Politikalar
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
KİŞİSEL VERİLERİN KORUNMASI – GİRİŞ
‘Büyüme Hayalinizi Gerçekleştirirken, Yolunuzu Aydınlatabilmek ve Yol Arkadaşınız Olabilmek’
tutkusuyla yola çıktık.
‘İnsanların, girişimlerin, işletme ve kurumların büyümesi, dolayısıyla ülkemizin gelişmesi, en büyük idealimiz.’
Novida Stratejik Yönetim Hizmetleri Tic. Ltd. Şti.(‘Novida’), Etkili Bir İş ve Pazar Geliştirme; Yatırım ve Finansa Erişim; Strateji, Politika, Program; Kurumsal, Dijital ve Kültürel Dönüşüm; Yenileşim (İnovasyon) ve Sürdürülebilirlik Çözümleri Sağlayıcısı ve Entegratörüdür.
Novida, Kurum, İşletme, Girişimci, Yatırımcı ve Yöneticilerin Hayallerini Stratejilere Dönüştürme ve Gerçekleştirmede Güvenilir Rehber ve Yol Arkadaşıdır!
Novida,strateji, politika, program geliştirme, toplumsal etki yaratma, uluslararası pazarlara açılma, yatırım yapma, dönüşüm ya da büyüme hayalleri olan Kurum, Yatırımcı, Girişimci, İşletme Sahibi/Yöneticilerin gereksinimleri doğrultusunda anahtar teslim, çevik, güvenilir, verimli ve etkili çözümler sunar.
Novida,hayalleri stratejilere, stratejileri gerçek yaşama, gerçekleri de sürdürülebilir iş sonuçlarına dönüştürme konusunda yetkin ve deneyimli bir ekibe ve İş/Çözüm Ortaklarına sahiptir.
Novida, nokta atışlı, endüstri ve ürün-odaklı pazar zekâsı; odaklı strateji ve iş modeli geliştirme; ihracat, pazar/iş geliştirme ve pazara giriş; yatırım ve birleşme/satın alma; varlık/kaynak optimizasyonu ve finansal çözümler; markalaşma vekurumsallaşma; operasyonel mükemmelliyet; dijital, kültürel ve kurumsal dönüşüm çözümleriyle, kurum ve kuruluşların tüm büyüme ve dönüşüm çabasını, ‘seri, çevik, sektöre ve kuruluşa özel, sistemli ve etkili’ biçimde gerçekleştirmelerini sağlamaktadır.
‘Tutkumuz, pek çok kuruluşun ve liderin başarısının altında Novida imzasının bulunması;
geliştirdiğimiz yol arkadaşlıklarının ve kattığımız değerlerin saygı ve takdirle taçlandırılmasıdır.’
Tutkumuz, Vaadimiz ve Değer Önermemiz doğrultusunda ve Sürdürülebilir İş Politikalarımız kapsamında, Novidakişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleme yükümlülüklerini yerine getirmek, usul ve esaslara uymak konusunda taahhütte bulunmaktadır.
Bu çerçevede işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) temel amacı; Şirketimizin benimsemiş olduğu kişisel verilerin korunması mevzuatı kapsamındaki prensipleri, stratejileri, görev ve sorumlulukları, önlem ve uygulamalarısistemli bir yaklaşımla ortaya koymakve tüm Paydaşlarımızı şeffaf biçimde bilgilendirmektir.
KİŞİSEL VERİLERİN KORUNMASI –TANIM ve KAPSAM
Kişisel Veri: kapsamına, kişinin adı, soyadı, doğum tarihi ve yeri gibi bireyin kimliğini ortaya koyan bilgiler;telefon/faks numaraları, adres, IP adresi, e-posta adresi, web sitesi, blog, dijital ve sosyal medya adresleri gibi iletişim bilgileri; eğitim düzeyi, mezuniyet, meslek, çalıştığı yerler, yaptığı işler, unvan, rol, hobiler, tercihler, kariyer amaç ve hedefleri gibi eğitim ve profesyonel yaşamına dair özgeçmiş ve bilgiler; sağlık, sigorta, hukukî işlem ve sabıka kayıtları; motorlu taşıt plakası, vergi/TC kimlik numarası, SGK numarası; nüfus cüzdanı, sürücü belgesi, pasaport, kartvizit gibi belgelere dair bilgiler; fotoğraf, resim, görüntü ve ses kayıtları, parmak izi, genetik bilgiler; aile bilgileri, grup üyelikleri (fiziksel, sosyal, dijital), etkileşimde bulunulan kişiler, ve bunlarla sınırlı olmamak kaydıyla, kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri niteliğindedir. Bu verilere, fiziksel, dijital, sosyal, mobil, vb. ortamlardan erişim mümkündür.
Kişisel Veri Sahipleri:Şirketimizin tasarladığı, geliştirdiği, sunduğu ya da sunacak olduğu ürün, hizmet, çözüm, model, araç, dijital/sosyal ya da mobil ortam, yazılım, program, projelerimizden faydalanan, ya da faydalanmak isteyen;İş/Çözüm Birliği yapan, ya da yapmak isteyen; ürün, hizmet, çözüm, işgücünden faydalandığımız ya da faydalanmak istediğimiz her türlü mevcut ve potansiyel Paydaş (Kurum, Kuruluş, Yatırımcı, Girişimci, Yönetici, Uzman; Hissedar, Müşteri, Tedarikçi, İş/Çözüm Ortağı, Çalışan (Stajyer, Yarı Zamanlı/Tam Zamanlı Çalışan vb.), Çalışan Adayları, Uzman, Danışman, Dağıtım Kanalı (Distribütör, Bayi, Franchise, Şube, Temsilci v.b.) ve bunların Paydaşları (Hissedar, Yönetici, Uzman, Çalışan, Danışman, Tedarikçi, İş/Çözüm Ortağı, Hizmet Sağlayıcı, Dağıtım Kanalı, vb.), Yetkilileri ve Temsilcileri vb.; Ziyaretçilerimiz ve Şirketimizle irtibat halinde olan ya da olmak isteyen ulusal , bölgesel ya da uluslararası coğrafyalardaki gerçek kişilerdir.
KVKK:6698 no.lu ‘Kişisel Verilerin Korunması Kanunu
KİŞİSEL VERİLERİN KORUNMASI – AMAÇ
Novida, kişisel verileri,6698 no.lu ‘Kişisel Verilerin Korunması Kanunu’nda (KVKK) ve işbu Politikada belirtilen koşullara uygun şekilde, bunlarla sınırlı kalmamak kaydıyla, aşağıdaki amaçlar için işlemekte ve korumaktadır:
- Şirketimizin amaç, vizyon, strateji, iş modeli, vb.nin hayata geçirilebilmesi, ve bu doğrultuda Şirket Yönetişim ve Yönetimi; Pazarlama, İletişim, İş Geliştirme, Satış; Ürün/Hizmet/Yazılım Tasarımı, Geliştirilmesi, Uygulanması; Program ve Proje Yönetimi; Paydaş İlişkileri; Satın Alma; Finans; İnsan Kaynakları Yönetimi; Kalite Güvencesi; gibi operasyon, faaliyet ve iş akışının sağlanması.
- Ürün, hizmet ve çözümlerimizden faydalanan ya da potansiyel olarak faydalanabilecek kişiler açısından gerekli ve sorunlu çalışmaların yapılabilmesi:
- İletişim kurulması, irtibata geçilmesi,
- Müşteri haklarını korumak amacıyla gerekli bildirimlerin yapılması,
- Pazarlama, tanıtım ve satış faaliyetlerinin planlanması ve yürütülmesi,
- Şirketimizle ilgili bilgilere, tanıtım, yayın, haber ve içeriklere, iletişim kanallarına erişimlerinin sağlanması,
- İş geliştirme faaliyetlerinin planlanması ve yürütülmesi,
- Program, proje ve satış sonrası hizmetlerin yürütülmesi,
- Demo, pilot çalışma, taslak, tasarım, prototip vb. paylaşımının yapılması,
- Öneri, talep ve şikayetlerin alınarak, müşteri memnuniyetinin sağlanmasına yönelik geliştirme ve iyileştirmenin yapılması.
- İnsan Kaynaklarına yönelik çalışmaların sağlıklı biçimde yürütülebilmesi:
- İş başvurularının alınması ve değerlendirilmesi,
- Seçme ve yerleştirme işlemlerinin yapılması,
- Şirket politika ve prosedürlerinin aktarılması ve uygulanmasının sağlanması,
- Çalışanların oryantasyon, eğitim ve gelişim faaliyetlerinin gerçekleştirilmesi,
- Çalışanların Kanun ve İş Akdinden doğan hakları gereği şirket yükümlülüklerinin yerine getirilmesi,
- İş Sağlığı ve Güvenliği (İSG) konusundaki yükümlülüklerin yerine getirilmesi
- Şirketimizle herhangi bir sebeple (Ticaret, İş, İş ya da Hizmet Akdi, İş Birliği vb.) temas kuran kişilerin sağlık, hukukî ve ticarî güvenliklerinin korunması:
- Ziyaretçi bilgilerinin kaydedilmesi ve temini,
- Şirketin fizikî ortam güvenliğinin sağlanması,
- İş Sağlığı ve Güvenliği (İSG) konusundaki yükümlülüklerin yerine getirilmesi,
- Şirketimizin taraf olduğu hukukî işlerin takibi ve yasa gereği gerekli resmî mercilere gerekli bildirimin yapılması.
