GİZLİLİK POLİTİKASI
1. VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1. İşbu Gizlilik Politikası (“Politika”), Bupa Turkey Sağlık Hizmetleri A.Ş.’nin ve iştirakleri (“Şirket”) web sitesi, ürünleri, hizmetleri, web tabanlı ve mobil uygulamaları (“Hizmetler”) aracılığıyla 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuat hükümleri uyarınca kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken ve kişisel verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
İştirakler
Bupa Acıbadem Sigorta A.Ş.
Sencard Diş Kliniği A.Ş.
Sencard Direkt Satış Sigorta Aracılığı A.Ş.
Sencard Partners Bilgi Teknolojileri Ticaret A.Ş.
1.2. Şirket, kendi bünyesinde bulunan kişisel veriler bakımından işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
2. POLİTİKA’NIN AMACI
İşbu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik benimsenen sistemlere ilişkin açıklamalarda bulunmak ve Şirket nezdinde kişisel verileri işlenen kimliği belirli ve/veya belirlenebilir gerçek kişileri bilgilendirerek anayasal bir hak olan kişisel verilerin korunması hususunda şeffaflığı sağlamaktır.
3. POLİTİKA'NIN KAPSAMI
3.1. İşbu Politika, Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.
3.2. İşbu Politika; müşterilerimizin, tedarikçilerimizin, ortaklarımızın, yetkililerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum ve kuruluşların yetkilileri ve/veya çalışanlarının başta olmak üzere Şirket nezdinde otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen üçüncü kişilere ait tüm kişisel verilere ilişkindir.
3.3. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
3.4. İşbu Politika, kişisel verilerin korunması mevzuatı düzenlemelerinin gerektirmesi halinde yahut gerekli görülen hallerde Şirket’in yönetim kurulu onayı ile değiştirilebilir.
4. TANIMLAR
İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Veri sahibinin/ilgili kişinin kişisel verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.
“Anayasa” 9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası’nı ifade eder.
“İş Birliği İçinde Olunan Kurumların Çalışan ve Yetkilileri” Şirket’in her türlü ilişki içerisinde bulunduğu kurum ve kuruluşların çalışanları ile bu kurum ve kuruluşların yetkilerini ifade eder.
“İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
“Kayıt Ortamı” Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü kayıt ortamını ifade eder.
“Kişisel Veri(ler)” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).
“Kişisel Veri Envanteri” Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin aldığı tedbirleri detaylandırarak açıkladığı envanteri ifade eder.
“Kişisel Veri İşlenmesi” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
“Kişisel Verilerin Anonim Hale Getirilmesi” Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Kişisel Verilerin Silinmesi” Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
“Kişisel Verilerin Yok Edilmesi” Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulu’nu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumu’nu ifade eder.
“KVKK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVKK Prosedürleri” Şirket yönetim kurulu tarafından onaylanarak yürürlüğe giren ve Şirket’in, çalışanların, komitenin ve veri sorumlusu yetkilisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Periyodik İmha” Kişisel veri işleme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
“Veri İşleyen” Veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sahibi/İlgili Kişi” Kişisel verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel verileri işleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu Yetkilisi” Komite içerisinden seçilen ve Şirket’in Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yürüten çalışanı ifade eder.
“Ziyaretçi” Şirket’in sahip olduğu fiziksel yerleşkelere veya Şirket merkezine çeşitli amaçlarla girmiş ve/veya ziyaret etmiş gerçek kişileri ifade eder.
“Müşteri” Şirket’in satış faaliyetlerini yürüttüğü mağazalar, kendisine ait web sitesi ve mobil uygulamalar veya aracı hizmet sağlayıcılar vasıtasıyla satış yapmakta olduğu mecralar gibi online satış kanalları aracılığıyla Şirket’ten ürün satın almış veya alacak olan gerçek kişileri ifade eder.
