Datassist Bilgi Teknolojileri A.Ş. (“Datassist”) olarak Kişisel Veri’lerinizin güvenliğine önem veriyoruz. Datassist olarak ürün ve hizmetlerimizden faydalanan kişilere ve Datassist ile ilişkili tüm şahıslara ait her türlü kişisel verinin 6698 sayılı Kişisel Veri’lerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenerek, muhafaza edilmesi konusunda hassasiyet göstermekteyiz. Kişisel Veri’lerinizi aşağıdaki politika metninde açıklandığı ve mevzuatta öngörülen sınırlar çerçevesinde işlemekteyiz.
- AMAÇ, KAPSAM VE TANIMLAR
AMAÇ
Bu Kişisel Veri’leri İşleme ve Koruma Politikası (“Politika”), Datassist Bilgi Teknolojileri A.Ş. (“Datassist”) , 6698 Sayılı Kişisel Veri’erin Korunması Hakkında Kanun (“KVKK”) ve ilgili diğer mevzuat ile getirilen yükümlülüklerini yerine getirirken uyacağı esasları düzenleyen ana politika metnidir.
KAPSAM
Politika, Datassist çalışanları, müşterileri, web sitesi ziyaretçileri, mobil uygulama kullanıcıları da dahil olmak üzere, Datassist’in faaliyetleri sırasında topladığı, işlediği yahut kendisi ile paylaşılan Kişisel Veri’leri kapsamakta olup; Datassist, departmanları ve çalışanları nezdinde bağlayıcıdır.
TANIMLAR
Kişisel Veri doğrudan veya dolaylı olarak Datassist’in bir İlgili Kişi’nin kimliğini, tek başına veya Datassist’in elindeki ya da kontrolündeki diğer bilgilerle birleştirerek belirlemesine imkân veren her türlü bilgi anlamına gelmektedir.
Özel Nitelikli Kişisel Veri kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili bilgiler ile biyometrik ve genetik bilgileri ile ilgili veriler anlamına gelmektedir.
Kişisel Sağlık Verisi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi anlamına gelmektedir.
Veri İşleme Kişisel Veri’ler üzerinde gerçekleştirilen, toplama, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hale getirme, sınıflandırma ya da kullanılmasını engelleme de dahil her türlü işlem anlamına gelmektedir.
İlgili Kişi Kişisel Veri’leri Datassist tarafından yahut adına işlenen tüm gerçek kişiler anlamına gelmektedir.
Açık Rıza belirli bir konu hakkında, bilgilendirildikten sonra, özgür iradeyle verilen onay anlamına gelmektedir.
İmha Kişisel Veri’lerin silinmesi veya yok edilmesi anlamına gelmektedir.
Anonim Hale Getirilmiş Veri, veri sorumlusu ya da İlgili Kişi’yi belirlenebilir hale getirecek başka herhangi bir kişi tüm makul ve olağan yöntemleri kullandıktan sonra dahi, Kişisel Veri’nin hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi anlamına gelmektedir.
Veri İşleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri’leri işleyen gerçek veya tüzel kişi anlamına gelmektedir. Her bir somut olayda Veri İşleyen’in kim olduğu ayrıca değerlendirilmelidir.
Veri Sorumlusu Kişisel Veri’lerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi anlamına gelmektedir. Veri sorumlusu Datassist olabileceği gibi zaman zaman Datassist adına yahut Datassist’tin yetkilendirdiği üçüncü bir kişi de olabilir. Her bir somut olayda veri sorumlusunun kim olduğu ayrıca değerlendirilmelidir.
Kurul Kişisel Verileri Koruma Kurulu anlamına gelmektedir.
- KİŞİSEL VERİLERİN İŞLENMESİ
- İLKELER
Datassist Kişisel Veri toplama ve işlemeye ilişkin gerçekleştirdikleri her türlü faaliyette şu ilkelere uygun hareket eder:
- Hukuka ve dürüstlük kurallarına uygunluk
Kişisel Veri’ler hukuka ve dürüstlük kurallarına uygun olarak toplanacak ve işlenecektir.
- Doğruluk ve gerektiğinde güncellik
Datassist, Kişisel Veri’lerin toplanma ve işlenme amacı doğrultusunda gerekli olması halinde:
- Kişisel Veri’lerin tam, doğru ve güncel tutulması için gerekli makul önlemleri alacak,
- İlgili Kişi’lerin Kişisel Veri’lere ilişkin değişikliklerle ilgili bilgi vermesi halinde Kişisel Veri’leri güncelleyecek,
- eksik ya da yanlış verilerin güncellenmesi, düzeltilmesi ya da silinmesi için gereken makul önlemleri alacaktır.
