KİŞİSEL VERİLERİN KORUNMASI GİZLİLİK POLİTİKASI
KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİKişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla, “NİLTEK YAZILIM TEKNOLOJİLERİ A.Ş.“ ile ilişi içerisinde olan veri sahiplerine genel aydınlatma yükümlülüğünü yerine getirmek ve Şirketimiz kişisel veri işleme kurallarının temel esaslarını belirlemek üzere işbu Politika yapılmakta ve bu kapsamda müşterilerimizin, kursiyerlerimizin, eğitmenlerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, ziyaretçilerimizin ve diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
Bu Politika’da belirtilen konuların uygulanmasına yönelik olarak Şirket içerisinde gerekli prosedürler düzenlenmekte, kişi kategorilerine özel Kişisel Veri İşleme Envanteri ile uyumlu aydınlatma metinleri oluşturulmakta, kişisel verilere erişimi olan Şirket çalışanları ve üçüncü taraflarla kişisel verilerin korunması ve gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için “NİLTEK YAZILIM TEKNOLOJİLERİ A.Ş.“ tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte, bu konuda özel bir Komite oluşturulmak (NİLTEK KVK Komitesi) suretiyle kişisel verilerin korunması süreçleri yönetilmektedir.
POLİTİKANIN AMACI
Bu Politikanın temel amacı, “NİLTEK YAZILIM TEKNOLOJİLERİ A.Ş.“ tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.
KAPSAM
Bu Politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, stajyer ve öğrencilerimiz, tedarikçi/alt işveren çalışanları ve yetkilileri, şirket hissedarlarımız ve şirket ortaklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir.
POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
ERİŞİM VE GÜNCELLEME
Politika Şirketimizin internet sitesinde www.niltekyazilim.com yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde güncellenir.
KİŞİSEL VERİ İŞLEMEDE MEVZUATTA YER ALAN İLKELER
1. Hukuka ve Dürüstlük Kurallarına UygunlukŞirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti yapmamaktadır.
2. Kişisel Verilerin Doğruluğu ve Gerektiğinde Güncel OlmasıŞirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve tanıtım amaçlı e-posta ve teklifler gönderilmemektedir.
3. Belirli Açık ve Meşru Amaçlarla İşlemeŞirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel Veri Envanteri” ne de işlenmektedir.
4. İşlendikleri Amaçla Bağlantılı ve Sınırlı OlmaŞirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “data minimanisation/kişisel verilerin azaltılması” ilkesi hayata geçirilmeye çalışılmaktadır.
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza EtmeŞirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin Kişisel Verileri Silme İmha ve Anonimleştirme Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
GİZLİLİK VE VERİ GÜVENLİĞİ
Kişisel veriler gizlidir ve NİLTEK bu gizliliğe riayet etmektedir. Kişisel verilere şirket içinde ancak yetki verilmiş kişiler ulaşabilir. Şirket tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız şirketlerden de verileri koruması talep edilir.
VERİSİ İŞLENEN KİŞİLER
Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler
Çalışan: Şirketimizde çalışan gerçek kişiler
Potansiyel Müşteri: Hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
Tedarikçi Çalışanı: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan gerçek kişiler
Tedarikçi Yetkilisi: Şirketimizin iş ilişkisi içerisinde bulunduğu kurumların hissedarları ve yetkilileri gerçek kişiler
Müşteriler-Kursiyerler- Eğitmenler: Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu hizmetleri kullanan veya kullanmış olan gerçek kişiler
Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
DİĞER: Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar)
VERİ KATEGORİLERİ
Kimlik (ad soyad, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
Lokasyon (bulunduğu yerin konum bilgileri)
Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi)
TANITIM, FARKINDALIK VE REKLAM AMAÇLI VERİ İŞLEME
NİLTEK’nın kamuoyu ve muhataplarında farkındalık oluşturmak, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kampanya, kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla internet sayfası, sosyal medya gibi elektronik, görsel ve işitsel mecraları ya da basılı materyalleri kullanır. Hangi kategoride olursa olsun kişisel verisi işlenen veri ilgilisini onayının açık bir şekilde mevcudiyeti şarttır. Kişilerin mobil cihazlarına reklam amaçlı elektronik ileti ya da SMS gönderilmesi gerektiğinde de, E-Ticaretin Düzenlenmesi Hakkındaki Kanun ile Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik uyarınca, önceden onay alma şartının yerine getirilmesi gerektiği konusunda bilgi ve farkındalığa sahiptir.VERİ KORUMA AMACIYLA ALINAN İDARİ VE TEKNİK ÖNLEMLER
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
Otomatik Sistemlerle İşlenen Veriler
Çalışanların otomatik sistemlerle ilgili olarak işlenen verileri, şirket içi terfilerde ve performans değerlendirmelerinde kullanılabilir. Çalışanlarımız aleyhine çıkan sonuca itiraz etme hakkına sahiptir ve bunu şirket içi prosedürlere uyarak gerçekleştirirler. Çalışanların itirazları da yine şirket içinde değerlendirilir.