5. TOPLANAN KİŞİSEL VERİLER VE TOPLANMA AMAÇLARI
4.5.Şirket, Hizmetler’ini sunabilmek için bazı verileri toplamak zorundadır. Bu bilgilerin bazıları doğrudan Müşteri tarafından Şirket’e sağlanan bilgiler, bazıları Hizmetler aracılığıyla otomatik olarak Şirket tarafından toplanan bilgiler, bazılarıysa üçüncü taraflardan toplanan bilgilerdir. Şirket, Aydınlatma Metni’nde yer alan kişisel verileri, Aydınlatma Metni’nde yer alan amaçlar doğrultusunda işleyebilir.
6. KİŞİSEL VERİLERİN KORUNMASI
6.1. Anayasa’nın 20. maddesi gereğince herkes kendisiyle ilgili Kişisel Veriler’in korunmasını isteme hakkına sahiptir. İşbu Politika ile Şirket; KVKK’nın 12. maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirleri almakta ve bu kapsamda gerekli denetimleri yapmakta ve yaptırmaktadır.
6.2. Şirket tarafından, KVKK’nın 12. maddesince “veri güvenliği”ne ilişkin alınan başlıca tedbirler işbu Politika’nın “VERİ YÖNETİMİ VE GÜVENLİĞİ” başlıklı maddesinde yer almaktadır.
Özel Nitelikli Kişisel Verilerin Korunması
Özel Nitelik Kişisel Veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığa sebep olma riski nedeniyle KVKK gereğince özel önem atfedilmiş ve Şirket tarafından hassasiyetle ve özenle korunmakta olan verilerdir.
Şirket, Özel Nitelikli Kişisel Veriler’in güvenliğinin sağlanması için gerekli faaliyetlerde bulunmakta olup bu verilerin KVKK Düzenlemeleri’ne uygun işlenmesini temin etmek amacıyla yasal gerekliliklere ve Kurul tarafından belirtilen yeterli önlemlere uyum sağlamak amacıyla gerekli teknik ve idari tedbirleri almaktadır.
7. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
Şirket, KVKK’nın 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir.
8. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler; Şirket tarafından ancak KVKK’nın 5. ve 6. maddesi gereğince, Veri Sahibi’ne Aydınlatma Yükümlülüğü’nün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahibi’nin Açık Rıza vermesi halinde veya KVKK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3), Şirket Veri Sahibi’nin Açık Rızası’na başvurmaksızın KVKK Düzenlemeleri’nin çizdiği sınırlar çerçevesinde işlenir.
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
9.1. 5237 sayılı Türk Ceza Kanunu’nun 138. maddesi ve KVKK’nın 7. maddesi düzenlemesi doğrultusunda Kişisel Veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket tarafından re’sen ve/veya Veri Sahibi’nin bu yönde bir talebi olması durumunda silinir, yok edilir yahut anonim hale getirilir. Kişisel Veriler’in silinmesi, yok edilmesi yahut anonim hale getirilmesi gereken durumlar, Veri Sorumlusu Yetkilisi ve Komite tarafından takip edilir.
9.2. Şirket’in ilgili mevzuat hükümleri gereğince Kişisel Veriler’i muhafaza etme hak ve/veya yükümlülüğü olan durumlarda Veri Sahibi’nin talebini yerine getirmeme hakkı saklıdır.
9.2.
9.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Yetkilisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
9.4. Şirket Kişisel Veriler’i gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
10. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
10.1. Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Hizmet Sağlayıcı”) KVKK Düzenlemeleri’ne uygun şekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Yetkilisi’nden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür.
10.2. Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Sahibi’nin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de veya yurtdışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
10.3. Kişisel Veriler’in KVKK Düzenlemeleri’ne uygun olarak Açık Rıza alınmaksızın Yurt Dışında Bulunan Üçüncü Kişilere aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
Ø Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip edin),
Ø Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
10.4. Kişisel Veriler’in Türkiye’de veya yurt dışında bulunan üçüncü kişilere aktarımının KVKK Düzenlemelerine uygun olmasını sağlamaktan Şirket sorumludur.
