VB-AP BİLİŞİM SİSTEMLERİ YAZILIM EĞİTİM VE DANIŞMANLIK LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
Doküman Tarihi: 15/01/2024
1. GİRİŞ
Veri sorumlusu olarak “VB-AP BİLİŞİM SİSTEMLERİ YAZILIM EĞİTİM VE DANIŞMANLIK LİMİTED ŞİRKETİ” için müşterilerinin, çalışanlarının ve ilişki içinde olduğu diğer gerçek kişilerin sahip olduğu kişisel verilerin korunması çok önemli olup, kişisel verilerin yasal düzenlemelerin tarif ettiği şekil ve şartlarda güvence altına alınması hususunda sorumluluğunun farkındadır; VB-AP, böylece bu sorumluluğunu bir şirket politikası haline getirmektedir.
Bu politika VB-AP’ın, KVK Düzenlemeleri uyarınca kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken ve kişisel verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir. Bu kapsamda, KVK Düzenlemeleri gereğince kişisel verilerin işlenmesi ve korunması için VB-AP tarafından gerekli düzenlemeler yapılmakta ve farkındalığın oluşması için ihtiyaç duyulan sistem kurulmaktadır.
VB-AP, kendi bünyesinde bulunan kişisel veriler bakımından veri sorumlusu sıfatıyla, politika ve politikaya bağlı olarak uygulanacak prosedürlere uygun davranacağını beyan eder.
2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın amacı, VB-AP tarafından KVK Düzenlemelerine uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak ve süreçlere ilişkin esasları belirlemektir. Kişisel verilerin işlenmesi ve korunması süreçleri için bu politika ve VB-AP bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye kişisel verilerin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu politika VB-AP tarafından yönetilen, kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen tüm faaliyetlerde uygulanmaktadır ve müşterilerimizin, çalışanlarımızın, çalışanlarımızın aile bireylerinin, önceki çalışanlarımızın, çalışan adaylarımızın, şirket ortaklarının/yetkililerinin, ziyaretçilerimizin ve üçüncü kişilerin tüm kişisel verilerine ilişkindir.
Bu politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
Bu politika, KVK Düzenlemelerinin gerektirmesi halinde yahut kişisel verilerin işlenmesi ve aktarılması amaçlarında ve toplanma yöntemlerinde gerçekleşecek değişiklikler çerçevesinde VB-AP’In gerekli gördüğü hallerde, zaman zaman değiştirilebilir.
3. POLİTİKANIN VE KVK DÜZENLEMELERİNİN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması sürecinde KVK Düzenlemeleri öncelikle uygulanacak olup, bu düzenlemeler ile politika hükümleri arasında uyumsuzluk bulunması durumunda KVK Düzenlemeleri geçerli olacaktır.
4. TANIMLAR
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Bu politika kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Veriler”i de kapsar.).
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına ilişkin yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, ilke kararları, Mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Kişisel Veri Sahibi: Kişisel verileri VB-AP tarafından veya VB-AP adına işleme sokulan gerçek kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.
Çalışan Adayı: VB-AP’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini VB-AP’ın incelemesine açmış olan gerçek kişiler.
Ziyaretçi: VB-AP’In sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.
Kurul: Kişisel Verileri Koruma Kurulu.
Politika: Kişisel verilerin işlenmesi ve korunması politikası.
5. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
5.1.Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme
VB-AP, kişisel verilerin işlenmesi esnasında hukuka ve dürüstlük kurallarına uygun hareket etmekte; orantılılık ve gereklilik prensiplerini dikkate almakta, kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemektedir.
5.2. Kişisel verileri doğru ve gerektiğinde güncel tutma
Kişisel verilerin doğru ve güncel bir şekilde tutulması, ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olup, VB-AP, işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta ve bu doğrultuda gerekli tedbirleri almakta; kişisel veri sahibinin kişisel verilerine yönelik değişiklik talep etmesi durumunda ilgili kişisel verileri güncellemektedir.
