EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

  

İÇİNDEKİLER

İÇİNDEKİLER   ii

TANIMLAR VE KISALTMALAR   iii

MADDE 1 – POLİTİKANIN AMACI VE KAPSAMI 1

MADDE 2 – TEMEL İLKELER   1

MADDE 3 – KİŞİSEL VERİLERİN İŞLENMESİ 3

3.1 GENEL AÇIKLAMALAR   3

3.2 KİŞİSEL VERİLERİ İŞLEME AMAÇLARI 4

MADDE 4  – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 5

MADDE 5 – KİŞİSEL VERİLERİN GÜVENLİĞİ 6

MADDE 6  – GÜVENLİK KAMERASI İLE İZLEME FAALİYETLERİ 9

6.1 İŞLEME FAALİYETİNİN AMACI 10

6.2 ERİŞİME YETKİLİ KİŞİLER   10

6.3 AKTARILAN ÜÇÜNCÜ KİŞİLER   11

6.4 SAKLANMA SÜRESİ 11

MADDE 7 – VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ   11

MADDE 8 – KİŞİSEL VERİLERİN AKTARIMI 11

MADDE 9 – KİŞİSEL VERİLERİN İMHA EDİLMESİ 12

MADDE 10 – VERİ KORUMA GÖREVLİSİ VE İRTİBAT KİŞİSİ 12

MADDE 11 – İLGİLİ KİŞİLERİN BAŞVURMA HAKKI 13

MADDE 12 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI 14

 

TANIMLAR VE KISALTMALAR

Açık RızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir.

Anayasa

 

9 Kasım1982 tarih ve 17863 (Mükerrer) sayılı Resmî Gazetede yayımlanmış olan Türkiye Cumhuriyeti Anayasası’nı ifade etmektedir.
Anonim hâle getirmeKişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.

Aydınlatma Tebliği

 

10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’i ifade etmektedir.
Kayıt OrtamıTamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (ad-soyad, T.C. Kimlik, pasaport, e-posta, adres, doğum tarihi, IBAN no, kredi kartı numarası vb.) ifade etmektedir.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel Veri Sahibi/ İlgili Kişi (ler)Kişisel verisi işlenen gerçek kişileri ifade etmektedir. Bu kişiler, burada sayılanlarla sınırlı olmamak üzere, çalışanlar, Şirketin ticari ilişki içinde bulunduğu müşterileri, iş ortakları, hissedarlar, yetkilileri, potansiyel müşteriler, aday çalışanlar, stajyerler, ziyaretçiler, tedarikçiler, iş birliği içinde olduğu kurum çalışanları ve diğer üçüncü kişiler gibi kişisel verisi işlenen herkes olabilir.

Kişisel Verilerin Silinmesi

 

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
İmha Yönetmeliği28 Ekim 2017 tarihli 30224 sayılı Resmî Gazete ’de yayımlanan ve 1 Ocak 2018 tarihi itibariyle yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.

Kişisel Verilerin Yok Edilmesi

 

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

KVKK

 

7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
KurumKişisel Verileri Koruma Kurumu
Kurul Kişisel Verileri Koruma Kurulu’nu ifade etmektedir.
Özel Nitelikli Kişisel VeriKişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Periyodik İmhaKanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Politika Şirkete ait Kişisel Verilerin İşlenmesi ve Korunması Politikasını ifade etmektedir.
Veri İşleyenVeri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Veri SorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Veri Sorumlusuna Başvuru Tebliği10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’i ifade etmektedir.
Veri Sorumluları Sicili Hakkında Yönetmelik30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan yönetmeliği ifade etmektedir.

MADDE 1 – POLİTİKANIN AMACI VE KAPSAMI

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir. Kişisel verilerin korunması, EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş.’ nin (Veri Sorumlusu) öncelikleri arasındadır. Veri sorumlusunun Eduji’ ye ait “www.matchintern.com”Alan adlı web sit kullanıcılarının kişisel verilerinin korunmasına ilişkin yürütülen faaliyetler, işbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” altında yönetilmektedir.

Bu politikanın temel amacı, Eduji bünyesinde ve Eduji’ ye ait web sitesinde hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyetlerinin ve kişisel verilerin korunmasına yönelik sistemlerin açıklanması ve Şirketimiz tarafından işlenen kişisel veriler ile ilgili Kişisel Veri Sahiplerinin bilgilendirilmesidir. Bu doğrultuda, kullanıcılarımız, üyelerimiz, çalışanlarımız, ziyaretçilerimiz, müşterilerimiz olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

Bu Politika hükümleri, kullanıcılarımız, üyelerimiz, çalışan adaylarımızın, ziyaretçilerimizin ve müşterilerimizin veya diğer üçüncü kişilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirketimiz bünyesinde işlenen tüm kişisel verileri kapsamaktadır.