11. ŞİRKETLER’İN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.1. Şirket, KVKK’nın 10. maddesine uygun olarak, Kişisel Veriler’in İşlenmesinden önce Veri Sahibi’ni aydınlatır. Bu kapsamda Şirket, Kişisel Veriler’in elde edilmesi sırasında Aydınlatma Metni ile Ayınlatma Yükümlülüğü’nü yerine getirir.
11.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. maddesine uygun olarak Veri Sahibi’nin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
12. VERİ SAHİBİNİN HAKLARI
12.1. Şirket Kişisel Verisi’ni elinde bulundurduğu Veri Sahibi’nin Aydınlatma Metni’nde detaylıca izah edilen KVKK’nın 11. maddesi çerçevesindeki haklarına ilişkin taleplerini KVKK Düzenlemeleri’ne uygun şekilde cevap verir.
12.2. Veri Sahibi haklarını kullanmak istediği ve/veya Kişisel Veriler’i işlerken Şirket’in işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Şirket’e Aydınlatma Metni’nde belirtilen şekilde gönderebilir.
12.3. Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir. Veri Sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Veri Sorumlusu’nca gereği yerine getirilir. Başvurunun Veri Sorumlusu’nun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
13. VERİ YÖNETİMİ VE GÜVENLİĞİ
13.1. Şirket, KVKK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politika’nın uygulanması için gerekli KVKK Prosedürleri’nin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Yetkilisi atar ve Komite oluşturur.
13.2. Kişisel Veriler’in işbu Politika ve KVKK Prosedürleri’ne uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre izleme sistemleri ile sürekli olarak takip edilmektedir.
13.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.
13.5. Şirket’in çalışanları, Kişisel Veriler’in korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
13.6. Şirket’de Kişisel Veriler’e erişmesi gereken çalışanların söz konusu Kişisel Veriler’e erişimini sağlamak adına gerekli KVKK Prosedürü oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Yetkilisi ve Komite müteselsilen sorumludur.
13.7. Şirket’in çalışanları, Kişisel Veriler’e üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVKK Prosedürü’ne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
13.8. Şirket çalışanın Kişisel Veriler’in güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Yetkilisi’ne bildirir.
13.9. Kişisel Veriler’in güvenliğine yönelik detaylı KVKK Prosedürü Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
13.10. Kendisine Şirket’e ait cihaz tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
13.11. Şirket’in her bir çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.
13.12. KVKK Düzenlemeleri kapsamında Kişisel Veriler’in güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
13.13. Şirket’de Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
13.14. Şirket’de Kişisel Veriler’in kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.15. Şirket’de Kişisel Veriler’in yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Veriler’in yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Yetkilisi’nin önceden yazılı onayı alınmadan Şirket’in bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket’in dışına çıkartılamaz.
13.16. Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Veriler’in korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVKK Prosedürleri’ni hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu Yetkilisi çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
13.17. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri işliyorsa, bu departman, Komite tarafından işledikleri Kişisel Veriler’in önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Veriler’e erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.
13.18. Şirket içerisinde işlenen Kişisel Veriler’in tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
13.19. Şirket’in çalışanları, Kişisel Veriler’in güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket’in çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
14. DENETİM
Şirket, işbu Politika ve KVKK Düzenlemeleri’ne Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite ve Veri Sorumlusu Yetkilisi bu denetimlere dair KVKK Prosedürü oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.
15. İHLALLER
15.1. Şirket’in her bir çalışanı, KVKK Düzenlemeleri’nde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komite’ye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVKK Prosedürleri’ne uygun şekilde “Olay Müdahale Planı” oluşturur.
15.2. Yapılan bilgilendirmeler sonucunda Komite KVKK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Sahibi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Yetkilisi Kurum ile yapılan yazışma ve iletişimi yürütür.
16. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
16.1. Şirket tarafından işbu Politika gerektiğinde değiştirilebilir.
16.2. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya web adresi üzerinden çalışanların ve Veri Sahibi’nin erişimine sunar.
17. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika’nın işbu versiyonu 25.10.2024 tarihinde onaylanarak yürürlüğe girmiştir.
Bupa Turkey Sağlık Hizmetleri A.Ş.