KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1. Amaç
Bu politika, veri sorumlusu FUNDERO BİLİŞİM HİZ. VE TİC. A.Ş. ("FUNDERO") tarafından yürütülen faaliyetlerde, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve başta olmak üzere yürürlükteki tüm veri koruma mevzuatına uyum sağlamak, kişisel verilerin işlenmesi ve korunmasına ilişkin temel ilke, yöntem ve uygulamaları belirlemek amacıyla hazırlanmıştır. Aynı zamanda Kanun'un 10. maddesi uyarınca yerine getirilmesi gereken aydınlatma yükümlülüğünün genel çerçevesini de tanımlar.
2. Kapsam
Politika, FUNDERO bünyesinde gerçekleştirilen tüm kişisel veri işleme faaliyetlerini kapsamaktadır. Çalışanlar, çalışan adayları, tedarikçiler, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler, her türlü elektronik veya fiziksel ortamda işlenmekte olan veriler dahil olmak üzere bu kapsamda değerlendirilir.
İlgili kişi gruplarına göre kişisel veri kategorileri, işleme amaçları, hukuki sebepler ve aktarım detayları; FUNDERO tarafından hazırlanan aydınlatma metinlerinde ve VERBİS kayıtlarında yer alan Kişisel Veri İşleme Envanteri'nde ayrıntılı olarak belirtilmiştir.
3. Tanımlar
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: FUNDERO Personeli
Çalışan Adayı: Şirketimizde çalışmak için başvuru yapan gerçek kişi
EBYS: Elektronik Belge Yönetim Sistemi
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: FUNDERO ile KVKK kapsamında belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
KVKK: Kişisel verileri koruma kurumu
Müşteri: Satış ve pazarlama faaliyetlerinin muhatabı olan gerçek kişi
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası
Tedarikçi Çalışanı: Belli bir ürün veya hizmet sözleşmesi kapsamında firma yetkilisi/çalışanı
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
4. Yetki ve Sorumluluklar
| ROL | GÖREV TANIMI |
|---|---|
| Veri Sorumlusu İrtibat Kişisi | FUNDERO bünyesinde gerek EU GDPR ve gerekse KVKK kapsamında tüm grubun işleyişinin mevzuata uyumlu hale getirilmesi, genel politikaların hazırlanması, süreçlerin denetlenmesi, eğitimlerin planlanması ve hazırlanması, mevzuat gereğince yapılacak başvuru ve şikayetlerin incelenip, sonuçlandırılması bu komisyonun başlıca görevleridir. VERBİS'e kayıt, KVK Kurumu ile yapılan yazışmaları Veri Sorumlusu adına tebliği ve yanıtlama görevlerini de icra eder. |
| KVKK Komisyonu | Yerel veri koruma konusundaki uygunluk konusu konu uzmanı
|
| Veri Güvenlik Komisyonu | IT ve Fiziki Altyapı açıklarının tespiti ve bu açık ve eksikliklerin nasıl ve hangi maliyetler kapatılabileceğini yönetime bildirme, yönetimden alınacak onay ile gereken aksiyonları gerçekleştirme, gerekli kontrol ve denetimleri yerine getirme. |
5. Temel İlkeler
FUNDERO, kişisel veri işleme faaliyetlerini aşağıdaki ilkelere uygun yürütür:
Hukuka ve dürüstlük kurallarına uygunluk
Doğruluk ve güncellik
Belirli, açık ve meşru amaçlar
Amaçla bağlantılı, sınırlı ve ölçülü işleme
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
6. Kişisel Verilerin İşlenme Amaçları
FUNDERO, kişisel verileri aşağıdaki amaçlarla işler:
| Veri Kategorisi | Kişisel Veri İşleme Amacı |
|---|---|
| 1-Kimlik |
|
| 2-İletişim |
|
| 4-Özlük |
|
| 5-Hukuki İşlem |
|
| 6-Müşteri İşlem |
|
| 7-İşlem Güvenliği |
|
| 8-Finans |
|
| 9 - Pazarlama |
|
| 13-Görsel Ve İşitsel Kayıtlar |
|
Bu amaçlar, ayrıca kişisel veri saklama ve imha politikamızda ve ilgili kişilere ait aydınlatma metinlerinde detaylandırılmıştır.