MADDE 2 – TEMEL İLKELER

Şirketimiz, yasal uyumluluğun sağlanması amacıyla işlenen kişisel verilerin Anayasa’ya, KVKK ve ilgili diğer mevzuat uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin bilincindedir. Bu çerçevede, KVKK madde 4 kapsamında tüm kişisel veri işleme faaliyetlerinde aşağıdaki temel ilkeler esas alınmaktadır:

  • Hukuka ve dürüstlük kurallarına uygun işleme ilkesi: Şirketimiz, kişisel verilerin işlenmesinde, öngörülen hukuki düzenlemeler kapsamındaki ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
  • Doğru ve gerektiğinde güncel olma ilkesi: Şirketimiz, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli sistemleri kurarak uygulamaktadır.
  • Belirli, açık ve meşru amaçlar için işlenme ilkesi: Şirketimiz, kişisel veri işleme faaliyetini gerçekleştirmeden önce ve bu esnada, kişisel verileri yasal ve sözleşmesel amaçlar çerçevesinde hukuka uygun ve ortaya net konulmuş, sorguya mahal vermeyen ve yasal amaçlar doğrultusunda işlemektedir.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi: İşlenen kişisel veriler, yasal mevzuat, sözleşme hükümleri ve Şirket politikası tarafından belirlenmiş amaçlar ile ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır. Bu temel ilke çerçevesinde Şirketimiz kişisel verilerin işlenmesini minimize etmiştir.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi: Şirket, kişisel verileri işlerken muhafaza edilmesi gereken süreyi Veri Sorumluları Sicili Hakkında Yönetmelik madde 9 çerçevesinde tespit etmiştir. Bu doğrultuda, muhafaza sürelerine belirlerken aşağıdaki hususlar dikkate alınmaktadır:
  • Şirketin faaliyet gösterdiği ilgili sektörde genel teamül gereği kabul edilen süreler,
  • İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak Şirketin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi

Bu bağlamda yürürlükteki mevzuat kapsamında hazırlanan ve süreçler ile yukarıda açıklanan spesifik saklama sürelerini belirleyen bir Kişisel Verileri Saklama ve İmha Politikası bulunmaktadır. Ayrıca, Veri Sorumlusu nezdinde saklama ve imha süreçleriyle Şirket içinde hangi kişilerin/birimlerin ilgili ve sorumlu olduğu ile bu kişilerin/birimlerin görevlerini belirleyen bilgiler de Kişisel Verileri Saklama ve İmha Politikası ekinde Politika içinde yer almaktadır.

MADDE 3 – KİŞİSEL VERİLERİN İŞLENMESİ

3.1 GENEL AÇIKLAMALAR

Şirketimiz tarafından kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi suretiyle gerçekleştirilecek her türlü kişisel veri işleme faaliyeti Anayasa’nın 20. maddesine ve KVKK’ nın 4. maddesine uygun olarak gerçekleştirilmektedir.

Şirketimiz, KVKK madde 5’te öngörülen kişisel veri işleme şartlarına uygun olarak veri işleme faaliyetini gerçekleştirmektedir. Bu faaliyeti gerçekleştirmeden önce de KVKK madde 10 ve Aydınlatma Tebliğ kapsamında belirlenmiş usul ve esaslar doğrultusunda İlgili Kişileri bilgilendirmektedir ve İlgili Kişilerin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi özenle yapmaktadır. Aydınlatma yükümlülüğüne ilişkin asgari hususlar KVKK madde 10 kapsamında düzenlemektedir:

  • Veri sorumlusu olarak Şirketimiz,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  • Kişisel veri sahibinin sahip olduğu haklar.

Bu doğrultuda, Şirketimiz tarafından öncelikle kişisel veri toplama kanalları tespit edilecek ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir.

KVKK madde 5 uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
  • Hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  1. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  2. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  3. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
  1. Meşru menfaatleri için veri işlenmesinin zorunlu olması.

KVKK madde 6 çerçevesinde özel nitelikli kişisel veriler için belirlenmiş veri işleme şartlarına uygun hareket etmektedir. Bu verilerin işlenmesi faaliyeti için Kurum tarafından alınan kararlar çerçevesinde gerekli özel prosedürleri yerine getirmektedir.

