Bulutistan, belirli iş faaliyetleri ve fonksiyonlar ile ilgili olarak kişisel verilerin korunması ve bilgi güvenliği ve gizliliğinin sağlanmasına yönelik teknik ve idari tedbirleri uygulamaktadır. Bu Politika, ek şartlar içermedikçe veya kişisel verilerin korunması için daha yüksek standart gerektiğinde kişisel verilerin korunmasına yönelik ilgili tedbirleri alacaktır.
Kişisel verileri işlenmesi ve korunması hakkında yürürlükteki ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacak; ilgili mevzuat ile işbu Politikanın hükümleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak geçerli olacaktır.
Bu politika, kişisel verilerin korunması için KVKK ve ilgili sair mevzuat hükümlerinde öngörülen kural ve prosedürlere göre oluşturulmuştur. Bu anlamda, Veri Sorumlusu da KVKK uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesi ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile muhafazasını sağlamakla yükümlü olduğundan gerekli her türlü teknik ve idari tedbiri almak zorundadır.
Kişisel Veriler İşlenirken Uyulacak İlkeler
Bulutistan tüm Kişisel Veri İşleme faaliyetleri kapsamında aşağıda açıklanan genel ilkelere uygun şekilde hareket eder:
- Kişisel verilerin, hukuka ve dürüstlük kuralına uygun ve şeffaf şekilde işlenmesi,
- Kişisel verilerin sadece belirli, açık ve meşru amaçlarla toplanması,
- Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
- Kişisel verilerin doğru ve gerektiğinde güncel olması, gecikme yaşanmadan silinmesi veya düzeltilmesi,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
- Kişisel verilerin uygun güvenliğin sağlanmasına yönelik şekilde işlenmesi
Toplanan Kişisel Veriler
Bulutistan tarafından toplanan Kişisel Verileriniz Şirketimiz ile olan ilişkinin niteliği ve kanuni yükümlülüklere göre değişmektedir. Toplanan Kişisel Verileriniz şu şekilde sıralanmaktadır.
Kimlik |
Ad soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no vb. |
İletişim |
Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP),
Telefon no vb. |
Özlük |
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları vb. |
Aile Bireyleri
Yakınlık Bilgisi |
Özellikle çalışan adayları ile ilgili olarak Veri Sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi ve profesyonel, eğitim bilgileri vb. |
Hukuki İşlem |
Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler vb. |
Talep/Şikâyet |
Kişiyle ilişkilendirilen ürün ve hizmetlerimizle ilgili Şirketimize yaptığı talep ve şikayetlerle ilgili toplanan bilgiler ve kayıtlar ile bunların sonuçlarının ilgili iş birimleri tarafından değerlendirildiği raporlara yönelik bilgiler vb. |
Müşteri İşlem |
Fatura, senet, çek bilgileri, Sipariş bilgisi, Talep bilgisi vb. |
Fiziksel Mekân
Güvenliği |
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları vb. |
İşlem Güvenliği |
IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri vb. |
Finans |
Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı
bilgileri vb. |
Finansal Bilgi |
Yasal bir takip olması halinde resmi mercilerden gelen bilgi paralelinde kredi kartı borcu, kredi tutarı, kredi ödemeleri, borç bakiyesi, alacak bakiyesi vb. |
Mesleki Deneyim |
Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri vb. |
Görsel ve İşitsel Kayıtlar |
Görsel ve İşitsel kayıtlar vb. |
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar |
Diğer inançlarına ilişkin bilgiler, Dini aidiyetine ilişkin bilgiler, Felsefi inancına ilişkin bilgiler, Mezhep aidiyetine ilişkin bilgiler vb. |
Sağlık Bilgileri |
Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan
cihaz ve protez bilgileri vb. |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler vb. |
Kişisel Verileri İşleme Amaçları
Bulutistan, KVKK ve ilgili sair mevzuat uyarınca, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu bağlamda Şirket tarafından ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplama yöntemi ve kişisel veri toplamanın hukuki sebebi hakkında aydınlatma/bilgilendirme yapılır.
Kişisel veri işleme amacı, şirket ile kişisel veri sahibinin ilişkisi ve işin hukuki niteliğine göre değişmektedir.
Şirket tarafından işlenen kişisel verileri işleme amaçları şu şekildedir:
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekân Güvenliğinin Temini
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Hizmet Satış Süreçlerinin Yürütülmesi
- Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Sponsorluk Faaliyetlerinin Yürütülmesi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yabancı Personel Çalışma ve Oturma İzni İşlemleri
- Yatırım Süreçlerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
Kişisel Verilerin İşlenme Yöntemleri ve Hukuki Sebep
Kişisel veriler kişisel veri sahibinden veya kişisel veri sahibinin açık rızasını bildirdiği 3. Kişilerden elde edilebilir. Elde edilen bu kişisel veriler toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama, değiştirme, kullanma, aktarma, silme, yok etme, yöntemleri ile işlenebilir.
