Kişisel Verilerin Korunması Politikası

SBİ BİLİŞİM A.Ş.
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1- Amaç

İşbu Politika’nın amacı, SBİ Bilişim Anonim Şirketinin (SBİ Bilişim) ilgili kişilere ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanununa (“KVKK”) uyumlu bir şekilde işlenmesini, aktarılmasını, korunmasını ve imha edilmesini sağlamak için uygulama kurallarını ve ilgili yükümlülükleri tanımlamaktır.

SBİ BİLİŞİM A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası (“SBİ BİLİŞİM A.Ş. KVK Politikası”) ile SBİ BİLİŞİM A.Ş. tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.

SBİ BİLİŞİM A.Ş.’nin, kişisel verilerin korunmasına verdiği önem doğrultusunda, SBİ BİLİŞİM A.Ş. KVK Politikası ile SBİ BİLİŞİM A.Ş. tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmektedir. SBİ BİLİŞİM A.Ş. KVK Politikası düzenlemelerinin uygulanması ile SBİ BİLİŞİM A.Ş.’nin benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.


2- Hedef

SBİ BİLİŞİM A.Ş. KVK Politikası ile, SBİ BİLİŞİM A.Ş. bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda SBİ BİLİŞİM A.Ş. KVK Politikası, KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır.


3- Kapsam

İşbu Politika aşağıda belirlenen gerçek kişilere ait;

  • Çalışan / Stajyer
  • Çalışan Adayı
  • Proje Çalışanı / Proje Stajyeri
  • Çalışan Yakınları
  • Ortaklar
  • Müşteriler
  • Tedarikçi ve Çözüm Ortakları
  • Ziyaretçiler

aşağıda belirtilen kişisel veri gruplarını kapsamaktadır:

  • Kimlik Verisi
  • İletişim Verisi
  • Görsel ve İşitsel Veri
  • Eğitim Verisi
  • Çalışma ve İzin Verisi
  • Özel Nitelikli Kişisel Veri
  • Çalışan Performans ve Kariyer Gelişim Verisi
  • Çalışan Aile ve Yakını Verisi
  • Finansal Veri
  • Çalışan Biyometrik Verisi
  • Müşteri İşlem Verisi

Politika’nın ve İlgili Mevzuatın Uygulanması Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.


4- Politikanın Yürürlüğü

Şirketimiz tarafından düzenlenerek yürürlüğe giren bu politika Şirketimizin internet sitesinde yayımlanır ve bu yolla kişisel veri sahiplerinin erişimine sunulur.


5- Tanım ve Kısaltmalar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanarak açıklanan ve veri işleme amacıyla sınırlı olarak verilen onay.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İrtibat Kişisi: Veri sorumlusu veya veri sorumlusu temsilcisi tarafından, Kanun ve Kanuna dayalı ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.

Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veri: KVKK’nın 6. maddesinde tanımlanan nitelikteki veri.

VERBİS: Türkiye’de veya yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak kaydolmaları gereken sistem.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu: Kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu ve Veri Sorumluları Sicili’ne kayıt yaptırmakla yükümlü gerçek veya tüzel kişidir.


6- Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

SBİ Bilişim, kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ederek kişisel verileri işlemekle sorumludur.

SBİ Bilişim, kişisel verileri KVKK 5. ve 6. maddelerinde belirtilen kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir:

  • Kişisel verilerin işlenmesine ilişkin SBİ Bilişim’in ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin SBİ Bilişim tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin işlenmesinin SBİ Bilişim’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin ilgili kişiler tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde SBİ Bilişim tarafından işlenmesi,
  • Kişisel verilerin SBİ Bilişim tarafından işlenmesinin SBİ Bilişim’in veya ilgili kişilerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla SBİ Bilişim’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
  • Veri sahibinin açık rızasının alınması.

7- Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK ’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.


