Gizlilik Politikası

Giriş

Finansal ürünler ve hizmetler konusunda danışmanlık verirken ve sigorta poliçeleri düzenlerken, müşterilerimizden birçok gizli bilgi talep etmekteyiz. Insure To Study müşterileri, paylaştıkları bilgilerin gizliliğine özen gösterildiğinden ve açık izinleri olmadan üçüncü taraflarla paylaşılmadığından emin olmalıdır.

Kişisel verilerin güvenli bir şekilde kaydedilmesi ve paylaşılması, güvenilir finansal hizmetlerin temel bir parçasıdır. Gizliliğin korunması, şirketimizin ve profesyonellerimizin çalışma prensipleri arasında yer almaktadır.

Görevlerimizi etkin bir şekilde yerine getirebilmemiz için, onarım hizmetleri veya karşı taraflar gibi sağlayıcılarla belirli kişisel verileri paylaşmamız gerekebilir. Ayrıca, yasal yükümlülükler gereği Hollanda Vergi Dairesi (Belastingdienst) veya Hollanda Finansal Piyasalar Otoritesi (AFM) gibi kurumlarla da bilgi paylaşmamız gerekebilir.

Kayıt altına aldığımız kişisel verileri, şirket içinde tuttuğumuz veri işleme kayıt defterinde saklamaktayız. Müşterilerimiz ve ilgili kişiler, talep etmeleri halinde hangi verileri işlediğimiz ve kimlerle paylaşabileceğimiz konusunda bilgi alabilirler.

1. Tanımlar

Bu yönetmelikte aşağıdaki terimler şu şekilde tanımlanmıştır:

• Kanun: Genel Veri Koruma Yönetmeliği (AVG) ve AVG Uygulama Yasası.
• Kişisel veri: Kimliği belirlenmiş veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
• Kişisel verilerin işlenmesi: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem, örneğin toplama, kaydetme, saklama, değiştirme, erişme, kullanma, iletme, yayma, birleştirme, silme veya yok etme.
• Dosya: Kişisel verilerin belirli kriterlere göre erişilebilir olduğu, merkezi veya dağıtılmış her türlü veri seti.
• Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişi.
• Veri işleyen: Veri sorumlusu adına kişisel verileri işleyen, ancak onun doğrudan yetkisi altında bulunmayan kişi.
• Veri sahibi: Kişisel verisi işlenen kişi.
• Üçüncü taraf: Veri sahibi, veri sorumlusu, veri işleyen veya doğrudan veri sorumlusu tarafından yetkilendirilmiş kişiler dışındaki herhangi bir kişi.
• Alıcı: Kişisel verilerin kendisine aktarıldığı kişi.
• Veri sahibinin rızası: Veri sahibinin kişisel verilerinin işlenmesine özgür iradesiyle verdiği, bilgilendirilmiş ve açık onay.
• Denetleyici: Kişisel Verileri Koruma Kurumu (Authority for Personal Data).
• Kişisel verilerin sağlanması: Kişisel verilerin açıklanması veya erişime açılması.
• Kişisel verilerin toplanması: Kişisel verilerin elde edilmesi.

2. Kapsam

1. Bu yönetmelik, kişisel verilerin tamamen veya kısmen otomatik olarak işlenmesi süreçlerine uygulanır. Ayrıca, dosya içinde saklanan veya saklanması amaçlanan otomatik olmayan veri işleme süreçlerini de kapsar.
2. Bu düzenleme, Insure To Study’nin tüm birimlerinde geçerli olup, müşterilerin, çalışanların ve ilgili diğer kişilerin kişisel verilerinin işlenmesini kapsar.

3. Amaç

1. Kişisel verilerin toplanması ve işlenmesinin temel amacı, Insure To Study’nin tüzüğünde, yıllık planlarında ve diğer resmi belgelerinde belirtilen hedefleri gerçekleştirmek, yasal yükümlülükleri yerine getirmek ve organizasyonun yönetim süreçlerini desteklemektir.
2. Insure To Study bünyesinde hangi verilerin hangi amaçlarla işlendiği, ek belgede açıkça tanımlanmıştır.

4. Veri Sahibinin Temsili

1. Eğer ilgili kişi 16 yaşını doldurmamış bir çocuk veya vesayet altındaki bir yetişkin ise, kişisel verilerinin işlenmesi için kendi rızası yerine yasal temsilcisinin yazılı onayı gereklidir. Eğer veri sahibi, yetkilendirdiği bir temsilciye ilişkin yazılı bir yetkilendirme sunmuşsa, bu temsilcinin de yazılı onayı alınmalıdır.
2. Verilen rıza, veri sahibi, yetkilendirilmiş temsilcisi veya yasal temsilcisi tarafından her zaman geri çekilebilir.