Kişisel veriler KVKK md.5’te sayılan meşru sebeplerden birinin varlığı halinde veri sahibinin açık rızası aranmaksızın yukarıdaki yöntemlerden biri veya birkaçı ile işlenebilirler:
- Kanunlarda ve ilgili herhangi mevzuatta açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Kişisel Verilerin Saklanması ve İmhası
- Bulutistan, kişisel verilerin saklanma sürelerini belirlerken yürürlükte bulunan mevzuatı ve sürece konu olan verilerin işlenme amaçlarını göz önünde tutarak tespit yapmaktadır. Bu kapsamda, Kişisel Veri İşleme faaliyetine ilişkin yasal yükümlülükler ile zamanaşımı süreleri söz konusuysa mutlaka dikkate alınmaktadır. Kişisel Veri İşleme amacının ortadan kalkması halinde ise, Kişisel Verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinmekte, yok edilmektedir.
- KVKK’nın 7.maddesi ve ilgili diğer mevzuat hükümleri gereğince, işlenen kişisel verilerin işleme sebeplerinin ortadan kalkması halinde Şirket’in kararı, periyodik kontrolü ve/veya ilgili kişinin talebi üzerine kişisel veriler silinir ve imha edilir.
- Tarafımıza herhangi bir yolla hatalı olarak iletilen veya ilgili kişinin iradesinin, açık rıza vermeye yönelmediği anlaşılan durumlarda aktarılan kişisel veriler, Şirketimiz tarafından Kanun’a uygun yöntemler ile derhal imha edilir.
- Bulutistan, bu doğrultuda İmha Prosedürü hazırlamıştır. İmha Prosedürü tüm durumlarda uygulanacaktır.
- Bulutistan, verinin toplanma sebebi ile bağlantılı olarak, kişisel veriyi veri sahibinin kimliğinin saptanmasına olanak verecek şekilde gerekli olandan uzun süre saklamayacaktır.
- Bulutistan, kişisel veriyi, veri sahibinin hak ve özgürlüklerini koruma amacıyla uygun teknik ve organizasyonel tedbirleri alarak sadece kamu yararı, bilimsel veya tarihsel araştırma veya istatistik amaçlarıyla daha uzun süre saklayabilir.
- Kişisel verinin her bir kategorisi için saklama süresi ve Şirket’in veriyi saklamak zorunda olduğu yasal yükümlülükler de dahil olmak üzere bu sürenin belirlenmesinde kullanılan kriteri İmha Prosedüründe belirtilmiştir.
- Kişisel veriler KVKK hükümleri ve ilgili mevzuat doğrultusunda veri sahibinin hak ve özgürlüklerini korumak ve veri güvenliğini sağlamak amacıyla güvenli bir şekilde imha edilecektir. Verinin silme ve yok etme İmha Prosedürü doğrultusunda yapılacaktır.
Kişisel Verilerin Aktarılması
Yurtiçi Aktarım
Kişisel verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar saklı kalmak üzere, Şirket tarafından ilgili kişilere ait kişisel veriler ilgili kişinin açık rızası olmaksızın başka kişilere aktarılmamaktadır fakat KVKK’nın 5 ve/veya 6. maddesinde sayılı hususların söz konusu olduğu durumlarda hukuka uygunluk sebebi varlığından dolayı açık rıza aranmaksızın kişisel verileriniz yasal çerçevede ilgili kurum ve kuruluşlara aktarılacaktır. Şirketimiz işbu aktarım ile ilgili de Veri Sahibini aydınlatma yükümlülüğünü yerine getirmektedir. Buna göre aktarım yapılabilecek kurum, kuruluş ve/veya kişiler iş bu politikanın c maddesinde sayılmıştır.
Yurtdışı Aktarım
Bulutistan, KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. İlgili kişinin açık rızasının aranmadığı haller için, kişisel verinin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlayıp sağlamadığı şartı aranır. Kurul tarafından veri aktarılan ülkenin güvenli ülke statüsünde sayılmadığı durumlar için, Kurul izni ile yeterli korumayı taahhüt edecek bir veri aktarım protokolü imzalanır.