Şirket, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVKK tarafından ortaya konulan düzenlemelere uygun davranmaktadır. Kişisel verileriniz; Kanun tarafından öngörülen temel ilkelere uygun olarak ve Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde ve 3.2’de yer alan amaçlarla, kanunen yetkili kamu kurum, kuruluş ve kişilere aktarılmaktadır.

3.2 KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirketimiz, KVKK madde 5 ve 6’da öngörülen şartlar çerçevesinde aşağıdaki koşullarla sınırlı olarak ve aşağıdaki amaçlar doğrultusunda kişisel verileri işlemektedir.

Acil Durum Yönetimi Süreçlerinin Yürütülmesiİç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesiİletişim Faaliyetlerinin Yürütülmesi
Çalışan Adayı / Stajyer seçme Süreçlerinin Yürütülmesiİnsan Kaynakları Süreçlerinin Planlanması
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesiİş Faaliyetlerinin Yürütülmesi / Denetimi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesiİş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesiİş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesiİş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin YürütülmesiLojistik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin YürütülmesiMal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Erişim Yetkilerinin YürütülmesiMal / Hizmet Satış Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun YürütülmesiMal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
Finans ve Muhasebe İşlerinin YürütülmesiMüşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin TeminiOrganizasyon ve Etkinlik Yönetimi
Görevlendirme Süreçlerinin YürütülmesiPerformans Değerlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve YürütülmesiRisk Yönetimi Süreçlerinin Yürütülmesi
Talep / Şikayetlerin TakibiSaklama ve Arşiv Faaliyetlerinin Yürütülmesi
Taşınır Mal ve Kaynakların Güvenliğinin TeminiSözleşme Süreçlerinin Yürütülmesi
Tedarik Zinciri Yönetimi Süreçlerinin YürütülmesiYetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Ücret Politikasının YürütülmesiYönetim Faaliyetlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin YürütülmesiZiyaretçi Kayıtlarının Oluşturulması ve Takibi
Veri Sorumlusu Operasyonlarının Güvenliğinin TeminiYetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

İşbu madde 3/1’de yer alan işlenme şartlarının bulunmaması halinde; kişisel veri işleme faaliyetini gerçekleştirmek amacıyla Şirket, İlgili Kişilerin açık rızalarına başvurmaktadır.

MADDE 4  – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Kurumumuz tarafından üyelerimize ait herhangi bir özel nitelikli veri işlenmemektedir.

MADDE 5 – KİŞİSEL VERİLERİN GÜVENLİĞİ

KVKK madde 12 gereğince Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ile yükümlüdür. Bu doğrultuda Şirketimiz imkanları dahilinde, korunacak verinin niteliğine göre gerekli her türlü idari ve teknik tedbirleri almaktadır.

Şirket bünyesinde işlenen her türlü kişisel veri titizlikle ve gizli olarak muhafaza edilmekte ve bu verilere erişim sınırlandırılmıştır. KVKK madde 5 ve 8 uyarınca hukuka uygun işleme şartları kapsamında yer almayan hiçbir kişisel veri, üçüncü kişiler ile paylaşılmamaktadır.

Şirket, işlenen kişisel verilerin hukuka veya dürüstlük kuralına aykırı yollar ile üçüncü kişiler tarafından elde edilmesi durumunun tespiti halinde bahsi geçen bu durumu mümkün olan en kısa sürede ilgili kişisel veri sahibine ve gerektiğinde Kurum’a bildirmekle yükümlüdürler.

Şirketimiz tarafından işlenen kişisel veri güvenliği ihlali riskini verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve durumunun tespiti halinde yol açacağı kayıplar doğru bir şekilde belirlenerek buna uygun teknik ve idari tedbirler derhal alınmaktadır. Bu riskler belirlenirken öncelikle kişisel verilerin

  • Özel nitelikli kişisel veri olup olmadığı,
  • Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacaktır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra, söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte olup gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

