ITSERV TEKNOLOJİ HİZMETLERİ A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Kişisel Verilerin Korunması Politikası

ITSERV TEKNOLOJİ HİZMETLERİ A.Ş. (“Şirketimiz”), her türlü faaliyetini kişisel verilerin korunması mevzuatına uygun bir biçimde sürdürmeyi ve kişisel veri sahiplerinin temel hak ve hürriyetlerine azami derecede koruma sağlamayı hedef edinmektedir.

Bu Politika, Şirketimizin tamamını kapsamakta olup Şirketimizin veri sorumlusu konumunda bulunduğu tüm kişisel veri işleme faaliyetleri bakımından uygulanır.

TANIMLAR

Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade ederler:

Çalışanlar Şirketimizin çalışanlarını ifade eder.
Kişisel Veri Sahibi Kişisel verisi işlenen gerçek kişidir. Örneğin; çalışan, ziyaretçi.
Kişisel Verilerin İşlenmesi Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; elde etmek, kaydetmek, depolamak, değiştirmek, aktarmak.
KVK Kanunu 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
KVK Kurulu Kişisel Verileri Koruma Kurulu’nu ifade eder. KVK Kurumunun karar organıdır.
KVK Kurumu Kişisel verileri Koruma Kurumu’nu ifade eder. KVK Kanunu ile kurulmuş idari ve mali özerkliğe sahip resmi otoritedir.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Örneğin; belgeleri klasörler veya dosyalar halinde arşivlemek.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri Sorumlusu

Bu Politika kapsamına giren kişisel veri işleme faaliyetleri bakımından veri sorumlusu, Şirketimiz tüzel kişiliğinin kendisidir.

Envanter ve Kayıt Tutma

Şirketimiz tarafından gerek kişisel veri işleme faaliyetlerinin takibi ve yönetilebilmesi gerekse hukuki yükümlülüklerimize uyum sağlanabilmesi amaçlarıyla bir kişisel veri işleme envanteri tutulmaktadır. Bu envanter kapsamında kişisel veri kategorileri ve işleme amaçları ile bunların aktarıldığı alıcı grupları, saklama süreleri gibi bilgiler, Şirketimizin iş süreçleriyle ilişkilendirilerek listelenmektedir.

Eğitim ve Farkındalık

Şirketimizin kişisel verileri işleme faaliyetlerinde rol alan ve/veya kişisel verilere erişim yetkisine sahip çalışanlarına gerekli mevzuat ve bilgi güvenliği eğitimlerinin yaptırılması, böylece Şirketimizin kişisel verilerin korunmasına ilişkin genel farkındalığının muhafaza edilmesi ve Şirketimize yeni katılan çalışanların bu farkındalık düzeyinde olduğundan emin olunması gerekmektedir. Şirketimiz çalışanlarına yönelik gerekli mevzuat ve bilgi güvenliği eğitimlerinin periyodik bir biçimde gerçekleştirilmektedir.

 

KİŞİSEL VERİLERİN KORUNMASI

Kişisel veri işleme faaliyetleri, kişisel verilerin korunması mevzuatına ve özellikle KVK Kanununa uygun gerçekleştirilmekte ve için bu bölümde açıklanan tüm şartların durumun özelliklerine uygun düştükleri ölçüde yerine getirilmektedir.

Genel İlkeler

Şirketimiz tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetlerinde her daim aşağıdaki ilkelere uygun hareket edilir.

Hukuka ve Dürüstlük Kuralına Uygunluk

Kişisel verilerin işlenmesinde yalnızca KVK Kanununa değil, diğer tüm kanunlarla ve yasal düzenlemelere uygun hareket edilmeli, kişisel veri sahiplerinin çıkarları ve makul beklentileri dikkate alınmalıdır.

Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel veriler, elde edilmesi safhasında gerçek ile uyumlu bir mahiyette toplanmalı ve bilgilerin isabetli olması sağlanmalıdır. Ayrıca kişisel veri sahiplerinin, verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerini sağlayacak imkânlar oluşturulmalı ve bu talepler dikkatle ele alınmalıdır.

