Sayın Kullanıcı,

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, müşterilerimizin ürün ve hizmetlerimizden faydalanabilmek amacıyla kişisel bilgilerini tarafımızla paylaşması halinde AREX Sigorta A.Ş. (“AREX”), Veri Sorumlusu sıfatıyla, kişisel bilgilerinizi aşağıda açıklandıgı çerçevede; kaydedebilecek, saklayabilecek, güncelleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, devredilebilecek, sınıflandırılabilecek ve KVKK'da sayılan şekillerde işleyebilecektir.

Kişisel Verilerin Işlenme Amaçları ve Hukuki Sebepleri

Kişisel veriler, AREX tarafından, Türk Ticaret Kanunu, Sigortacılık Kanunu ve diğer mevzuat kapsamında ürün ve hizmetlerini sunmak ve bunlarda kullanmak; işlem yapanın/yaptıranın bilgilerini tespit için kimlik, adres ve diğer gerekli bilgileri kaydetmek; elektronik (internet/mobil vs.) veya kâgıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek; yerel ve uluslararası mevzuat, MASAK, Hazine ve Maliye Bakanlığı ve diğer otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak; talep edilen diğer ürün/hizmetleri sunabilmek ve akdettiginiz sözleşmenin gereğini yerine getirmek amacıyla işlenebilecektir.

Kişisel Verilerin Aktarılması

Kişisel verileriniz, Türk Ticaret Kanunu, Sigortacılık Kanunu ve diğer mevzuat hükümlerinin izin verdiği kişi veya kuruluşlara aktarılabilecektir. Bunlarla sınırlı olmamak üzere 5684 sayılı Sigortacılık Kanunu madde 31/A'da sayılan finansal kuruluşlar ile diğer üçüncü kişilerle; Hazine ve Maliye Bakanlığı, SPK, MASAK gibi kamu ve/veya özel hukuk tüzel kişilerle; ana hissedarlarımız, doğrudan/dolaylı yurt içi/yurt dışı iştiraklerimiz ile ayrıca tabi olduğumuz mevzuatta belirtilen amaçlara konu faaliyetleri yürütmek üzere hizmet aldığımız, işbirliği yaptığımız ve verilerin korunmasını gizlilik sözleşmesiyle güvence altına aldığımız kuruluşlar ile paylaşılabilecektir. Kişisel ve özel nitelikli kişisel veriler; genel kullanıma açık olmayan güvenli bir ortamda saklanmakta ve izinsiz ya da yasal bir yükümlülük altında bulunulmadığı sürece üçüncü şahıslarla kesinlikle paylasılmamaktadır.

Kişisel Verilerin Toplanma Yöntemi

Kişisel ve özel nitelikli kişisel veriler, AREX veya aracısına doğrudan sunulan sözlü ve yazılı beyan ve belgeler ile Genel Müdürlük, Acenteler, Internet Şubesi ve Çağrı Merkezi gibi bilumum dijital kanallar aracılığıyla telefon, internet, e-posta, SMS ve benzeri elektronik ortamda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla sözlü ya da elektronik ortamda toplanabilmekte ve ilgili mevzuat uyarınca yasal süreler içerisinde saklanmaktadır.

Kişisel Verisi İşlenen İlgili Kişinin Hakları

Kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hakları, AREX’e yapacağınız bir talep ile kullanabilirsiniz. Bu kapsamda iletilen talepler AREX tarafından en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, şirketimiz tarafından belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahibi olarak;

Kişisel Verisi İşlenen İlgili Kişinin Hakları

Kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hakları, AREX’e yapacağınız bir talep ile kullanabilirsiniz. Bu kapsamda iletilen talepler AREX tarafından en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, şirketimiz tarafından belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahibi olarak;

Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kişisel verilerin silinmesini veya yok edilmesini isteme, Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarınız bulunmaktadır. 6698 Sayılı Kanun kapsamında kişisel verilerinize ilişkin haklarınızı kimliğinizi tasdik edici belgeler ve talebinizi içeren dilekçeniz ile Kozyatağı Mah. Saniye Ermutlu Sok. Şaşmaz Plaza N:6/12 Kadıköy - İSTANBUL adresine bizzat elden veya noter kanalıyla, kvkk@arexsigorta.com elektronik posta adresinizi kullanmak suretiyle, iletebilirsiniz.

Bu kapsamda konuyla ilgili yapılacak olan yazılı başvurular tarafımızdan yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup, ilgililer tarafından yasal süreler içerisinde geri dönüşte bulunulacaktır.

