Kişisel Verilerin Korunması ve İşlenmesine İlişkin Kurum Politikası


1. GİRİŞ

 

NEXTSOFTEK BİLGİ TEKNOLOJİLERİ VE YAZILIM A.Ş., Anayasa’nın Özel Hayatın Gizliliğine ilişkin 20. Maddesi ve TBMM tarafından, 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarihinde Resmî Gazete ’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu kanunun uygulanmasına yönelik diğer düzenlemelere tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermekte olup, yaptığı tüm işlemlerinde müşterilerinin Anayasa ve Kanun’dan kaynaklanan haklarını koruma bilinciyle hareket etmektedir.

 

2. AMAÇ VE KAPSAM

 

Kurum Politikamızın (“Politika”) amacı, kişisel verilerin korunması hakkındaki düzenlemelere ilişkin yükümlülüklere uyumun sağlanması, Şirketimizin gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin bilinçlendirilmesidir.

 

3. TANIMLAR

 

İşbu Politika’da kullanılan tanımlar aşağıda yer almaktadır: 

 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

 

Anayasa: Türkiye Cumhuriyeti Anayasası.

 

EKSİT: NEXTSOFTEK BİLGİ TEKNOLOJİLERİ VE YAZILIM A.Ş.

 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. ad-soyad, TCKN, eposta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası

 

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi.

 

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

 

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

 

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi, yani EKSİT anlamına gelmektedir.

 

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu 

 

4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

 

4.1. Kişisel Verilerin İşlenmesindeki Genel İlkeler 

 

EKSİT, Anayasa, Kanun ve bağlı olduğu kanunlar başta olmak üzere faaliyetleri kapsamında uymak zorunda olduğu diğer mevzuat hükümleri doğrultusunda verileri işlemektedir. Bu kapsamda aşağıdaki ilkeler dikkate alınmaktadır: 

 

4.2. Hukuka ve Dürüstlük Kuralına Uygun Olunması 

 

EKSİT kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. 

Bu çerçevede, EKSİT tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlamak için gayret gösterir. 

 

Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, EKSİT’in veri işleme süreçleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdiği sınırlar içinde kalınarak yürütülmektedir.

 

Doğru ve gerektiğinde güncel olma: EKSİT tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır. 

 

Belirli, açık ve meşru amaçlar için işlenme: EKSİT yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, EKSİT yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir. 

 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: EKSİT tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. 

 

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: EKSİT tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, EKSİT, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. EKSİT gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

 

5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

 

KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, EKSİT tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir. Kanun'da sayılan istisnalar dışında, EKSİT ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. KVKK’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.

 

Kanunlarda açıkça öngörülmesi.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

Veri sahibinin kendisi tarafından alenileştirilmiş olması.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise EKSİT tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. 

 

6. EKSİT KİŞİSEL VERİ İŞLEME AMAÇLARI ve HUKUKİ SEBEPLERİ

 

EKSİT tarafından elde edilen kişisel verileriniz, aşağıda açıklanan kapsamlar ve hukuki sebepleri dahilinde işlenebilecektir.

 

a) Alım-satım işlemleri için üye kaydının oluşturulması, Operasyon süreçlerinin planlanması ve/veya icrası, Yetkili kişi veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuki süreçlerin takibi, Verilerin doğru ve güncel olmasının sağlanması, Bilgi güvenliği süreçlerinin planlanması, denetimi veya icrası, Müşteri başvuru süreci sonrası destek hizmetleri aktivitelerinin planlanması veya icrası finans ve muhasebe işlemlerinin icrası, şirket prosedürleri veya işlemlerinin ilgili mevzuata uygun olarak yürütülmesinin temini amacıyla ve EKSİT’in veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve kanunlarda açıkça öngörülmesi hukuki sebeplerine dayalı olarak.

 

b) Müşteri başvuru süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin planlanması veya icrası, Müşteri başvuru süreci sonrası destek hizmetleri aktivitelerinin planlanması veya icrası, Sözleşme süreçlerinin veya hukuki taleplerin takibi, sözleşme yükümlülüklerinin yerine getirilmesi, hizmetlerin süreçlerinin oluşturulması veya takibi temini amacıyla bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebebine dayalı olarak. 

