KVKK

1. Veri Gizliliği Taahhüdü

1.1

Bu Kişisel Verilerin Korunması Politikası ("Politika"), Cellavia’nın 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer mevzuat kapsamında kişisel verileri işleme, koruma ve saklama süreçlerinde uyması gereken ilkeleri ve iç prosedürleri tanımlar.

1.2

Cellavia, kendi bünyesinde barındırdığı tüm kişisel verilerin korunması için bu politikaya ve bağlı prosedürlere uygun hareket edeceğini taahhüt eder.

2. Politikanın Amacı

Bu politikanın amacı; Cellavia tarafından işlenen kişisel verilerin işlenme, saklanma, silinme ve aktarılma süreçlerine dair esasları belirlemek ve veri sahiplerinin haklarının korunmasını sağlamaktır.

3. Politikanın Kapsamı

3.1

Bu politika, Cellavia’nın işlediği tüm kişisel veriler için geçerlidir.

3.2

Kişisel veri niteliği taşımayan bilgiler bu politikanın kapsamı dışındadır.

3.3

Politika, KVKK’da yapılacak değişikliklere veya Cellavia'nın ihtiyaçlarına göre Yönetim Kurulu onayıyla güncellenebilir. Çelişki durumunda KVKK hükümleri esas alınır.

4. Tanımlar

(Açık Rıza, Anonimleştirme, Aydınlatma Yükümlülüğü, Özel Nitelikli Kişisel Veri, Veri Sorumlusu, Komite vb. tanımlar aynı şekilde korunarak, Cellavia özelinde yorumlandı.)

5. Kişisel Verilerin İşlenmesinde Temel İlkeler

  • 5.1 Hukuka ve dürüstlük kurallarına uygun işleme.
  • 5.2 Verilerin doğru ve güncel tutulması için gerekli önlemlerin alınması.
  • 5.3 Belirli, açık ve meşru amaçlarla işlenmesi.
  • 5.4 Amaçla bağlantılı, sınırlı ve ölçülü şekilde veri işleme.
  • 5.5 Gerekli süre kadar muhafaza edilmesi, süre dolduğunda silinmesi, yok edilmesi ya da anonimleştirilmesi.

6. Kişisel Verilerin İşlenme Koşulları

6.1 Açık Rıza ile İşleme:

Veri sahibinin bilgilendirilmesi ve özgür iradesiyle onay vermesi halinde işlenebilir.

6.2 Açık Rıza Olmaksızın İşlenebilecek Durumlar:

  • Kanunen zorunlu haller
  • Fiili imkânsızlıklar
  • Sözleşmenin kurulması veya ifası için gerekli durumlar
  • Hukuki yükümlülüklerin yerine getirilmesi
  • Veri sahibinin alenileştirmesi
  • Bir hakkın tesisi, kullanılması veya korunması
  • Meşru menfaatlerin gerektirdiği durumlar

7. Özel Nitelikli Kişisel Verilerin İşlenmesi

  • Açık rıza veya kanuni zorunluluk olmadan özel nitelikli veriler işlenemez.
  • Sağlık ve cinsel hayata ilişkin veriler, yalnızca kamu sağlığı veya tıbbi teşhis vb. durumlar için sırrı saklama yükümlülüğüne sahip kişilerce işlenebilir.
  • Yetkilendirme, erişim sınırlamaları, çift faktörlü güvenlik önlemleri alınır.
  • E-posta ve fiziksel transferlerde özel koruma yöntemleri uygulanır.
  • Komite tarafından süreçlerin yönetimi ve çalışan eğitimi sağlanır.

8. Kişisel Verilerin Saklanma Süresi

Kişisel veriler yalnızca amaç ve yasal saklama süresi kadar muhafaza edilir. Süre dolduğunda, veri imha edilir veya anonimleştirilir.

9. Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

  • Kişisel veriler, işlenme amacının sona ermesi halinde silinir, yok edilir veya anonim hale getirilir.
  • Bu işlemler Komite denetiminde gerçekleştirilir.
  • Gelecekte kullanma ihtimaline dayanarak veri saklanmaz.
  • İmha işlemleri, “Veri Saklama ve İmha Politikası”na uygun yürütülür.

10. Kişisel Verilerin Aktarılması

Kişisel veriler, KVKK’ya uygun olmak kaydıyla yurt içi ve yurt dışındaki üçüncü kişilere aktarılabilir.

10.1 Türkiye’de Aktarım:

Açık rıza alınarak veya istisnai hallerde aktarım sağlanır.

10.2 Yurt Dışına Aktarım:

  • Kurul tarafından yeterli korumaya sahip ülkeler listesine uyulur.
  • Aksi durumda yazılı taahhüt ve Kurul izni gereklidir.
  • Aktarım yapılan kişi/kurumların KVKK’ya uygun hareket etmesi sağlanır.