KİŞİSEL VERİLERİN KORUNMASI- PRENSİPLER
- Kişisel veriler, ancak 7/4/2016 tarihinde yürürlüğe giren 6698 no.lu ‘Kişisel Verilerin Korunması Kanunu’nda ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
- Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulur:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili Mevzuatta ön görülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
- Kişisel Verilerin İşlenmesi:Kişisel veriler ilgili kişinin açık rızası ile işlenir. Kişisel veriler, aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın da işlenebilir:
- Kanunlarda açıkça öngörülmesi,
- Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına, hukukî geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun, hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Özel Nitelikli Kişisel Verilerin İşlenmesi: Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, ‘Özel Nitelikli’ kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmez.Burada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, ancak kanunlarda öngörülen hâllerde, ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi: Bu ve ilgili diğer Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Veri Sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler ve ilgili yönetmelikler saklıdır.
- Kişisel Verilerin Aktarılması: Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılmaz. Kişisel veriler; 3.üncü maddedeki şartlardan birinin bulunmasıhâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- Kişisel Verilerin Yurt Dışına Aktarılması: Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz.Kişisel veriler; 3.üncü maddedeki şartlardan birinin bulunması hâlinde, ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması (Kurulca belirlenerek, ilan edilir), kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
- Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
- Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- Kişisel Veri Sahibinin Hakları:Kişisel Veri Sahibi, KVKK kapsamında:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse, buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme ya da silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
- Kişisel Veri Sahiplerinin Haklarını İleri Süremeyeceği Durumlar: Kişisel Veri Sahipleri, KVK Kanunu’na uygun ve orantılı olmak kaydıyla, aşağıdaki durumlarda zararın giderilmesini talep etme hakkı hariç, diğer haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- Kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve malî konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
- Kişisel verilerin resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak, kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarî faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercîleri tarafından işlenmesi.
KİŞİSEL VERİLERİN KORUNMASI–STRATEJİLER
‘6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, Şirketimiz aşağıdaki amaç ve stratejileri belirlemiştir:
- Yönetişim: KVK Kanunu’na ve işbu Politikaya uyumun sağlanması amacıyla Yönetişim ve Organizasyonun belirlenmesi.
- Kişisel Verilerin Korunmasına dair Uygulama Esasları: Kişisel verilerin toplanması, işlenmesi, doğru ve güncel tutulması, aktarılması, yurt dışına aktarılması, saklanması, imha edilmesi konularında Uygulama Esaslarının belirlenmesi.
- Aydınlatma: Veri Sorumlusu tarafından, ‘Aydınlatma’ yükümlülüğünün yerine getirilmesi. Bu amaçla, Kişisel verilerin elde edilmesi sırasında, Veri Sorumlusu veya Yetkilendirdiği Kişi, ilgili kişilere:
- Veri Sorumlusunun ve varsa Temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukukî sebebi,
- Kişisel Veri Sahibinin haklarıkonusunda bilgi vermesinin sağlanması.
- Kişisel Veri Sahibinin Hakları:Kişisel verisi elde edilen kişilerin Veri Sorumlusuna başvurarak kendisiyle ilgili haklarını bilmek istemesi, ya da haklarıyla ilgili talepte bulunması durumunda, hakları ve talebiyle ilgili Erişim kanallarının kendisine bildirilmesi, hakları ve talebiyle ilgili yanıt verilmesi.
- Kişisel Verilerin İzlenmesi, Eğitim ve Denetimi:KVK Kanunu’na ve işbu Politikaya uyumlu olarak, kişisel verilerin izlenmesi, eğitim ve denetimi konusundaki yaklaşım ve organizasyonun belirlenmesi.
- Kişisel Verilerin Güvenliği: Kişisel verilerin güvenliğinin sağlanması.
KİŞİSEL VERİLERİN KORUNMASI –YÖNETİŞİM ve ORGANİZASYON
Novida olarak, Kişisel Veri Sahiplerinin her türlü Kişisel Verisinin işlenmesi ve korunmasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygunluğu gözetme hususuna önem vermekte ve özen göstermekteyiz.
NovidaVeri Sorumlusu:İşbu Politika kapsamına giren kişisel veri işleme ve koruma konularındaVeri Sorumlusu, Şirketimiz tüzel kişiliğinin kendisi, Novida Stratejik Yönetim Hizmetleri Tic. Ltd. Şti’.dir.
Veri Sorumlusu:
- kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri Sorumlusunun Yükümlülükleri:
- KVK Kanunuhükümleri ve işbu Politikanın uygulanmasını sağlamak amacıyla, gerekli denetimlerin yapılması veya yaptırılmasını sağlarlar.
- Veri Sorumluları ile Veri İşleyen Kişiler, öğrendikleri kişisel verileri KVK Kanun hükümlerine ve işbu Politikaya aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, İşbu Politikada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
- İşlenen kişisel verilerin kanunî olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede KVK Başkanı ve KVK Komitesine bildirir. Komite,gerekirse, kendi Internet Sitesinde ya da uygun göreceği başka bir yöntemle ilân edebilir.
Kişisel Verilerin Korunması(KVK) Komitesi ve Başkanı:Şirketimiz, KVKK’yasürdürülebilir biçimde uyumluluk sağlamak üzere, Veri Sorumlusu Ana Temsilciliği için Şirket Kurucu ve CEO’sunu görevlendirmiş, kendisinin Başkanlığında bir ‘KVK Komitesi’ oluşturmuştur. KVK Komitesi üyeleri dönemsel ya da sürekli olarak Başkan tarafından belirlenmektedir.
Komite Üyeleri, aynı zamanda Veri Sorumlusu Temsilcileridir, sorumluluk ve yükümlülükleri İş ya da Hizmet Akitlerinde (işbu Politikaya refere edilmek kaydıyla) belirtilmiş ve böylece işbu Politika ve mevzuata uygun uygulamalar için taahhütleri alınmaktadır.
KVK İrtibat Kişisi:Komite Üyelerinden bir kişi, ‘KVK İrtibat Kişisi’ olarak atanmaktadır. İrtibat Kişisinin başlıca sorumluluğu, KVK Komitesi’nin Merkezi Politikalar Kişisel Verilerin Korunması ve İşlenmesi Politikası (Doküman No: PL-01.15 Sayfa: 6/12 Sürüm No: 02 İlk Sürüm Tarihi: 01.01.2017, Son Sürüm Tarihi: 10.10.2018)Görev ve Sorumluluklarını yerine getirmesine yönelik çalışmaktır. İrtibat Kişis aynı zamanda Şirketimizin Veri Sorumluları sicili ve KVK Kurumu nezdinde KVK Mevzuatı kapsamında İrtibat Kişisi olarak hareket eder. İrtibat Kişisinin ana sorumlulukları:
- Şirketimizin kişisel verilerin korunması mevzuatına uyuma yönelik almış olduğu önlemlerin etkinliğini takip etmek,
- Gerekli risk ve iyileştirme sahalarını belirlemek,
- KVK Başkanı ve Komitesi’ne zamanında bildirmek ve ihtiyaç halinde KVK Komitesi’ni toplantıya çağırmak,
- İyileştirme çalışmalarını koordine etmek/gerçekleştirmektir.
İrtibat Kişisinin izin ve/veya sair nedenlere bağlı olarak Şirketimizde bulunmaması durumunda, yerine vekalet edecek kişi KVK Komitesi tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Kişisel Verilerin Korunması Politikası kapsamında İrtibat Kişisi’ne atanan tüm görevlerin yerine getirilmesinden sorumludur.
KİŞİSEL VERİLERİN KORUNMASI – UYGULAMA
- Kişisel Veri Sahiplerinin Aydınlatılması: Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Novida ve Temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukukî sebebi ve ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapılmaktadır.
- Kişisel Verilerin Toplanması:Kişisel veriler, fizikî ve/veya elektronik (Kartvizit, Sosyal, Dijital, Mobil Medya gibi) ortamda, otomatik ve otomatik olmayan yollarla elde edilmekte ve işlenmektedir. Kişisel verilerin toplanmasının hukukî sebebi, işleme faaliyetine göre değişmekle birlikte, her halde işbu Politikada detaylı olarak belirtilen, yasal mevzuatta tanımlanmış en az bir dayanaktan desteklenmektedir.
