Kişisel Verilerin İşlenmesi ve Korunması Prosedürü
Amaç
Bu prosedür, Ones Bilişim Teknolojileri Anonim Şirketi (“Ones Technology”) tarafından kişisel verilerin işlenmesi ve korunmasına yönelik temel prensiplerin belirlenmesi, uygulanması ve sürdürülebilirliğinin sağlanması amacıyla hazırlanmıştır. Bu prosedür; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 5237 sayılı Türk Ceza Kanunu (TCK), 5651 sayılı Kanun ve ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi standardı ile uyumludur.
Kapsam
Prosedür; Ones Technology’nin tüm çalışanlarını, stajyerlerini, sözleşmeli personelini, hizmet sağlayıcılarını, hissedarlarını, ziyaretçilerini, danışmanlarını, müşterilerini ve kişisel verilerin işlendiği tüm sistemleri kapsar. Ayrıca Ones Technology adına veri işleyen üçüncü taraflar da bu prosedür kapsamındadır.
Tanımlar ve Kısaltmalar
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, dini inanç, sağlık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler gibi hassas verilerdir.
Veri Sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyen tüzel kişidir.
Açık Rıza: Bilgilendirmeye dayanan, belirli bir konuya ilişkin, özgür iradeyle verilen onay beyanıdır.
VERBİS: Kişisel Verileri Koruma Kurulu tarafından yönetilen Veri Sorumluları Sicil Bilgi Sistemi’dir.
Görev ve Sorumluluklar
Üst Yönetim: Politikanın uygulanmasını desteklemek ve gözetmekle yükümlüdür.
KVKK ve VERBİS Sorumlusu: Politikanın yürütülmesi, güncellenmesi, iç denetim süreçlerinin organizasyonu ile birlikte VERBİS sistemine kayıt ve güncellemelerin yapılmasından sorumludur.
Departman Yöneticileri: Kendi alanlarında politikanın gereklerini uygular.
Kişisel Verilerin İşlenme İlkeleri
Hukuka ve Dürüstlük Kurallarına Uygunluk: Veri işleme faaliyetleri, KVKK, TCK ve diğer ilgili mevzuata uygun olarak yürütülür.
Doğru ve Güncel Olma: Verilerin doğruluğu ve gerektiğinde güncellenmesi esastır.
Belirli, Açık ve Meşru Amaçlarla İşlenme: Veriler, açıkça belirlenmiş, meşru amaçlar doğrultusunda işlenir.
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Veri işleme faaliyetleri yalnızca gerekli olan verilerle sınırlı kalır.
Saklama Süresi ile Sınırlılık: Veriler, 5651 sayılı Kanun, KVKK ve ilgili diğer mevzuatta öngörülen ya da işleme amacı için gerekli olan süre kadar muhafaza edilir.
Süreçlerin Gözden Geçirilmesi ve Sorumlulukların Belirlenmesi: ISO/IEC 27001:2022 standardı A.5.1.1 kontrolüne uygun olarak bilgi güvenliği ile ilgili roller ve sorumluluklar tanımlanmış, ilgili tüm taraflara duyurulmuş ve periyodik olarak gözden geçirilmesi güvence altına alınmıştır.
Kişisel Veri İşleme Şartları
Kişisel veriler, KVKK’nın 5. ve 6. maddelerine uygun olarak aşağıdaki durumlarda açık rıza aranmaksızın işlenebilir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatının veya beden bütünlüğünün korunması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması.
Özel nitelikli veriler sadece açık rıza alınarak ya da kanunen öngörülen durumlarda işlenebilir.
Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Veri sahibi aydınlatma metinleri ile bilgilendirilir. Aydınlatma metinlerinin içeriği KVKK’nın 10. maddesi, Aydınlatma Tebliği ve ISO 27001 A.5.1.1 kontrol maddesi doğrultusunda hazırlanır. Aydınlatma yükümlülüğüne ilişkin süreçler kayıt altına alınır.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Biyometrik kimlik doğrulama çözümleri sunan Ones Technology, özel nitelikli kişisel verileri işlerken Kurul tarafından belirlenen yeterli önlemleri alır. Açık rıza temel alınmakta, gerekli teknik ve idari tedbirler uygulanmaktadır. Özel nitelikli kişisel veriler işlenirken; fiziksel ve dijital güvenlik önlemleri, şifreleme, erişim kontrolü ve gizlilik protokolleri uygulanır.
