Kişisel Verilerin Korunması Politikası (KVKK)
Son Güncelleme Tarihi : 01.01.2021
Giriş
07.04.2016 tarihli Resmi Gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı, verileri toplayan ve işleyen veri sorumlularının yükümlülükleri ve bağlı oldukları usul ve esasları düzenler. “NovaTek Bilişim Hizmtleri - Kişisel Verilerin Korunması Politikası” Kanunun ve uygulama yönetmeliklerinin ve Kişisel Veri Kurulunun kararlarının uygulanması ve kamu ve Şirket çalışanlarının görev ve sorumluluklarının açıklanması amacı ile oluşturulmuştur.
1. Amaç ve Kapsam
NovaTek Bilişim Hizmetleri - Kişisel Verilerin Korunması Politikası “ŞİRKET”, yöneticiler, çalışanlar ve ŞİRKET ile ilişki kuran tüm kişiler bakımından uygulanmak üzere düzenlenmiştir.
Bu Politika ŞİRKET ile ilişki kuran tüm gerçek kişilerin mahremiyet ve özel yaşamın dokunulmazlığı haklarının ve Kanun ile koruma altına alınan kişisel verilerin korunması haklarının sağlanmasına hizmet etmek amacı ile kural ve esasları belirler. Politikanın herhangi bir şekilde ihlali, kayıtlı Veri Sorumlusu olması nedeniyle ŞİRKET’in Kanunu ihlal ettiği anlamına gelir; bu nedenle NovaTek Bilişim Hizmetleri - Kişisel Verilerin Korunması Politikasının çalışanlar tarafından ihlali bir disiplin ihlali olarak kabul edilecektir.
2. Tanımlar
Bu POLİTİKA ve Kişisel Verilerin Korunması Kanunu kapsamındaki tüm belgeler ve faaliyetler kapsamında;
- Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
3. Genel İlkeler
Kişisel veriler sadece Kanun ile öngörülen usul ve ilkelere uygun olarak işleme tabi tutulacaktır. Kişisel verilerin işlenmesinde temel ilkeler hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
4. Kişisel Verilerin Toplanması ve İşlenmesi
ŞİRKET kişisel verileri iş sözleşmelerinin kurulması ve finansal kiralama müşterileri ile ilişkilerin kurulması ve finansal kiralama sözleşmelerinin akdedilmesi amaçları için toplamakta ve işlemektedir. ŞİRKET’in kişisel veri işleme gerekçeleri, süreçleri, usulleri ve diğer tüm teknik ayrıntıları “NOVATEK BİLİŞİM HİZMETLERİ”nde belirtilmiştir.
5. Kişisel Verilerin İşlenmesinde Açık Rıza
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza yazılı ya da kanıtlanabilir halde olmalı ve ilgili kişinin toplama, kullanma, aktarma ve imha konularında bilgilendirilmesinden sonra alınmalıdır. Ancak aşağıdaki hallerde açık rıza olmaksızın ŞİRKET kişisel verileri işleyebilecektir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
6. Veri Sorumlusunun Yükümlülükleri
Kişisel verilerin elde edilmesi sırasında veri sorumlusu olarak ŞİRKET veya yetkilendirdiği kişi, ilgili kişilere;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Konusunda bilgi vermekle yükümlüdür.
Veri sorumlusu olarak ŞİRKET;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
7. Şirketimizin Faaliyet ve Ticari Süreçlerinde Kişisel Verilerin İşlenmesi
ŞİRKET’in faaliyetleri süresince hukuki ilişki kurduğu gerçek ve tüzel kişiler, personel hizmet sözleşmeleri, hizmet alım, tedarik ve satış sözleşmeleri ve Şirket tarafından üretilmiş ve tüm fikri ve sınai hakları kendisine ait olan satış, lojistik ve servis konulu yazılımların satışı, kurulum ve destek hizmetleri veren sözleşmelere taraf olunması şeklinde sınıflandırılır:
- Hizmet sözleşmelerinin kurulması aşamasında ŞİRKET tarafından edinilen kişisel veriler, İş Kanunu ve ilgili diğer mevzuatın gerekliliklerin yerine getirilmesi için zorunlu verilerdir. Keza, İşverenin yasal yükümlülüklerinin yerine getirilmesi için çalışanlara ait kişisel verilerin toplanması İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İş Sağlığı ve Güvenliği Kanunu ve uygulama yönetmelikleri ile öngörülmüştür. Bu nedenle hizmet sözleşmesi kapsamında kişisel verilerin toplanmasının, işlenmesinin ve yasal sürelerle saklanmasının Kanunların öngördüğü istisna kapsamında olduğu değerlendirilmiştir. Hizmet sözleşmesinin ve ardından yasal saklama sürelerinin sona ermesini müteakip, daha uzun süre ile saklamaya dair personelin açık rızasının olmadığı hallerde, periyodik kontroller yapılmak sureti ile verilerin imhasına dair talimat oluşturulmuş ve ilgili birimlere verilmiştir.