- Belirlilik, açıklık ve meşru amaçları haiz olma,
Datassist, gerekli ve toplanmasındaki iş amacıyla bağlantılı olduğu ölçüde Kişisel Veri toplamayı ve işlemeyi taahhüt eder. Hukuken izin verilen veya gerekli olan haller hariç, Kişisel Veri’ler gelecekte ortaya çıkması beklenen amaçlar doğrultusunda önceden toplanmayacak ve/veya işlenmeyecektir. Kişisel Veri’lerin işlenmesinin hukuken gerekli olduğu ya da mümkün olduğu durumlar dışında, yalnızca verinin toplanmasından önce açıkça belirtilen meşru amaçlar doğrultusunda ve alınacak onaya yahut, gerekli olduğu hallerde, Açık Rıza’ya uygun olarak işlenecektir.
Datassist tarafından herhangi bir veri toplama faaliyeti öncesinde, veri toplama yöntemine ve işbu Politika’ya uygun bir şekilde İlgili Kişi’nin Açık Rıza’sının alınmasının gerektiği hallerde onay formu ya da rızanın alındığı çevrimiçi ortamlar kullanılacaktır.
Kişisel Veri’lerin Datassist adına Veri İşleyen üçüncü kişilerce işlendiği hallerde, üçüncü kişilerin, işbu Politikada yer alan yükümlülüklere uygun davranacağını önceden yazılı ve sözleşmesel olarak yahut sair şekilde taahhüt etmesi gerekir.
- İlgili mevzuatta öngörülen veya işlendikleri amacın gerektirdiği süre ile muhafaza etme
Kişisel Veri’ler işlenme amaçlarına uygun olarak azami muhafaza süresince saklanır; bu süre mevzuatta belirlenen yükümlülüklere uygun davranmak ya da meşru işletme menfaatlerini korumak amacıyla daha uzun süre tutulabilir.
Hukuki, idari ya da ticari olarak gerekli süreler sona erdikten sonra ihtiyaç duyulmayan Kişisel Veri’ler mevzuata ve Datassist Kişisel Veri’lerin Saklanması ve İmhası Politikası’na (“İmha Politikası”) uygun şekilde silinecek, anonimleştirilecek yahut yok edilecektir.
Datassist fiziksel ve elektronik veri kayıt sistemlerinde bulunan Kişisel Veri’lere ilişkin olarak bu verilerin toplanma amacının ortadan kalkması ve hukuki saklama sürelerinin sona ermesi halinde tüm verilerin mevzuata uygun şekilde İmha’sından sorumludur.
Kişisel Veri’lerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacaktır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanacaktır.
- VERİ TOPLAMA VE İŞLEME
Datassist Kişisel Veri’leri aşağıdaki kanuni koşullara uygun olarak toplayacak ve işleyecektir.
2.1 Onay
İlgili Kişi, Kişisel Veri’lerinin toplanması ve/veyahut işlenmesine mevzuat ve Politikaya uygun olarak bilgilendirildikten sonra özgür iradesi ile yazılı yahut elektronik ortamda Açık Rıza verdikten sonra işlenecektir. Kişisel Sağlık Verilerin işlenmesi durumunda Açık Rıza muhakkak yazılı alınır. Alınan Açık Rıza beyanları fiziksel yahut elektronik ortamda rıza belgelenip ve saklanacaktır. Kişisel Veri’ler KVKK’da sayılan aşağıdaki hallerin varlığında İlgili Kişi’nin rızası olmaksızın işlenebilir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veri’lerin işlenmesinin gerekli olması.
- Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili Kişi’nin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için Veri İşleme’nin zorunlu olması.
- İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.
2.2 Özel Nitelikli Kişisel Veriler
Özel Nitelikli Kişisel Veri’ler yalnızca İlgili Kişi’nin Açık Rıza’sının bulunması ya da, sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere, kanunlarda açıkça öngörülen hallerde işlenebilir (örneğin yukarıda madde 2.1’de sayılan hallerde). Sağlık ve cinsel hayata ilişkin Kişisel Veri’ler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin Açık Rıza’sı aranmaksızın işlenebilir. Özel Nitelikli Kişisel Veri’lerin işlenmesinde Kişisel Veri’leri Koruma Kurulu kararlarına uygun hareket edilir.
- KİŞİSEL VERİLERİN AKTARILMASI
3.1 Kişisel Veri’ler yalnızca İlgili Kişi’nin veri aktarımına Açık Rıza’sının bulunması veya 2.1’de sayılan Açık Rıza’nın aranmadığı hallerden birinin varlığı halinde Türkiye’de bulunan üçüncü kişilere aktarılabilir.
3.2 Kişisel Veri’lerin Yurtdışı’nda bulunan üçüncü kişilere aktarılmasında ise 3.1’de sayılan koşullara ek olarak;
- Kişisel Veri’lerin aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması ya da;
- ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Datassist’in ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,
şartlarıbulunmalıdır.
- HAKLAR VE YÜKÜMLÜLÜKLER
4.1 İlgili Kişi’nin Hakları
Kişisel Veri’si Datassist tarafından toplanan yahut işlenen gerçek kişiler, KVKK uyarınca Veri Sorumlusu’na başvuru hakkına sahiptir.