8- Kişisel Verileri İşleme Amaçları

SBİ Bilişim, kişisel verileri aşağıdaki amaçlarla işlemektedir:

  • İşe Alım ve Stajyer Alım Süreçlerinin Yürütülmesi
  • Şirketin İdaresi, İşin Yürütülmesi, Şirket Politikalarının Uygulanması
  • Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Ofise Giriş ve Çıkışın Kontrol Altında Tutulması ve İzinsiz Giriş Çıkışın Engellenmesi
  • Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Şirketin AR-GE Projelerini Yürütmesi
  • Salgın Nedeniyle Personel Sağlığını Korumak
  • Mal / Hizmet Satın Alma veya Verme Süreçlerinin Yürütülmesi
  • Taşınır ve Taşınmaz Mal ve Kaynakların Güvenliği ile Lojistik Faaliyetlerinin Yürütülmesi

9- Kişisel Verilerin Aktarılması

SBİ Bilişim, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmekle yükümlüdür. SBİ Bilişim tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler KVKK ve ilgili diğer mevzuatın zorunlu kıldığı durumlar haricinde ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. KVKK ve ilgili diğer mevzuatın zorunlu kıldığı durumlarda ise mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum ve kuruluşa aktarılabilir. Ayrıca, KVKK’nın 8. maddesinde öngörülen şekilde, KVKK’nın 5. maddesinin ikinci fırkasında (örneğin bir sözleşmenin kurulması veya ifası için zorunlu olması ya da hukuki bir yükümlülüğümüzün yerine getirilmesi gibi) öngörülen durumlarda ilgilinin rızası olmaksızın aktarılabilir.

SBİ Bilişim, kişisel verileri kanunda öngörülen şartlara uygun olarak ve gerekli tüm güvenlik önlemlerini alarak Türkiye’de bulunan üçüncü kişilere aktarabilmekte ve kuruluş amacı ile hizmetlerini yerine getirmek için kullandığı bulut bilişim araçları nedeniyle yurt dışında bulunan sunucularda saklayabilmektedir.

KVKK’da belirtilen kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işleme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp sağlanmadığını KVKK’nın amir hükmüne göre Kurul belirleyecek olup; yeterli korumanın bulunmaması durumunda ise hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması gerekmektedir.

Yetkili Kurum ve Kuruluşlar: Kamu tüzel kişileri, hukuken yetkili özel kişi veya kuruluşlardır.

Madde 6’da Belirtilen Amaçlarla Kişisel Verilerin Aktarılabileceği Diğer Kuruluşlar: SBİ Bilişim olarak faaliyetlerimizi yürütmek üzere ilgili sözleşmeler kapsamında hizmet alınan, iş birliği içinde olunan, program ortağı olan kuruluşlar ve diğer üçüncü kişilerdir.


10- Kişisel Verilerin Korunması

SBİ Bilişim tarafından işlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için gerekli tedbirler alınmıştır.


11- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz kişisel verileri yalnızca ilgili mevzuatta öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmektedir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranılmaktadır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirketimiz tarafından kişisel veriler saklanmamaktadır.


12- Kişisel Verilerin Saklanma Süreleri

Şirketimiz, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirketimiz ’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirketimiz’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat veya Şirketimiz’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimiz’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilememekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.


13- Kişisel Verilerin İmhası

SBİ Bilişim tarafından işlenen kişisel veriler;

  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalması,
  • Veri sahibi ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği veri sahibi ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kişisel Verileri Koruma Kurumu tarafından kabul edilmesi,
  • Kişisel Verileri Koruma Kurumunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, tarafımızdan ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.


14- Şirketimiz Ofis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyeti

Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini güvence altına almak amacıyla ve bu politika ile sınırlı olmak şartı ile kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurmayacak şekilde belirli alanlar kamera ile izlemeye tabi tutulmaktadır. Şirketimiz tarafından güvenlik amacıyla yapılan kamera ile izleme faaliyetinde KVKK’na uygun hareket edilmektedir. Kamera ile izleme faaliyeti ile ilgili bilgilendirme internet sitesinde işbu politika yayımlanmakta ve izleme alanlarında izleme yapılacağına ilişkin yazı yazılarak bildirim yapılmaktadır.

Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.


15- Şirketimiz Ofis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Misafir olarak Şirketimiz binalarına gelen kişilerin isim ve soyadları elde edilirken kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.