Rıza Gerektirmeyen Haller

KVKK’nın 5. Maddesinin 2. fıkrası uyarınca; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusu sıfatıyla AREX’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde AREX’in açık rıza almaksızın kişisel verileri işleyebilme hakkı mevcuttur.

Yukarıdaki bu hallerin yanı sıra, kamuya açıklanan ya da kanunlarda yer alan açıklık ilkesi uyarınca resmi sicillerde veya kayıtlarda yer alan veya kanunlardaki hükümler gereği kamunun aydınlatılması bakımından açıklamakla yükümlü olunan verilerin açıklanması, kullanımı ve aktarımı AREX’in sır saklama yükümlülüğüne tabi değildir. Ayrıca bir muvafakatname alınmasına gerek kalmaksızın AREX, söz konusu verileri ilgili kişilere açıklamaya, vermeye, işlemeye ve aktarmaya yetkilidir.

TİCARİ ELEKTRONİK İLETİLER

Ticari elektronik ileti, telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, ifade etmektedir.

Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Alıcılar diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik iletileri almayı reddedebilir. Bu kapsamda ticari elektronik ileti gönderimine onay verilse dahi istenildiğinde hiçbir gerekçe göstermeksizin ticari elektronik iletileri almayı durdurmak mümkündür.

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında, AREX, ürün ve hizmetlerin pazarlama süreçlerini yürütebilmek ve size en yüksek faydayı sağlamak için planlamalar yapmak, ürün ve hizmetlerimize yönelik size özel imkanları sunabilmek, reklam ve tanıtım faaliyetlerini yürütebilmek gibi amaçlarla Kişisel Verilerin Korunması Aydınlatma Metni’nde belirtilen koşullar çerçevesinde kişisel verilerinizi işleyebilecek, işlenme amacı ile sınırlı olarak kullanabilecek ve paylaşabilecektir.

KİŞİSEL VERİLERİN İŞLENMESİ ONAYI

AREX Sigorta A.Ş. tarafından sunulan Kişisel Verilerin Korunması Aydınlatma Metni‘ni okuduğumu, Kişisel Verilerin Korunması Kanunu gereğince tarafıma gerekli bilgilendirmenin yapıldığını bu şekilde alınan beyanınım geçerli olduğunu kabul ediyorum. Bu sebeple özel nitelikli kişisel verilerim (uyruk, ceza mahkumiyeti ve güvenlik tedbirleri bilgisi, kan grubu, sağlık verileri vb.) de dahil olmak üzere kişisel verilerimin işlenmesine ve işlenme amacı ile sınırlı olmak üzere kullanılmasına ve paylaşılmasına onay veriyorum.

Ürün ve hizmetlerimiz için gerekli olan özel nitelikli kişisel verileriniz de dâhil olmak üzere, kişisel verilerinizin işlenmesine onay vermemeniz halinde, KVKK mevzuatı uyarınca işlenmesine cevaz verilen durumlar müstesna olmak kaydıyla, açık rızanızın alınmasını gerektiren süreçlerimiz bakımından size gerekli ve yeterli hizmeti sağlayamayacağımızı ve operasyonel faaliyetlerin olumsuz etkileneceğini bilgilerinize sunarız.

TİCARİ ELEKTRONİK İLETİ ONAYI

Kişisel Verilerin Korunması Kanunu ve Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gereğince gerekli bilgilendirmenin tarafıma yapıldığını, Kişisel Verilerin Korunması Aydınlatma Metni’ni okuyup anladığımı ve bu şekilde alınan beyanınım geçerli olduğunu kabul ediyorum. Kişisel verilerimin, ihtiyaçlarım doğrultusunda bana uygun ürün, uygulama, avantaj veya kampanyadan yararlanabilmem, genel bilgilendirme yapılması, tanıtım, reklam, promosyon, satış ve pazarlama, kutlama, temenni amacıyla ve tarafımla her türlü iletişim sağlanması amacıyla işlenmesi ve bu doğrultuda iletişim adreslerime AREX Sigorta A.Ş. tarafından çağrı, kısa mesaj (SMS), multimedya nesneleri içeren MMS, fax, otomatik arama makineleri, e-posta ve benzeri iletişim kanallarından iletilecek veri, ses ve görüntü içerikli bilgilendirme, tanıtım ve pazarlama iletilerinin gönderilmesine onay veriyorum.

Ticari elektronik iletiler ile ilgili verdiğiniz onayı Çağrı Merkezimizi (0850 474 1313) arayarak her zaman geri alabilirsiniz.

1.KAPSAM

Kişisel Verilerin Korunması ve Gizlilik Politikası isimli işbu Politika, kişisel verilerin işlenmesine yönelik kurallar bütününü açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmış olup, Arex Sigorta A.Ş. Yönetim Kurulu tarafından onaylanarak 01.01.2021 tarihinde yürürlüğe girmiştir.