- ŞİRKET’in tarafı olduğu ticari sözleşmelerde, sözleşmenin kurulması ve icrası için zorunlu olan kişisel veriler, her ne kadar Kanunun öngördüğü istisnalar içinde sayılmışsa da, ilgili kişinin açık rızası alınmak sureti ile toplanmakta ve işlenmektedir. Bu kapsamda ŞİRKET tüm yüklenici ve tedarik sözleşmelerine ilave olarak ve o sözleşmelerinin ayrılmaz bir parçası olacak hükümde ek protokoller akdetmektedir.
- ŞİRKET’in ana ticari faaliyeti yazılım satış ve destek hizmetleridir; Şirket üretmiş olduğu yazılımlara dair lisans devrini konu eden sözleşmeler akdetmekte, bu Sözleşmelerle üstlendiği temel görev olarak yazılımın müşteriye uyumlu hale getirilmek sureti ile kurulmasını sağlamaktadır. Birden fazla aya yayılan bu süreçte ŞİRKET ile müşteri arasında ilgili proje personelinin kişisel verileri karşılıklı olarak teslim edilmektedir. Kurulum projesinde yer alacak olan personelin isimleri Sözleşmeye yazılır ve bu kişilerin verilerinin paylaşımına ve aktarımına dair muvafakatnameleri alınır. Kurulun sonrasında ŞİRKET’in destek hizmetlerine dair yükümlülükleri sözleşme kapsamında başlar; destek hizmetleri kapsamında müşterinin kişisel verilerine erişimin söz konusu olacağı her halde Kanun kapsamında muvafakatnamelerin varlığı sorgulanır. Satış veya Destek sözleşmelerinin sona ermesinden sonra ilgili kişisel verilerin imhası ya da anonim hale getirilmesi için periyodik kontroller yapılmak sureti ile işlem yapılmasına dair talimat oluşturulmuş ve ilgili birimlere verilmiştir.
8. Kişisel Veri Sahibinin Hakları
Kişisel veri sahibi, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Özel nitelikli bir kişisel veri mevcut ise kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
9. Kişisel Verilerin Aktarılması
Kişisel veriler yukarıda 5. Maddede belirtilen hallerden birisinin varlığı halinde, ilgili kişinin rızası olmaksızın aktarılabilecektir. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bunula birlikte, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılması yukarıdaki 5. Maddede belirtilen hallerden birinin varlığı ve
- Yabancı ülkede yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
- Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
- Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
- Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
10. Kişisel Verilerin Korunmasında Alınan Tedbirler
Kişisel veriler ŞİRKET bünyesindeki mevcut ve güvenli fiziki ve elektronik ortamlarda saklanmakla birlikte, yazılım işine ait mümkün olan ve akla gelebilecek tüm yedekleme ve koruma tedbirleri alınır. ŞİRKET’in ana faaliyeti yazılımdır; ana faaliyetine ait tüm veriler ve kayıtları dijitaldir; buna ilave olarak Sözleşmelerle üstlendiği edimler ve yükümlülükler gereğince ŞİRKET kendi sorumluluğu altındaki sunucularda müşterilerine ait verileri de saklamakta ve müşterinin erişimine açmaktadır. Bu nedenle, dijital güvenlik ŞİRKET’in günlük ve genel ticari hayatının en önemli unsurlarından birisini oluşturmaktadır.
