KVKK2 | Onid Studio

Kişisel Verilerin Korunması ve İşlenmesi Politikası

Onid Studio

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BÖLÜM 1 – POLİTİKANIN AMACI;

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; (Şirket) tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve hukuka uygunluğu sağlamak ve kişisel verileri şirketimiz tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek amacıyla bu politika hazırlanmıştır

Onid Studio (Şirket) Bu politika ile bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir Şirket Politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir.

Politika ile, Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması ve tüm süreçlerde mevzuata uyumu temin etmek için sürdürülebilir ve denetlenebilir sistem kurulması amaçlanmaktadır.

Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak gerekli politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluşturulmakta, açık rızalar uygulanmakta, gizlilik sözleşmeleri yapılmakta, kişisel verilerin korunması için şirketimiz tarafından mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.

BÖLÜM 2- TANIMLAR

Kişisel Verilerin Korunması Kanunu ve Onid Studio ‘Kişisel Verilerin Korunması ve İşlenmesi Politikasın da’ yer alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi müşteriler, çalışanlar, çalışan adayları, tedarikçiler ve çalışanları, ortaklar, şirket ile yapılmış sözleşme kapsamındaki diğer üçüncü şahıs gerçek kişiler.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde işlendiği ve saklandığı veri kayıt sistemini kuran ve yöneten kişi veri sorumlusudur.

Veri İşleyen: Veri sorumlusunun verdiği yetki kapsamında onun adına veri işleyen gerçek veya tüzel kişi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.

KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu

KVK Kurulu: Kişisel Verileri Koruma Kurulu

Veri Sorumluları Sicili: VERBİS) KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.

BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven, dürüstlük ve şeffaflık kuralına uygun hareket edilmektedir. Bu çerçevede, kişisel veriler iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

Kişisel verilerin işlenme amaçları açıkça ortaya konulmakta ve bunlara aydınlatma metinlerin de yer verilmektedir. Veriler şirket faaliyetleriyle bağlantılı amaçlar kapsamında işlenmektedir.

Kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemler alınmaktadır

Şirketim, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemekte ve işlendikleri amaç için gerekli olan süre ve faaliyetle ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir.

Kişisel veriler saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir

BÖLÜM 4- İŞLENEN KİŞİSEL VERİLER VE KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel verileriniz, veri kategorileri ile bağlantılı ve ölçülü şekilde aydınlatma metinlerinde yer verilen amaçlara bağlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek işlenebilmektedir.

Aydınlatma Metinlerinde, işlenen kişisel ve özel nitelikteki verilerinize, işleme amacı ve hukuki sebepleriyle eşleştirilerek her veri kategorisi bazında ayrı ayrı yer verilmektedir.

İlgili tüm kişilere bilgi verilmesi amacıyla ayrı aydınlatma metinleri hazırlanmış ve uygulamaya alınmıştır.

İlgili kişi bazında hazırlanan ve ilgililere iletilen aydınlatma metinlerin de işlenen veri kategorileri, verilerin hangi amaçla işlendiği ve aktarıldığı bilgileri yer almaktadır.

KVKK mevzuatına uyumlu olarak elde edilen ve işlenen kişisel verileriniz şirkete ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü tarafımızda olmak üzere ülke içindeki teknolojik ortamlarda yedeklenebilecektir.

BÖLÜM 5- KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği faaliyetler dışında kullanmamakta, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır.

Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

Veri kategorisi bazında amaçlar belirlenmekte ve her kategori için Kanunun 5. ve 6. Maddelerinde yer alan hukuki şartlardan hangisine dayalı olarak veri işlendiğine ve verilerin kimlere aktarılabileceğine ve aktarma amaçlarına Aydınlatma Metnin de yer verilmektedir.

Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile verisi işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Veri sahipleri iş ilişkisi ve sözleşme kurulmasından önce açık bir şekilde bilgilendirilmektedir.