7. Kişisel Veri Toplama Yöntemleri ve Hukuki Sebepler
Kişisel veriler otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, yazılı, sözlü ve elektronik yollarla; açık rıza, sözleşmenin ifası, hukuki yükümlülüklerin yerine getirilmesi, kanunlarda öngörülmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri ve kamu sağlığının korunması gibi hukuki sebeplerle toplanmaktadır.
8. Yurtiçi ve Yurtdışı Veri Aktarımı
Kişisel veriler, Kanun'un öngördüğü şartlara uygun olarak yurt içi ve yurt dışındaki iş ortaklarına, iştiraklere, kamu kurumlarına veya yetkili kuruluşlara aktarılabilir. Microsoft 365 gibi bulut sistemlerinde barındırılan veriler, güvenlik tedbirlerine uygun şekilde yurtdışına aktarılmaktadır. 10 Temmuz 2024 tarihli "Yurtdışına Veri Aktarımı Yönetmeliği" esas alınmaktadır.
9. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Veri Sorumlusu KVKK'da "özel nitelikli kişisel veri" olarak belirlenen kişisel verilerin korunmasında daha hassas ve özenli davranmaktadır. Veri sahibinin açık rızası olmaksızın özel nitelikli kişisel veriler, Kurum ve bağlı şirketler tarafından işlenmemektedir.
Veri Sorumlusu, çalışanlarının ve çalışan adaylarının adli sicille ilgili verileri ile sağlık raporları, engelli olma durumları özlük dosyasına konulmak üzere veya görevlendirme yaparken sağlık durumuna uygun şekilde görevlendirme yapabilmek için ilgili mevzuat gereği ve mevzuat tarafından belirlenecek olan yeterli önlemleri alarak işlemektedir. Bunun yanı sıra veri sorumlusu tarafından yayınlanan tüm diğer politika ve aydınlatma metinlerinde özel nitelikli veri işleme faaliyetlerine dair aydınlatma metinleri ve gerektiğinde açık rıza formları mevcuttur.
10. Kişisel Verilerin Korunması İçin Uygulanan Tedbirler
Teknik ve İdari Tedbirler
Kişisel verilerin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirler alınmaktadır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhhütnameleri yapılmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
11. Veri İhlali Yönetimi
İhlal tespiti yapıldığında, 72 saat içinde KVK Kurumu'na bildirim yapılır.
İlgili kişiler bilgilendirilir.
Kök neden analizi gerçekleştirilir, tekrarını önleyici tedbirler alınır.
12. Kişisel Verilerin Saklanması ve İmhası
Veriler mevzuatta öngörülen süre boyunca saklanır. Süre sonunda, "Kişisel Veri Saklama ve İmha Politikası"na uygun olarak silinir, yok edilir veya anonimleştirilir.
13. İlgili Kişinin Hakları
KVKK'nın 11. maddesi uyarınca ilgili kişiler aşağıdaki haklara sahiptir:
Kişisel veri işlenip işlenmediğini öğrenme
İşlenmişse buna ilişkin bilgi talep etme
Düzeltme, silme, yok etme isteme
Aktarılan 3. kişileri öğrenme
İşlemenin münhasıran otomatik sistemlerle analiz edilmesine itiraz
Zarara uğrama halinde tazminat talep etme.
14. Politikanın Yönetimi ve Güncellenmesi
Politika, FUNDERO yönetimi tarafından onaylanır. Gerektiğinde, mevzuat değişiklikleri ya da kurumun faaliyetlerinde meydana gelen gelişmelere paralel olarak güncellenir. Güncellemeler çalışanlara ve paydaşlara duyurulur.
15. İletişim
Kişisel veri işleme faaliyetleriyle ilgili sorular ve talepler, Veri Sorumlusu İrtibat Kişisi 'ne yönlendirilebilir:……….
Ancak ilgili kişilerin, öncelikle kendilerine yönelik hazırlanmış olan aydınlatma metinlerini dikkatle okumaları ve orada belirtilen amaçlar, yöntemler, saklama süreleri ve başvuru adımlarını incelemeleri önemlidir. Başvuru yapmadan önce ilgili aydınlatma metnindeki yönergelere uygun hareket edilmesi, süreçlerin sağlıklı işlemesini sağlayacaktır.
VERİ SORUMLUSUNUN;
Ticari Unvanı :
Adres :
Mersis No :
Telefon :
Faks :
KEP adresi :
İrtibat Kişisi : ………. ( VERBİS sistemine kayıtta e devlet üzerinden atanan kişi yazılmalıdır)