- Kişisel Verilerin İşlenme Amacı: Kişisel veriler, belirli, açık ve meşru amaçlar için işlenir. Kişisel veri işleme amacı (örn. İş Geliştirme, Pazarlama, Ürün/Hizmet/Çözüm Tanıtımı, Etkinlik Daveti, Haber ve Duyurular, gibi) kişisel veri elde edilmeden önce açık ve kesin olarak belirlenir ve bu amacın meşru, bir başka deyişle hukuka uygun olduğundan emin olunur.
Elde edilen bir kişisel veri, toplanma amacı dışında kullanılmadan önce yeni bir işleme temeli (rıza almak gibi) belirlenir. Kişisel Veri Sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde işlenmektedir. Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rıza anlamına gelmektedir. Bu mümkün değilse, veri toplama amacının dışına çıkılmaz. Ayrıca işleme amacının, kişisel veri sahibi tarafından bilinir hale getirilmesine yönelik şeffaflık adımları atılır (temas talebinde, amacın belirtilmesi gibi).
Şirketimiz, gerçekleştirdiği işleme faaliyetleri bakımından Kişisel Veri İşleme Envanteri kapsamında işleme amaçlarını belirlemekte ve bunların meşruiyetini denetlemektedir. Ayrıca, kişisel veri işleme amaçları, Aydınlatma Yükümlülüğü kapsamında, işbu Politikanın duyurulması yolu ile, Kişisel Veri Sahiplerine bildirilmektedir.
- Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması: Asgari işleme prensibi veya veri minimizasyonu olarak da ifade edilen bu ilke uyarınca, işlenmesi Merkezi Politikalar Kişisel Verilerin Korunması ve İşlenmesi Politikası (Doküman No: PL-01.15 Sayfa: 7/12 Sürüm No: 02 İlk Sürüm Tarihi: 01.01.2017 Son Sürüm Tarihi: 10.10.2018) planlanan kişisel veriler, belirlenen amaçların gerçekleştirilebilmesine elverişli olacak şekilde tespit edilir. Amacın gerçekleştirilmesiyle ilgili olmayan veya bu amaç için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılır.
- Kişisel Verilerin İşlenme Koşulları:Kişisel Veri Sahibinin, kişisel verileri, aşağıdaki durumlarda işlenmektedir:
- Şirketimizin hukukî yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
- Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve/veya gerekli kişisel veriler olması,
- Şirketimizin ticarî faaliyetlerini yerine getirmesi için kişisel veri işlemenin gerekli olması,
- İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması,
- Özel nitelikli kişisel verilere dair, Kanunda belirtilen durumlarda, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınmış olması,
- Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması
- Kişisel Verilerin Doğru ve Güncel Olmasının Sağlanması: Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel veriler, elde edildikleri safhada gerçek ile uyumlu bir mahiyette toplanır (e-posta yazışmalar, Kartvizit, LinkedIn gibi Sosyal Medya üzerinden temas, izinli güncel Veri Bankaları kullanımı, gibi) ve bilgilerin isabetli olması sağlanmaktadır.
Ayrıca Kişisel Veri Sahiplerinin, verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerini sağlayacak imkânlar oluşturulur (örn. Web Sitesi e-posta, telefon bilgileri, İletişim Formu, gibi) ve bu talepler dikkatle ele alınmaktadır.
Bir işleme faaliyeti, Kişisel Veri Sahibi bakımından sonuç doğurabilecek nitelikteyse, kişisel verilerin güncel olup olmadığı kontrol edilir (e-posta ya da telefon yoluyla) ve gerekli görülmesi halinde verilerin güncellenebilmesi için Kişisel Veri Sahibiyle (e-posta ya da telefon yoluyla) iletişime geçilmektedir.
- Kişisel Verilerin Aktarılması: Kişisel verilerin 3. (üçüncü) taraflara aktarılmaları gerektiği durumda, işbu Politikada belirtilen işleme koşullarından en az birinin, aktarıma özgü uygulanabilirliği kontrol edilerek, söz konusu koşulun var olması halinde aktarım yapılmaktadır.
KVK Kanunu 8. ve 9. Maddelerine uygun olarak, Şirketimiz, kişisel verileri:
- Şirketimizin ticarî faaliyetlerinin yerine getirilebilmesi amacıyla oluşturulması zorunlu olan Stratejilerin yerine getirilmesi amacıyla Yatırımcı, Hissedar ve Yönetim Kurulumuza,
- İş ve Çözüm Birliği/Ortaklığı kurulma amacının yerine getirilmesi amacıyla İş Ortaklarımıza,
- Ticarî faaliyetlerimizi yerine getirmek için 3. (üçüncü) Taraflardan (Tedarikçi ve Hizmet Sağlayıcılarımız) temin ettiğimiz ürün, hizmet ve çözümler nedeniyle Tedarikçi ve Hizmet Sağlayıcılarımıza,
- Ticarî faaliyetlerimizi yerine getirirken İştirak ve Dağıtım Kanallarımızın (Şube, Distribütör, Bayi, Temsilci, Franchise, Danışman ve Uzman Ağı, Network Üyelerimiz, Servis Kanalı gibi) katılım ve katkısının sağlanabilmesi amacıyla İştirak ve Dağıtım Kanallarımıza,
- Diğer Kanunlar tarafından zorunlu olması nedeniyle, talep eden Kurumun hukukî yetkisi dâhilinde olmak kaydıyla, talep edilen amaçlarla sınırlı olarak, Yetkili Kamu/Özel Kurum; Kuruluş/İşletme; Vergi, Malî, Denetim ve Hukuk gibi konularda Danışmanlık aldığımız 3. (üçüncü) Taraf Hizmet Sağlayıcılara; Yasal Takip süreçleri ile ilgili Zorunlu Kişilere; Gerçek Kişilere ve bunlarla sınırlı olmaksızın, yurt içinde ve yurt dışında, burada belirtilen amaçlarla 3. (üçüncü) Taraflara, Yetkili Şahıs ve Kuruluşlara aktarmaktadır.
Şirketimiz tarafından kişisel veriler, KVK Kanunu’na uygun olarak,Kişisel Veri Sahibinin açık rızasının alınması halinde veya söz konusu aktarıma ilişkin olarak işbu Politikada belirtilen diğer uygulanabilir koşullardan herhangi birininbulunması kaydıyla,Kişisel Veri Sahibinin açık rızası alınmaksızın,yurt dışına aktarılabilmektedir.
Kişisel verileri yurtdışına, kişisel verinin aktarılacağı yabancı ülkenin, KVK Kurulu tarafından ilan edilen ‘Yeterli Korumanın Bulunduğu Ülkeler’Listesi içerisinde yer alması halinde; söz konusu yabancı ülkede yeterli korumanın bulunmaması durumunda ise, ilgili yabancı ülkedeki Veri Sorumlusu ile yeterli bir korumanın yazılı olarak taahhüt edilmesi kaydıyla aktarılmaktadır.
- Kişisel Verilerin Saklanması ve İmha Edilmesi: Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirketimiz tarafından, ‘KVKK Kişisel Veri Saklama ve İmha Politikası’ doğrultusunda gerçekleştirilmektedir. Şirketimizce, faaliyetlerimiz çerçevesinde işlenmekte olan kişisel veriler, aşağıdaki amaçlar doğrultusunda saklanmaktadır:
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
- VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
- Yasal raporlamalar yapmak,
- İşletme güvenliğini sağlamak,
- İmzalanan Sözleşmeler ve Protokoller kapsamında iş ve işlemleri ifa etmek; satış ve pazarlama süreçleriniyürütmek, ödemeleri ve rücû takiplerini yapmak,
- Şirketimiz ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
- İş Geliştirme, Satış, Pazarlama, Müşteri İlişkileri Yönetimi faaliyetlerini yürütmek,
- Yatırımcı, Tedarikçi, Hizmet Sağlayıcı, İş ve Çözüm Birlikleri/Ortaklıkları yolu ile iş ilişkisi içinde olmak ya da iş birliği yapmak durumunda olunan gerçek ve tüzel kişilerle irtibatı sağlamak,
- İnsan Kaynakları süreçlerini (İşe Alma, Ücret ve Yan Haklar, Eğitim ve Gelişim, Kariyer Yönetimi gibi) yürütmek,
- Kurumsal iletişimi sağlamak,
- Çağrı Merkezi süreçlerini yönetmek,
- Fiziksel mekân güvenliğinin temini ve ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla ziyaretçilerinkişisel verilerini işlemek,
- İstatistiksel çalışmalar yapmak,
- İleride doğabilecek hukukî uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
Şirket çalışanları, çalışan adayları, danışmanlar, hizmet sağlayıcıları, tedarikçileri, İş/Çözüm Ortakları, ziyaretçiler ve diğer 3. (üçüncü)taraflara ait kişisel veriler, bu kapsamda olup,Şirketimizin sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu şekilde uygulanmaktadır.