5.3. Kişisel verileri belirli, açık ve meşru amaçlar için işleme
VB-AP, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemekte; kişisel verileri yürütmekte olduğu ticari faaliyet ve sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemekte; kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmakta; bu doğrultuda, kişisel veri sahibi KVK Düzenlemeleri kapsamında aydınlatılmakta ve gereken hallerde kişisel veri sahibinden açık rızası alınmaktadır.
5.4. Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme
VB-AP, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte; amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir. VB-AP, kişisel verileri yalnızca KVK Düzenlemeleri kapsamında sınırlı sayılan hallerde ve ölçülülük esasına uygun olarak işlemektedir.
5.5. Kişisel verileri KVK Düzenlemelerinde öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
VB-AP, kişisel verileri ancak KVK Düzenlemelerinde belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmekte; bu kapsamda, VB-AP öncelikle KVK Düzenlemelerinde ve diğer mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamakta; sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde KKV Düzenlemeleri kapsamındaki yükümlülükler çerçevesinde kişisel veriler verinin niteliğine ve kullanım amacına göre silmekte veya yok etmektedir.
6. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KVK DÜZENLEMELERİNDEKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
6.1. Kişisel Verilerin İşlenmesi
VB-AP, KVK Düzenlemeleri gereğince kişisel verileri, kişisel verilerin işlenmesine ilişkin KVKK’nın 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemekte; KVKK’nın 10. maddesine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
6.1.1. Açık Rıza
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızası olup, kişisel veriler, sahiplerine aydınlatma yükümlülüğünün yerine getirilmesi kapsamında yapılacak bilgilendirme sonrası ve kişisel veri sahiplerinin açık rıza vermesi halinde işlenir. Aydınlatma yükümlülüğü çerçevesinde açık rıza alınmadan önce kişisel veri sahiplerine hakları bildirilir.
6.1.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
KVK Düzenlemeleri kapsamında açık rıza alınmaksızın kişisel verilerin işlenmesinin öngörüldüğü durumlarda (KVKK madde 5.2 ve 6.3), VB-AP kişisel veri sahibinin açık rızasını almaksızın kişisel verileri işleyebilecek olup, kişisel verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde kişisel verileri işler. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
6.1.2.1. Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
6.1.2.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişisel veri sahibinin veya kişisel veri sahibi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için kişisel veriler VB-AP tarafından açık rıza olmaksızın işlenebilir.
6.1.2.3. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel veriler kişisel veri sahiplerinin açık rızaları olmadan VB-AP tarafından işlenebilir.
6.1.2.4. VB-AP veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin açık rızaları olmadan kişisel verilerini işleyebilir.
6.1.2.5. Kişisel veri sahibi tarafından alenileştirilmiş olan kişisel veriler açık rıza alınmaksızın VB-AP tarafından işlenebilir.
6.1.2.6. Kişisel verilerin açık rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise kişisel veriler açık rıza alınmaksızın VB-AP tarafından işlenebilir.
6.1.2.7. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, VB-AP’ın meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel veriler VB-AP tarafından açık rıza olmaksızın işlenebilir.
6.1.3. VB-AP Partnerleri Tarafından Toplanan Verilerin VB-AP Tarafından İşlenmesi
VB-AP faaliyetleri kapsamında partner olarak bazı şirketler ile sözleşme ilişkisi içine girmekte, ürün ve hizmet satışı ve satış sonrası kurulum, servis ve bakım hizmetlerini bu kişiler aracılığıyla yürütebilmektedir. Bu kapsamda VB-AP müşterilerinin kişisel verileri, bu partner şirketler aracılığıyla kişisel veri sahibi gerçek kişilerden aydınlatma yükümlülüğü yerine getirilerek ve gerekli durumlarda rıza alınarak temin edilmekte ve VB-AP’a aktarılmaktadır. İşin yürütülebilmesi amacıyla bu veriler hem VB-AP hem de Partner Şirket tarafından işlenebilmektedir. VB-AP ile Partner Şirket arasındaki kişisel veri paylaşımına dair ilişkinin KVKK kapsamında veri işleyenden, veri sorumlusuna kişisel veri aktarımı şeklinde gerçekleşmesi durumunda, partner şirket, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, bu kişisel verilerin VB-AP’a gönderilebileceği konusunda aydınlatır. VB-AP, kendi adına kişisel veri toplanması hallerini değerlendirerek bu hususta partner şirketleri ve kendi şirket çalışanlarını bilgilendirir, gerekli eğitimleri verir ve tarafların hak ve yükümlülüklerini düzenleyen KVKK doğrultusunda hazırlanmış sözleşmelerin imzalanmasını sağlar.