Aktarım Yapılan Kurum, Kuruluşlar ve Kişiler
- Bulutistan, kişisel verileri, İş Hukuku, Borçlar Kanunu, Gelir Vergisi Kanunu, Ticaret Kanunu, Özel İstihdam Büroları Yönetmeliği ve hizmetlerimiz ile ilgili diğer tüm mevzuat çerçevesinde sayılı mevzuatlar gereğince;
- İlgili kamu kurum ve kuruluşlar,
- Yetkili mercilere,
- Vergi Daireleri, işyeri müfettişleri, İŞKUR, Bölge Çalışma ve SGK başta olmak üzere idari kurum ve kuruluşlarla paylaşabilir.
- Bunlar dışında Şirketimiz kişisel verilerinizi, KVKK md.8 ve 9’a aykırı olmamak ve ilgili mevzuatta belirtilen tüm güvenlik önlemlerini almak kaydıyla;
- Yurt içindeki ve/veya yurt dışındaki iş birliği içerisinde olduğumuz iş ortaklarına, tedarikçilere, iştiraklerine,
Dışarıdan destek alınan hukuk bürosuna, ISG danışmanlık firmasına ve talep olması halinde mahkemelere ve diğer resmi-adli mercilere aktarılabilir.
Veri Güvenliğini Sağlamaya Yönelik Tedbirler
Şirketimiz, kişisel verilerin güvenliğini sağlamaya yönelik veri ihlallerini engelleyecek teknik ve
idari tedbirleri almaktadır. Bu kapsamda Şirketimiz;
- İdari açıdan;
- Mevcut risk ve tehditleri belirlemek üzere risk denetimi yapmaktadır.
- Çalışanlara yönelik farkındalık çalışmaları periyodik olarak yapılmaktadır.
- Kişisel veri güvenliği politikaları ve prosedürleri bulunmaktadır.
- Veri minimizasyonu anlayışını benimseyerek kişisel verilerin mümkün olduğunca azaltılması için çalışmaktadır.
- Teknik açıdan;
- Siber güvenliğin sağlanması,
- Kişisel veri güvenliğinin takibi,
- Kişisel veri içeren ortamların güvenliğinin sağlanması,
- Kişisel verilerin güvenli alanlarda ve bulut bilişim sistemlerinde saklanması,
- Bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımı için gerekli yazılımsal ve donanımsal tedbirleri alarak, kişisel verileri kanunun öngördüğü şartlarla işlemektedir.
Veri Envanteri
Bulutistan, KVKK uyumluluk süreci boyunca riskleri ve fırsatları tespit etmek için yaklaşımının bir parçası olarak bir veri envanteri oluşturmuştur.
Bulutistan’ın veri envanteri şunları belirler:
- Kişisel veriyi kullanan iş süreçleri,
- İşlenen kişisel veri,
- İşlenen özel nitelikli kişisel veri,
- Kişisel veri sahibi,
- Kişisel verileri toplama yöntemi-kişisel verinin kaynağı;
- Kişisel veri işleme amacı,
- Kişisel veri işlemenin hukuki sebebi,
- Kişisel veri saklama süresi,
- Yurt İçi ve Yurt dışı alıcı grubu,
- Teknik ve idari tedbirler.
Veri Sahibinin Hakları
KVKK md.11 kapsamında veri sahibinin aşağıda sayılan hakları bulunmaktadır ve dilediği taktirde
veri sorumlusuna onun belirlediği yöntemlerle ulaşarak haklarını kullanabilir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse bu bilginin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve bu yönde yapılan işlemin üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bunun üçüncü kişilere bildirilmesini isteme,
- İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sahibinin Haklarının Kullanılması
- Veri sahipleri, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Bulutistan’a başvurabilir. Bu kapsamda web sitesinde (www.bulutistan.com’da) yayınlanan “Başvuru Formu” nu doldurarak; şahsen kimlik teyidi yapmak, iadeli taahhütlü olarak veya noter vasıtasıyla başvuru formunu “Küçük Çamlıca Mahallesi Kısıklı Caddesi No:56 34692 Üsküdar/ İstanbul” adresine postalamak veya ictbulutbilisim@h01.kep.tr adresinden kimlik teyitli bir şekilde e-posta göndermek suretiyle taleplerinizi iletebilir.
- Bu durumda Bulutistan talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Bulutistan Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücreti talep edebilecektir. Taleplerin alınması, iletilmesi ve sonuçlandırılmasına ilişkin süreçler İlgili Kişi Başvuru Süreci uyarınca gerçekleştirilir.
- Bulutistan ’ın tüm personeli, görev tanımı ne olursa olsun kendisine yönelmiş veri sahibi erişim taleplerine yönelik olarak doğru başvuru yöntemi konusunda veri sahiplerini yönlendirmekle yükümlüdür. Bulutistan personeli, veri sahiplerinden gelecek talepler konusunda nasıl hareket etmeleri konusunda Veri Sorumlusu ile irtibat kuracaktır.