Kollektif Bilgi İşlem Teknoloji Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVK)
Kollektif Bilgi İşlem Teknoloji Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVK)
Kollektif Bilgi İşlem Teknoloji Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası
## 1. GiriĹź
Kollektif Bilgi İşlem Teknoloji Anonim Şirketi ("Şirket" veya "Kollektif") olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek KVKK'nın 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası'nı ("Politika") sizlerin bilgisine sunuyoruz.
## 2. Tanımlar
İşbu Politika'da geçen:
- **Açık Rıza:** Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- **Anonim Hale Getirme:** Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- **İlgili Kişi:** Kişisel verisi işlenen gerçek kişiyi,
- **Kişisel Veri:** Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- **Kişisel Verilerin İşlenmesi:** Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- **Kurul:** KiĹźisel Verileri Koruma Kurulu'nu
- **Özel Nitelikli Kişisel Veri:** Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
- **Veri İşleyen:** Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- **Veri Sorumlusu:** Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
ifade eder.
## 3. KiĹźisel Verilerin Ä°Ĺźlenmesine Ä°liĹźkin Genel Ä°lkeler
Kollektif olarak kişisel verileri aşağıda yer alan ilkeler uyarınca işlemekteyiz:
- Hukuka ve dürüstlük kurallarına uygun olma
- DoÄźru ve gerektiÄźinde gĂĽncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
## 4. Kişisel Verilerin İşlenme Şartları
Kollektif olarak, kişisel verileri yalnızca KVKK'nın 5. maddesinde belirtilen şartlardan birinin varlığı hâlinde işlemekteyiz:
a) İlgili kişinin açık rızasının bulunması
b) Kanunlarda açıkça öngörülmesi
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
d) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
e) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
f) İlgili kişinin kendisi tarafından alenileştirilmiş olması
g) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
h) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
## 5. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kollektif olarak, özel nitelikli kişisel verileri yalnızca ilgili kişinin açık rızası ile işlemekteyiz. Ancak, KVKK'nın 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel veriler işlenebilmektedir:
a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde,
b) Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
## 6. Kişisel Verilerin İşlenme Amaçları
Kollektif olarak kişisel verilerinizi aşağıdaki amaçlarla işlemekteyiz:
- Ürün ve hizmetlerimizin sunulması, geliştirilmesi ve iyileştirilmesi
- Müşteri ilişkilerinin yönetimi ve müşteri memnuniyetinin sağlanması
- Pazarlama ve reklam faaliyetlerinin yĂĽrĂĽtĂĽlmesi
- İş süreçlerinin ve operasyonel faaliyetlerin planlanması ve icrası
- Finans ve muhasebe iĹźlemlerinin yĂĽrĂĽtĂĽlmesi
- Hukuki yĂĽkĂĽmlĂĽlĂĽklerin yerine getirilmesi
- Şirket içi raporlama ve analiz çalışmalarının yapılması
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
- İnsan kaynakları süreçlerinin ve ihtiyaçlarının planlanması ve icrası
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası
- Tedarikçi/iş ortağı yönetimi süreçlerinin planlanması ve icrası
- Yetkili kiĹźi, kurum ve kuruluĹźlara bilgi verilmesi
- Şirket yerleşkelerinin güvenliğinin sağlanması
## 7. Kişisel Verilerin Aktarılması
Kollektif olarak, kişisel verileri yalnızca KVKK'nın 8. ve 9. maddelerinde belirtilen şartlar çerçevesinde üçüncü kişilere aktarmaktayız. Bu kapsamda, kişisel veriler;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
şartlarından birinin varlığı hâlinde, açık rıza aranmaksızın üçüncü kişilere aktarılabilir.
Kişisel verilerin yurtdışına aktarılması durumunda, yukarıdaki şartlara ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması gerekmektedir.
## 8. Kişisel Verilerin Saklanması ve İmhası
Kollektif olarak, kişisel verileri yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmekteyiz. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktayız. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
## 9. Veri Sahibinin Hakları ve Bu Hakların Kullanılması
KVKK'nın 11. maddesi uyarınca veri sahipleri,
- Kişisel veri işlenip işlenmediğini öğrenme,
- KiĹźisel verileri iĹźlenmiĹźse buna iliĹźkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Söz konusu hakların kullanılması için, kimliğinizi tespit edici gerekli bilgiler ve kullanmak istediğiniz hakkınıza yönelik açıklamalarınızla birlikte talebinizi, KVKK'nın 11. maddesinde belirtilen hangi hakkınızın kullanımına ilişkin olduğunu da belirterek [İLETİŞİM ADRESİ] adresine ıslak imzalı olarak veya [E-POSTA ADRESİ] kayıtlı elektronik posta adresimize güvenli elektronik imza ile imzalanmış olarak gönderebilirsiniz.
## 10. Kişisel Verilerin Korunması İçin Alınan Tedbirler
Kollektif olarak, KVKK'nın 12. maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri almaktayız:
10.1. Teknik Tedbirler:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
10.2. Ä°dari Tedbirler:
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- KiĹźisel veri gĂĽvenliÄźi politika ve prosedĂĽrleri belirlenmiĹźtir.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Mevcut risk ve tehditler belirlenmiĹźtir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
11. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Kollektif olarak, KVKK'nın 12. maddesi uyarınca kişisel verilerin korunması konusunda alınan tedbirlerin denetimini yapmakta veya yaptırmaktayız. Bu denetim sonuçları Şirket'in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
12. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Kollektif olarak, KVKK'nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişiye ve Kurul'a bildirilmesini sağlayan sistemi yürütmekteyiz. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul'un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
13. Ä°lgili KiĹźinin BaĹźvurusu
İlgili kişi, KVKK'nın 11. maddesinde sayılan hakları kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e göre Kollektif'in [İLETİŞİM ADRESİ] adresine yazılı olarak veya [E-POSTA ADRESİ] kayıtlı elektronik posta adresine güvenli elektronik imza ile imzalanmış olarak iletebilirsiniz.
14. DeÄźiĹźiklikler
Kollektif, işbu Politika'da her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Politika'nın [WEB SİTESİ ADRESİ] sitesine konulmasıyla birlikte derhal geçerlilik kazanır. İşbu Politika'daki değişikliklerden haberdar olmanız için, siz ilgili kişilere gerekli bilgilendirme yapılacaktır.
15. YĂĽrĂĽrlĂĽk
Ä°Ĺźbu Politika [TARÄ°H] tarihinde yĂĽrĂĽrlĂĽÄźe girmiĹźtir.