6.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
VB-AP tarafından müşterilerin özel nitelikli kişisel verileri işlenmemektedir. Ancak Müşteri’nin iş alanı sebebi ile özel nitelikli kişisel veriler işlenecek ise KVKK’nın 6. Maddesine uygun hareket edilecektir. KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
6.2.1. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
6.2.2. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
Bu kapsamda VB-AP kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetlerini durdurmaktadır. Özel nitelikli kişisel veriler işlenecek olur ise, Kurul tarafından belirlenen önlemler alınacaktır.
6.2.3. Çalışanlardan sabıka kaydı ve VB-AP’ın merkez ofisi girişinde bulunan parmak izi ve iris okuma cihazı ile elde edilen biyometrik verileri gibi özel nitelikli kişisel veriler mevzuata ve Kurul kararlarına uygun olarak işlenmektedir. İşbu verilerle ilgili çalışanlardan açık rıza alınmıştır.
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ
7.1. VB-AP, KVKK’nın 7. maddesinde düzenlendiği üzere, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder.
7.2. Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
7.2.1. VB-AP tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır
7.2.1.1. Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
7.2.1.2. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken, bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
8. KİŞİSEL VERİLERİN AKTARILMASI VE ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
8.1. VB-AP, kişisel verileri Türkiye’de üçüncü kişilere aktarabileceği gibi, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, dış kaynak kullanımı dâhil yukarıda da yer verildiği gibi KVK Düzenlemelerinde öngörülen şartlara uygun olarak ve belirtilen tüm güvenlik önlemlerini alarak şayet kişisel veri sahibi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede ve KVK Düzenlemelerinde aksi düzenlenmediği sürece yurt dışına da aktarabilir.
8.2. VB-AP, üçüncü bir gerçek ya da tüzel kişiye kişisel veri aktardığı durumda, kişisel veri aktardığı üçüncü kişilerin de işbu politikaya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. VB-AP, üçüncü kişilere veri aktarımı sırasında hak ihlallerini önlemek için gerekli teknik ve idari önlemler almaktadır.
8.3. VB-AP, KVKK’nın 10. maddesine uygun olarak hazırladığı aydınlatma metninde kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
8.4. VB-AP, KVKK’nın 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve Kurul tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
8.5. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
VB-AP, kişisel verileri, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, KVKK madde 5.2’de ve 6.3’de belirlenen istisnai hallerde açık rıza olmaksızın Türkiye’de bulunan üçüncü kişilere aktarabilir.
VB-AP tarafından, müşterilerin veya ziyaretçilerin özel nitelikli kişisel verileri toplanmamakta, yalnızca çalışanlardan merkez ofise giriş esnasında kullanılmak üzere özel nitelikli kişisel veri sayılan biyometrik verileri toplanmakta olup işbu veriler de üçüncü kişilere aktarılmamaktadır.
Çalışanlar dışındaki veri sahipleri açısından özel nitelikli kişisel veri toplamanın ve aktarımın gerekli olması durumunda veri sahibi aydınlatılacak, veri sahibinden açık rıza alınacak ve işbu politikada da düzeltme yapılacaktır.