16- Hukuki Yükümlülükler

Aydınlatma Yükümlülüğü

SBİ Bilişim, verilerin hangi amaçla işlendikleri, kimlere hangi amaçla aktarıldığı, kişisel verileri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin hakları konusunda veri sahiplerine kişisel veriler toplandığı anda bilgilendirme yapar.

Sicile Kayıt Yükümlülüğü

SBİ Bilişim, veri sorumlusu olarak VERBİS sistemine kişisel veri envanterini, veri işleme amaçlarını, veri işleme ve aktarma şartlarını, imha politikalarını Kurum’a bildirir.

Anonimleştirme/Silme/Yok Etme

SBİ Bilişim, ilgili kişinin talebi üzerine verinin anonimleştirilmesi, silinmesi veya yok edilmesini gerçekleştirir.

Veri Güvenliği Yükümlülüğü

SBİ Bilişim, kişisel verilerin hukuka aykırı işlenmesini engellemek için gerekli önlemleri alır.

Veri Sahibi Başvuru Yönetimi

SBİ Bilişim, veri sahibi başvurularının yasal süre içerisinde cevaplanmasına yönelik süreçlerini oluşturmuştur.

Kurul Kararlarının Takibi ve Uygulanması

SBİ Bilişim, Kurul tarafından yayınlanan İlke kararlarını takip eder, Kurul kararlarının uygulanmasını sağlar.


17- İlgili Kişinin Hakları

Bilgi Edinme

SBİ Bilişim tarafından kişisel verileri işlenen Veri sahibi herkes, kendisiyle ilgili veri işlenip işlenmediğine ilişkin bilgi alma hakkına sahip olacaktır. Kişiler, verilerinin işlenme amacına ilişkin bilgi talep edebilecektir.

Zararın Giderilmesini İsteme

SBİ Bilişim tarafından kişisel verileri işlenen bireyler, Kanuna aykırı olarak veri işlenmesi sonucunda maddi veya manevi zarar görenler, genel hükümlerine uygun olarak tazminat talep edebilirler.

Eksik veya Yanlışlığın Düzeltilmesi

SBİ Bilişim tarafından kişisel verileri işlenen bireyler, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltme talep etme hakkını elde edecektir.

Verilerin Aktarıldığı 3. Kişileri Öğrenme

SBİ Bilişim tarafından kişisel verisi işlenen herkes, kendisine ait verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme hakkına sahip olacaktır.

Üçüncü Kişilere Bildirim Yapılması

SBİ Bilişim tarafından kişisel verisi işlenen herkes, verileri hakkında düzeltme veya silme gerektiren hallerin ilgili üçüncü taraflara bildirilmesini isteyebilir.

Silinme veya Yok Edilmeyi Talep Etme

SBİ Bilişim tarafından kişisel verisi işlenen herkes, kanunda öngörülen şartlara uygun olarak işlenmeyen verilerin silinmesini veya yok edilmesini talep edebilecektir.

Otomatik Yöntemle İşlemeye İtiraz Etme

Veriler yalnızca otomatik yöntemlerle işleniyorsa, kişiler sonuca itiraz edebilecektir.

Yukarıdaki haklarınız doğrultusunda tarafımıza yaptığınız başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin SBİ Bilişim için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirlenen tarifedeki ücret alınabilir.

Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu yazılı olarak Şirketimize teslim etmeniz gerekmektedir. Şirket tarafından talebinizin mahiyetine ve başvuru yönteminize göre başvurunun size ait olup olmadığının belirlenmesi ve böylece haklarınızı koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefonunuza mesaj gönderilmesi, aranmanız gibi) istenebilir. Örneğin; Şirkette kayıtlı olan e-posta adresiniz aracılığıyla başvuru yapmanız halinde Şirkette kayıtlı başka bir iletişim yöntemini kullanarak size ulaşabilir ve başvurunun size ait olup olmadığının teyidini isteyebiliriz.


18- İletişim Bilgileri

SBİ BİLİŞİM A.Ş.

Mersis No: 0757046953500001

İletişim Linki: www.sbibilisim.com.tr

Kızılırmak Mahallesi Ufuk Üniversitesi Caddesi No: 4/57 Next Level Loft Ofis Çankaya /Ankara

Copyright © 2018 SBI Bilişim