Bir işleme faaliyeti, kişisel veri sahibi bakımından sonuç doğurabilecek nitelikteyse kişisel verilerin güncel olup olmadığı kontrol edilmeli ve gerekli görülmesi halinde verilerin güncellenebilmesi için kişisel veri sahibiyle iletişime geçilmelidir.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Kişisel veri işleme amacının, kişisel veri elde edilmeden önce açık ve kesin olarak belirlenmesi ve bu amacın meşru, yani hukuka uygun olması zorunludur. Bu bağlamda kişisel veriler, bir amaç belirlenmeksizin veya çok genel bir amaca yönelik olarak toplanmamalıdır. Elde edilen bir kişisel veri, toplanma amacı dışında kullanılmadan önce yeni bir işleme temeli (rıza almak gibi) belirlenmeli, bu mümkün değilse toplanma amacının dışına çıkılmamalıdır. Ayrıca işleme amacının, kişisel veri sahibi tarafından bilinir hale getirilmesine yönelik şeffaflık adımları da atılmalıdır.

Şirketimiz, gerçekleştirdiği işleme faaliyetleri bakımından kişisel veri işleme envanteri kapsamında işleme amaçlarını belirlemekte ve bunların meşruiyetini denetlemektedir. Ayrıca aydınlatma yükümlülüğü kapsamında söz konusu amaçlar kişisel veri sahiplerine bildirilmektedir.

Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Asgari işleme prensibi olarak da ifade edilen bu ilkeye göre kişisel veriler, belirlenen amaçların gerçekleştirilebilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya bu amaç için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Örneğin sonradan ortaya çıkabileceği düşünülen ihtiyaçların karşılanmasına yönelik olarak kişisel veri toplanmamalıdır.

Gerektiği Kadar Muhafaza Edilme

Kişisel veriler, ilgili yasal mevzuatta saklanmaları için öngörülen bir süre varsa bu süre kadar veya işlendikleri amaç için gerekli olan süre daha uzunsa bu süre kadar muhafaza edilmelidir. Bir kişisel verinin saklanması için geçerli bir sebep kalmaması halinde söz konusu kişisel veri imha edilmeli, yani silinmeli, yok edilmeli veya anonim hale getirilmelidir. Şirketimiz bu doğrultuda, kişisel verileri gerektiği kadar muhafaza etmektedir.

 

Hukuka Uygunluk

İşleme Temelleri

Herhangi bir kişisel verinin hukuka uygun bir biçimde işlenebilmesi için işleme faaliyetinin, KVK Kanununda sayılan işleme temellerinin en az bir tanesine dayanması gerekmektedir. Kişisel veri sahibinin açık rıza vermesi, bu işleme temellerinden yalnızca bir tanesi olup kişisel veri sahibinden açık rızası edinilmeksizin kişisel veri işlenmesi de mümkündür.

Kişisel veri işleme faaliyeti, açık rıza dışındaki işleme temellerinden birine dayanıyorsa, bu durumda kişisel veri sahibinden açık rıza alınmasına ihtiyaç bulunmayacaktır. Zira işleme faaliyetinin, açık rıza dışında bir temelde yürütülmesi mümkünken açık rızaya dayanılması, aldatıcı olabilecektir. Bu kapsamda, kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme temellerinden birine dayanıp dayanmadığı değerlendirilmeli, eğer açık rıza dışındaki temellerden en az biri uygulanabilir değilse bu durumda işleme faaliyetinin gerçekleştirilebilmesi için kişisel veri sahibinin açık rızası alınmalıdır.

Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi faaliyetleri KVK Kanunu 5’inci ve 6’ncı maddelerinde belirtilen hukuki işleme temellerine dayanmaktadır.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirketimiz, özel nitelikli kişisel verilerin korunmasına azami önem atfetmekte ve bu doğrultuda gerekli idari ve teknik tedbirleri uygulamaktadır.

Şeffaflık

Kişisel Veri Sahiplerinin Aydınlatılması

Şirketimiz için kişisel veri işleme faaliyetlerinin kişisel veri sahibinin bilgisi dâhilinde gerçekleşmesi esastır. Bu kapsamda sorumlu yöneticiler tarafından kişisel veri sahibine; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçlarla işleneceği, kimlere ve hangi amaçlarla üçüncü kişilere aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVK Kanununda sayılan hakları konusunda bilgilendirme yapılması sağlanır.