2.TANIMLAR

Kişisel veri: Kimliği belirli veya belirlenebilir her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim hale getirme: Kişisel verilerin, başka verilerle eleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel verileri işleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri bu kapsama girmektedir.

Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişi

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Kişisel Verilerin Kanunu (‘KVKK’): Korunması İşbu Politikaya konu olmakla birlikte, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 24 Mart 2016 tarihli ve 6698 sayılı Kanun

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Politika: Arex Sigorta A.Ş. Kişisel Verilerin Korunması ve Gizlilik Politikası

3.DEĞİŞİKLİKLER

Kanun kapsamındaki ek mevzuatların yürürlüğe girmesi ile birlikte veya muhtelif zamanlarda işbu Politikada yapılacak olan değişiklikler Arex Sigorta A.Ş.’ nin kurumsal Internet sitesinden takip edilebileceği gibi, işbu Politika’nın güncel versiyonuna yine bu kurumsal siteden ulaşılabilmektedir.

4.AMAÇ

Arex Sigorta A.Ş.; sigortacılık alanında faaliyet gösterdiği tüm branşlardaki ürün ve hizmetlerini sunma faaliyetini gerçekleştirebilmek ve hizmetlerinin kesintisiz ilerleyebilmesini sağlamak adına, Genel Müdürlük, acente, banka ve broker gibi kanallardan; sözlü, yazılı ya da elektronik ortam üzerinden temin edebildiği kişisel verileri, Veri Sorumlusu sıfatıyla, hukuka uygun bir biçimde işlemektedir.

İşbu Politikanın amacı, AREX Sigorta’nın yürüttüğü bu işleme faaliyetleri ve kişisel veriler ile ilgili sistemler konusunda açıklamada bulunarak ilgili kişileri bilgilendirmek ve böylece kişisel veriler hususunda şeffaflık sağlamaktır.

Bu bağlamda Arex Sigorta A.Ş., KVKK kapsamında kişisel verilerin işlenmesini, bu işlemeye konu alınan veri sahiplerini ve bu kişilerin haklarını, çerez ve benzeri teknolojilerinin kullanımı ile birlikte işbu Politika’da detaylandırarak açıklamış bulunmaktadır.

5.KİŞİSEL VERİ

5.1Kişisel Veri İşlemesine İlişkin Genel İlkeler

Arex Sigorta A.Ş., KVKK’nın 4. maddesinin 2. fıkrası uyarınca ve işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilmiş olan amaçlar kapsamında, aşağıdaki ilkelere uygun olarak kişisel veri işlemektedir:

Hukuka ve dürüstlük kurallarına uygun olma,

Doğru ve gerektiğinde güncel olma,

Belirli, açık ve meşru amaçlar için işlenme,

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

5.2 Arex Sigorta A.Ş. Tarafından İşlenen Kişisel Veriler

Kişisel veriler Arex Sigorta A.Ş. bünyesinde veri sahiplerinden alınan açık rıza aracılığıyla veya KVKK’nın 5. ve 6. maddelerince açık rızaya tabi olmaksızın yürütülebilecek faaliyetler ışığında işlenmekte olup, bu veriler ancak işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde işlem görmektedir. AREX Sigorta ile veri sahibi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanallarına ve bahsi geçen amaç bilgisine bağlı olarak çeşitlenen ve farklılaşan ve işbu Politika’daki ilkelere uyumlu bir şekilde işlenen kişisel veri türleri aşağıdaki gibidir:

Ad, soy ad, meslek, unvan, çalışma bilgisi, eğitim durumu, cinsiyet, medeni durum, eş/çocuk bilgisi, vatandaşlık durumu, askerlik bilgisi, adli sicil bilgisi, vergi mükellefiyeti durumu gibi veri sahibini tanıtıcı bilgiler,

Nüfus cüzdanı fotokopisi, nüfus sureti fotokopisi, pasaport ve sürücü belgesi gibi kimlik tespit belgelerinde bulunan doğum tarihi, doğum yeri, kimlik numarası, kan grubu, din ve fotoğraf gibi veriler, Internet sitesine giriş için gerekli müşteri bilgileri,

Adres, elektronik posta, telefon ve faks numarası gibi iletişim bilgileri ile birlikte, telefon görüşmeleri ve elektronik posta yazışmaları kapsamındaki iletişim kayıtları diğer sesli veriler,

Vergi levhası, ticaret gazetesi, yetki belgesi, yeterlilik belgeleri, imza sirküleri ve faaliyet belgesi gibi tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri,

Fiyatlandırma, mutabakat, tahsilat ve ödeme faaliyetlerine ilişkin detaylı finansal veriler.