 

c) Kurumsal iletişim faaliyetlerinin planlanması veya icrası, bilgi güvenliği süreçlerinin planlanması, denetimi veya icrası temini amacıyla İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebebine dayalı olarak.

 

d) Hukuk işlemlerin takibi amacıyla bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebebine dayalı olarak.

 

e) Ürün veya hizmetlerin pazarlama süreçlerinin planlanması/icrası, dijital veya diğer mecralarda pazarlama ve tanıtım/reklam aktivitelerinin tasarlanması veya icrası amacıyla ve açık rızanın varlığı halinde açık rızaya ilişkin hukuki sebebe dayalı olarak.


Yukarıda belirtilen kategoriler EKSİT’in gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için başlıca kategoriler olup, faaliyetlerin ve işleme amaçlarının değişmesi halinde yeni kategoriler de eklenebilecektir. Bu gibi durumlarda EKSİT, müşterilerini en hızlı şekilde bilgilendirmeye devam edecektir. 

 

7. EKSİT ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME POLİTİKASI

 

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil bilinen özel nitelikli kişisel verilerin işlenmesinde ise EKSİT tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir: 

 

Kamu sağlığının korunması, 

Koruyucu hekimlik,

Tıbbî teşhis

Tedavi ve bakım hizmetlerinin yürütülmesi

Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

 

EKSİT tarafından özel nitelikli kişisel veri (biyometrik) olarak kabul edilen müşterilerine ait fotoğraf verisi Müşterilerinin ve EKSİT’in işlem güvenliğini sağlamak ve bilgi güvenliği süreçlerinin planlanması, denetimi veya icrası amacıyla, açık rızaya dayalı hukuki sebebe dayanarak gerekli idari ve teknik önlemler alınmak suretiyle işlenmektedir. 

 

8. EKSİT KİŞİSEL VERİ KATEGORİZASYONU 

 

EKSİT tarafından Müşterilerine ilişkin işlenen kişisel veri kategorileri şunlardır:

 

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir, ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi dairesi, vergi numarası, SGK numarası v.b. bilgiler

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, IP adresi gibi bilgiler

Kullanıcı İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar, hesaba giriş çıkış kayıtları ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler

Fiziksel Mekân Güvenlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler

İşlem Güvenliği Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetler yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlaması için işlenen kişisel veriler.

Finansal Bilgi

 

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibi ile kurulmuş olan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.

Görsel/İşitsel Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları, ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler

Özel Nitelikli Kişisel Veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Kanun’un 6. maddesinde belirtilen veriler (örn. sağlık verileri, biyometrik veriler, din bilgisi gibi)

Çalışan Adayı Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; iş başvurusunda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya EKSİT ile çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler

Çalışan İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanların veya çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler

Hukuki İşlem ve Uyum Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ve EKSİT politikalarına uyum kapsamında işlenen kişisel veriler.

Talep/Şikayet Yönetimi Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

 

Kimlik: ad soyad, anne- baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali,

Nüfus cüzdanı seri sıra no, tc kimlik no

 

Görsel ve işitsel Kayıtlar: Ses kaydı ve kamera kayıtları

 

Finans: Banka ekstreleri, Iban / Hesap Numarası, banka bilgileri

 

Fiziksel Mekân Güvenliği: Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları

 

Hukuki İşlem: Adli makamlarla yazışmalardaki bilgiler, dava dosya bilgileri

 

İletişim: Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta (KEP) adresi, telefon

No vb.

 

İşlem Güvenliği: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri.

 

Müşteri İşlem bilgisi: Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki

Bilgiler, sipariş bilgisi, talep bilgisi vb.

 

Görsel ve İşitsel Kayıtlar: Görsel ve işitsel kayıtlar vb.

 

9. EKSİT’in KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ İLE İLİŞKİLİ POLİTİKASI

 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine EKSİT tarafından silinir, yok edilir veya anonim hale getirilir.