ŞİRKET bu kapsamda gene vergi güvenliği uygulamalarına yum sağlamakta; yetkin ve konusunda uzman bilişim personeli istihdam etmektedir. Şirket aynı zamanda veri güvenliğinde verilerin özel olarak korunan bir odada saklanmasını sağlamakta, bu verilerin tüm fiziksel otomatik yedekleme sistemleri ile yedeklenmesini ve yurt dışındaki sunucularında bulut yedeklemesi yapılmasını sağlamakta; bu amaçla ciddi harcamalar yapmaktadır.
Veriler gizlilik derecesine göre sınıflandırılmıştır ve sadece ŞİRKET tarafından bu amaçla yetkilendirilmiş veri işleyicilerinin verilere erişimine izin verilmektedir. Bu kapsamda;
- Şirket Bilişim Departmanı sistem, virüs koruma ve güvenlik duvarı yazılımlarının kişisel verilerin korunması bakımından güncel ve kesintisiz biçimde çalışır olmasını sağlar.
- Şirket İdari İşler Birimi fiziksel dosyaları kilitli dolaplarda ve kasada sağlar.
- Şirket çalışanları Kanun hakkında kendilerine verilen eğitimler ve Şirket idaresince verilen talimatlara uygun olarak kullanım amacı ve süresi sona eren kişisel verinin imhasını sağlar.
11. Kişisel Verilerin İmhasına Dair İlkeler
- Kişisel verilerin imhasında her türlü imha usulü uygulanabilir; her türlü dijital formdaki verilerin imhası sürecinde dosyaların kalıcı olarak silinmesinin yanı sıra dijital ortamdaki verilerin okunamaz bir biçimde bozulması yöntemi kullanılabilir.
- Kişisel veri işlenmesi için gerekli nedeni sona ermesi ve saklama için rıza yok ise imha edilmelidir ya da anonim hale getirilmelidir.
- Önceden verilmiş açık rızanın varlığına rağmen, ilgili kişinin talebi üzerine kişisel veri imha edilmeli ya da anonim hale getirilmelidir.
- İmha işlemi verinin erişilemez ve geri döndürülemez hale getirilmesi şeklinde olmalıdır.
- Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme
Şirketlerimizden bilgi ya da hizmet almak amacı ile yapacağınız başvurular ve akdedeceğiniz sözleşmelerde Şirketlerimize temin edeceğiniz kişisel verileriniz Kişisel Verilerin Korunması Kanunu kapsamında Şirketlerimizin ilgili birimlerince işlenecektir. Şirketlerimiz tarafından kişisel verileriniz, Şirketlerimiz ile kuracağınız hukuki ilişki süresince sağlıklı, hızlı ve verimli hizmet sunulabilmesi; gerekli bildirimlerin güvenli ve etkin biçimde yapılabilmesi; sözleşme sürecinde siz ve temsilcilerinizle sağlıklı ve güvenli ilişki kurulabilmesi gibi amaçlar doğrultusunda ve Kişisel Verilerin Korunması Kanunu’nda belirtilen amaç ve usul kapsamında işlenmektedir.
Kişisel verileriniz idari ve resmi makamlara, Şirketlerimizin doğrudan ve dolaylı hissedarları ile yurt içi – yurt dışı iştiraklerine, iş ortaklarımıza, tedarikçilerimize, şirketlerimizce destek hizmeti veya hizmet alınan yurt içi – yurt dışı üçüncü kişilere, bağımsız denetim şirketlerine hukuki zorunluluklar nedeniyle ve fakat yasal sınırlamalar çerçevesinde aktarılabilecektir.
Bununla birlikte kişisel veriler, Şirketlerimiz ile aranızdaki hukuki ilişki sona erdiğinde silinecek ya da anonim hale getirilecektir. Ayrıca, Kişisel Verilerin Korunması Kanunu kapsamında gerçek kişiler, kişisel verilerinin işlenmesine dair bilgi talep etme, işlenme amacını öğrenme, aktarıldığı üçüncü kişileri bilme, eğer varsa verilerdeki hataların düzeltilmesini isteme, eğer koşulları oluşmuşsa silinmesini veya yok edilmesini isteme haklarına sahiptirler.
NovaTek Bilişim Hizmetleri