5.3 Kişisel Verilerin İşlenme Amaçları

Kişisel veriler, Arex Sigorta A.Ş. tarafından aşağıdaki amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir:

Arex Sigorta A.Ş. tarafından sigortacılık faaliyetlerinin eksiksiz olarak sürdürülmesi,

Yasal ve idari yükümlülükler kapsamında Arex Sigorta A.Ş.’ nin yürütmekle sorumlu olduğu faaliyetlerin gerçekleştirilmesi,

Veri sahibinin mevzuattaki veya Arex Sigorta A.Ş. bünyesince kabul gören kural ve politikalardaki değişiklikler hususunda aydınlatılması,

Kanuna aykırı işlemlerin soruşturulması, tespiti, bildirilmesi ve önlenmesi ile birlikte, hukuki sürece tabi faaliyetlerin yönetilmesi ve yürütülmesi,

Meşru menfaatlerin korunması,

Sözleşmelerin müzakeresi, oluşturulması ve ifası,

Talep ve sorular kapsamındaki durum tespitinin yapılması ve ilgili kişiye geri dönüşün sağlanması,

Tanıtım ve pazarlama faaliyetlerinin yürütülmesi ile birlikte, anket ve oylamalar ile veri sahiplerinin görüşünün alınması ve müşteri memnuniyetinin sağlanması,

Birimler arasındaki iş akışının ve koordinasyonun sağlanmasıyla birlikte verimliliğin artırılması,

İş başvurusu, aday değerlendirme ve işe alım süreçlerinde adayların ilgili pozisyona uygunluğunun incelenmesi ile birlikte bu adaylarla ve başvuruyla bağlantılı kişiler iletişime geçilmesi,

Ziyaret kaydının alınması ve kargo takibi yapılması,

Arex Sigorta A.Ş.’ ye ait veya Arex Sigorta A.Ş. tarafından kullanılan elektronik sistemlerin ve fiziki ortamların güvenliğinin sağlanması ve ilgili değerlendirmelerin yapılması suretiyle gerekli önlemlerin alınması.

Arex Sigorta A.Ş. tarafından sunulan ürün ve hizmetlerden müşterileri faydalandırmak için iş birimleri tarafından gerekli çalışmaların yapılması,

Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,

Arex Sigorta A.Ş., şirketler hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,

Arex Sigorta A.Ş. veya Arex Sigorta A.Ş. ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin sağlanması,

Arex Sigorta A.Ş.’ nin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla ticari faaliyetlerin yürütülmesi,

5.4 Kişisel Verilerin Aktarılması

Arex Sigorta A.Ş., işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK’nın 8 ve 9’uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapmaktadır ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, veri sahibi, Arex Sigorta A.Ş. arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu taraflar genel itibariyle aşağıdaki gibidir:

MASAK, BDDK, Mahkemeler vb. gibi yasal merciler,

Hukuk büroları vb. yasal amaçlı faaliyetlerde destek alınan kurumlar,

Hazine, Gelir İdaresi vb. devlete bağlı kurum ve kuruluşlar,

Sermaye Piyasası Kurumu, Borsa İstanbul, Takasbank ve yurt içi ve yurt dışındaki diğer düzenleyici otoriteler, borsalar, merkezi takas ve saklama kuruluşları,

Arex Sigorta A.Ş.’ nin yurt içi ve yurt dışındaki iştirakleri ve iş ortakları, Koordinasyon, iş birliği ve verimliliğin sağlanması amacıyla Arex Sigorta A.Ş. bünyesindeki iş birimleri,

Müşteri memnuniyeti vb. amaçlar kapsamındaki araştırma firmaları Doğrudan ve dolaylı hissedarlar ve bağlı kuruluşlar,

Arex Sigorta A.Ş., aktarım yaptığı hizmet alınan üçüncü kişilerin Arex Sigorta A.Ş.’ nin gizlilik standart ve şartlarına uygun hareket etmesini sağlayacak gerekli tedbirleri alacaktır.

5.5 Kişisel Verilerin Toplanması

Arex Sigorta A.Ş. tarafından işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için KVKK’nın 5 ve 6’ncı maddelerinde öngörülen şartlar çerçevesinde direkt olarak çalışanlar ve müşterilerden, tedarikçilerden, iş ortaklarından, iştiraklerden, çağrı merkezinden, şubelerden, resmi kurumlardan ve diğer fiziki ortamlardan kişisel veri edinilebileceği gibi, Internet siteleri, mobil uygulamalar, sosyal medya ve diğer kamuya açık mecralar veya düzenlenen eğitimler, organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri edinilebilmektedir.