Telekomünikasyon ve İnternet
Şirket içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan şirketin kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. Şirket bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir. Çalışan, işe başladığı andan itibaren kendisine tahsis edilen bilgisayarda, telefonlarda ya da diğer araçlarda iş dışında başka bir veri ya da bilgi bulundurmayacağını taahhüt etmektedir.
Kişisel Verilerin Yurt İçi ve Dışına Aktarılması
Şirket üst yönetimi ile ilgili idari işlem ve faaliyetlerin gerekleri doğrultusunda hissedarlar ve yönetim kurulu üyeleri ile iş ortaklığının getirdiği idari ve ticari zorunluluklar nedeniyle çözüm ortakları ile veri paylaşımı yapılabilir.
Ayrıca, dış kaynaklı mal ve hizmet tedarikçiden temin ettiğimiz (sunucu, bulut hizmeti vb.) ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli mal ve hizmetlerin yerine getirilmesini teminen kişisel veriler, Şirketimizin tedarikçilerimize aktarabilecektir.
Dolayısıyla NİLTEK, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.
İlgili Kişinin Hakları
Bir Veri Sahibi olarak, kişisel verilerinizin kaderine hakim olabilmenizi sağlamak amacıyla 6698 sayılı KVK Kanunu’nun 11. maddesinde açıkça sayılan haklara sahipsiniz. Bu haklarınızı kullanırken, sizlere kolaylık sağlamak ve yardımcı olmak adına oluşturduğumuz özel bir Başvuru Formu ’nu, talebiniz halinde internet sayfamızdan temin edebilirsiniz.
Şirket tarafından internet sayfamızda duyurulan ilgilimize başvurarak kişisel verilerle ilgili olarak;
- a) Kişisel verinizin işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
hakkına sahipsiniz.
Buna karşın, Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Şirket, kişisel verileri içeren kayıtlarını, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarla paylaşabilir.
Kişisel veri sahipleri olarak, yukarıda belirtilen haklarınıza ilişkin taleplerinizi NİLTEK ’nın resmi internet adresinden temin edebileceğiniz başvuru formunu eksiksiz doldurup, ıslak imzanız ile iadeli-taahhütlü postayla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi yeterli) yazışma adresimize gönderebilirsiniz. Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ya da şirketimize ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Başvurularınızı bizzat şirketimize gelerek, noter aracılığı ile, Kurumsal eposta adresimize bize vermiş olduğunuz e posta adresinizden mail göndererek ya da iadeli-taahhütlü posta ile yapmanız gerekmektedir. Ayrıca başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir. Şirket, ihtiyaç duyarsa başvuru sahiplerinden başkaca ilgili bilgi ve belge talep edebilir.
Gizlilik İlkesi
İster çalışanlar isterse diğer kişilerin Şirket ’teki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.
İşlem Güvenliği
Şirket tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.
Denetim
Kanunun 12. maddesindeki emredici hükme uygun olacak şekilde, veri sorumlusu sıfatıyla NİLTEK, kişisel verilerin korunması denetlenmekte ve gerektiğinde dış denetimleri yapılmaktadır.
İhlallerin Bildirimi
Şirket, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde, bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVK Kuruluna bildirimde bulunması gerektiği bilinciyle hareket eder. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.
İhlallerin bildirimi ile kurumsal internet adresimizde belirtilen usullere göre başvuruda bulunabilirsiniz. Başvuru ve Bilgi Talep Formu için tıklayınız.