8.6. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
VB-AP tarafından yurt dışına veri aktarımı yapılmamaktadır. Ancak gerekli olması durumunda kişisel veriler, VB-AP tarafından kişisel veri sahibinin açık rızası alınmak şartı ile (KVKK madde 5.1 ve 6.2) Kurulca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurulun izninin bulunduğu yabancı ülkelere aktarılabilir. Bu durumda işbu politikada düzenleme yapılacaktır.
9. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARI KULLANMASI
9.1. Kişisel veri sahibinin sahip olduğu haklar aşağıda yer almaktadır
9.1.1. Kişisel veri işlenip işlenmediğini öğrenme,
9.1.2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
9.1.3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
9.1.4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
9.1.5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
9.1.6. KVK Düzenlemelerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
9.1.7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
9.1.8. Kişisel verilerin KVK Düzenlemelerine aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
9.2. VB-AP, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
9.3. Kişisel veri sahibinin haklarını ileri süremeyeceği haller
KVKK’nın 28. maddesi gereğince aşağıdaki haller KVKK kapsamı dışında tutulduğundan, kişisel veri sahibi bu konularda 9.1.’de sayılan haklarını ileri süremez:
9.3.1. Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
9.3.2. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
9.3.3. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
9.3.4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahibi zararın giderilmesini talep etme hakkı hariç, 9.1.’de sayılan diğer haklarını ileri süremez:
9.3.5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
9.3.6. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
9.3.7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
9.3.8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
9.4. Kişisel veri sahibinin haklarını kullanması
9.4.1. Kişisel veri sahibi bu politikada belirtilen haklarına ilişkin taleplerini, kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurulun belirlediği diğer yöntemlerle başvuru formunu doldurup imzalayarak VB-AP’a ücretsiz olarak iletebilecektir. Bunun yanında kişisel veri sahibi olarak talebinize ilişkin bilgi ve belgeleri başvurunuza eklemeniz gerekmektedir.
Yukarıda belirtilen haklarınızı kullanmakla ilgili taleplerinizi, konu kısmına “Kişisel Verilerin Korunması Mevzuatı Kapsamında Bilgi Talebi” yazarak,
*şahsen ve yazılı olarak başvuru için adresimize: Görükle Mah. Üniversite 1 Cad. Ulutek Teknoloji Geliştirme Mrk. No:933 Ofis No:237 Nilüfer/BURSA
*elektronik posta olarak adresimize: info@vbap.com.tr iletebilirsiniz.
Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;
9.4.1.1. Ad, soyad ve başvuru yazılı ise imza,
9.4.1.2. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
9.4.1.3. Tebligata esas yerleşim yeri veya iş yeri adresi,
9.4.1.4. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
9.4.1.5. Talep konusu,
Bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda burada sayılan hususların eksiksiz olarak VB-AP’a iletilmesi gerekmektedir.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel yetki içeren vekâletname bulunmalıdır.
9.4.2. Kişisel veri sahibinin, talebini VB-AP’a iletmesi durumunda, VB-AP talebin niteliğine göre en geç otuz gün içinde ilgili talebi sonuçlandıracaktır. Kişisel veri sahibinin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Başvurunun VB-AP’ın hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir. VB-AP, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. VB-AP, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. VB-AP talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde VB-AP tarafından gereği yerine getirilir.
9.4.3. VB-AP 9.3.’te sayılan ve/veya aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
9.4.3.1. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
9.4.3.2. Orantısız çaba gerektiren taleplerde bulunulmuş olması,
9.4.3.3. Talep edilen bilginin kamuya açık bir bilgi olması,
9.4.4. Kişisel veri sahibinin Kurula şikâyette bulunma hakkı.
Kişisel veri sahibi, KVKK’nın 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; VB-AP’In cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
10. KİŞİSEL VERİLERİN KORUNMASI
10.1. VB-AP, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
10.2. VB-AP bünyesinde gerçekleştirilen kişisel veri işleme faaliyetlerini hukuki yöntemlerle denetlenmektedir.
10.3. VB-AP çalışanları ve partner şirket çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir.
10.4. VB-AP ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, VB-AP’ın talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.
