
DUYUMED, kişisel verilerini işlediği veri sahiplerini aşağıdaki şekilde gruplamakta olup, bu kişi gruplarının işbu politikada belirtilen süreç ve hukuki nedenler ışığında genişlemesi söz konusu olabilecektir.
i. Ürün ve/veya Hizmet Alan Kişi
ii. Tedarikçi Yetkilisi /Çalışanı
iii. Çevrimiçi Ziyaretçi
iv. Fiziksel Ziyaretçi
c. Veri Kategorileri ve Örnek Veri Türleri
No | İlgili Kişi | Veri Kategorisi | Örnek Veri Türleri | |
1. | Ürün ve/veya Hizmet Alan Kişi | Kimlik Bilgisi | Ad-Soyad, Cinsiyet, TC Kimlik Numarası, TC Kimlik Bilgileri (Cüzdan seri no, aile sıra no vb.), Doğum Tarihi, Doğum Yeri, Medeni Hali, Anne- Baba Adı | |
İletişim Bilgisi | Adres (ev/iş), E-posta, Cep Telefonu, İş Telefonu | |||
Finansal Bilgi | Banka Hesap Bilgileri, Finansal Hareket Bilgileri, IBAN Numarası, Ödeme Bilgileri, Vergi Dairesi, Vergi Numarası, Vergi Levhası fotokopisi
| |||
Fiziksel Mekan Güvenliği | Kamera Kayıtları | |||
Mesleki Deneyim | Unvan, Mezun Olunan Okul, Diploma Numarası ve Tarihi, Sorumlu Müdürlük Sertifika Numarası ve Tarihi | |||
Fatura, Sevk İrsaliyesi, Sipariş Bilgileri | ||||
Hukuki İşlem | Verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, İstanbul İşitme tarafından sunulan hizmetlerden faydalanılmasını sağlayan sair hukuki metinler ve sözleşmeler, Resmi Tutanaklar (Polis vb.), Vekaletname, İmza Sirküleri | |||
Özel Nitelikli Kişisel Veri/Hukuki İşlem Bilgisi | İmza | |||
Özel Nitelikli Kişisel Veriler | Sağlık Verileri | Eski kimliklerde ve ehliyetlerde yer alması sebebiyle Kan Grubu, Odyogram İşitme Testi, Kullanılan Cihaz Bilgileri (işitme cihazı seri numarası vb.) | ||
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar | Eski kimliklerde yer alması sebebiyle din bilgisi | |||
Görsel ve İşitsel Kayıtlar | Fotoğraf | |||
2 | Tedarikçi Yetkilisi / Çalışanı | Kimlik Bilgisi | Ad-Soyad, TCKN | |
İletişim Bilgisi | Adres, E-posta adresi, Cep/ İş Telefonu | |||
Mesleki Deneyim | Unvan | |||
Finansal Bilgi | Vergi Dairesi/ VKN, Banka Bilgileri | |||
Hukuki İşlem | Sözleşme | |||
Müşteri İşlem | Fatura ve/veya Sevk İrsaliyesi | |||
Özel Nitelikli Kişisel Veri / Hukuki İşlem ve Uyum Bilgisi | İmza | |||
Fiziksel Mekan Güvenliği | Kamera Kayıtları | |||
3 | Çevrimiçi Ziyaretçi (Web Sitesi Kullanıcıları) | Kimlik Bilgisi | Ad-Soyad, TC Kimlik Numarası | |
İletişim Bilgisi | Cep telefonu, e-posta adresi, Adres | |||
Hukuki İşlem ve Uyum Bilgisi | Verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, veri sorumlusuna ait internet sitesi üzerinden İlgili Kişi’nin elektronik ortamda verdiği tüm izin ve aydınlatma metinleri | |||
İşlem Güvenliği | IP adres ve port bilgileri, internet sitesi giriş-çıkış bilgileri, Trafik log kayıtları[EHO2] | |||
Çerez kayıtları, hedefleme bilgileri, alışkanlık ve beğenileri gösteren değerlendirmeler[EHO3] | ||||
4 | Fiziksel Ziyaretçi | Trafik/ Log Kayıtları, IP adresi bilgileri[EHO4] | ||
Fiziksel Mekan Güvenliği | Kamera Kayıtları |
d. Kişisel Verilerin Hangi Amaçlarla Kullanıldığı
Kişisel veriler, DUYUMED tarafından aşağıdaki amaçlar ile kullanılmaktadır;
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans ve Muhasebe İşlerinin Takibi
· Hukuk İşlerinin Takibi ve Hukuki Sorumlulukların Yerine Getirilmesi
· İş ve Yönetim Faaliyetlerinin Yürütülmesi Ve Denetlenmesi
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
· Performans Değerlendirme Süreçlerinin Yürütülmesi ve Denetimi
· Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
· Sözleşme Süreçlerinin Yürütülmesi
· Talep / Şikayetlerin Takibi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· İletişim faaliyetlerinin yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
· Taşınır Mal ve Kaynakların Güvenliğinin Temini
· Ücret Politikasının Yürütülmesi
e. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Şirketimiz, kişisel verilerinizi “bilme gereği” ve “kullanma gereği” ilkelerine uygun olarak, gerekli veri minimizasyonunu sağlayarak ve gerekli teknik ve idari güvenlik tedbirlerini alarak işlemeye özen göstermekteyiz. İş faaliyetlerinin yürütülmesi veya denetimi, iş sürekliliğinin sağlanması, dijital altyapıların işletilmesi farklı paydaşlarla sürekli veri akışını zaruri kıldığı için işlediğimiz kişisel verileri belirli amaçlarla üçüncü kişilere aktarmak durumundayız.