5.6 Kişisel Verilerin Saklanma Süresi

Kişisel veriler Arex Sigorta A.Ş. bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler ise, KVKK’nın 7. maddesi uyarınca AREX Sigorta tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

5.7 KVKK Çerçevesinde Veri Sahibinin Hakları

KVKK’nın 11. Maddesi kapsamında kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve bu madde uyarınca veri sahipleri Arex Sigorta A.Ş. üzerinde aşağıdaki haklara sahiptir:

Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, bunların silinmesini veya yok edilmesini isteme, Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Yukarıdaki haklardan birinin kullanılması amaçlı olarak veri sahiplerinden gelecek talepler, Arex Sigorta A.Ş. tarafından en geç 30 gün içerisinde karşılanacaktır. Bu talepler, kimlik doğrulanmasını sağlayıcı belgelerle (nüfus cüzdanı, ehliyet vb.) birlikte Arex Sigorta A.Ş.’ye ait internet sitesinde belirtilen Genel Müdürlük adresine bizzat başvuru yaparak ve Kişisel Verilerin Korunması Kanunu Veri Sahibi Talep Formunu bu başvuru esnasında doldurup imzalayarak, AREX SİGORTA A.Ş.’ye ait internet sitesinde belirtilen Genel Müdürlük iletişim adresine kimlik tespit edici belgeler ile bizzat elden teslim edilerek, noter kanalıyla söz konusu adrese gönderilerek veya kvkk@arexsigorta.com adresine kimlik tespiti mümkün olacak şekilde iletebilecektir.

5.8 Yurtdışına Veri Aktarımı

İşlenme, depolanma, idare veya işbu Politikada belirtilmiş başkaca bir kullanım amacıyla işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için kişisel veriler mevzuata uygun biçimde yurt dışına aktarabilir. Bu aktarımlarda kişisel verilerin gerektiği şekilde korunması için gerekli önlemler alınır.

5.9 Kişisel Verilerin Güvenliği

Arex Sigorta A.Ş. kişisel verilerin gizliliğini ve güvenliğini korumaya önem verir. Bu doğrultuda, kişisel verileri yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için gerekli teknik ve idari güvenlik önlemleri alınır. Bu doğrultuda gerekli sistemsel erişim kontrolleri, veri erişim kontrolleri, güvenli transfer kontrolleri, iş sürekliliği kontrolleri ve diğer gerekli kurumsal kontroller uygulanır.

Arex Sigorta A.Ş. web sitesi üzerinden diğer web sitelerine erişim için verilen bağlantıların güvenlik ve gizliliğinden sorumlu değildir. Bu sitelere giriş sonucu karşılaşılabilecek maddi veya manevi kayıplarda sorumluluk kabul edilmeyecektir.

6. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEDBİRLER

6.1 Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

6.1.1 Mevcut Risk ve Tehditlerin Belirlenmesi

Arex Sigorta A.Ş. işlemekte olduğu kişisel verilere dair risk ve tehditleri belirlemek için sahip olduğu “Kişisel Veri Envanteri”nden yararlanır. Bu Envanter içerisinde kişisel verilerin işlendiği süreçler Arex Sigorta A.Ş. tarafından güncel tutulacaktır.

Arex Sigorta A.Ş. söz konusu riskleri belirlerken, işlemekte olduğu kişisel verilerin özel nitelikli olup olmadığı, gerektirdiği gizlilik seviyesi ve ortaya çıkabilecek bir güvenlik ihlali sonucunda potansiyel zararın ne olacağını belirler.

6.1.2 Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Arex Sigorta A.Ş., çalışanlarını kişisel verilerin korunması ve siber güvenlik ile ilgili olarak eğitimlere tabi tutar ve konu ile ilgili farkındalık çalışmaları gerçekleştirir.

Kişisel verilerin hukuka aykırı olarak açıklanması veya paylaşılması en sık görülen ihlallerden birini teşkil etmektedir. Bu tip ihlallerin önüne geçilmesi amacıyla Arex Sigorta A.Ş. tarafından;

Kişisel veriler ile çalışan herkese bu konuda farkındalık eğitimleri verilir.

Kişisel verilere ilişkin rol ve sorumlulukla, çalışanların iş tanımında açıkça belirlenir.

Kişisel veriler ile ilgili olarak “yasaklanmadıkça her şey serbesttir” değil, “izin verilmedikçe her şey yasaktır” prensibi ile hareket edilmesi sağlanır.

Çalışanların işbu Politika ve sair diğer politika ve prosedürlere uymaları sağlanır, uymama durumunda disiplin süreçleri devreye alınır.