10.5. VB-AP, teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır. Çalışanların erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar kapatılmaktadır. Alınan teknik önlemler bakımından risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır. Teknik konularda bilgili personel istihdam edilmektedir. Çalışanlar, özellikle kişisel veri işleyen ilgili kullanıcılar ve tüm personel, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmektedir.
10.6. Çalışanlar, öğrendikleri kişisel verileri KVK Düzenlemelerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve kişisel verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
10.7. Şirkette kişisel verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, kişisel veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, VB-AP’In önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.
10.8. Herhangi bir kişisel veri güvenliği ihlaline karşı tedbirli olmak adına kriz ve itibar yönetimi görüşülmüş, bu kapsamda Kurul’u ve ilgili kişiyi bilgilendirme süreçleri tasarlanmıştır.
10.9. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
10.10. VB-AP, kendi bünyesinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta veya yaptırmaktadır.
10.11. VB-AP, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurula bildirecektir. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
11. VB-AP TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI
11.1. VB-AP nezdinde, VB-AP’ın meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen bütün yükümlülüklere uyularak, aşağıda belirtilen sınıflardaki kişisel veriler, KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu sınıflarda işlenen kişisel verilerin bu politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da bu politikanın 11.2. maddesinde belirtilmektedir.
| KİŞİSEL VERİ SINIFLANDIRMASI | KİŞİSEL VERİ SINIFLANDIRILMASI AÇIKLAMASI |
| Kimlik Verisi | Ad-soyad, T.C. kimlik numarası, doğum tarihi, cinsiyet, sosyal güvenlik numarası, vergi kimlik numarası, parmak izi, retina taraması. |
| İletişim Verisi | Telefon numarası, ev adresi, çalışma yeri adresi, şahsi e-posta adresi, bilgisayar numarası, sistem kullanıcı adı, faks numarası, IP numarası, erişim URL (web) gibi bilgiler. |
| Özlük Verisi | VB-AP ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri. (Özgeçmiş bilgileri, eğitim bilgileri, maaş ve prim bilgileri, terfi/uyarı bilgileri, başlama tarihi, iş pozisyonu/ları, iş atamaları, çalışma saatleri, performans bilgileri, terhis belgesi, yıllık izin bilgileri, sabıka kaydı). |
| Finansal Veri | VB-AP’ın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka bilgileri, çalışan masrafları, maaş bilgisi. |
| Görsel ve İşitsel Kayıtlar | Kişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur (Fotoğraf, kamera kaydı). |
| Lokasyon Verisi | Kişisel veri sahibinin VB-AP iş birimleri tarafından yürütülen operasyonlar çerçevesinde, çalışanların VB-AP sistem veya bilgisayarlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; seyahat verileri v.b. |
| Aile Bireyleri Verisi | Kişisel veri sahibinin eş ve çocuk durumu. |
| Diğer Veriler | Ofis giriş-çıkış bilgileri, fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları, logo vb ayırt edici işaretler. |
11.2. Aşağıdaki tabloda kişisel veri sahibi sınıfları ve bu sınıflar içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği detaylandırılmaktadır.