Buna karşın KVK Kanunu amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi dâhil KVK Kanununun 28. maddesinde sayılan durumlarda kişisel veri sahiplerine bu madde kapsamında bir bilgilendirme yapılması gerekmeyecektir.

Kişisel Veri Sahiplerinin Taleplerinin Karşılanması

Kişisel Veri Sahiplerinin Hakları

Kişisel veri sahipleri, KVK Kanunu uyarınca aşağıdaki haklara sahiptirler:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenmesini gerektiren sebeplerin ortadan kalktığı kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme.

KVK Kanunu amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aşağıda sayılan durumlarda kişisel veri sahipleri,  zararın giderilmesini talep etme hakkı hariç diğer haklarını ileri süremezler:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri; yazılı olarak, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adreslerini kullanarak haklarını ileri sürebilirler. Kişisel veri sahipleri tarafından yapılan başvurular en kısa sürede ve en geç 30 gün içinde cevaplanır.

Başvuruya İlişkin Maliyet

Şirketimiz tarafından sağlanan yanıtın on sayfaya kadar olan kısmı için bir ücret alınmaz ancak on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, taşınabilir bellek gibi bir kayıt ortamında verilmesi halinde ilgili kayıt ortamının maliyeti, kişisel veri sahibinden talep edilir. Başvurunun, Şirketimizin bir hatasından kaynaklanması hâlinde alınan tüm ücret ve masraflar kişisel veri sahibine iade edilir.

Veri Aktarımları ve Üçüncü Kişi Uyum

Hukuka Uygunluk

Kişisel verilerin üçüncü kişilere aktarılabilmeleri gerektiğinde işleme temellerinin, aktarıma özgü bir biçimde uygulanabilir olup olmadığı kontrol edilir ve durumun gereği yerine getirilir. Örneğin, hukuki yükümlülüğün kişisel verilerin aktarılmasının yönelik olması veya açık rızanın kişisel verilerin aktarılması için alınmış olması gerekir.

Özel nitelikli kişisel verilerin aktarılması söz konusu olduğunda gerekli tüm tedbirler uygulanır.

İdari ve Teknik Tedbirler

Bir üçüncü kişiye kişisel veri aktarımı gerçekleşmeden veya bir üçüncü kişiye Şirketimiz saklama alanlarına erişim yetkisi verilmeden önce karşı tarafın kişisel verilerin işlenmesinde yeterli dikkat ve özeni göstereceğinden, uygun güvenlik düzeyini temin edeceğinden emin olunur.

Yurt Dışına Aktarım

Kişisel verilerin yurt dışına aktarılabilmesi için bu Politikanın “Hukuka Uygunluk” başlığı altında belirtilen işleme temellerinin yurt dışına aktarıma özgü bir biçimde uygulanabilir olduğu kontrol edilir ve durumun gereği yapılır. İşleme temeli açık rıza değilse bu durumda işleme temellerine ilaveten ayrıca:

  1. Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunduğundan emin olunur veya
  2. Yeterli korumanın bulunmaması durumunda yurt dışındaki alıcı taraf ile bir sözleşmesel ilişki tesis edilmesi ve içeriğinde KVK Kurumu tarafından yayınlanan “Yurtdışına Veri Aktarımında Veri Sorumlularınca Hazırlanacak Taahhütnamede Yer Alacak Asgari Unsurlar”a yer verilir.

Veri Güvenliği

İdari ve Teknik Tedbirler

Şirketimizce gerçekleştirilen tüm faaliyetlerde kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanması amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbir alınır.

Veri Güvenliği İhlali

Şirketimizce işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi hâlinde, bu durumun en kısa sürede ilgili kişisel veri sahiplerine ve KVK Kuruluna bildirilmesi gerekmektedir. Bu yükümlülüğe uyumu teminen kişisel veri güvenliği bakımından kayda değer vakıalar Şirketimiz genelinde izlenir ve bunların veri güvenliği ihlali teşkil edip etmediği değerlendirilerek gereği yapılır. Şayet bir veri güvenliği ihlali söz konusuysa ihlalin öğrenildiği andan itibaren en geç 72 saat içerisinde KVK Kuruluna bildirim yapılır.

İş bu Politika 02.09.2019 tarihinde yürürlüğe girmiştir. Politika değişen koşullara ve mevzuata uyum amacıyla güncellenebilecektir