Söz konusu politika ve prosedürler güncel tutulur.

6.1.3 Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanun ve sair mevzuatta öngörülen “kişisel verileri doğru ve gerektiğinde güncel tutma”, “amacın gerektirdiği süre kadar muhafaza etme” gibi şartların yerine getirilebilmesi için Arex Sigorta A.Ş.;

6.1.4 Veri İşleyenler ile İlişkilerin Yönetimi

Arex Sigorta A.Ş., bilgi teknolojileri ile ilgili hizmet alımlarında sözleşme düzenlediği veri işleyenlerin bilgi güvenliğine en az kendisi kadar önem verdiklerinden ve müşterek sorumluluğun bilinciyle hareket ettiklerinden emin olur ve bunu sözleşmesel olarak da güvenceye alır.

Veri işleyenler, mevzuattaki tanım ile paralel olarak yalnız Arex Sigorta A.Ş.’nın talimatları doğrultusunda, Arex Sigorta A.Ş. ile akdedilmiş sözleşme çerçevesinde kalmak suretiyle ve mevzuata uygun olarak kişisel verileri işler. Veri işleyenler süresiz sır saklama yükümlülüğü altında tutulur.

Herhangi bir veri ihlali durumunda, durum derhal Arex Sigorta A.Ş.’ ye bildirilir ve bu durum sözleşmesel olarak da kayıt altına alınır, bu tip veri ihlallerini mevzuat gereği olarak veri sahibi ilgililer ile Kurul’ a bildirecektir.

Arex Sigorta A.Ş. ile veri işleyenler arasında akdedilecek sözleşmelerde, sözleşmenin niteliksel olarak elverdiği ölçüde ayrı bir madde olarak veri işleyene aktarılan veri kategorileri ve türleri belirtilir.

Arex Sigorta A.Ş. “Veri Sorumlusu” sıfatıyla veri işleyenin kişisel verini içeren sistemleri üzerinde gerekli denetimleri yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir. Bu durum sözleşme içerisinde de karşılıklı olarak mutabakata bağlanır.

6.2 Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

6.2.1 Siber Güvenliğin Sağlanması

Arex Sigorta A.Ş., siber güvenlik amacıyla gerekli yazılımları geliştirir ve gerekmesi halinde hizmet ve ürün alımı yapar. Arex Sigorta A.Ş., hâlihazırda sahip olduğu ürünleri düzenli olarak tarayarak gerekmeyen ve güncelliğini yitirmiş olan ürünlerin yüklü oldukları cihazlardan kaldırılmasını sağlar, halen gerekenlerin ise güncelliğini düzenli olarak kontrol eder ve güncel olduklarından emin olur. Arex Sigorta A.Ş. gerekli görmesi halinde yama yönetimi ile ilgili geliştirmeler yapar ya da ürün satın alır.

Kişisel veri içerir sistemlerine erişimin kontrollü olarak sağlanması amacıyla Arex Sigorta A.Ş., erişim ve yetki yönetimini güncel tutar ve güvenli şifre kullanımı konusunda çalışanlarını bilgilendirir; bu amaçla erişime dair politika ve prosedürler oluşturur. Arex Sigorta A.Ş., şifre yönetimi ile ilgili olarak gerekli geliştirmeleri yapar ya da ürün satın alır. Bu amaçla belli sayıdan fazla şifre giriş denemesinin önlenmesi, düzenli olarak parola değiştirilmesinin sağlanması, parolaların güvenliğini yüksek seviyede tutacak karmaşıklıkta seçildiğinden emin olunması, iş akdine son verdiği çalışanların yetkilerinin zaman kaybetmeksizin kaldırılmasının sağlanması gibi konularda gerekli tedbirleri alacağını kabul ve beyan eder.

Arex Sigorta A.Ş., ağları ve bilgisayarları düzenli olarak tarayarak tehlikeleri tespit eden antivirüs türevi yazılımların kullanıldığından emin olmak ve bunların güncelliğini sağlamak için gerekli tedbirleri alır. Kişisel veri temininde Arex Sigorta A.Ş. ağı dışında kalan Internet sitelerinden yararlanıldığı durumlarda, söz konusu siteler ile bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirildiğinden emin olunması gerekmektedir.

6.2.2 Kişisel Veri Güvenliğinin Takibi

Kişisel veri güvenliğinin takibi amacıyla Arex Sigorta A.Ş.;

Ağlarında hangi yazılım ve servislerin çalıştığının kontrolünü sağlar.

Ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi amacıyla gerekli tedbirleri alır.

Log yönetimi yapar.