Şirketimizin tüm Birimve çalışanları, Politika kapsamında KVK Komitesi tarafından alınmakta olan teknik ve idarî tedbirlerin gereği gibi uygulanması;Birim çalışanlarının eğitimi ve farkındalığının arttırılması; izlenmesi ve sürekli denetimi yoluyla kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun saklanmasının sağlanmasıamacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idarî tedbirlerin alınması konularında sorumlu Birimlere aktif olarak destek vermektedir.
Şirketimiz tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanmakta ve imha edilmektedir.Bir kişisel verinin saklanması için geçerli bir sebep kalmaması halinde söz konusu kişisel veri imha edilmekte; bir başka deyişle,silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirketimizde, faaliyetlerimiz çerçevesinde işlenen kişisel veriler, aşağıdaki Kanun ve Yönetmelikler uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. Kişisel veriler, ilgili yasal mevzuatta saklanmaları için öngörülen bir süre varsa bu süre kadar veya işlendikleri amaç bakımından gerekli olan süre daha uzunsa, amaç için gerekli süre kadar muhafaza edilmektedir:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 4734 sayılı Kamu İhale Kanunu,
- 4857 sayılı İş Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5434 sayılı Emekli Sağlığı Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Arşiv Hizmetleri Hakkında Yönetmelik.
Şirketimiz, genel olarak, ‘resmî ve değerli evrak’ ve Paydaş ilişkilerine yönelik verilere dair, ’10 Yıl Saklama Süresi’ prensibini belirlemiştir. Bu kapsamda:
- Kurul İşlemleri,
- Hukukî kayıtlar,
- Resmî Yazışmalar,
- Şirket Paydaşları ile gerçekleştirilen tüm Teklif, Sözleşme ve Akitler (örn. İş Akdi) ve bu kapsamda gerçekleştirilen yazışmalar, ilgili Teklif, Sözleşme ve Akitlerin (örn. İş Akdi)
- Muhasebe ve Finans Kayıtları,
- Vergi Kayıtları,
- Müşteri Kayıtları, Müşteri ile girilen son etkileşimi,
- Çalışan Kayıtları, Çalıştıkları sürenin sona ermesini,
- İnsan Kaynakları süreçlerinin yürütülmesi,
- Log kayıt takip sistemleri,
- Şirket İletişim Faaliyetlerinin icrası,
- Şirket içi ya da dışından yapılan Şikâyetler ve ilgili Belgeler,
- Yukarıdaki konulardan herhangi birine dair ya da destekleyici Şirket içi ya da dışı e-posta ve diğer yazışmalar,
İlgili sürecin sona ermesinitakip eden 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, imha edilmektedir.
Bunun dışında, örneğin İş Başvuruları, ilgili pozisyonun doldurulmasını takip eden, doğrudan bir pozisyona başvuruda bulunmaksınız genel olarak yapılan İş Başvuruları ise başvuruyu takip eden 6 ay boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,imha edilmektedir.
Benzer şekilde, donanım ve yazılıma erişim süreçlerinin yürütülmesi, kamera kayıtları, ziyaretçi/toplantı katılım takibi için ise, saklama süresinin bitimini takip eden ilk periyodik imha süresinde, imha edilmektedir.
KVK Komitesi’nin takibinden sorumlu olduğu Novida periyodik imha süreci,6 (altı)ay olarak belirlenmiştir.
Kişisel veriler, Şirketimizce, hukuka uygun olarak, aşağıdaki ortamlarda saklanmaktadır:
- Elektronik Ortamlar:Sunucular (Etki alanı, web, e-posta, veri tabanı, yedekleme, dosya paylaşım, vb.); Yazılımlar (ofis yazılımları, portal); Bilgi Güvenliği Cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.); Kişisel Bilgisayarlar (Masaüstü, dizüstü); Mobil Cihazlar (telefon, tablet v.b.); Çıkartılabilir Bellekler (USB, Hafıza Kart vb.); Optik Diskler (CD, DVD vb.); Yazıcı, Tarayıcı, Fotokopi Makinesi, gibi.
- Elektronik Olmayan Ortamlar:Kâğıt; Manuel Veri Kayıt Sistemleri (Değerlendirme ve Anket Formları, Ziyaretçi Giriş Defteri, vb.); Kartvizitlik; Yazılı, Basılı, Görsel Ortamlar.
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili Mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, Kişisel Veri Sahibinin açık rızasını geri alması,
- Kanunun 11.Maddesi gereği,Kişisel Veri Sahibinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun İşletme tarafından kabul edilmesi,
- Şirketimizin, Kişisel Veri Sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azamî sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirketimiz tarafından Kişisel Veri Sahibinin talebi üzerine silinmekte, yok edilmekte ya da re’sen silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel veriler; ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilmektedir:
- Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için Sistem Yöneticisi ya da varsa, Hizmet Sağlayıcıya verilen talimatla, ilgili kullanıcıların erişim yetkisi kaldırılarak, silme işlemi yapılmaktadır.
- Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, Veri Tabanı Yöneticisi hariç, diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde ‘erişilemez ve tekrar kullanılamaz’ hale getirilmektedir.
- Fiziksel Ortamda Tutulan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için Evrak Arşivinden sorumlu Birim Yöneticisi hariç, diğer çalışanlar için hiçbir şekilde ‘erişilemez ve tekrar kullanılamaz’ hale getirilmektedir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanmaktadır.Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ‘Kâğıt Kırpma Makinelerinde’ geri döndürülemeyecek şekilde yok edilmektedir.
- Taşınabilir Ortamda Tutulan Kişisel Veriler:Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, Sistem Yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece Sistem Yöneticisine verilerek, şifreleme anahtarlarıyla güvenli ortamlarda saklanmaktadır.
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanmaktadır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilmektedir.
Kişisel Verilerin Anonim Hale Getirilmesi: kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Veri Sorumlusu veya 3. (üçüncü)Taraflar tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.
Şirketimiz tarafından, faaliyetlerimiz kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreç bazında saklama süreleri işbu Politikada,
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta yer almaktadır.
- Kişisel Verilere Dair Teknik Tedbirlerin Alınması: Kişisel verilerin güvenli bir şekilde saklanması; hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun olarak imha edilmesi için; Kanunun 12.ve 6.Madde 4. (dördüncü)Fıkrası gereği,Özel Nitelikli Kişisel Veriler için Kurul tarafından belirlenerek ilan edilen, yeterli önlemler çerçevesinde Şirketimiz tarafından her türlü teknik tedbir alınmaktadır. Bu kapsamda konunun uzmanı Profesyonel Hizmet Sağlayıcılardan danışmanlık ve denetim hizmetleri alınmaktadır.
- Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, Erişim ve Yetki Matrisi ile kurumsal aktif dizin üzerinden ‘Güvenlik Politikaları’ aracılığı ile yapılmaktadır.
- Şirketimiz içerisinde Erişim Prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Sızma (Penetrasyon) Testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak, gerekli önlemler alınmaktadır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- ŞirketimizinInternet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak, SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için ‘erişilemez ve tekrar kullanılamaz’ olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde, bu durumu ilgili kişiye ve Kurula bildirmek için Şirketimiz tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Özel nitelikli kişisel verilerin güvenliği deişbuPolitikada belirlenmiştir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerektiği durumda, şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiği durumda ise, kriptografikyöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
- Kişisel Verilere Dair İdarî Tedbirlerin Alınması: Kişi Kişisel verilerin güvenli bir şekilde saklanması; hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun olarak imha edilmesi için; Kanunun 12. ve 6. Madde 4. (dördüncü) Fıkrası gereği, Özel Nitelikli Kişisel Veriler için Kurul tarafından belirlenerek ilan edilen, yeterli önlemler çerçevesinde Şirketimiz tarafından her türlü idarî tedbir alınmaktadır.
- Kişisel veri işlemeye başlamadan önce Şirketimiz tarafından, ilgili kişileri ‘Aydınlatma Yükümlülüğü’ yerine getirilmektedir.
- Kişisel Veri İşleme Envanteri hazırlanmıştır.
- Şirketimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara ‘Gizlilik Sözleşmeleri’ imzalatılmaktadır.
- Şirketimiz çalışanlarının niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Şirketimiz çalışanlarına yönelik Bilgi Güvenliği Eğitimleri verilmektedir.
- Güvenlik Politika ve Prosedürlerine uymayan çalışanlara yönelik uygulanacak Disiplin Prosedürü hazırlanmıştır.
- Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
- Kişisel Veri Sahiplerinin Haklarını Kullanması ya da Haklarına İlişkinTaleplerini İletmesi: Kişisel Veri Sahiplerinin, KVK Kanunu ve işbu Politikada belirtilen haklarını kullanmak istemeleri durumunda ya da haklarına ilişkin taleplerini iletmek istediklerinde, aşağıdaki yöntemlerden herhangi biri yoluyla Şirketimize erişebilirler:
- Şirketimizin Web sitesinde bulunan İletişim Formu’nu doldurarak,
- Şirketimize daha önce bildirdiği ve sistemimizde kayıtlı bulunan e-posta adresini kullanmak kaydıyla, Şirketimize e-posta göndererek (info@novida.com.tr ya da isikaydin@novida.com.tr),
- Güvenli elektronik imza veya mobil imza aracılığıyla Şirketimize (info@novida.com.tr ya da isikaydin@novida.com.tr) göndererek,
- Kimliklerini tevsik edici belge ile yazılı olarak başvurması veya noter kanalıyla tebliğ etmesi kaydıyla, Şirketimiz iletişim adresine (güncel adresimiz Web Sitemizde (https://novida.com.tr) bulunmaktadır) ileterek.
- Kişisel Verilerin İzlenmesi, Eğitim ve Denetimi: Şirketimiz Kurucu ve CEO’su, kişisel verilerin korunması alanındaki hukukî ve teknolojik gelişmeleri takip etmekle görevlidir. Bu kapsamda, Malî İşler ve Hukuk konusunda destek alınan 3. (üçüncü) Taraf Firmalardan gerekli yönlendirme ve öneriler alınmakta ve uygulamaya konulmaktadır.
Ayrıca, KVK Politika ve Uygulama Esasları kapsamında tesis edilen kişisel verilerin korunması sistemimizi etkileyebilecek organizasyonel gelişmeler olması halinde, KVK Komitesi tarafından gerekli düzenlemeler yapılmaktadır.
Şirketimizin kişisel verileri işleme faaliyetlerinde rol alan ve/veya kişisel verilere erişim yetkisine sahip çalışanlarına gerekli mevzuat ve bilgi güvenliği eğitimleri verilmektedir, işbu Politikayı okuyup, anladıkları ve uygulayacaklarına dair imzalı taahhütleri alınmaktadır. İş Akitlerinde işbu Politikaya referans verilmekte ve Oryantasyonlarında konunun önemi vurgulanmaktadır. Uygulama Esaslarını hayata geçirmeleri için Veri Sorumlusu tarafından yönlendirilmekte ve gözetilmektedirler. Böylece Şirketimiz çalışanlarının kişisel verilerin korunmasına ilişkin farkındalığının artırılmasıve uygulaması sağlanmaktadır.
Şirketimizin,KVK Kanunu’na uyumunun sürekliliğini sağlamak üzere,KVK Komitesi tarafından görevlendirilen İrtibat Kişisi, tarafından Denetmen rolüyle, yılda 1 (bir) kez denetim gerçekleştirilmektedir. Denetimi takiben tespit edilen iyileştirme noktaları KVK Komitesi’ne raporlanmaktadır. KVK Komitesi tarafından gerekli iyileştirmelerin yapılması için Şirket içi iletişim yapılmaktadır.İrtibat Kişisi tarafından,gerekli iyileştirme çalışmalarının yapılması takip edilmektedir.
- Kişisel Verilerin Güvenliği: Şirketimiz, işlemekte olduğu kişisel verilerle ilgili olarak, hukuka aykırı olarak işlenmesini ve erişilmesini engellemek ve verilerin korunmasını sağlamak üzere, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idarî tedbirleri almaktadır.
Şirketimizin bu kapsamda uygulamakta olduğu çeşitli idarî ve teknik önlemler arasında;
- kişisel verilerin korunması ve bilgi güvenliği eğitimleriyle çalışanlarda farkındalık ve bilinç oluşturulması,
- teknik konularda yetkin personel istihdam edilmesi,
- erişim yetkilerinin ‘Kişisel Verilerin Asgarîleştirilmesi İlkesi’ doğrultusunda belirlenmesi,
- elektronik sistemlerde virüs koruma ve güvenlik duvarı yazılımları ve güvenlik donanımlarının kurulması yer almaktadır.
İşbu Politika, Novida Stratejik Yönetim Hizmetleri Tic. Ltd. Şti. Kurucu ve CEO’su tarafından hazırlanmış olup, yıllık bazda KVK Komitesi tarafından gözden geçirilmektedir. CEO aynı zamanda KVK Komite Başkanı olup, KVK Komitesi ile birlikte işbu Politikanın uygulamaya geçmesinden sorumludur. İşbu Politika, Novida Paydaşlarına, Web Sitemiz üzerinden, Aydınlatma Metni ile birlikte; Çalışanlarımıza ise Web Sitemiz dışında ayrıca Novida Intranet (Google Drive) üzerinden erişime açıktır.
İşbu Politika, Şirketimizin Web Sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politikanın eski nüshaları KVK Komitesi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Sorumlusu tarafından saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
İşbu Politika, NovidaKurucu ve CEO’su tarafından gözden geçirilmiş ve yayınlanmak üzere imzalanmıştır; ve Web Sitesinde yayınlandığı tarih itibarı ile yürürlüğe girer:
- Versiyon0: 31 Mart 2020
KİŞİSEL VERİLER HAKKINDA BİLGİLENDİRME
Kişisel Veriler Hakkında Aydınlatma Metni
Novida Stratejik Yönetim Hizmetleri Tic. Ltd. Şti.(‘Novida’ olarak anılacaktır) olarak başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlüklerin korunması amacıyla hazırlanarak yürürlüğe giren “6698 sayılı Kişisel Verilerin Korunması Kanunu” (KVKK) uyarınca, kişisel verileriniz aşağıda belirtilen amaç, dayanak, koşullar ve yöntemler çerçevesinde, işlendikleri amaç için gerekli olan süre kadar işlenmekte ve korunması için gerekli tüm idarî ve teknik tedbirler Şirketimizce alınmaktadır.
- Kişisel Verilerin Korunması – Tanımlar
Kişisel Veri: kapsamına, kişinin adı, soyadı, doğum tarihi ve yeri gibi bireyin kimliğini ortaya koyan bilgiler; telefon/faks numaraları, adres, IP adresi, e-posta adresi, web sitesi, blog, dijital ve sosyal medya adresleri gibi iletişim bilgileri; eğitim düzeyi, mezuniyet, meslek, çalıştığı yerler, yaptığı işler, unvan, rol, hobiler, tercihler, kariyer amaç ve hedefleri gibi eğitim ve profesyonel yaşamına dair özgeçmiş ve bilgiler; sağlık, sigorta, hukukî işlem ve sabıka kayıtları; motorlu taşıt plakası, vergi/TC kimlik numarası, SGK numarası; nüfus cüzdanı, sürücü belgesi, pasaport, kartvizit gibi belgelere dair bilgiler; fotoğraf, resim, görüntü ve ses kayıtları, parmak izi, genetik bilgiler; aile bilgileri, grup üyelikleri (fiziksel, sosyal, dijital), etkileşimde bulunulan kişiler, ve bunlarla sınırlı olmamak kaydıyla, kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri niteliğindedir. Bu verilere, fiziksel, dijital, sosyal, mobil, vb. ortamlardan erişim mümkündür.
Kişisel Veri Sahipleri: Şirketimizin tasarladığı, geliştirdiği, sunduğu ya da sunacak olduğu ürün, hizmet, çözüm, model, araç, dijital/sosyal ya da mobil ortam, yazılım, program, projelerimizden faydalanan, ya da faydalanmak isteyen; İş/Çözüm Birliği yapan, ya da yapmak isteyen; ürün, hizmet, çözüm, işgücünden faydalandığımız ya da faydalanmak istediğimiz her türlü mevcut ve potansiyel Paydaş (Kurum, Kuruluş, Yatırımcı, Girişimci, Yönetici, Uzman; Hissedar, Müşteri, Tedarikçi, İş/Çözüm Ortağı, Çalışan (Stajyer, Yarı Zamanlı/Tam Zamanlı Çalışan vb.), Çalışan Adayları, Uzman, Danışman, Dağıtım Kanalı (Distribütör, Bayi, Franchise, Şube, Temsilci v.b.) ve bunların Paydaşları (Hissedar, Yönetici, Uzman, Çalışan, Danışman, Tedarikçi, İş/Çözüm Ortağı, Hizmet Sağlayıcı, Dağıtım Kanalı, vb.), Yetkilileri ve Temsilcileri vb.; Ziyaretçilerimiz ve Şirketimizle irtibat halinde olan ya da olmak isteyen ulusal , bölgesel ya da uluslararası coğrafyalardaki gerçek kişilerdir. - Kişisel Verilerin Korunması – Amaç
Novida, kişisel verileri,6698 no.lu ‘Kişisel Verilerin Korunması Kanunu’nda (KVKK) ve işbu Politikada belirtilen koşullara uygun şekilde, bunlarla sınırlı kalmamak kaydıyla, aşağıdaki amaçlar için işlemekte ve korumaktadır:
1. Şirketimizin amaç, vizyon, strateji, iş modeli, vb.nin hayata geçirilebilmesi, ve bu doğrultuda Şirket Yönetişim ve Yönetimi; Pazarlama, İletişim, İş Geliştirme, Satış; Ürün/Hizmet/Yazılım Tasarımı, Geliştirilmesi, Uygulanması; Program ve Proje Yönetimi; Paydaş İlişkileri; Satın Alma; Finans; İnsan Kaynakları Yönetimi; Kalite Güvencesi; gibi operasyon, faaliyet ve iş akışının sağlanması.
