Türkiye Cumhuriyeti Anayasası'na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, 1001Terapist.com, işbu Politika ile yönetilen; kullanıcı üyelerin, terapistlerin, işbirliği içinde olduğu kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.
Anayasal bir hak olan kişisel verilerin korunması, Şirketimizin en önemli öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu Politika ile yönetilen; kullanıcı üyelerin, terapistlerin, işbirliği içinde olduğu üçüncü kişilerin verilerinin saklanması ve imhası süreçleri oluşturmaktadır.
Bu kapsamda, ilgili Kanun gereğince işlenen kişisel verilerin korunması için 1001Terapist.com tarafından gereken idari ve teknik tedbirler alınmaktadır. Bu Politika'da kişisel verilerin işlenmesinde 1001Terapist.com'nın benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
Kişisel verilerin muhafazasında gerekli tedbirleri alma,
Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılması durumunda üçüncü kişilerin de bu ilkelere uymasını sağlama,
Hukuka ve dürüstlük kurallarına uygun olunması,
Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
Belirli, açık ve meşru amaçlarla işleme,
Işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Bu Politika'nın temel amacı, KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik")
hükümlerine uygun bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başlıca yöntemlerin belirlenmesidir. Böylelikle temel hedef; ilgili işlemlerin 1001Terapist.com içerisinde sistematik bir şekilde yürütülmesinin sağlanması ve benimsenen sistemler konusunda açıklamalarda bulunarak, çalışanlarımıza, çalışan adaylarımıza, stajyerlerimize, şirket hissedarlarımıza, şirket yetkililerimize, ziyaretçilerimize, işbirliği içinde olduğumuz firma çalışanlarına ve kişisel verileri şirketimiz tarafından işlenen tüm kişilere karşı uygulanan işlemlerin şeffaflığını sağlamaktır.
Politikanın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin korunması, saklanması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması hedeflenmektedir.
Bu Politika; kullanıcı üyelerin, terapistlerin, işbirliği içinde olduğu üçüncü kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.
Bu Politika, yukarıda belirtilen ilgili kişiler için, Şirketimizin bu ilgili kişilerin kişisel verilerini tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda "Kişisel Veri" kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde KVKK kapsamında açıklanan bir kişisel veri işlenmesinden bahsedilemeyeceği için bu Politika uygulanmayacaktır.
Bu Politika'da yer almayan tanımlar için Kanun, Yönetmelik ve Kişisel Verilerin Korunması Kurulu tarafından yayımlanan konuyla ilgili rehberdeki tanımlara başvurulabilir.
Açık Rıza :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale :Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu gtirme durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
Terapist Üye :Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler. |
İmha :Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
İşbirliği İçerisinde : Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu Olduğumuz kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı Firmaların olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri Çalışanları, dahil olmak üzere, gerçek kişiler. |
Karartma :Kişisel verilerin bütününün, kimliği belirli veya belirlenebilirbir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri. |
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlübilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e- posta, adres, doğum tarihi, kredi kartı numarası vb. |
Kişisel Verilerin :Kişisel verilerin tamamen veya kısmen otomatik olan ya da işlenmesi herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin :KVKK'nun yürütülmesi ve idaresi konusunda yetkili Kurul. Korunması Kurulu |
Kişisel Veri :Kişisel verisi işlenen gerçek kişi.Sahibi/İlgili Kişi |
Maskeleme :Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri. |
Özel Nitelikli Kişisel :Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep Veri veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Üçüncü Kişi :Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticariişlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (örn. aile bireyleri ve yakınlar) |
Veri İşleyen :Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, çalışan verilerini tutan bulut bilişim firması, scriptler çerçevesinde arama yapan call-center firması vb. |
Veri Kayıt Ortamı :Tamamen veya kısmen otomatik olan ya da herhangi bir verikayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Veri Kayıt Sistemi :Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu :Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri,sistemi yöneten kişi veri sorumlusudur. |
Kişisel verilerin saklanması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika, ilgili mevzuat tarafından ortaya konulan kuralların 1001Terapist.com uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.
1001Terapist.com, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanır.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilir.
Şirketimizin işlediği kişisel veriler, 4. Bölüm'de belirtilen üçüncü kişilere aktarılmışsa ilgili kişisel verilerin işlenme amacının sona ermesi üzerine aktarılan üçüncü kişilerden de bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Bunun için
1001Terapist.com tarafından gerekli önlemler alınmakta, sözleşmelerde bu önlemlere ilişkin hükümler yer almaktadır. Alınan önlemler kapsamında; ilgili üçüncü kişilere bildirim yapılarak işlemin gerçekleştiğine dair bir taahhüt alınır.
Şirketimiz, Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve aşağıda belirtilen ortamlarda saklanır.
Elektronik Ortamlar: Şirkete ait sunucu ve network sistemlerinde, şirketin kendi geliştirdiği ya da dışarıdan hizmet olarak aldığı uygulamalarda ve bulut sistemlerinde Sunucular (Veritabanları, E-posta, İş Birimlerine ait e-klasörler)
Şirkete ait mobil cihazlar (cep telefonu, bilgisayar)
Alt yapısı sözleşmeli firmalarca oluşturulan internet sitesi
Türk Ceza Kanunu'nun 138. maddesinde ve KVKK'nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
Kişisel veri sahibi tarafından bu yönde bir talep geldiği taktirde ilgili 1001Terapist.com politikasına göre inceleme yapılır, silme, yok etme, anonimleştirme işlemlerinden hangisi en uygun yöntemse o yöntem seçilir, işlem gerçekleştirilir ve kişisel veri sahibi bilgilendirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi işlemleri, Yönetmelike ve Kişisel Verilerin Korunması Kurulu tarafından yayımlanan konuyla ilgili rehberdeki tekniklere uygun şekilde gerçekleştirilir.