Aydınlatma Metinlerin de;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları;

Konularında ayrıntılı bilgilendirme yer almaktadır

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur.

Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiştir.

Onid Studio KVK Kanunu’nun 11. ve 13. maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kişiye gerekli bilgilendirmeleri süresi olan 30 gün içinde yapmaktadır. Başvuru cevaplanmasının zamanında ve hukuka uygun yapılması için ‘Başvuru Cevaplama Prosedürü’ düzenlenerek şirket içinde sorumlu kişiler belirlenmiş ve görevlendirilmiştir.

BÖLÜM 6- KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel veriler, faaliyet konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, e -posta ve KEP yoluyla tarafınızdan iletilen bilgiler, web sitelerimiz üzerinden yapılmış olan dijital başvurular, paylaşılan finansal veriler, form ve sözleşmelerde yer alan bilgiler, dilekçe ve yazılı başvurularınız, hukuki tebligatlar, görsel kayıtlar yoluyla fiziksel ve elektronik ortamla toplanmaktadır.

Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir.

Şirketimiz Kanun 5. Madde 2.fıkra kapsamında, aşağıda maddeleri belirtilen hukuki durumların uygunluğu varsa bu maddelere dayanarak kişisel veri sahiplerinin verilerini açık rıza almaksızın toplamakta ve ilgili kişilere Aydınlatma metni ile bilgilendirme yapmaktadır.

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Şirketimiz KVKK 6. Madde de yer alan (2) ‘’Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.’’ hükmüne bağlı olarak açık rıza alınmadan özel nitelikli veri toplanmamaktadır.

BÖLÜM 7- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

Kişisel Verilerin Korunması Kanunu bazı kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.

KVKK’nun 6.maddesinde açıklanan özel nitelikli bu veriler; ‘ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.

Kişisel Verilerin Korunması Kanunu’nun 22. nci maddesinin (1) numaralı fıkrasının (ç) bendinde; Kurul görevleri arasında ‘ Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek’ hükmüne yer verilmiştir. Kurul 31/01/2018 tarih 2018/10 sayılı kararı ile ‘Özel Nitelikteki Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemleri açıklamıştır.

Şirketimiz de, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemlerin alınması ve özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, yönetilebilir ve sürdürülebilir bir yapı kurulması amacıyla ‘Özel Nitelikli Verilerin Korunması Politikası’ hazırlanmıştır

Dijital ortamda saklanan özel nitelikli kişisel veriler kuvvetli şifre parametreleri ile korunmaktadır.

Özel nitelikli verilere erişen kişilere gizlilik sözleşmeleri imzalanmaktadır.

Fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece yetkili sağlık personelinin erişebildiği alanlarda fiziksel güvenlik tedbirleri alınarak saklanmaktadır.

Alınan tedbirler şirketimiz Veri Koruma Görevlisi tarafından kontrol edilmektedir.

BÖLÜM 8- KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz, kişisel veri işleme amaçları doğrultusunda, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere ve kurumlara mevzuata uygunluk sağlayarak ve veri güvenlik tedbirlerini alarak aktarabilmektedir.

Aktarılan kişi ve şirketler ile aktarım amaçlarına Aydınlatma Metinlerinde yer verilmektedir.

Kişisel verilerin aktarılmasına ilişkin KVKK hükümlerine aşağıda yer verilmiştir.

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

Ancak MADDE 8-(2) Kişisel veriler; a)5 inci maddenin ikinci fıkrasında yer alan hukuki sebeplerden birinin varlığı halinde( hukuki sebeplere politikanın ‘’bölüm 6- kişisel verilerin toplanma yöntemi ve hukuki sebebi’ bölümünde yer verilmiştir)

b)6 ncı maddenin üçüncü fıkrasında açıklanan ‘’Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara ‘’ açık rıza almadan aktarılabilmektedir. Kanun MADDE 9- (1) ‘Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz’ hükmü kapsamında yurt dışına veri aktarımında açık rıza zorunluluğu uygulanmaktadır

BÖLÜM 9- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi, Kişisel Verilerin Hukuka Aykırı Olarak Erişilmesinin Önlenmesi ve Kişisel Verilerin Güvenli Ortamlarda Muhafazasının sağlanması için alınan İdari ve Teknik Tedbirler aşağıda yer almaktadır.