Kişisel Veri Kategorileri ve İşleme Amaçları
Veri kategorileri ve işleme amaçları, İnsan Kaynakları Yönetimi, İş Sürekliliği, Güvenlik, Müşteri İlişkileri Yönetimi, Ürün-Hizmet Sunumu ve Yasal Yükümlülüklerin Yerine Getirilmesi gibi kapsamlı alanları içerir. Özel nitelikli veriler de dahil olmak üzere tüm veriler bu amaçlara uygun şekilde işlenir.
Veri Saklama Süreleri ve Tedbirler
Kişisel veriler, işleme amacı sona erdiğinde veya mevzuatta belirtilen süre dolduğunda silinir, yok edilir ya da anonimleştirilir. Periyodik imha işlemleri yılda iki kez yapılır. İlgili verilerin saklanması sırasında ISO 27001 çerçevesinde şifreleme, loglama, erişim kontrolleri ve fiziksel güvenlik önlemleri alınır.
Veri Aktarımı
Kişisel veriler yalnızca açık rıza alınarak ya da KVKK’nın 8. ve 9. maddelerinde belirtilen istisnalar kapsamında yurt içi ve yurt dışına aktarılabilir. Aktarılan veriler için gerekli sözleşme ve teknik kontroller sağlanır.
Ziyaretçi, Misafir ve Dijital Erişim Verileri
Şirket ziyaretçilerinden alınan giriş-çıkış, kamera ve internet erişim verileri 5651 sayılı Kanun ve KVKK çerçevesinde işlenir. Ziyaretçiler aydınlatılır, log kayıtları tutulur, dijital erişim güvenliği sağlanır.
Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
İşleme şartları sona eren veriler; silme, yok etme veya anonim hale getirme teknikleri kullanılarak imha edilir. Süreç yalnızca yetkilendirilmiş personel tarafından gerçekleştirilir. Log kayıtları 3 yıl saklanır. Periyodik imha Haziran ve Aralık aylarında yapılır.
Veri Sahibinin Hakları ve Başvuru Süreci
İlgili kişi; verilerine erişme, düzeltme, silme, işleme itiraz etme ve zararının tazminini talep etme hakkına sahiptir. Başvurular, Ones Technology KVKK başvuru formu üzerinden yapılır ve 30 gün içinde yanıtlanır.
Başvuru Şartları ve Yöntemi
6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişi (“Başvuru Sahibi”) tarafından yapılacak başvurular, yazılı olarak veya Kurul tarafından belirlenen yöntemlerle veri sorumlusuna iletilmelidir.
Yazılı başvurular aşağıdaki yollarla yapılabilir:
Başvuru Şekli | Başvuru Adresi |
|---|---|
Islak imzalı başvuru (şahsen, posta, kargo, noter) | |
KEP ile başvuru | |
Şirket sisteminde kayıtlı e-posta adresinden başvuru | |
E-imza/mobil imzalı başvuru |
Ad, soyad ve yazılı başvurularda imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası; yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Bildirime esas e-posta adresi, telefon ve faks numarası (varsa),
Talep konusu ve başvuruya ilişkin bilgi/belgeler.
Yazılı başvurularda evrakın veri sorumlusuna ulaştığı tarih, diğer yöntemlerle yapılan başvurularda ise başvurunun ulaştığı tarih esas alınır.
Veri İhlali Yönetimi
Veri ihlali tespit edildiğinde en geç 72 saat içinde Kurul’a ve ilgili kişilere bildirim yapılır. Bildirimde:
İhlal tarihi,
Etkilenen veri kategorileri (kişisel/özel nitelikli),
Olası sonuçlar,
Alınan/önerilen önlemler,
İletişim bilgileri yer alır.
Yürürlük ve Güncelleme
Bu prosedür yayımlandığı tarihten itibaren yürürlüğe girer. Yılda en az bir kez gözden geçirilir. Gelişen teknolojiler, yasal değişiklikler ve denetim sonuçlarına göre güncellenir.
| Çağrı Merkezi | : | +90 850 305 66 37 |
| Faks | : | +90 312 213 06 20 |
| E-Posta | : | info |
Biyometrik ve Kart Tabanlı Geçiş Kontrol Çözümleri
Yüksek Öncelikli Tesis Güvenliği Çözümleri
İşletim Sistemlerine Biyometrik Giriş Çözümleri
Yazıcı ve Çıktı Güvenliği Çözümleri
Taşınabilir Geçiş ve Devam Kontrol Çözümleri
Tüm Kart Teknolojilerini Destekleyen Güvenlik Çözümleri
Entegre Fiziki ve Siber Güvenlik Çözümleri
Biyometrik ve Kart Tabanlı Personel Devam Kontrol Çözümleri (PDKS)
KVKK ve GDPR Uyumlu Kimlik Doğrulama Çözümleri
Veri Merkezi Güvenliği Çözümleri