  1. Şirket bünyesinde yürütülen tüm faaliyetler detaylı olarak tüm departmanlar özelinde analiz edilerek bir “kişisel veri envanteri” hazırlanmıştır. Bu veri envanterindeki riskli alanlar tespit edilerek imkanlar ölçüsünde gerekli hukuki ve teknik tedbirler alınmaktadır.
  1. Teknik hususlar konusunda Şirket haricinde teknik ve yazılımsal destek ve danışmanlık tedarik edilmektedir. Bu tedarikçiler ile gizlilik sözleşmeleri ve veri işleyen yükümlülüklerine ilişkin gerekli önlemler alınmıştır.
  1. Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.
  1. Şirket çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bununla beraber, gerektiğinde güncel değişiklikler ve konu ile ilintili Şirket içi politikalar hakkında da eğitimler düzenlenmektedir.
  1. KVKK kapsamında hukuksal uyum gerekliliklerinin sağlanması için ilgili departmanlar özelinde farkındalık yaratılacak ve uygulama kuralları belirlenmiş; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve bilgilendirmeler yoluyla hayata geçirilmektedir.
  1. Şirketin ziyaretçileri, danışan ve müşterileri ile ve çalışanları arasındaki hukuki ilişki çerçevesinde, imzalanmış ve imzalanacak sözleşmelere ve önemli belgelere, paylaşılan kişisel verilerin işlenmesi, gizliliği ve saklama yöntemine ilişkin şartlar ve koşullar eklenmiştir.
  1. Şirket tarafından kişisel verilerin aktarıldığı kişiler ile yapılan sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmiştir ve yürürlüğe konulmuştur.
  1. Fiziksel ortamda saklanan dosyalar/çıktılar imha süreleri geldiğinde prosedürlere uygun olarak imha edilmektedir.

 

  1. Şirketimizde gerçekleştirilen kişisel veri işleme faaliyetleri, Şirkette yetkilendirilen bir birim tarafından denetlenmektedir. Söz konusu faaliyetlere ilişkin alınan önlemler belirli aralıklar ile Şirketimiz tarafından belirlenen iç denetim sistemler çerçevesinde Şirket yetkilileri tarafından denetlenmektedir.

 

  1. Kişisel verilere erişim, kişisel verilerin işlenmesi gerekçesine uygun belirlenecek çalışanlar ile sınırlandırılmıştır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişim yetkisi kaldırılmıştır.
  1. Gelişen ve değişen teknoloji göz önünde tutularak, kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için uygun teknik önlemler alınmış ve bu kapsamda alınan önlemler belirli aralıklar ile güncellenmektedir.

 

  1. Her bir departman için ayrı ayrı erişim ve yetkilendirme teknik süreçleri tasarlanarak devreye alınmasına yönelik çalışmalar yapılmaktadır. Bu çalışmalar neticesinde, erişim yetkileri düzenli olarak gözden geçirilmektedir.
  1. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için yedekleme programları kullanılmaktadır.
  1. Tüm Şirket çalışanlarından ve web sitesi kullanıcılarından, öğrendikleri herhangi bir kişisel veriyi KVKK hükümlerine aykırı olarak üçüncü bir kişiye açıklamayacakları, ifşa etmeyecekleri ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmaktadır. Bahsi geçen bu taahhüt, Şirket ile çalışanlarının iş ilişkisinin sona erdiği durumlarda da devam edecektir.

 

  1. Kişisel Verileri Saklama ve İmha Politikası”, Veri Sorumlusu bünyesinde, kişisel verilerin saklanması ve imha süreçlerine dair kural ve prosedürleri içerir.
  1. Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası”, Veri Sorumlusu bünyesinde çalışan kişilere ait kişisel verilerin korunması ve işlenmesin şart ve yöntemleri düzenleyen kural ve prosedürleri içerir.
  1. Aydınlatma ve Açık Rıza metinleri ile ilgili kişilerin bilgilendirilmesi ve kişisel verilerinin işlenebilmesi süreçlerinin Kanun’a uygun şekilde yürütülmesi sağlanır.
  1. İç eğitimler ile çalışanlar, Kanun konusunda bilgilendirilir ve farkındalık artırılması hedeflenir.
  1. İlgili Kişi Taleplerinin Yönetimi Prosedürü” ile Veri Sorumlusu bünyesinde, ilgili kişilerden gelen taleplerin araştırılması, bu taleplere yanıt verilmesi, bu taleplerle ilgili gerekli aksiyonların alınması süreçlerinin kural ve şartları belirlenir.
  1. Veri Sorumlusu bünyesinde, kişisel veri işleme faaliyetleri düzenli olarak denetlenir.