Güvenliğe dair ihlallerin hızlı bir şekilde raporlanması için çalışanların bilinçlendirilmesini sağlar ve buna dair bir “raporlama prosedürü” oluşturur. Bu raporlar sistem tarafından otomatik olarak oluşturulabilir ve sistem yöneticisi tarafından gerektiğinde ilgili birime konsolide edilerek sunulabilir.

Kişisel verilerin sistemsel olarak güvenliğinin sağlanmasına dair her türlü raporlama aracının düzenli kontrolü ve uyarıların dikkate alınmasını sağlar.

Düzenli olarak zafiyet taramaları ile sızma testi yapar veya yaptırır.

Herhangi bir siber saldırı durumunda delillerin eksiksiz toplandığından ve güvenli bir şekilde saklandığından emin olur.

6.2.3 Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Arex Sigorta A.Ş., kişisel verileri fiziksel ve mantıksal olarak tutmakta olduğu Genel Müdürlük, Arşiv, şubeler ve diğer yerlerde gerekli iç ve dış fiziksel güvenlik önlemlerini alır.

Arex Sigorta A.Ş., bu önlemler kapsamında kişisel veri bulunduran yapıların deprem, yangın, sel gibi afetlere uğraması durumunda iliği verilerin korunmasını adına “Acil Durum Eylem Planı” hazırlar ve uygulanması konusunda gerekli çalışmaları yapar. Fiziksel ortamda tutulan kişisel verilerin güvenliği açısından, bunların bulunduğu yerlere giriş çıkışların kontrollü yapılması, ayrıca bu tip kişisel verileri işleyen çalışanların bilinçlendirilerek olası kayıp ve çalınma durumlarının önüne geçilmesini sağlar.

Arex Sigorta A.Ş., kişisel veri içeren cihazların çalınması veya kaybolması durumunu en aza indirgenmesi amacıyla gerekli tedbirleri alır. Bu tedbirler kapsamında erişim kontrolü yetkilendirmesi ve şifreleme yöntemleri gibi yollara başvurulabilir.

Arex Sigorta A.Ş., şifreleme yöntemlerini kullanıyor olduğu durumlarda uluslararası kabul görmüş çözümlerden yararlanır ve asimetrik şifreleme yöntemlerinden yararlanılan durumlarda anahtar yönetimi süreçleri açısından gerekli tedbirleri alır.

6.2.4 Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Arex Sigorta A.Ş., BT sistemlerine yönelik tedarik, geliştirme ve bakım hizmetleri alımında güvenlik faktörünü ön planda tutmaya özen gösterir. Bu amaçla;

Uygulama sistemleri üzerinden yapılacak olan kişisel veri girişlerinde, girilen kişisel verilerin veri bütünlüğünü bozmayacak şekilde çalıştığından emin olacak kontrol mekanizmalarının bulunduğundan emin olur.

Kişisel veri içermekte olan, ancak bakım, arıza vb. bir nedenle tedarikçi 3. Kişi firmaya gidecek olan cihazların veri saklama ortamlarının gönderilmemesi sağlar, dışarıdan bir tedarikçi firma personeli Arex Sigorta A.Ş.’ye gelmiş ise kurum dışına veri çıkmaması amacıyla gerekli önlemlerin alındığından emin olur.

6.2.5 Kişisel Verilerin Yedeklenmesi

Arex Sigorta A.Ş., uhdesindeki kişisel verilerin güvenliğini sağlamak amacıyla bunların yedeğini ya da yedeklerini tutar.

Arex Sigorta A.Ş., dosyaları şifreleyerek fidye talep eden kötü amaçlı yazılımlara (ransomware) yönelik veri yedekleme stratejileri geliştirir ve gerekli önlemleri alır.

Arex Sigorta A.Ş., yedeklenen kişisel verilere sadece sistem yöneticisinin erişebildiğinden emin olur ve bu yedekleri ağ dışında saklar.

Arex Sigorta A.Ş., söz konusu yedeklerin fiziksel güvenliklerine yönelik gerekli tedbirleri alır.

7. ÇEREZLER VE BENZERİ TEKNOLOJİLER

7.1 Genel

Kullanılmakta olan Internet tarayıcısı aracılığı ile Internet ağ sunucusu tarafından kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak anılmakta olup, Internet siteleri bu çerezler vasıtası ile kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak farklılaşmaktadır.