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
1001Terapist.com bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVKK'nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Tedbirler |
|
1) |
Tüm dışa açık sistemler için senede 1 defa yapılmakta olan sızma testlerine ek olarak tüm büyük değişikliklerden sonra sızma testi yapılması planlanmaktadır. |
2) |
Raporlardaki kişisel verilerin kapatılması ve yetkilendirme çalışmaları yapılmaktadır. |
3) |
Gizlilik taahhütnameleri yapılmaktadır. İşbirliği yapılan/hizmet alınan firmalara bilgi güvenliği taahhütnameleri imzalatılmakta olup, denetim hakkımıza istinaden belirli periyotlarda bilgi güvenliğine ve kişisel verilerin hukuka uygun işlenmesine ilişkin denetimler planlanmaktadır. |
4) |
Kişisel verilerin işlenmesine ilişkin alınan onayların, aktarım detaylarının vb. kaydedildiği sistemlerin geliştirilmesi için çalışılmaktadır. |
5) |
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
6) |
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
7) |
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
8) |
Erişim logları düzenli olarak tutulmaktadır. |
9) |
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
10) |
Güncel anti-virüs sistemleri kullanılmaktadır. |
11) |
Güvenlik duvarları kullanılmaktadır. |
12) |
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
13) |
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
14) |
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
15) |
Kişisel veri güvenliğinin takibi yapılmaktadır. |
16) |
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
17) |
Mevcut risk ve tehditler belirlenmiştir. |
18) |
Şifreleme yapılmaktadır. |
19) |
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
20) |
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
21) |
Veri kaybı önleme yazılımları kullanılmaktadır. |
Tedbirler |
|||||||
1) |
Tüm sistemlerde Politika kapsamına girmiş olan kişisel verilerin tespiti yapılır. |
||||||
2) |
İlgili verilerin sorumluları alınması sağlanır. |
ile |
silinecek |
verilerin |
bilgilendirilmesi |
yapılarak |
karar |
3) |
Alınan kararlar doğrultusunda tespit edilen verilere işbu Politika'da belirtilen imha tedbirleri uygulanır. |
Kişisel verileri saklama ve imha süreleri aşağıdaki tabloda kategori bazlı olarak ve en uzun süreleri işaret eden şekilde gösterilmektedir.
Veri Kategorisi |
Veri Saklama Süresi |
1-Kimlik |
10 Yıl |
2-İletişim |
10 Yıl |
3-Lokasyon |
10 Yıl |
4-Özlük |
10 Yıl |
6-Müşteri İşlem |
10 Yıl |
7-Fiziksel Mekan Güvenliği |
10 Yıl |
8-İşlem Güvenliği |
10 Yıl |
9-Risk Yönetimi |
10 Yıl |
11-Mesleki Deneyim |
10 Yıl |
12-Pazarlama |
10 Yıl |
13-Görsel Ve İşitsel Kayıtlar |
10 Yıl |
14-Irk Ve Etnik Köken |
10 Yıl |
21-Sağlık Bilgileri |
10 Yıl |
22-Cinsel Hayat |
10 Yıl |
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
10 Yıl |
26-Diğer Bilgiler-Danışmanlık Ücret Bilgisi |
10 Yıl |
26-Diğer Bilgiler-Danışanın Kişisel Hayatına Ait Bilgiler (Günlük, Psikolojik Değerlendirme
ve Testlerin Sonuçları) |
10 Yıl |
İlgili kişinin, Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Şirketimiz:
kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişisine bilgi verir, ve
talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili kişinin talebini Kanun'un 13'üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını ilgili kişisine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
Periyodik imha, Yönetmelik'in yürürlüğe girdiği tarihten başlamak üzere 6 (altı) ayda bir yapılacaktır ve yapılan işlemlerin logları 3 (üç) yıl süreyle saklanacaktır.
Şirket'in tüm organ ve departmanları Kişisel Veri Saklama ve İmha Politikası' na uyulmasını gözetmekle ve Kişisel Verilerin Korunması Komisyonu ile iş birliği yapmakla sorumludur. Kişisel verilerin saklanması ve imhası süreçlerini; Bilgi Teknolojileri ve 1001Terapist destek ekibi tarafından yürütülecektir. İş bu Politikanın uygulanmasından başta Bilgi Teknolojileri ve 1001Terapist destek olmak üzere, kişisel veri işleyen her ilgili birim ve departman bizzat sorumludur. Hukuk Müşavirliği süreçlerin yürütülmesinde tavsiye kaynağı, danışman ve rehber konumundadır.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile Kişisel Veri Saklama ve İmha Politikası arasında çelişki bulunması halinde, Şirket yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
Kişisel Veri Saklama ve İmha Politikası, www.1001Terapist.com internet sitesinde yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek
değişiklik ve yeniliklere paralel olarak, Kişisel Veri Saklama ve İmha Politikas'nda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.