İlgili Kişi, başvuru hakkını kullanarak aşağıda sayılan talepleri yazılı olarak veya e-posta vasıtasıyla işbu Politika’nın son kısmında verilen iletişim bilgileri doğrultusunda Datassist’e yahut temsilcilerine yöneltebilir:
- Kişisel Veri işlenip işlenmediğini öğrenme,
- Kişisel Veri’leri işlenmişse buna ilişkin bilgi alma,
- Kişisel Veri’lerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında Kişisel Veri’lerin aktarıldığı üçüncü kişileri bilme,
- Kişisel Veri’lerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesi,
- Kanun çerçevesinde Kişisel Veri’lerin silinmesini veya yok edilmesi,
- Yukarıdaki (d) ve (e) bentleri uyarınca yapılan işlemlerin, Kişisel Veri’lerin aktarıldığı üçüncü kişilere bildirilmesi,
- İşlenen Kişisel Veri’lerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Veri’lerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesi
4.2 Veri Sorumlusu’nun Yükümlülükleri
4.2.1 Aydınlatma Yükümlülüğü
Datassist İlgili Kişi’lere, Kişisel Veri’lerin elde edilmesi sırasında Kişisel Veri’lerinin işlenmesi süreci ve Veri İşleme’nin amaçları hakkında bilgilendirici, açık ve anlaşılır bir bildirim yapacak; bu kişilerin Kişisel Veri’lerine ilişkin hakları konusunda bilgilendirilmesini ve Datassist tarafından işlenen Kişisel Veri’lerine makul ölçüde erişimlerinin olmasını sağlayacaktır.
İlgili Kişi’lere yapılacak bildirim asgari olarak aşağıdaki unsurları içerir:
- Veri Sorumlusu’nun yahut var ise temsilcisinin kimliği,
- Veri İşleme’nin amacı, yöntemi ve hukuki sebebi,
- Kişisel Veri’lerin kimlere ve hangi amaçla aktarılabileceği,
- İlgili Kişi’lerin yukarıda yer alan madde 4.1 altında belirtilen kanuni hakları
4.2.2 Veri Güvenliğine İlişkin Yükümlülükler
Datassist ilgili mevzuatta belirlenen kapsamda,
- Kişisel Veri’lerin hukuka aykırı olarak işlenmemesini
- Kişisel Veri’lere hukuka aykırı olarak erişilmemesini
- Kişisel Veri’lerin kötüye kullanılmasını, ifşasını, değiştirilmesini ve yok edilmesine karşı muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.
- Datassist Kişisel Veri güvenliğini sağlamak amacıyla gerekli denetimleri yapar veya yaptırır.
- Datassist faaliyetleri çerçevesinde topladığı ve/veya işlediği Kişisel Veri’leri (i) KVKK hükümlerine ve Politikaya uygun olarak gizli tutar, (ii) işleme amacı dışında kullanmaz, (iii) görevi gereği Kişisel Veri’lerin işlenmesi faaliyetine dahil olmayan çalışanının her türlü Veri İşleme faaliyetini yasaklar, ve (iv) çalışanlarının görevinin sınırlarına uygun kapsamda ölçüde Kişisel Veri’lere erişimine imkan tanır. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- İşlenen Kişisel Veri’lerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Datassist bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
4.2.3 Veri Sorumluları Siciline Kayıt
Datassist Veri Sorumluları Sicili Hakkında Yönetmelik’e göre Kişisel Veri’leri Koruma Kurumu Başkanlığı tarafından oluşturulacak Veri Sorumluları Sicili’ne kayıt olarak Yönetmelik uyarınca gerçekleştirilmesi gereken ilgili yükümlülüğü yerine getirecektir. Bu kapsamda aşağıdaki bilgiler kamuoyunun bilgisine sunulacaktır:
- Veri Sorumlusu, varsa Veri Sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,
- Kişisel Veri’lerin hangi amaçlarla işlenebileceği,
- Kişisel Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
- Kişisel Veri’lerin aktarılabileceği alıcı ve alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen Kişisel Veri’ler,
- Sicile kayıt tarihi ile kaydın sona erdiği tarih,
- Kişisel Veri güvenliğine ilişkin alınan tedbirler,
- Kişisel Veri’lerin işlendikleri amaç için gerekli olan azami süre.
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER VE YÜRÜRLÜK TARİHİ
Bu Politikada yer alan hükümler Datassist tarafından gerek görüldüğü takdirde mevzuat hükümlerine uygun olarak internet sitelerinde yayınlanmak suretiyle değiştirebilir. İşbu hükümlerinden herhangi birisinin değişmesi halinde ilgili değişiklikler, değişikliğin yayınlandığı tarihte yürürlüğe girer.
İşbu Politika Ekim 2016 tarihinde yayınlanarak yürürlüğe girmiştir.
DATASSİST Bilgi Teknolojileri A.Ş.
e-mail: kvkk.bilgi@datassist.com.tr