5. Yönetim Sorumluluğu ve Hukuki Yükümlülükler

1. Veri sorumlusu, veri işleme sürecinin düzgün yönetilmesinden ve verilerin güvenli şekilde işlenmesinden sorumludur. Günlük veri yönetimi genellikle veri sorumlusunun yetkilendirdiği bir yönetici tarafından yürütülür.
2. Veri sorumlusu, kişisel verilerin yetkisiz erişime, kayba veya hukuka aykırı işlenmesine karşı uygun teknik ve idari önlemleri almak zorundadır.
3. Veri işleme süreci bir veri işleyen tarafından yürütülüyorsa, veri işleyen ve veri sorumlusu arasındaki sözleşme veya başka bir yasal düzenleme bu süreci belirler.
4. Veri sorumlusu, yasal gerekliliklerin veya bu yönetmeliklerin ihlali nedeniyle oluşabilecek zarar veya kayıplardan sorumludur. Veri işleyen, kendi eylemleri sonucu doğan zarar veya kayıplardan sorumludur.

6. Hukuka Uygun Veri İşleme

• Kişisel veriler, yürürlükteki mevzuata ve bu yönetmeliklere uygun olarak özenli bir şekilde işlenmelidir.
• Veriler yalnızca bu yönetmelikte belirtilen amaçlar doğrultusunda toplanmalı ve başka amaçlarla işlenmemelidir.
• Toplanan ve işlenen kişisel veriler, amaca uygun ve yeterli olmalı, gereğinden fazla veri işlenmemelidir.
• Kişisel veriler yalnızca aşağıdaki durumlarda işlenebilir:
  • Veri sahibi açık ve net bir şekilde rıza göstermişse,
  • Veri işleme, veri sahibinin taraf olduğu bir sözleşmenin yerine getirilmesi için zorunluysa (örneğin, finansal bir ürün veya hizmet sözleşmesi ya da iş sözleşmesi),
  • Veri işleme, veri sorumlusunun yasal yükümlülüklerini yerine getirmesi için gerekli olduğunda,
  • Veri işleme, veri sahibinin hayati çıkarlarını korumak için zorunluysa,
  • Veri işleme, veri sorumlusunun veya üçüncü bir tarafın meşru menfaatine dayanıyorsa ve bu menfaat, veri sahibinin temel haklarından ağır basıyorsa.
  • Vatandaş hizmet numarası (BSN) yalnızca yasal bir dayanak bulunduğunda işlenebilir. Hizmetlerimiz kapsamında bu gereklilik çoğu durumda geçerli değildir.
  • Veri sorumlusunun yetkisi altında çalışan kişiler veya veri işleyen, yalnızca veri sorumlusunun talimatları doğrultusunda kişisel verileri işler.
  • Veriler, gizlilik yükümlülüğü bulunan kişiler tarafından işlenir.

7. Kişisel Verilerin İşlenmesi

Kişisel veriler, şirketimizin çalışanları veya sorumluluğumuz altındaki finansal hizmet sağlayıcıları tarafından işlenmektedir.
Kişisel veri işleme süreci, genellikle bir hizmet sözleşmesinin yerine getirilmesiyle bağlantılı olarak gerçekleştirilir. Eğer böyle bir sözleşme mevcut değilse, veri işleme ancak veri sahibinin açık onayıyla yapılır.
Kişisel verilerin işlenmesinin temel amacı, şirketimizin finansal ürünler ve hizmetler konusunda danışmanlık ve aracılık faaliyetlerini yürütmesini sağlamaktır.

8. Özel Nitelikli Kişisel Veriler

1. Bir kişinin dini inancı, etnik kökeni, siyasi görüşü, sağlık durumu, cinsel yaşamı, sendika üyeliği veya ceza hukuku ile ilgili kişisel verilerinin işlenmesi yasaktır. Ancak, yalnızca kanunun açıkça belirlediği kişi, amaç ve koşullar altında bu tür verilerin işlenmesine izin verilebilir (AVG Madde 9 ve 10).
2. Finansal hizmet sağlayıcısı olarak, hizmetlerimizi uygun şekilde yerine getirmek için sağlık bilgilerinizin işlenmesi gerekebilir. Ayrıca, eğer sözleşmenin gerekliliklerini yerine getirmek için gerekli ise, ceza geçmişinize ilişkin bilgileri talep edebiliriz, ancak bu yalnızca sizin açık onayınızla mümkündür.

