Kişisel Verilerin Korunması, Saklanması ve İmha Politikası

  1. 1- AMAÇ

    Kişisel verileri saklama ve imha politikamız, 6698 sayılı Kişisel verilerin Korunması Kanunu (Kanun) uyarınca CeyBer bünyesinde gerçekleştirilmekte olan saklama ve imha faaliyetlerinin işleyişi konusunda usul ve esasların belirlenmesi, taraflarımızca da bilinmesi amacıyla hazırlanmıştır. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla CeyBer tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.

    2- KAPSAM

    Firmamızda yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve faaliyetlerini içecek şekilde Firma çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel verileri kapsar.

    3- KISALTMALAR VE TANIMLAR

    •  

     CeyBer

    Kişisel Veri

     Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla tüzel   kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.

    Özel Nitelikli Kişisel Veri

     Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık   kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve   güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

    Kişisel Verilerin İşlenmesi

     Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt   sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,   kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,   açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması   ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü   işlemdir.

    Kişisel Veri Sahibi/İlgili Kişi

     Firma Yetkilileri, İş Ortağı/Tedarikçiler, Çalışan, Çalışan Adaylarımız, Ziyaretçilerimiz,   Firma ve Grup Firma Müşterileri, Potansiyel Müşteriler Firmanın işbirliği içinde olduğu   kurum/firmalar tarafından Firma ile paylaşılan ve/veya bu kurum/firmalar adına Firma   tarafından elde edilen üçüncü kişiler ve Üçüncü Kişilerdir.

    Veri Kayıt Sistemi

     Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder.

    Veri Sorumlusu

     Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin   kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

    Veri İşleyen

     Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve   tüzel kişidir.

    Açık rıza

     Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

    Anonim hale getirme

     Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya   belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

    Elektronik ortam

     Çağrı sunucusu/IK yazılımı/Proje Yazılımları/bariyer sistemi sunucusu/Dosya paylaşım   ortak alanı(NAS),şirket bilgisayar ve telefonları

    Elektronik olmayan ortam

     Numaralandırılarak tanımlanmış kilitli dosya dolapları/Arşiv

    Hizmet sağlayıcı

     İnternet Servis sağlayıcısı /Müşteri bazlı çağrı servisi hizmet sağlayıcısı

    •  

     Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

    •  

     6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

    •  

     28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin  Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini

    Kayıt ortamı

     Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası   olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü   ortamı.

     

    4- Kişisel Verilerin İşlenmesi

    CeyBer, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. CeyBer kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir.

    a) Hukuka ve dürüstlük kurallarına uygun olarak,

    b) Doğru ve gerektiğinde güncel tutularak,

    c) Belirli, açık ve meşru amaçlar için işlenmek üzere,

    ç) İşlendikleri amaçla bağlantılı, ihtiyaç oldukları halde sınırlı ve ölçülü olarak,

    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek.

    5- Kişisel verilerin işlenme şartları

    Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenmez. Ancak kanunun belirtiği aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Şöyle ki;

    a) Kanunlarda açıkça öngörülmesi.

    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    6- Özel nitelikli kişisel verilerin işlenme şartları

    Teknoloji sektöründe faaliyet gösteren bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Firmamız, Özel nitelikli kişisel verileri, ilgilinin açık rızası olmaksızın işlememektedir.

    Ancak Özel nitelikli kişisel veriler, CeyBer tarafından Kanun’a uygun Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (İdari ve Teknik) ile 3.01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında belirlenen önlemlerin alınması kaydıyla belirtilecek durumlarda işlenmektedir. Kişinin rızası var ise yahut sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

    Bu durumlarda, Özel nitelikli kişisel verilerin işlenirken, ayrıca Disiplin/KVK Kurulumuz tarafından belirlenen yeterli önlemlerin alınması şarttır.

    7- Kişisel verilerin aktarılması/ Kişisel verilerin yurt dışına aktarılması

    Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak 5. ve 6. maddelerinde belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. Aktarılma işlemlerinde gerekli gizlilik koşulları ve güvenlik önlemleri veri sorumlusu tarafından alınarak üçüncü kişilere aktarılabilir. Firmamız tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği, Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, CeyBer’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise yabancı ülkelere aktarılabilir.

    8- Kişisel verilerin silinmesi, yok edilmesi (imha) veya anonim hâle getirilmesi ve saklanması

    Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu işlemler için sorumluluklar ve metotlar PR.KY.02 Bilgi Güvenliği Yönetim Sistemi (BGYS) ve Kayıtların Kontrolü Prosedürümüzde aşağıdaki maddelerce detaylandırılmıştır. Bunlar;

    a) Kişisel veri saklama ve imha politikasının hazırlanma amacı,

    b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,

    c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları,

    ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama,

    d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,

    e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,

    f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımları,

    g) Saklama ve imha sürelerini gösteren tablo,

    ğ) Periyodik imha süreleri,

    h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgiler.

    Kişisel verilerin saklanması, saklanma süreleri ve prosedürleri yine aynı prosedür içinde alınan güvenlik önlemleri ile birlikte açıklanmıştır. Firmamızda Kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca tedbirler aşağıda ki şekilde sıralanabilir.