Kişisel verileriniz, yukarıda belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak tedarikçilerimizle, iş ortaklarımızla, kanunen yetkili kamu kurumlarına ve özel kişi veya kuruluşlar ile üçüncü kişilere yurt içinde aktarılabilecektir.
Ayrıntılı olarak kişisel verilerinizin kimlerle ve hangi amaçlarla paylaşılabileceği aşağıda belirtilmiştir:
No | İlgili Kişi | Aktarım Yapılan Taraf |
1 | Ürün ve/veya Hizmet Alan Kişi | · Mal/ Hizmet satın alım ve satış sonrası destek süreçlerinin yürütülmesi, sözleşmesel yükümlülüklerin yerine getirilebilmesi kapsamında ilgili kişiye ait kişisel verilerin gerekli görülmesi halinde iş ortaklarımızla, · Hukuki yükümlülüklerin yerine getirilmesi, mal/hizmet satış ve sonrası destek kapsamında lojistik faaliyetlerin yerine getirilebilmesi ve mali/vergisel işlemlerin gerçekleştirilebilmesi kapsamında ilgili tedarikçilerle (mali müşavir, kargo firması ve avukat), · Muhasebe ve finans süreçlerinin yönetilebilmesi için hizmet alınan bilgisayar programına ait tedarikçinin alt yapı sistemleriyle [EHO5] paylaşılması söz konusudur. |
2 | Tedarikçi Yetkilisi / Çalışanı | · Muhasebe ve finans süreçlerinin yönetilebilmesi için hizmet alınan bilgisayar programına ait tedarikçinin alt yapı sistemleriyle,[EHO6] · Tedarikçi ödemelerinin yapılabilmesi kapsamında bankalarla paylaşılması gibi süreçler söz konusudur. |
3 | Çevrimiçi Ziyaretçi (Web Sitesi Kullanıcıları) | · Bilgi güvenliği kapsamında hizmet alınan tedarikçilerle, · Mal/ Hizmet satın alım ve satış sonrası destek süreçlerinin yürütülmesi, sözleşmesel yükümlülüklerin yerine getirilebilmesi kapsamında ilgili kişiye ait kişisel veriler iş ortaklarımızla paylaşılmaktadır.[EHO7] |
f. Kamu Kurum ve Kuruluşları ile Resmi Makamlar ile Gerçekleştirilen Kişisel Veri Paylaşımı
No | İlgili Kişi | Aktarım Yapılan Taraf |
1 | Ürün ve/veya Hizmet Alan Kişi | · Talep edilmesi halinde kamera kayıtlarının kolluk kuvvetleri ve/veya yetkili kamu kurum ve kuruluşları (mahkemeler vb.) ile paylaşılması söz konusudur. |
2 | Tedarikçi Yetkilisi / Çalışanı | · Vergi daireleri gibi resmi kamu kurum ve kuruluşlarında gerçekleştirilmesi gereken işlemler olduğunda ilgili kişilerin kişisel verilerinin ilgili resmi kamu kurum ve kuruluşuyla, · Talep edilmesi halinde kamera kayıtlarının kolluk kuvvetleri ve/veya yetkili kamu kurum ve kuruluşları (mahkemeler vb.) ile paylaşılması gibi süreçler söz konusudur.
|
3 | Fiziksel Ziyaretçi | · Trafik / log kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kamu kurum ve kuruluşlarıyla, · Kamera kayıtlarının talep edilmesi durumunda kolluk kuvvetleri ve/veya yetkili kamu kurum ve kuruluşları (mahkemeler vb.) ile paylaşılması söz konusudur.
|
4 | Çevrimiçi Ziyaretçi | · Trafik / log kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kamu kurum ve kuruluşlarıyla paylaşılması söz konusudur. |
g. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler[EHO8]
Duyumed, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir.