2. Ürün, hizmet ve çözümlerimizden faydalanan ya da potansiyel olarak faydalanabilecek kişiler açısından gerekli ve sorunlu çalışmaların yapılabilmesi:
a. İletişim kurulması, irtibata geçilmesi,
b. Müşteri haklarını korumak amacıyla gerekli bildirimlerin yapılması,
c. Pazarlama, tanıtım ve satış faaliyetlerinin planlanması ve yürütülmesi,
d. Şirketimizle ilgili bilgilere, tanıtım, yayın, haber ve içeriklere, iletişim kanallarına erişimlerinin sağlanması,
e. İş geliştirme faaliyetlerinin planlanması ve yürütülmesi,
f. Program, proje ve satış sonrası hizmetlerin yürütülmesi,
g.Demo, pilot çalışma, taslak, tasarım, prototip vb. paylaşımının yapılması,
h. Öneri, talep ve şikayetlerin alınarak, müşteri memnuniyetinin sağlanmasına yönelik geliştirme ve iyileştirmenin yapılması.
3. İnsan Kaynaklarına yönelik çalışmaların sağlıklı biçimde yürütülebilmesi:
a. İş başvurularının alınması ve değerlendirilmesi,
b. Seçme ve yerleştirme işlemlerinin yapılması,
c. Şirket politika ve prosedürlerinin aktarılması ve uygulanmasının sağlanması,
d. Çalışanların oryantasyon, eğitim ve gelişim faaliyetlerinin gerçekleştirilmesi,
e. Çalışanların Kanun ve İş Akdinden doğan hakları gereği şirket yükümlülüklerinin yerine getirilmesi,
f. İş Sağlığı ve Güvenliği (İSG) konusundaki yükümlülüklerin yerine getirilmesi4. Şirketimizle herhangi bir sebeple (Ticaret, İş, İş ya da Hizmet Akdi, İş Birliği vb.) temas kuran kişilerin sağlık, hukukî ve ticarî güvenliklerinin korunması:
a. Ziyaretçi bilgilerinin kaydedilmesi ve temini,
b. Şirketin fizikî ortam güvenliğinin sağlanması,
c. İş Sağlığı ve Güvenliği (İSG) konusundaki yükümlülüklerin yerine getirilmesi,
d. Şirketimizin taraf olduğu hukukî işlerin takibi ve yasa gereği gerekli resmî mercilere gerekli bildirimin yapılması.
- Kişisel Veri Sahibinin Hakları
Kişisel Veri Sahibi, KVKK kapsamında:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse, buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. Kişisel verilerin silinmesini veya yok edilmesini isteme,
g. Düzeltme ya da silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. - Kişisel Veri Sahiplerinin Haklarını İleri Süremeyeceği Durumlar
Kişisel Veri Sahipleri, KVK Kanunu’na uygun ve orantılı olmak kaydıyla, aşağıdaki durumlarda zararın giderilmesini talep etme hakkı hariç, diğer haklarını ileri süremezler:
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
b. Kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
d. Kişisel veri işlemenin bütçe, vergi ve malî konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
e. Kişisel verilerin resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
f. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
g. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak, kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarî faaliyetler kapsamında işlenmesi,
h. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercîleri tarafından işlenmesi. - Kişisel Verilerin Korunması – Organizasyon
Kişisel veri işleme ve koruma konularında Veri Sorumlusu, Şirketimiz tüzel kişiliğinin kendisi, Novida’dır.
Veri Sorumlusu:
1. kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri Sorumlusunun Yükümlülükleri:
1. KVK Kanunu hükümleri ve işbu Politikanın uygulanmasını sağlamak amacıyla, gerekli denetimlerin yapılması veya yaptırılmasını sağlarlar.
2. Veri Sorumluları ile Veri İşleyen Kişiler, öğrendikleri kişisel verileri KVK Kanun hükümlerine ve işbu Politikaya aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
3. Veri Sorumluları ile Veri İşleyen Kişiler, öğrendikleri kişisel verileri KVK Kanun hükümlerine ve işbu Politikaya aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
4. Veri Sorumluları ile Veri İşleyen Kişiler, öğrendikleri kişisel verileri KVK Kanun hükümlerine ve işbu Politikaya aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.Kişisel Verilerin Korunması (KVK) Komitesi ve Başkanı: Şirketimiz, KVKK’ya sürdürülebilir biçimde uyumluluk sağlamak üzere, Veri Sorumlusu Ana Temsilciliği için Şirket Kurucu ve CEO’sunu görevlendirmiş, kendisinin Başkanlığında bir ‘KVK Komitesi’ oluşturmuştur. KVK Komitesi üyeleri dönemsel ya da sürekli olarak Başkan tarafından belirlenmektedir.Komite Üyeleri, aynı zamanda Veri Sorumlusu Temsilcileridir, sorumluluk ve yükümlülükleri İş ya da Hizmet Akitlerinde (işbu Politikaya refere edilmek kaydıyla) belirtilmiş ve böylece işbu Politika ve mevzuata uygun uygulamalar için taahhütleri alınmaktadır.KVK İrtibat Kişisi: Komite Üyelerinden bir kişi, ‘KVK İrtibat Kişisi’ olarak atanmaktadır. İrtibat Kişisinin başlıca sorumluluğu, KVK Komitesi’nin Merkezi Politikalar Kişisel Verilerin Korunması ve İşlenmesi Politikası (Doküman No: PL-01.15 Sayfa: 6/12 Sürüm No: 02 İlk Sürüm Tarihi: 01.01.2017, Son Sürüm Tarihi: 10.10.2018) Görev ve Sorumluluklarını yerine getirmesine yönelik çalışmaktır. İrtibat Kişisi aynı zamanda Şirketimizin Veri Sorumluları sicili ve KVK Kurumu nezdinde KVK Mevzuatı kapsamında İrtibat Kişisi olarak hareket eder. İrtibat Kişisinin ana sorumlulukları:
1. Şirketimizin kişisel verilerin korunması mevzuatına uyuma yönelik almış olduğu önlemlerin etkinliğini takip etmek,
2. Gerekli risk ve iyileştirme sahalarını belirlemek,
3. KVK Başkanı ve Komitesi’ne zamanında bildirmek ve ihtiyaç halinde KVK Komitesi’ni toplantıya çağırmak,
4. İyileştirme çalışmalarını koordine etmek/gerçekleştirmektir.İrtibat Kişisinin izin ve/veya sair nedenlere bağlı olarak Şirketimizde bulunmaması durumunda, yerine vekalet edecek kişi KVK Komitesi tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Kişisel Verilerin Korunması Politikası kapsamında İrtibat Kişisine atanan tüm görevlerin yerine getirilmesinden sorumludur. - Kişisel Verilerin Toplanması
Kişisel veriler,şirketimizin merkezi, çalışanları, danışmanları, uzmanları, iş veya çözüm birliği yaptığı kuruluşlar, internet sitesi, sosyal medya hesapları, mobil uygulamalar, çağrı merkezi, şirketimizin faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldığı taraflar,anlaşmalı kuruluşlar, tedarikçi ve alt veya üst taşıyıcılar vasıtasıyla ve benzeri diğer kanalları aracılığıyla, fizikî, yazılı, sözlü ve/veya elektronik (Kartvizit, Sosyal, Dijital, Mobil Medya gibi) ortamda, otomatik ve otomatik olmayan yollarla elde edilmekte ve işlenmektedir. Kişisel verilerin toplanmasının hukukî sebebi, işleme faaliyetine göre değişmekle birlikte, yasal mevzuatta tanımlanmış en az bir dayanaktan desteklenmektedir. - Kişisel Verilerin İşlenme Amacı
Kişisel veriler, belirli, açık ve meşru amaçlar için işlenir. Kişisel veri işleme amacı (örn. İş Geliştirme, Pazarlama, Ürün/Hizmet/Çözüm Tanıtımı, Etkinlik Daveti, Haber ve Duyurular, gibi) kişisel veri elde edilmeden önce açık ve kesin olarak belirlenir ve bu amacın meşru, bir başka deyişle hukuka uygun olduğundan emin olunur.Elde edilen bir kişisel veri, toplanma amacı dışında kullanılmadan önce yeni bir işleme temeli (rıza almak gibi) belirlenir. Kişisel Veri Sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde işlenmektedir. Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rıza anlamına gelmektedir. Bu mümkün değilse, veri toplama amacının dışına çıkılmaz.Şirketimiz, gerçekleştirdiği işleme faaliyetleri bakımından ‘Kişisel Veri İşleme Envanteri’ kapsamında işleme amaçlarını belirlemekte ve bunların meşruiyetini denetlemektedir. Ayrıca, kişisel veri işleme amaçları, ‘Aydınlatma Yükümlülüğü’ kapsamında, Şirket KVK Politikasının duyurulması yolu ile, Kişisel Veri Sahiplerine bildirilmektedir. - Kişisel Verilerin İşlenme Koşulları