    Teknik tedbirler;

  2. Gerçekleşen kişisel veri işleme faaliyetleri kurulan teknik sistemler ile periyodik olarak test edilmekte ve denetlenmektedir.
  3. Test ve denetim sonuçları yine periyodik olarak ilgilisine ve Risk kuruluna raporlanmaktadır.
  4. Teknik kontrollerin sağlanması yetkin personel istihdamı ile yapılmaktadır.
  5. Teknolojik gelişmelere uygun teknik önlemler alınarak, periyodik olarak güncellenmektedir.
  6. Kullanıcılara ihtiyaç duyulan asgari yetki verilir.
  7. Birimlerimiz bazında hukuksal gereklilikler çerçevesinde erişim ve yetkilendirme teknik çözümleri uygulanmaktadır.
  8. Erişim yetkileri sınırlandırılır ve düzenli olarak gözden geçirilir. Kişisel verilerin bulunduğu veri depolama alanlarına erişim loglanarak uygunsuz erişimler veya erişim denemeleri tespit edilip, üst yönetime raporlanmaktadır.
  9. Virüs koruma ve güvenlik duvarları sistemleri içeren yazılımlar ve donanımlar kullanılır.
  10. Kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini veya değiştirilmesini önlemek için teknolojik imkanlar ve uygulamalar maliyetine göre teknik ve idari tedbirler alınır.
  11. Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine ve üst yönetime raporlanmaktadır.
  12. Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

 

9- Kişisel verilerin korunması faaliyetlerinin denetimi

İç tetkikler ile Kanunun 12. Maddesine uygun olarak, kişisel veri işleme, saklama, depolama ve imha gibi uygulama süreçleri kontrol edilerek, üst yönetime raporlanarak risk içeren unsurlara ivedilikle gerekli teknolojik ve idari çözümler alınır. İyileştirmeler tespit edilerek uzun vadede yatırımları planlanır.

10- Kişisel veri sahiplerinin yasal haklarının korunması ve Kişisel verilerin ifşası durumunda alınacak tedbirler

Bu politika ve faaliyetlerimiz, kanun uygulaması ile kişisel veri sahiplerinin tüm verileri özellikle Özel nitelikli veriler için tüm yasal hakları gözeterek hakların korunması için gerekli önlemlerimizi almaktayız.Kanunun 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütülmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

11- Kişisel Verilerin Kategorizasyonu

Kimlik Bilgisi

Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb.

İletişim Bilgisi

Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb.

Özel Nitelikli Kişisel Veri

Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gibi her türlü sağlık verisi ile din, üye olunan dernek verisi, vb.

Fiziksel Mekân Güvenlik Bilgisi

CeyBer’e ait veya kiracısı olduğu fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler: kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb.

Finansal Bilgi

Tedarikçiler, İş Ortakları ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi verileri vb.

Talep/Şikayet Yönetimi Bilgisi

CeyBer’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler.

İşlem Güvenliği Bilgisi

CeyBer’in ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler

Hukuki İşlem Uyum Bilgisi

CeyBer’in hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve CeyBer politikalarına uyum kapsamında işlenen kişisel veriler.

12. Veri sorumlusunun aydınlatma yükümlülüğü

Firmamız, ilgili taraflarımızın kişisel veri sahiplerini “Kişisel verilerin korunması uyarınca aydınlatma metni (TA.KY.02)” ile bilgilendirilmektedir. Bu metin, Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermektedir.

Kişisel veri sahibi tarafından Şirket’e yapılan başvurunun Şirket tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.

13. Değişikliklerin güncellemesi ve uygulaması

Firmamız, Kanunda yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda bu politikamız ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. Oluşan yasal güncellemelerde ivedilikle değişiklikler revize edilmek üzere aksiyonlar başlatılır.

14. İşlem güvenliği

CEYBER tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.

Saklamayı Gerektiren Amaçlar;

CeyBer, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar;

İnsan kaynakları süreçlerini yürütmek. Kurumsal iletişimi sağlamak. Kurum güvenliğini sağlamak, İstatistiksel çalışmalar yapabilmek. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek. VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak. Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak. Yasal raporlamalar yapmak. Çağrı merkezi süreçlerini yönetmek. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü

İdari tedbirler;

Çalışanlarımıza periyodik olarak bilgilendirme ve farkındalık eğitimi verilmektedir. Firmamızda yürütülen tüm kişisel veri faaliyetleri işleyen birim ve etkileşen diğer birimlerin özelinde analiz edilerek işleme faaliyetleri ortaya konulur.  Bu faaliyetlerde kanunun aradığı şartları işleyen ve etkileşen birimler tarafından göz önünde bulundurularak faaliyetler belirlenir. Hukuksal uyum gerekliliklerin sağlanması için birimler tarafından farkındalık yaratılmakta, uygulama kuralları belirlenmekte ve bu hususların denetimi sağlanmak üzere politika, prosedür, talimatlar, tablolar vb. dokümanlar ve eğitimler yoluyla hayata geçirilmektedir. Çalışanlarımız ve müşterilerimiz ile hukuki ilişkiyi yönetmek üzere sözleşme/ler ve onaylı talimatlar uygulamaya alınmaktadır.