A) İdari Tedbirler

Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Koruma Görevlisi ve Bilgi Sistem Yetkilisi/Danışmanı tarafından periyodik dönemlerde incelenmekte ve önleme tedbirleri kontrol edilmektedir.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri belirlenmekte ve önem sırasına göre çözümler uygulamaya alınmaktadır.

Çalışanların geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, teknik bilgi beceri geliştirilmesi, KVK Kanunu ve ilgili diğer mevzuata ve veri gizliliğine uyum ve farkındalığın sağlanması amacıyla periyodik eğitimler verilmektedir.

Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyenlerden taahhütname alınması zorunlu kılınmıştır.

Veri işleyen tedarikçiler, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketler yapılan sözleşmelere de KVKK’una uyum ve gizlilik taahhütnameleri eklenmektedir.

Kişisel veri güvenliğine ilişkin politika ve prosedürler hazırlanarak şirket süreç çalışma ve işleyişine uygun olacak şekilde uygulamaya konulmuştur.

Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak kurum içi sistematik periyodik denetimleri Veri Koruma Görevlisi ve Bilgi Sistem Sorumlusu kanalıyla yapmaktadır.

Denetimler gerek görüldüğünde uzman şirketlere veya bağımsız denetim şirketlerine yaptırılacaktır.

Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak elde edilmesi ya da paylaşılması, teknolojik saldırı sonucu verinin açığa çıkması gibi gibi konularda veri ihlalinin tespiti halinde Kişisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ve ihlalle ilgili önleyici tedbirlerin derhal alınmasının sağlanmasını teminen ‘Veri Müdahale Planı’ yürürlüğe konularak görevlendirmeler yapılmıştır.

B) Teknik Tedbirler

Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. Kişisel verilerin hukuka aykırı işlenmesine ve aktarılmasına ve veri güvenliğine yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik kontroller yapılmaktadır.

Şirketimiz sistemlerinde dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri uygulanmaktadır. Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvar ve bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden anti virüs sistemi kullanılmaktadır. Siber güvenlik açısından gerekli ve kademeli önlemler alınmıştır. Firewall üzerinde IPS WEBlocker, Anti spam, Anti virüs uygulamaları kurularak kullanıcı tarafında koruma sağlanmıştır. DLP ve SIEM uygulama çalışmaları geliştirilmektedir.

KVKK Kişisel Veri Güvenliği Rehberi(Teknik ve İdari Tedbirler ) Madde 3.3. ‘Kişisel Veri İşlenen ortamların güvenliğinin sağlanması’ maddesi kapsamında Çevresel Tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, sistem odası kullanımı izlenmektedir. Donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan kamera izleme sistemi) fiziksel güvenliğinin sağlanması amacıyla kablolama ve priz sistemi kontrolleri, yangın söndürme sistemi kontrolü, sistem odası ısı, nem ve ışık seviyesi düzenlemeleri, iklimlendirme sistemi, su baskını önleme sistemi kontrol uygulamaları yapılmaktadır.

Kişisel veri güvenliğinin sağlanmasını teminen, çalışanların bilişim sistemlerine erişimi ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi üzerinden kimlik yönetimi ve yetkilendirme politikaları aracılığı ile yapılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmaktadır. Kişisel verilere erişim için personel tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonlarından oluşan karmaşık şifreler kullanılmaktadır. Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı bilgi sistem birimi ve Veri Koruma Görevlisi tarafından düzenli olarak kontrol edilmektedir. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, dijital ortam cihazları, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların kullanımı kontrol altındadır.

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesini teminen sızma testleri uygulamaya alınacaktır.