Kişisel Veri Sahibinin, kişisel verileri, aşağıdaki durumlarda işlenmektedir:
a. Şirketimizin hukukî yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
b. Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması,
c. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
d. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve/veya gerekli kişisel veriler olması,
e. Şirketimizin ticarî faaliyetlerini yerine getirmesi için kişisel veri işlemenin gerekli olması,
f. İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması,
g. Özel nitelikli kişisel verilere dair, Kanunda belirtilen durumlarda, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınmış olması,
h. Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması - Kişisel Verilerin Doğru ve Güncel Olması
Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel veriler, elde edildikleri safhada gerçek ile uyumlu bir mahiyette toplanır (e-posta yazışmalar, Kartvizit, LinkedIn gibi Sosyal Medya üzerinden temas, izinli güncel Veri Bankaları kullanımı, gibi) ve bilgilerin isabetli olması sağlanmaktadır.Ayrıca Kişisel Veri Sahiplerinin, verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerini sağlayacak imkânlar oluşturulur (örn. Web Sitesi e-posta, telefon bilgileri, İletişim Formu, gibi) ve bu talepler dikkatle ele alınmaktadır.Bir işleme faaliyeti, Kişisel Veri Sahibi bakımından sonuç doğurabilecek nitelikteyse, kişisel verilerin güncel olup olmadığı kontrol edilir (e-posta ya da telefon yoluyla) ve gerekli görülmesi halinde verilerin güncellenebilmesi için Kişisel Veri Sahibiyle (e-posta ya da telefon yoluyla) iletişime geçilmektedir. - Kişisel Verilerin Aktarılması
Kişisel verilerin 3. (üçüncü) taraflara aktarılmaları gerektiği durumda, işbu Politikada belirtilen işleme koşullarından en az birinin, aktarıma özgü uygulanabilirliği kontrol edilerek, söz konusu koşulun var olması halinde aktarım yapılmaktadır.KVK Kanunu 8. ve 9. Maddelerine uygun olarak, Şirketimiz, kişisel verileri:
– Şirketimizin ticarî faaliyetlerinin yerine getirilebilmesi amacıyla oluşturulması zorunlu olan Stratejilerin yerine getirilmesi amacıyla Yatırımcı, Hissedar ve Yönetim Kurulumuza,
– İş ve Çözüm Birliği/Ortaklığı kurulma amacının yerine getirilmesi amacıyla İş Ortaklarımıza,
– Ticarî faaliyetlerimizi yerine getirmek için 3. (üçüncü) Taraflardan (Tedarikçi ve Hizmet Sağlayıcılarımız) temin ettiğimiz ürün, hizmet ve çözümler nedeniyle Tedarikçi ve Hizmet Sağlayıcılarımıza,
– Ticarî faaliyetlerimizi yerine getirirken İştirak ve Dağıtım Kanallarımızın (Şube, Distribütör, Bayi, Temsilci, Franchise, Danışman ve Uzman Ağı, Network Üyelerimiz, Servis Kanalı gibi) katılım ve katkısının sağlanabilmesi amacıyla İştirak ve Dağıtım Kanallarımıza,
– Diğer Kanunlar tarafından zorunlu olması nedeniyle, talep eden Kurumun hukukî yetkisi dâhilinde olmak kaydıyla, talep edilen amaçlarla sınırlı olarak, Yetkili Kamu/Özel Kurum; Kuruluş/İşletme; Vergi, Malî, Denetim ve Hukuk gibi konularda Danışmanlık aldığımız 3. (üçüncü) Taraf Hizmet Sağlayıcılara; Yasal Takip süreçleri ile ilgili Zorunlu Kişilere; Gerçek Kişilere ve bunlarla sınırlı olmaksızın, yurt içinde ve yurt dışında, burada belirtilen amaçlarla 3. (üçüncü) Taraflara, Yetkili Şahıs ve Kuruluşlara aktarmaktadır.
Şirketimiz tarafından kişisel veriler, KVK Kanunu’na uygun olarak, Kişisel Veri Sahibinin açık rızasının alınması halinde veya söz konusu aktarıma ilişkin olarak işbu Politikada belirtilen diğer uygulanabilir koşullardan herhangi birinin bulunması kaydıyla, Kişisel Veri Sahibinin açık rızası alınmaksızın, yurt dışına aktarılabilmektedir.Kişisel verileri yurtdışına, kişisel verinin aktarılacağı yabancı ülkenin, KVK Kurulu tarafından ilan edilen ‘Yeterli Korumanın Bulunduğu Ülkeler’ Listesi içerisinde yer alması halinde; söz konusu yabancı ülkede yeterli korumanın bulunmaması durumunda ise, ilgili yabancı ülkedeki Veri Sorumlusu ile yeterli bir korumanın yazılı olarak taahhüt edilmesi kaydıyla aktarılmaktadır. - Kişisel Verilerin Saklanması ve İmha Edilmesi
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirketimiz tarafından, ‘KVKK Kişisel Veri Saklama ve İmha Politikası’ doğrultusunda gerçekleştirilmektedir. Şirketimizce, faaliyetlerimiz çerçevesinde işlenmekte olan kişisel veriler, aşağıdaki amaçlar doğrultusunda saklanmaktadır:
– Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
– VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
– Yasal raporlamalar yapmak,
– İşletme güvenliğini sağlamak,
– İmzalanan Sözleşmeler ve Protokoller kapsamında iş ve işlemleri ifa etmek; satış ve pazarlama süreçlerini yürütmek, ödemeleri ve rücû takiplerini yapmak,
– Şirketimiz ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
– İş Geliştirme, Satış, Pazarlama, Müşteri İlişkileri Yönetimi faaliyetlerini yürütmek,
– Yatırımcı, Tedarikçi, Hizmet Sağlayıcı, İş ve Çözüm Birlikleri/Ortaklıkları yolu ile iş ilişkisi içinde olmak ya da iş birliği yapmak durumunda olunan gerçek ve tüzel kişilerle irtibatı sağlamak,
– İnsan Kaynakları süreçlerini (İşe Alma, Ücret ve Yan Haklar, Eğitim ve Gelişim, Kariyer Yönetimi gibi) yürütmek,
– Kurumsal iletişimi sağlamak,
– Çağrı Merkezi süreçlerini yönetmek,
– Fiziksel mekân güvenliğinin temini ve ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla ziyaretçilerinkişisel verilerini işlemek,
– İstatistiksel çalışmalar yapmak,
– İleride doğabilecek hukukî uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
Şirket çalışanları, çalışan adayları, danışmanlar, hizmet sağlayıcıları, tedarikçileri, İş/Çözüm Ortakları, ziyaretçiler ve diğer 3. (üçüncü)taraflara ait kişisel veriler, bu kapsamda olup,Şirketimizin sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu şekilde uygulanmaktadır.Şirketimizin tüm Birimve çalışanları, Politika kapsamında KVK Komitesi tarafından alınmakta olan teknik ve idarî tedbirlerin gereği gibi uygulanması;Birim çalışanlarının eğitimi ve farkındalığının arttırılması; izlenmesi ve sürekli denetimi yoluyla kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun saklanmasının sağlanmasıamacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idarî tedbirlerin alınması konularında sorumlu Birimlere aktif olarak destek vermektedir.Şirketimiz tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanmakta ve imha edilmektedir. Bir kişisel verinin saklanması için geçerli bir sebep kalmaması halinde söz konusu kişisel veri imha edilmekte; bir başka deyişle,silinmekte, yok edilmekte veya anonim hale getirilmektedir.Şirketimizde, faaliyetlerimiz çerçevesinde işlenen kişisel veriler, aşağıdaki Kanun ve Yönetmelikler uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. Kişisel veriler, ilgili yasal mevzuatta saklanmaları için öngörülen bir süre varsa bu süre kadar veya işlendikleri amaç bakımından gerekli olan süre daha uzunsa, amaç için gerekli süre kadar muhafaza edilmektedir:
– 6698 sayılı Kişisel Verilerin Korunması Kanunu,
– 4982 Sayılı Bilgi Edinme Kanunu,
– 6098 sayılı Türk Borçlar Kanunu,
– 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
– 4734 sayılı Kamu İhale Kanunu,
– 4857 sayılı İş Kanunu,
– 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
– 5434 sayılı Emekli Sağlığı Kanunu,
– 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
– 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
– İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
– Arşiv Hizmetleri Hakkında Yönetmelik.