| Çalışanlar | Kimlik Verisi: * ad – soyad, * T.C. kimlik numarası, * doğum tarihi, * sosyal güvenlik numarası, cinsiyet, parmak izi, retina taraması. İletişim Verisi: * cep telefon numarası, * ev adresi, * şahsi e-posta adresi, * bilgisayar numarası, * sistem kullanıcı adı, * IP numarası, * erişim URL (web); Özlük Verisi: * özgeçmiş bilgileri, * eğitim bilgileri, * maaş ve prim bilgileri, * terfi/uyarı bilgileri, * başlama tarihi, * iş pozisyonu/ları, * iş atamaları, * çalışma saatleri, * performans bilgileri, * terhis belgesi, * yıllık izin bilgileri; Finans: * banka bilgileri, * çalışan masrafları, * sosyal güvenlik verileri, * maaş bilgisi Görsel ve İşitsel Kayıtlar: * çalışan fotoğrafı; Lokasyon Verisi: *seyahat verileri; Diğer Veriler: ofis giriş-çıkış bilgileri, fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları, |
| Önceki Çalışanlar | Kimlik: * ad – soyad, * T.C. kimlik numarası, * doğum tarihi, * sosyal güvenlik numarası; İletişim: * ev adresi, * şahsi e-posta adresi; Özlük: * özgeçmiş bilgileri, * eğitim bilgileri, * maaş ve prim bilgileri, * terfi/uyarı bilgileri, * başlama tarihi, * iş pozisyonu/ları, * iş atamaları, * çalışma saatleri, * performans bilgileri, * terhis belgesi, * yıllık izin bilgileri * ayrılma belgesi; Finans: * banka bilgileri, * sosyal güvenlik verileri, * maaş bilgisi, Görsel ve İşitsel Kayıtlar: * çalışan fotoğrafı. |
| Çalışan Adayları | Kimlik Verisi: * ad – soyad İletişim Verisi: * cep telefon numarası, * e-posta adresi Özlük Verisi: * özgeçmiş bilgileri Görsel ve İşitsel Kayıtlar: * aday fotoğrafı (özgeçmişinde varsa) |
| Gerçek Kişi Partner | Kimlik: * ad – soyad, * vergi kimlik numarası; İletişim: * telefon numarası, * adresi, e-posta adresi; Diğer: Logo |
| Tüzel Kişi Partner | Kimlik: * Unvan * vergi kimlik numarası; yönetici ad-soyad İletişim: * telefon numarası, * adresi, e-posta adresi. |
| Müşteri | Kimlik: * ad – soyad, kimlik numarası, pasaport numarası, doğum tarihi; İletişim: * cep telefonu numarası, * e posta adresi, iş adresi; Finans: * banka hesap bilgileri. |
12. SAKLAMA VE İMHA SÜRELERİ
12.1. Saklama Süreleri
| VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
| Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve hitamından itibaren de 10 (on) yıl müddetle muhafaza edilir. |
| Partner | Partner ile VB-AP arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, | VB-AP’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
| Ziyaretçi | VB-AP’a ait fiziki mekana girişte VB-AP tarafından herhangi bir kişisel veri alınmamaktadır. Ancak Ulutek tarafından alınan Ziyaretçi’ye ait ad, soyad, T.C.K.N. ile kamera kayıtları, telefon aramalarında alınan ses kayıtlarının kanun kapsamında işlenmesinden Ulutek sorumludur. | 2 yıl süre ile saklanır. |
| İnternet Sitesi Ziyaretçisi | İnternet Sitesi Ziyaretçisi’ne ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri | 2 yıl süre ile saklanır. |
| Çalışan Adayı | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. |
| Stajyer(öğrenci) | Stajyer’e ait staj dosyasında yer alan bilgiler | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. |
| Müşteri | Müşteri’ye ait ad, soyad, T.C.K.N., vergi kimlik no, iletişim bilgileri, ödeme bilgileri ve yöntemleri, finansal veriler | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
| Potansiyel Müşteri | Potansiyel Müşteri ile VB-AP arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler | 2 yıl süre ile saklanır. |
| VB-AP’ın İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi, Fason Üretici, Bayi/Franchise) | VB-AP’ın İşbirliği İçinde Olduğu Kurum/Firmalar ile VB-AP arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, VB-AP’ın İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri | VB-AP’ın İşbirliği İçinde Olduğu Kurum/Firmaların, VB-AP’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
*Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
12.2. İlgili kişi, Kanunun 13’ncü maddesine istinaden VB-AP’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; VB-AP talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler veya yok eder. VB-AP’ın talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. VB-AP, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep VB-AP tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
12.3. VB-AP işleme şartları ortadan kalkmış olan kişisel verileri 30.04.2021’den başlamak üzere, tekrar eden 6 aylık aralıklarla re’sen gerçekleştirilecek bir işlemle siler veya yok eder.