9. Kişisel Verilerin İşlenmesi

Veri sahibinden elde edilen bilgiler

1. Veri sorumlusu, kişisel verileri doğrudan veri sahibinden aldığı durumlarda, verilerin toplanmasından önce veri sahibini aşağıdaki konularda bilgilendirir:
   • Kimliği hakkında,
   • Veri işleme amacı (eğer veri sahibi bu amacı zaten bilmiyorsa).
   • Ek bilgilendirme gerektiren durumlarda, verilerin niteliği, elde edilme koşulları ve kullanım amacı göz önüne alınarak, veri sahibine şeffaf ve özenli bir süreç sağlanır.

Harici kaynaklardan elde edilen bilgiler

1. Veri sorumlusu, belirtilen amaçlar doğrultusunda güvenilir harici kaynaklardan bilgi toplayabilir. Örnekler:
   • Roy-data (bonus/malus beyanlarının kaydı için),
   • RDW (araç bilgileri için),
   • CIS Vakfı (sigorta sektöründe dolandırıcılığı önleme ve tespit amacıyla).

2. Her veri işleme sürecinde yalnızca doğru, yeterli, ilgili ve gereğinden fazla olmayan verilerin işlenmesini sağlamak veri sorumlusunun yükümlülüğüdür.

10. Kişisel Verilere Erişim Hakkı

1. Her veri sahibi, kendisiyle ilgili işlenen verilere erişim talep etme hakkına sahiptir.
2. Veri sorumlusu, talep üzerine, en geç dört hafta içinde kişisel verilerin işlenip işlenmediği hakkında yazılı bir yanıt sunar. Bu hizmet için bir ücret talep edilebilir. Ayrıca, başvuru sahibinin kimlik doğrulaması için geçerli bir kimlik belgesi sunması istenebilir.
3. Eğer veri işleniyorsa, veri sorumlusu talep üzerine veri sahibine şu bilgileri içeren yazılı bir döküm sağlar:
   • Veri işleme amacı,
   • İşlenen veri kategorileri,
   • Verilerin hangi kişi veya kurumlarla paylaşıldığı veya paylaşılabileceği,
   • Verilerin kaynağı.
4. Başvuru sahibinin özel bir çıkarı bulunuyorsa, veri sorumlusu, bilgileri yazılı olmayan, alternatif bir formatta sağlayabilir.
5. Veri sorumlusu, aşağıdaki durumlarda erişim talebini reddedebilir:
   • Ceza soruşturması veya kovuşturma süreciyle bağlantılı durumlarda,
   • Veri sahibinin veya üçüncü tarafların hak ve özgürlüklerinin korunması gerekiyorsa.

12. Kişisel Verilerin Düzeltilmesi, Eklenmesi ve Silinmesi Hakkı

1. Veri sahibi, yazılı bir başvuru ile, kendisi hakkında işlenen kişisel verilerin düzeltilmesini, tamamlanmasını, silinmesini ve/veya engellenmesini talep edebilir. Bu talep, aşağıdaki durumlarda geçerlidir:
   • Veri gerçeğe aykırıysa,
   • İşleme amacı için eksikse,
   • İlgisiz veya gereğinden fazla veri içeriyorsa,
   • Yasal düzenlemelere aykırı şekilde işlenmişse.
     Talepte, yapılması istenen değişiklikler açıkça belirtilmelidir.
2. Veri sorumlusu, talebi aldıktan sonra en geç dört hafta içinde başvuru sahibine yazılı olarak geri dönüş yapar. Eğer talep tamamen veya kısmen reddedilirse, gerekçesi açıklanır. Başvuru sahibi, bu karara itiraz etmek için Şikayet Komitesine başvurabilir.
3. Talep onaylandığında, düzeltme, ekleme, silme veya engelleme işlemi en geç 14 iş günü içinde tamamlanır. Eğer bu süre içinde tamamlanamazsa, en kısa sürede uygulanır.