Şirketimiz, genel olarak, ‘resmî ve değerli evrak’ ve Paydaş ilişkilerine yönelik verilere dair, ’10 Yıl Saklama Süresi’ prensibini belirlemiştir. Bu kapsamda:
– Kurul İşlemleri,
– Hukukî kayıtlar,
– Resmî Yazışmalar,
– Şirket Paydaşları ile gerçekleştirilen tüm Teklif, Sözleşme ve Akitler (örn. İş Akdi) ve bu kapsamda gerçekleştirilen yazışmalar, ilgili Teklif, Sözleşme ve Akitlerin (örn. İş Akdi)
– Muhasebe ve Finans Kayıtları,
– Vergi Kayıtları,
– Müşteri Kayıtları, Müşteri ile girilen son etkileşimi,
– Çalışan Kayıtları, Çalıştıkları sürenin sona ermesini,
– İnsan Kaynakları süreçlerinin yürütülmesi,
– Log kayıt takip sistemleri,
– Şirket İletişim Faaliyetlerinin icrası,
– Şirket içi ya da dışından yapılan Şikâyetler ve ilgili Belgeler,
– Yukarıdaki konulardan herhangi birine dair ya da destekleyici Şirket içi ya da dışı e-posta ve diğer yazışmalar,
İlgili sürecin sona ermesini takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, imha edilmektedir.Bunun dışında, örneğin İş Başvuruları, ilgili pozisyonun doldurulmasını takip eden, doğrudan bir pozisyona başvuruda bulunmaksınız genel olarak yapılan İş Başvuruları ise başvuruyu takip eden 6 ay boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, imha edilmektedir.Benzer şekilde, donanım ve yazılıma erişim süreçlerinin yürütülmesi, kamera kayıtları, ziyaretçi/toplantı katılım takibi için ise, saklama süresinin bitimini takip eden ilk periyodik imha süresinde, imha edilmektedir.KVK Komitesi’nin takibinden sorumlu olduğu Novida periyodik imha süreci,6 (altı)ay olarak belirlenmiştir.Kişisel veriler, Şirketimizce, hukuka uygun olarak, aşağıdaki ortamlarda saklanmaktadır:
a. Elektronik Ortamlar: Sunucular (Etki alanı, web, e-posta, veri tabanı, yedekleme, dosya paylaşım, vb.); Yazılımlar (ofis yazılımları, portal); Bilgi Güvenliği Cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.); Kişisel Bilgisayarlar (Masaüstü, dizüstü); Mobil Cihazlar (telefon, tablet v.b.); Çıkartılabilir Bellekler (USB, Hafıza Kart vb.); Optik Diskler (CD, DVD vb.); Yazıcı, Tarayıcı, Fotokopi Makinesi, gibi.
b. Elektronik Olmayan Ortamlar:Kâğıt; Manuel Veri Kayıt Sistemleri (Değerlendirme ve Anket Formları, Ziyaretçi Giriş Defteri, vb.); Kartvizitlik; Yazılı, Basılı, Görsel Ortamlar.Kişisel veriler;
– İşlenmesine esas teşkil eden ilgili Mevzuat hükümlerinin değiştirilmesi veya ilgası,
– İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
– Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, Kişisel Veri Sahibinin açık rızasını geri alması,
– Kanunun 11.Maddesi gereği,Kişisel Veri Sahibinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun İşletme tarafından kabul edilmesi,
– Şirketimizin, Kişisel Veri Sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
– Kişisel verilerin saklanmasını gerektiren azamî sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirketimiz tarafından Kişisel Veri Sahibinin talebi üzerine silinmekte, yok edilmekte ya da re’sen silinmekte, yok edilmekte veya anonim hale getirilmektedir.Kişisel veriler; ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilmektedir:
a. Sunucularda Yer Alan Kişisel Veriler:Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için Sistem Yöneticisi ya da varsa, Hizmet Sağlayıcıya verilen talimatla, ilgili kullanıcıların erişim yetkisi kaldırılarak, silme işlemi yapılmaktadır.
b. Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, Veri Tabanı Yöneticisi hariç, diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde ‘erişilemez ve tekrar kullanılamaz’ hale getirilmektedir.
c. Fiziksel Ortamda Tutulan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için Evrak Arşivinden sorumlu Birim Yöneticisi hariç, diğer çalışanlar için hiçbir şekilde ‘erişilemez ve tekrar kullanılamaz’ hale getirilmektedir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanmaktadır.Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ‘Kâğıt Kırpma Makinelerinde’ geri döndürülemeyecek şekilde yok edilmektedir.
d. TaşınabilirOrtamda Tutulan Kişisel Veriler:Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, Sistem Yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece Sistem Yöneticisine verilerek, şifreleme anahtarlarıyla güvenli ortamlarda saklanmaktadır.Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanmaktadır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilmektedir.
Kişisel Verilerin Anonim Hale Getirilmesi: kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Veri Sorumlusu veya 3. (üçüncü) Taraflar tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.
Şirketimiz tarafından, faaliyetlerimiz kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
– Süreç bazında saklama süreleri işbu Politikada,
– Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde;
– Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta yer almaktadır. - Kişisel Verilere Dair Teknik Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması; hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun olarak imha edilmesi için; Kanunun 12. ve 6. Madde 4. (dördüncü) Fıkrası gereği, Özel Nitelikli Kişisel Veriler için Kurul tarafından belirlenerek ilan edilen, yeterli önlemler çerçevesinde Şirketimiz tarafından her türlü teknik tedbir alınmaktadır. Bu kapsamda konunun uzmanı Profesyonel Hizmet Sağlayıcılardan danışmanlık ve denetim hizmetleri alınmaktadır.
– Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
– Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
– Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, Erişim ve Yetki Matrisi ile kurumsal aktif dizin üzerinden ‘Güvenlik Politikaları’ aracılığı ile yapılmaktadır.
– Şirketimiz içerisinde Erişim Prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
– Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
– Sızma (Penetrasyon) Testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak, gerekli önlemler alınmaktadır.
– Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
– Şirketimizin Internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak, SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
– Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
– Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
– Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
– Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
– Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
– Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
– Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için ‘erişilemez ve tekrar kullanılamaz’ olması için gerekli tedbirleri almaktadır.
– Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde, bu durumu ilgili kişiye ve Kurula bildirmek için Şirketimiz tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
– Özel nitelikli kişisel verilerin güvenliği de işbu Politikada belirlenmiştir.
– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
– Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
– Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerektiği durumda, şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiği durumda ise, kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir. - Kişisel Verilere Dair İdarî Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması; hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi; kişisel verilerin hukuka uygun olarak imha edilmesi için; Kanunun 12. ve 6. Madde 4. (dördüncü) Fıkrası gereği, Özel Nitelikli Kişisel Veriler için Kurul tarafından belirlenerek ilan edilen, yeterli önlemler çerçevesinde Şirketimiz tarafından her türlü idarî tedbir alınmaktadır.
– Kişisel veri işlemeye başlamadan önce Şirketimiz tarafından, ilgili kişileri ‘Aydınlatma Yükümlülüğü’ yerine getirilmektedir.
– Kişisel Veri İşleme Envanteri hazırlanmıştır.
– Şirketimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara ‘Gizlilik Sözleşmeleri’ imzalatılmaktadır.
– Şirketimiz çalışanlarının niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
– Şirketimiz çalışanlarına yönelik Bilgi Güvenliği Eğitimleri verilmektedir.
– Güvenlik Politika ve Prosedürlerine uymayan çalışanlara yönelik uygulanacak Disiplin Prosedürü hazırlanmıştır.
– Kurum içi periyodik ve rastgele denetimler yapılmaktadır. - Kişisel Veri Sahiplerinin Haklarını Kullanması ya da Haklarına İlişkin Taleplerini İletmesi:
Kişisel Veri Sahipleri, KVK Kanunu ve işbu Aydınlatma Metninde belirtilen haklarını kullanmak istemeleri durumunda ya da haklarına ilişkin taleplerini iletmek istediklerinde, aşağıdaki yöntemlerden herhangi biri yoluyla Şirketimize erişebilirler:
a) Şirketimizin Web sitesinde bulunan İletişim Formu’nu doldurarak,
b) Şirketimize daha önce bildirdiği ve sistemimizde kayıtlı bulunan e-posta adresini kullanmak kaydıyla, Şirketimize e-posta göndererek (info@novida.com.tr ya da isikaydin@novida.com.tr),
c) Güvenli elektronik imza veya mobil imza aracılığıyla Şirketimize (info@novida.com.tr ya da isikaydin@novida.com.tr) göndererek,
d) Kimliklerini tevsik edici belge ile yazılı olarak başvurması veya noter kanalıyla tebliğ etmesi kaydıyla, Şirketimiz iletişim adresine (güncel adresimiz Web Sitemizde (https://novida.com.tr) bulunmaktadır) ileterek.