 

10. KİŞİSEL VERİLERİN AKTARILMASI

 

EKSİT, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, EKSİT tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler EKSİT tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir: 

 

Kanunlarda açıkça öngörülmesi,

 

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

 

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

 

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

 

Veri sahibinin kendisi tarafından alenileştirilmiş olması

 

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

 

Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 

 

EKSİT, Özel nitelikli kişisel verileri gerek yurt içinde gerekse yurt dışında herhangi bir üçüncü kişiye aktarmamaktadır. 

 

Bununla birlikte, Müşterilerimiz ile e-posta adresleri vasıtasıyla iletişime geçebilmekteyiz. Söz konusu e posta adresleri, gmail, Office 365 ve Yandex ve benzeri yurt dışı e-posta hizmeti altyapılarını kullanmaktadır. Bu nedenle gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olması nedeni ile Kişisel Veriler Mevzuatı kapsamında yurt dışına veri aktarımı olarak kabul edilmektedir. Ancak gerek e- posta adreslerinin birçok alanda kullanımının neredeyse zorunlu hale gelmiş olması, gerekse çeşitli mevzuatlarda kullanımının gerekmesi nedeni ile söz konusu iletişim şeklinden vazgeçilmesi mümkün olmamaktadır. 

 

11. EKSİT’in KİŞİSEL VERİLERİ AKTARABİLECEĞİ ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

 

Öncelikli olarak Anayasa olmak kaydıyla, KVKK ve diğer ilgili mevzuat hükümleri doğrultusunda, EKSİT kişisel verileri yurt içi ve/veya yurt dışı ile paylaşılması konusunda azami özen ve dikkat göstermektedir.

 

Kişisel veriler EKSİT tarafından aşağıda sıralanan taraf kategorilerine KVKK’da veri aktarımına izin veren haller ile sınırlı olarak ve gerekmesi halinde aktarabilir. Veri aktarımına ilişkin gerekli önlemler alınarak veri aktarımı yapılan kişilerle de verilerin KVKK kapsamında işlenmesine ilişkin gerekli uyarılar ve sözleşmeler yapılır. 

 

Kanunen Yetkili Kurumlar

İş/proje Ortaklarımız

Gerekmesi halinde hukuk danışmanlarımız

 

12. AYDINLATMA YÜKÜMLÜLÜĞÜ 

 

KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekliliğinin bilincindedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde EKSİT’in veri sahiplerine iletilmesi gereken bilgiler şunlardır:

 

Veri sorumlusunun ve varsa temsilcisinin kimliği, 

Kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

KVKK’nın 11. maddesinde sayılan diğer haklar.

 

EKSİT, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, EKSİT’in ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. 

 

Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak veri sahiplerine kişisel verilerinin EKSİT tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur. Öte yandan, KVKK’nın 28(1). Maddesi çerçevesinde, bazı durumlarda EKSİT’in aydınlatma yükümlülüğü bulunmamaktadır.

 

13. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI 

 

EKSİT, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12(1). Maddesinde öngörülen tedbirler şunlardır: 

 

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 

Kişisel verilerin muhafazasını sağlamak. EKSİT’İn bu kapsamda aldığı önlemler aşağıda sayılmıştır.

 

İdari Tedbirler

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. 
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. 
  • Gizlilik taahhütnameleri yapılmaktadır. 
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. 
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir. 
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır. 

 

Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. 
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. 
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. 
  • Çalışanlar için yetki matrisleri oluşturulmuştur. 
  • Erişim logları düzenli olarak tutulmaktadır. 
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlamıştır. 
  • Güncel antivirüs sistemleri kullanılmaktadır. 
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. 
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır. 
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. 
  • Şifreleme yapılmaktadır. 
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. 
  • Veri kaybı önleme yazılımları kullanılmaktadır. 