13. Kişisel Verilerin Saklanma Süresi

1. Kişisel veriler, işleme amaçlarının gerçekleştirilmesi için gerekli olandan daha uzun süre saklanamaz.
2. Veri sorumlusu, kişisel verilerin ne kadar süreyle saklanacağını belirler ve bu süreyi açık bir şekilde tanımlar.
3. Eğer saklama süresi dolarsa veya veri sahibi verilerinin silinmesini talep ederse, ilgili veriler en geç üç ay içinde sistemlerden kaldırılır.
4. Ancak, verilerin saklanmaya devam etmesi aşağıdaki durumlarda mümkündür:
   • Verilerin, veri sahibinden başka biri için büyük önem taşıması,
   • Bir yasal düzenleme (örneğin, Finansal Denetim Kanunu) kapsamında saklama zorunluluğu bulunması,
   • Veri sahibi ile veri sorumlusu arasında verilerin saklanmasına yönelik bir anlaşma yapılmış olması.

14. Veri İşleme Kayıt Defteri

1. Herhangi bir amaç için tamamen veya kısmen otomatik olarak işlenen kişisel veriler, işleme başlamadan önce şirket içi veri işleme kayıt defterinde tanımlanır ve belgelenir.
2. Eğer otomatik veri işleme süreci, veri sahipleri açısından yüksek bir risk teşkil ediyorsa, verilerin doğası ve bağlamı göz önünde bulundurularak, işleme başlamadan önce bir Veri Koruma Etki Değerlendirmesi (DPIA) gerçekleştirilir. Bu değerlendirme, veri sahiplerinin haklarını koruma altına almak için gerekli tedbirlerin alındığını garanti eder.
3. Şirket içi veri işleme kayıt defteri aşağıdaki bilgileri içerir:
   • Veri sorumlusunun adı ve adresi,
   • Veri işleme amacı veya amaçları,
   • Veri sahiplerinin kategorileri ve ilgili veri türleri,
   • Verilerin paylaşılabileceği kişi ve kuruluşlar,
   • Veri saklama süreleri.

15. Kişisel Veri İhlalleri

1. Bir veri ihlali meydana geldiğinde, veri sorumlusu kişisel verilerin kaybolup kaybolmadığını ve hukuka aykırı bir işlem söz konusu olup olmadığını araştırır.
2. Yapılan incelemede hassas nitelikteki kişisel verilerin sızdırıldığı veya veri sahiplerinin gizliliği açısından ciddi bir risk oluştuğu tespit edilirse, veri sorumlusu Kişisel Verileri Koruma Kurumu’nu bilgilendirir.
3. Eğer sızdırılan veriler yeterli şekilde şifrelenmemişse veya ihlal veri sahiplerinin gizliliğini tehlikeye atabilecekse, Finansal Piyasalar Otoritesi (AFM) de durumdan haberdar edilir. Gerekli görülmesi halinde, ilgili düzenleyici kurumlarla yapılan istişareler sonucunda, veri sahiplerinin de bilgilendirilmesi kararlaştırılabilir.

16. Şikayet Süreci

Veri sahibi, bu yönetmeliklerin ihlal edildiğini düşünüyorsa, aşağıdaki adımları izleyerek şikayette bulunabilir:

• Öncelikle veri sorumlusuna başvurarak durumu bildirmelidir.
• Eğer veri sahibi alınan yanıttan tatmin olmazsa, şikayetini Lahey’de bulunan Finansal Hizmetler Şikayet Enstitüsü (KiFiD)’ne taşıyabilir.
• Kişisel Verileri Koruma Kurumu’na (AP) başvurarak, arabuluculuk yapılmasını ve görüş bildirilmesini talep edebilir.
• Son çare olarak, yetkili mahkemeye başvurabilir.

17. Yönetmelik Değişiklikleri, Yürürlüğe Giriş ve Kopya Temini

• Bu yönetmelikte yapılacak değişiklikler, yetkili kişi tarafından gerçekleştirilir.
• Değişiklikler, ilgili taraflara duyurulmasının ardından dört hafta içinde yürürlüğe girer.
• Bu yönetmelik, yöneticinin ofisinde incelenebilir. Talep edilmesi durumunda, maliyet bedeli karşılığında bir kopya sağlanabilir.

18. Öngörülemeyen Durumlar

Bu yönetmelikte düzenlenmeyen durumlarda, veri sorumlusu ilgili yasalar ve yönetmeliğin genel amacı çerçevesinde karar alacaktır.

Genel Veri Koruma Yönetmeliği (AVG) ile İlgili Bilgiler

• Yasa metnini incelemek için: buraya tıklayın.
• Kişisel Verileri Koruma Kurumu’nun resmi web sitesi: https://www.autoriteitpersoonsgegevens.nl