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme ve silme, yok etme ve anonim hale getirme işlemleri, Kişisel Verileri Saklama ve İmha Politikası esaslarına uygun olarak yapılmaktadır.

Yedekleme ve iş devamlılığının sürdürülmesi konusunda kurum ihtiyaçlarına göre yeterli önlem alınmış tandem çalışan 2 sunucu ile sanallaştırma yapılmış ve aktif pasif cluster yapısı oluşturulmuştur. Yedekleme için kritik sistemlerin yedekleri periyodik olarak alınmakta, geri dönüş testleri yapılmakta, yedekler belirli aralıklarla dış ortama taşınmaktadır.

Veri güvenliği farkındalığını sağlamak ve standart uygulamaları tanımlamak adına veri güvenlik politika ve prosedürleri uygulamaya alınmıştır.

BÖLÜM 10–İŞLENEN KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki kişisel verilerle ilgili kişisel veri bazında hukuki saklama süreleri şirket ’Kişisel Veri Saklama ve İmha Politikasında’ yer almaktadır.

28 Ekim 2017 tarihinde yürürlüğe giren ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik’te işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlenmektedir.

Şirket ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketin o veriyi işlerken sunduğu hizmetlerle amaca bağlı olarak işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve işleme amacına bağlı saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.

BÖLÜM 11- VERİLERİ SİLME YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ

Kanunun 7. maddesinde, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir.

Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir

Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır

Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar, teknik detaylarda Bilgi Sistem Birimin den görüş alınarak Veri Koruma Görevlisi tarafından verilir.

Silme işlemine konu teşkil edecek kişisel veriler belirlenir. Silme işlemleri önceden belirlenmiş personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme işlemi yapan personelin silinen datayı geri getirme, tekrar kullanma erişim yetkileri kaldırılır.

Silinmesi gereken verilerin silme, yok etme veya anonimleştirilmesinin, kanun, yönetmelik ve şirket politika ve prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi kaydı doğruluğunun kontrolü Veri Koruma Görevlisi tarafından yapılır.

BÖLÜM 12 - VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI

Onid Studio KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.

Şirket kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için idari ve teknik düzenlemeleri uygulamaya koymuştur.

Kişisel veri sahipleri Kişisel Verilerin Korunması Kanunu 11. Madde gereğince aşağıdaki haklara sahiptir;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

Kişisel Veri Sahibinin Haklarını Kullanması;

Veri sahibi KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir.

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

Veri sorumlusuna başvuru Kanun Madde 13.te aşağıda yer aldığı gibi düzenlenmiştir.

MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır. Başvuruda bulunma yöntemleri ilgili kişilere iletilen Aydınlatma Metinlerinde yer almaktadır.

Onid Studio başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili soru yöneltebilir. Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, cevabını öğrendiği tarihten veya süresinde cevap verilmediği takdirde sürenin bittiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün içinde KVK Kuruluna şikayette bulunabilir.

BÖLÜM 13- POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Şirket Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

BÖLÜM 14- POLİTİKA’NIN YÜRÜRLÜĞÜ

Onid Studio tarafından düzenlenen bu politika ...../....../2022 tarihlidir. Politika Şirketin internet sitesinde yayınlanır.

Bu politikanın hazırlanması, imzalanması, gözden geçirme ve güncellenmesi, Veri Koruma Görevlisi tarafından yerine getirilir.

Çerez Politikası

KVKK

Kişisel Verilerin Korunması ve İşlenmesi Politikası

Referanslar

Hakkımızda

Haberler

Kariyer

BİZİ TAKİP EDİN

İLETİŞİME GEÇİN

Çerez Politikası

Yardım ve Öneriler

KVKK Politikası

Kişisel Verilerin Korunması ve İşlenmesi Politikası

​

BİZİ TAKİP EDİN

İLETİŞİME GEÇİN

Yardım ve Öneriler