Bu çerezler, Arex Sigorta A.Ş. tarafından yönetilmekte olan sistemler aracılığıyla oluşturulmakla birlikte, aynı zamanda yetkilendirilen bazı hizmet sağlayıcılar kullanıcıların cihazlarına benzeri teknolojiler yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz tanımlayıcı bilgileri edinebilmektedir. Ayrıca, Arex Sigorta A.Ş. sistemlerinde bulunan üçüncü taraflara ait linkler, bu üçüncü taraflara ait gizlilik politikalarına tabi olmakla birlikte, gizlilik uygulamalarına ait sorumluluk Arex Sigorta A.Ş.’ ye ait olmamaktadır ve bu bağlamda ilgili link kapsamındaki site ziyaret edildiğinde siteye ait gizlilik politikasının okunması önerilmektedir.

7.2 Çerez Türleri

Ana kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler, temel olarak 4 ana grupta toplanmaktadır:

i. Oturum Çerezleri: Internet sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen bilgilerin sistemsel olarak hatırlanması gibi çeşitli özelliklerden faydalanmaya olanak sağlayan çerezlerdir ve internet sitesine ait fonksiyonların düzgün bir şekilde işleyebilmesi için gereklidir.

ii.Performans Çerezleri: Sayfaların ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili sayfada harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri konularında bilgi toplayan çerezlerdir ve internet sitesinin performansını arttırma amacıyla kullanılmaktadır.

iii.Fonksiyonel Çerezler: Kullanıcıya kolaylık sağlanması amacıyla önceden seçili olan seçeneklerin hatırlatılmasını sağlayan çerezlerdir internet sitesi kapsamında kullanıcılara gelişmiş Internet özellikleri sağlanmasını hedeflemektedir.

iv. Reklam Ve Üçüncü Taraf Çerezleri: Üçüncü parti tedarikçilere ait çerezlerdir ve internet sitesindeki bazı fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak sağlamaktadır.

7.3 Çerezlerin Kullanım Amaçları

Arex Sigorta A.Ş. tarafından kullanılmakta olan çerezlere ait kullanım amaçları aşağıdaki gibidir:

i. Operasyonel amaçlı kullanımlar: Sistemlerinin idaresi ve güvenliğinin sağlanması amacıyla, bu sitedeki fonksiyonlardan yararlanmayı sağlayan veya düzensiz davranışları tespit eden çerezler kullanabilmektedir.

ii.İşlevselliğe yönelik kullanımlar: Sistemlerinin kullanımını kolaylaştırmak ve kullanıcı özelinde kullanım özellikleri sağlamak amacıyla, kullanıcıların bilgilerini ve geçmiş seçimlerini hatırlatan çerezler kullanabilmektedir.

iii.Performansa yönelik kullanımlar: Sistemlerinin performansının artırılması ve ölçülmesi amacıyla, gönderilen iletilerle olan etkileşimi ve kullanıcı davranışlarını değerlendiren ve analiz eden çerezler kullanabilmektedir.

iv.Reklam amaçlı kullanımlar: Kendine veya üçüncü taraflara ait sistemlerin üzerinden kullanıcıların ilgi alanları kapsamında reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların etkinliğini ölçen veya tıklanma durumunu analiz eden çerezler kullanabilmektedir.

7.4 Çerezleri Devre Dışı Bırakmak

Çerez kullanımı birçok tarayıcıda önceden tanımlı bir şekilde seçili olarak bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından değiştirebilmekte ve dolayısıyla da mevcut çerezleri silip ileriki çerez kullanımlarını da reddedebilmektedir; nitekim çerez kullanımının iptal edilmesi halinde AREX Sigorta, sistemlerindeki bir takım özelliklerden faydalanılamaması söz konusu olabilmektedir.

Çerez kullanım seçiminin değiştirilmesine ait yöntem, tarayıcı tipine bağlı olarak değişmekte olup, ilgili hizmet sağlayıcıdan dilendiği zaman öğrenilebilmektedir.

7.5 Web Sitesinde Bulunan Bilgi ve Materyal

Arex Sigorta A.Ş. web sitelerinde bulunan bilgi, materyal ve bunların düzenlenmesi konusundaki telif hakları, Arex Sigorta A.Ş.’ ye aittir. Arex Sigorta A.Ş. web sitelerinde yer alan ve üçüncü şahıslara ait materyaller dışında kalan bilgi ve materyale dair tüm telif hakları, tescilli marka, patent, fikri ve sair mülkiyet hakları AREX Sigorta’ya aittir.

8. YÜRÜRLÜK VE GÜNCELLEMELER

İşbu Politika, Arex Sigorta A.Ş. Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politikada yapılacak değişiklikler Arex Sigorta A.Ş. Genel Müdürünün onayından sonra yürürlüğe girecektir. Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Veri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda Arex Sigorta A.Ş. bu Politikayı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Arex Sigorta A.Ş. Yönetim Kuruluna aittir.