 

14. EKSİT TARAFINDAN KİŞİSEL VERİLERİN HANGİ AMAÇLA TOPLANACAĞI 

 

Kişisel veriler EKSİT tarafından özellikle www.eksit.com adresinden müşterilerin yapmış olduğunuz üyelik başvurusu sırasında şirkete yapılan bildirimler ve gönderilen evraklar yolu ile, internet işlemleri, sosyal medya ve diğer kamuya açık mecralar, üye görüşmeleri, internet sitelerine yapılan dijital başvurular, yazılı/dijital başvurular, çağrı merkezi hizmeti gibi yöntemler ile sözlü, yazılı, görüntülü, ses kaydı veya elektronik kanallar yolu ile toplanmaktadır. EKSİT’in müşterileri ile yüz yüze teması olmaması ve işlemlerin dijital ortamda tamamlanabiliyor olması sebebi ile işlemleri gerçekleştirebilmek ve hukuki yükümlülüğünü yerine getirebilmek amacıyla söz konusu yöntemler benimsenmektedir. 

Bu hukuki sebeple toplanan kişisel veriler, EKSİT’in veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve/veya kanunlarda açıkça öngörülmesi ve/veya bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ve/veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve/veya veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ve açık rızanın varlığı halinde açık rızaya ilişkin hukuki sebebe dayalı olarak toplanabilmektedir. 

 

15. VERİ SAHİBİNİN HAKLARI, BAŞVURU YÖNTEMLERİ, HAKLARIN KULLANILAMAYACAĞI HALLER 

 

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini EKSİT’e iletmeleri durumunda, talepler niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, EKSİT tarafından KVK Kurulu’nca veya diğer otoritelerce belirlenen tarifedeki ücret alınacaktır. Bu kapsamda veri sahipleri taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle EKSİT’e iletebileceklerdir. 

 

Kişisel veri sahipleri:

- Kişisel verilerinin işlenip işlenmediğini öğrenme,

- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 

- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, 

- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 

 - Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde              zararın giderilmesini talep etme haklarına sahiplerdir.

 

Müşteriler taleplerini aşağıdaki adreslerden gerçekleştirebilir.

Yazılı Başvurularda: Maslak Mah. Meydan Sk. Spring Giz Plaza Apt. No:5/38 Sarıyer / İstanbul 

E-Posta Yoluyla Başvurularda: destek@eksit.com 

KEP yoluyla başvuruda : nextsoftek@hs01.kep.tr

 

16. VERİLERİN SAKLANMA SÜRELERİ VE ESASLARI

 

EKSİT, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine veri sorumlusu sıfatıyla yerine göre siler, yok eder veya anonim hâle getirilir.

 

EKSİT, tarafından kişisel veriler, veri kategorisi, işlem güvenliği, kanunlarla belirtilen süreler, hukuki süreçler ile ilgili zamanaşımları, diğer işlemleri etkileyen bir yönünün olup olmadığını dikkate alınarak 1 yıl, 10 yıl ile 20 yıl gibi sürelerde saklanmakta ve bu sürelerin sonunda silinmekte, yok edilmekte veya anonimleştirilmektedir. 

 

17. VERİ İMHA SÜRECİ

 

EKSİT, tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak imha edilir.

 

EKSİT, periyodik imha süresini 5 yıl olarak belirlemiştir. Buna göre, her yıl ocak ayında periyodik imha işlemi gerçekleştirilir.

 

18. KANUNUN VE POLİTİKANIN KISMEN VEYA TAMAMEN UYGULANMAYACAĞI HALLER

 

 Kanun ve bu Politika ve hükümleri aşağıdaki hâllerde uygulanmayacaktır:

 

  • Kişisel Verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bu Politikanın ve Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmayacaktır:

 

  • Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel Veri Sahibi/ İlgili kişinin kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi.
  • Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

  

19. POLİTİKANIN YÜRÜRLÜĞÜ 

 

Bu Politika 30/03/2021 tarihinde yürürlüğe girmiştir. Politika’nın tamamının veya bir kısmının yenilenmesi durumunda Politika’nın versiyonları güncellenecek ve tüm eski versiyonları EKSİT tarafından arşivlenecektir.

 

Politika, EKSİT web sitesi www.eksit.com da yayımlanmakta olup, Kişisel Veri Sahibi/ İlgili Kişinin talebi olması halinde kendileri ile de paylaşılır.