MADDE 6 – GÜVENLİK KAMERASI İLE İZLEME FAALİYETLERİ

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binasındaki giriş ve açık alanlar ile sınırlı olmak üzere binada güvenlik kamerasıyla izleme faaliyeti gerçekleştirilmektedir. Güvenlik kameraları kullanılması ve ziyaretçi giriş çıkışlarının kayıt altına alınması yoluyla Veri Sorumlusu tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Bu konu ile ilgili bilgilendirme kameraların altındaki tabelalarda yer almaktadır.

Şirketimiz güvenlik kamerasıyla izleme faaliyetlerini Anayasa’ya, İlgili mevzuat hükümlerine ve işbu Politikada yer alan hükümlere ve temel ilkelere uygun olarak işlemektedir. Şöyle ki:

6.1 İŞLEME FAALİYETİNİN AMACI

Şirketimiz, güvenlik kamerası ile izleme faaliyeti esnasında kişisel verileri işlerken KVKK madde 4 kapsamında öngörülen hukuka ve dürüstlük kurallarına uygunluk, belirli ve meşru amaçlar ile işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme ilkelerine uygun olarak hareket etmektedir.

Fiziksel mekân güvenliğini temin etmek, Şirket verilerinin güvenliğini sağlanmak, veri sahibinin ve diğer kişilerin can ve mal güvenliğini sağlamak, iş sağlığı güvenliği mevzuatı kapsamında yükümlülüklerini yerine getirmek ve hem veri sahiplerinin hem de Şirketin meşru menfaatlerini korumak gibi amaçlar doğrultusunda veri kayıt sistemine otomatik olarak kaydedilmesi suretiyle Şirket tarafından kişisel veri işleme faaliyeti yürütülmektedir. Veri Sorumlusu tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere ve 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve ilgili mevzuata uygun olarak sürdürülmektedir.

Şirketimizin yer aldığı Teknopark bünyesinde 6 (altı) adet Ebiltem, 19 (on dokuz) adet “İnci” ve “Mercan” binalarında olmak üzere toplamda 25 (yirmi beş) adet güvenlik kamerası bulunmaktadır. Şirketimizin ihtiyaçları doğrultusunda güvenlik kamerası adedini değiştirme hakkı saklıdır. Güvenlik kamerası kayıt bölgeleri, son derece sınırlı düzeyde olup güvenlik kamerasıyla izleme amacına uygun olarak Şirketimiz tarafından belirlenmiştir. Güvenlik kamerası kayıt bölgeleri; bina ve tesis girişleri, koridorlar, açık alanlar vb. güvenlik riskinin yüksek olduğu bölgeleri ile sınırlıdır. Tuvaletler, soyunma odaları gibi özel alanlar güvenlik kameralarının kapsama alanı dışındadır.

Güvenlik kamerası ile izleme faaliyeti; hem Şirket çalışanlarımızın, ziyaretçilerimizin ve diğer kişilerin güvenliğinin sağlanması hem de Şirketimizin ticari sırlarının ve müşteri menfaatlerinin korunması açısından son derece gerekli olup bu amaçlar ile sınırlandırılmıştır.

Tüm bu amaçlar doğrultusunda Şirketimizdeki güvenlik kamerası kayıt sistemi, 7 gün 24 saat kayıt halindedir.

6.2 ERİŞİME YETKİLİ KİŞİLER

Dijital ortamda muhafaza edilen güvenlik kamerası kayıtlarına erişim ancak Şirketimizin yetkilendirdiği kişiler ve Ege Teknopark Güvenlik Görevlileri ve Genel Müdürü ile sınırlı olup, bu kişilerin bilgisayarlarından veya monitörlerinden görüntülenmektedir.

Kanun’un 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

6.3 AKTARILAN ÜÇÜNCÜ KİŞİLER

Güvenlik kamerası kayıtları, gerekli hallerde resen veya talep üzerine yalnızca kolluk kuvvetlerine ve ilgili yargı mercileri ile CD ya da harici bellek vasıtasıyla paylaşılmaktadır.

6.4 SAKLANMA SÜRESİ

Şirket, kamera kayıtlarını 21 (yirmi bir) gün süre ile saklı tutmaktadır.