11. Aydınlatma Yükümlülüğü

Cellavia, kişisel verileri toplamadan önce veri sahibini aşağıdaki konularda açık şekilde bilgilendirir:

  • Veri sorumlusunun kimliği,
  • Kişisel verilerin işlenme amacı,
  • Verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Verilerin toplanma yöntemi ve hukuki sebebi,
  • KVKK 11. madde kapsamında veri sahibinin hakları.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili süreci yöneten çalışan ve Komite’nin ortak sorumluluğundadır.

Veri işleyen konumundaki üçüncü kişiler, veri işlemeye başlamadan önce bu yükümlülüklere uygun davranacaklarını yazılı sözleşme ile taahhüt ederler.

12. Veri Sahibinin Hakları

Veri sahipleri, Cellavia’dan şu taleplerde bulunabilir:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna dair bilgi talep etme,
  • İşleme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında verilerin aktarıldığı kişileri öğrenme,
  • Verilerin eksik veya hatalı olması durumunda düzeltilmesini isteme,
  • Verilerin silinmesini, yok edilmesini veya anonimleştirilmesini talep etme,
  • Bu işlemlerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
  • Otomatik sistemlerle analiz sonucunda aleyhine bir sonuç doğmuşsa buna itiraz etme,
  • KVKK’ya aykırı işleme nedeniyle zarara uğramışsa tazminat talep etme.

Başvurular; kayıtlı e-posta adresi üzerinden ya da fiziki olarak Cellavia’ya yapılabilir. Başvurular, 30 gün içinde ücretsiz olarak sonuçlandırılır. İşlem maliyeti doğması halinde KVKK uyarınca belirlenen ücret alınabilir.

13. Veri Yönetimi ve Güvenliği

  • Cellavia, veri güvenliği için teknik ve idari tüm önlemleri alır.
  • Tüm çalışanlar yalnızca yetkileri dahilinde verilere erişebilir.
  • Erişimlerin sınır aşımı, iş akdinin haklı nedenle feshi sebebidir.
  • USB vb. harici cihazlara veri aktarılamaz, masaüstü saklama yasaktır.
  • Komite, güvenlik politikalarını oluşturur ve uygular.
  • Özel nitelikli verilere yalnızca sınırlı sayıda personel erişebilir.
  • Tüm veriler gizli bilgi olarak değerlendirilir.
  • Personel, iş ilişkisinin sona ermesinden sonra da gizlilik yükümlülüğü altındadır.

14. Veri İhlali Müdahale Planı

  • Kişisel veri ihlali tespiti durumunda çalışanlar Komite’ye derhal bilgi verir.
  • Kurum’a 72 saat içinde bildirim yapılır.
  • İlgili kişilere, mümkünse doğrudan; mümkün değilse web sitesi aracılığıyla bildirim yapılır.
  • https://ihlalbildirim.kvkk.gov.tr adresi üzerinden resmi bildirim formu doldurulur.
  • İhlale dair kayıtlar tutulur, süreç şeffaf şekilde yönetilir.
  • Komite, bu planı düzenli aralıklarla gözden geçirir.

15. Eğitim

  • Cellavia, çalışanlarını KVKK, bu politika ve iç prosedürler hakkında düzenli olarak bilgilendirir.
  • Eğitimler online ya da yüz yüze olabilir.
  • Özel nitelikli veri erişimi olan çalışanlara kapsamlı teknik eğitim verilir.

16. Denetim

  • Cellavia, bu politikaya ve ilgili mevzuata uyumu denetleme hakkını saklı tutar.
  • Bu denetimler haberli veya habersiz şekilde yapılabilir.
  • Komite, denetimlere dair prosedürleri oluşturur ve yönetimin onayına sunar.

17. İhlaller

  • Çalışanlar, şüpheli durumları Komite’ye bildirmekle yükümlüdür.
  • Komite, bildirimlere dair gerekli eylem planını oluşturur.
  • Gerektiğinde Kurum ve ilgili kişilere bilgilendirme yapılır.

18. Sorumluluklar

Politikanın uygulanmasından çalışan, departman, Komite ve nihai olarak yönetim sorumludur. Komite, Şirket yönetimi tarafından resmi olarak atanır ve tüm uygulamaları denetler.

19. Politika Değişiklikleri

Bu politika, gerekli görülen durumlarda yönetim onayıyla güncellenebilir. Yapılan değişiklikler çalışanlara e-posta ile iletilir ve web sitesinde yayımlanır.

20. Yürürlük

Bu politika, Cellavia yönetimi tarafından 30/07/2025 tarihinde onaylanarak yürürlüğe girmiştir.