Duyumed, kişisel verilere yetkisiz erişimi, hatalı kullanımı, kişisel verilerin hukuka aykırı olarak işlenmesini, ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri almaktadır. Duyumed kişisel verileri işlerken güvenlik duvarları ve Güvenli Soket Katmanı (SSL) şifrelemesi gibi genel kabul görmüş güvenlik teknolojisi standartlarını kullanmaktadır. Buna ek olarak, web sitesi ve mobil sitesi aracılığıyla Duyumed’e kişisel verilerinizi gönderirken, bu veriler SSL kullanılarak aktarılmaktadır.
Duyumed işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak:
- Kişisel verilerin alındığı web sitesi veya mobil sitedeki tüm alanlar SSL ile korur,
- Web sitesi veya mobil sitede toplanan kişisel verilerin hukuka aykırı olarak işlenmemesi için, çalışanlarına yönelik erişim yetki ve kontrol matrisleri oluşturur ve uygulamaya alır,
- Birincil işleme amacı dışında kalan tüm ikincil veri işlemeler bakımından, Pseudonymization (takma adlı veri) yöntemini kullanır. Pseudonymous verinin ilgili kişinin tespit edilmesini olanaksız kılmasını sağlamak amacıyla da bu verinin yer aldığı sistemlerde şifreleme yöntemleri kullanır ve bu verilere daha sıkı bir erişim yetki ve kontrol politikası uygular,
- Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
- Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
Duyumed’in gerekli bilgi güvenliği önlemlerini almasına karşın, Duyumed tarafından işletilen platformlara veya Duyumed sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Duyumed bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve gerekli önlemleri alır.
Çerez yönetimi konusunda, Çerez (Cookie) Politikamızda belirtilen adımları takip edebilirsiniz.
h. Kişisel Verilerin Saklanma Süreleri
Duyumed , işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak fiziki ve/veya elektronik ortamlarda muhafaza eder. Duyumed İşitme Cihazları Kişisel Verilerin Saklanması ve İmhası Politikası uyarınca saklama süreleri yaklaşık olarak aşağıdaki gibidir:
Veri Tipi | Saklama Süresi | Hukuki Dayanağı |
Mal/hizmet satışı kapsamında tutulan kişisel veriler | Hukuki ilişki sona erdikten sonra 10 yıl | 6098 sayılı Kanun, 6102 sayılı Kanun, 213 sayılı Kanun, 6502 sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar | 10 yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler | En fazla 540 gün |
|
Çevrimiçi Ziyaretçilere İlişkin Trafik Bilgileri | 5651 Sayılı Kanun | |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Fiziksel mekan güvenliği kapsamında tutulan kamera kayıtları | 10 gün | Güvenliğin Sağlanması ve 4857 Sayılı Kanun |
Çerezler yoluyla elde ettiğimiz kişisel verilerin saklama süreleri konusunda Çerez (Cookie) Politikamızı inceleyebilirsiniz.
i. Veri Sahiplerinin Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi belirtmek ve kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla veya vermiş olduğunuz rızanızı geri almak üzere kvkk@duyumed.com adresinden bizimle iletişime geçebilirsiniz. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen yöntemlerle taleplerinizi bize iletmeniz durumunda, Şirket talebinizin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirket tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Bu kapsamda KVKK m.11 uyarınca ilgili kişi aşağıdaki haklara sahiptir:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
(6) KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
(7) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(8) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(9) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Ayrıca, Duyumed tarafından işletilen elektronik ticaret platformlarının web sitesinde yer alan KVK Kanunu madde 13 uyarınca düzenlenen “Başvuru Formu”’nda belirtilen yöntemlerle başvurunuzu yapabilir ve haklarınızı kullanabilirsiniz.
j. Çerez (Cookie) Kullanımı ve Yönetimi
Duyumed tarafında kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.
k. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları
Duyumed, web sitesi aracılığıyla işlediği kişisel verileri, KVK Kanunu madde 7, 17 ve Türk Ceza Kanunu madde 138 uyarınca ilgili kanunların öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca silecek, yok edecek veya anonim hale getirecektir.
Duyumed tarafından kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir. Duyumed bunun için kullanıcı seviyesinde erişim yetki ve kontrol matrisi oluşturur ve uygulamaya alır. Veri tabanında silme işleminin gerçekleştirilmesi için gerekli tedbirleri alır.
Duyumed tarafından kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir.
Duyumed tarafından kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Duyumed, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri ayrıntılı olarak açıklamaktadır. Bu Politika’da ayrıca Yönetmeliğin öngördüğü periyodik imhanın gerçekleştirileceği zaman aralığı 6 ay olarak belirlenmiştir.
2. Kişisel Verilerin Korunması Politikası’nda Yapılacak Değişiklikler
DUYUMED, işbu Kişisel Verilerin Korunması Politikası’nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Kişisel Verilerin Korunması Politikası’nın yayımlanmasıyla birlikte derhal geçerlilik kazanır. İşbu Kişisel Verilerin Korunması Politikası’ndaki değişikliklerden haberdar olmanız için, ilgili kişilere gerekli bilgilendirme yapılacaktır.