MADDE 7 – VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ

Şirket, Kurum tarafından belirlenerek ilan edilen 31 Mart 2021 tarihine kadar Veri Sorumluları Siciline kayıt olacaktır. Kurum tarafından talep edilebilecek ek bilgi ve belgeler haricinde Veri Sorumluları Siciline ibraz edilecek bilgiler gibidir:

  • Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

MADDE 8– KİŞİSEL VERİLERİN AKTARIMI

Kişisel verilerin aktarılması, kural olarak kişisel veri sahibinin açık rızası ile veya KVKK madde 5’te öngörülen işlenme şartları doğrultusunda veya yeterli önlemler alınmak kaydıyla, KVKK madde 6/3 atfı ile diğer kanunlarda öngörülen istisnalar doğrultusunda meşru ve hukuka uygun olacaktır. Şirket işbu Politika madde 2’de bahsi geçen bu temel ilkeler ve şartlar çerçevesinde veri sahibinin açık rızası ile kişisel verileri üçüncü kişilere aktarabilecektir. Aynı zamanda, Veri Sorumlusu, kişisel verileri Kanun’da öngörülen veri işleme şartlarına uygun olarak, açık rıza aranmaksızın üçüncü kişilere aktarabilir. Veri Sorumlusu, açık rıza olmaksızın aktardığı verileri Kanun’daki sınırlamalara uygun olarak aktarmak amacıyla gerekli idari ve teknik önlemleri almaktadır.

Şirketimizde özel nitelikli kişisel verilerin yurt dışına aktarımı söz konusu değildir.

Şirketimiz, özel nitelikli kişisel verileri hukuka uygun veri işleme amaçları doğrultusunda, gerekli özeni göstererek ve KVKK tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak ve aşağıdaki şartların varlığı halinde yurt içinde aktarabilmektedir:

(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kanunlarda açıkça öngörülen hallerde aktarılabilmektedir.

(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.

MADDE 9 – KİŞİSEL VERİLERİN İMHA EDİLMESİ

5237 sayılı Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Veri Sorumlusu kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir. Şirketimiz “Kişisel Verileri Saklama ve İmha Politikası” içerisinde ayrıntılı olarak belirtilen teknik ve idari tedbirleri almaktadır. Bu konuda gerekli işleyiş mekanizmaları geliştirilmiş ve burada yer alan yükümlülüklerine uygun davranmak üzere ilgili iş birimlerini eğitilip, görevlendirme ve farkındalıklarını sağlanmaktadır.

MADDE 10-VERİ KORUMA GÖREVLİSİ VE İRTİBAT KİŞİSİ

Şirketimiz KVKK kapsamındaki yükümlülükleri daha hızlı ve daha doğru yerine getirebilmek için karar merci olarak bir Veri Koruma Görevlisi ve Şirketimizin İlgili Kişiler ve KVKK ile daha iyi bir iletişim kurmasını sağlamak amacıyla bir İrtibat Kişisi atanmıştır. İrtibat kişisinin bilgileri politikanın son kısmında yer almaktadır.

MADDE 11– İLGİLİ KİŞİLERİN BAŞVURMA HAKKI

Şirketimiz bünyesinde işlenen kişisel verileri ile ilgili kişisel veri sahipleri, veri sorumlusu olan Şirketimize başvurarak KVKK madde 11 kapsamında öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede, İlgili Kişiler aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yapılan işlemlerin ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Yukarıda sıralanan haklarınıza yönelik başvurularınızı, www.matchintern.com adresinden ulaşabileceğiniz gibi Edujı Araştırma Geliştirme Yazılım Tasarım ve Danışmanlık A.Ş. Veri Sahibi Başvuru Formu’ nu doldurarak Şirketimize iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

Şirketimiz, aşağıdaki durumlarda başvuruda bulunan kişinin başvurusunu gerekçesi ile reddedebilir:

  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  • Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
  • Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  • Talep edilen bilginin kamuya açık bir bilgi olması.

MADDE 12 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

İşbu Politika, KVKK ve diğer ilgili mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik taşıyan bir düzenlemedir. Bu kapsamda, Şirketimiz bu Politikayı rehber edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri alacaktır. Aksiyonların uygulanmaya başlanması ile birlikte iç denetim sistemi işletilerek işbu Politikaya uyumluluk sağlanacak ve sağlanan bu uyumluluk korunacaktır. İç denetim uygulamasının yanı sıra, çalışanların farkındalığının sağlanması için çalışmalar yapılacak, Şirketimiz bünyesine yeni dahil olmuş çalışanlar için gerekli uyum süreçleri işletilecek ve Şirketimizin bağlı ortaklıkları ve iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan kanuni düzenlemeler, Şirket bünyesinde öncelikli olarak uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Şirket uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVKK kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.

EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş.

 

YAYIN TARİHİ                                     : 01.01.2023

VERSİYON NO                                    : 1

İRTİBAT KİŞİSİ BİLGİLERİ              : contact@eduji.com.tr