1. AMAÇ ve KAPSAM
Elektra Software Ltd. Şti. (“ELEKTRA”, “Şirket") olarak, kişisel verilerinizin ve özel bilgilerinizin korunmasına önem vermekteyiz. Bu nedenle Şirketimiz tarafından, Veri Sorumlusu sıfatıyla, kişisel verilerinizin, iş amaçlarıyla bağlı olarak, aşağıda açıklandığı çerçevede kullanılmak, kaydedilmek, saklanmak, güncellenmek, aktarılmak ve/veya sınıflandırılmak suretiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVK Kanunu”) uygun olarak işlenmesi hususunda
gereken bütün gayret ve özeni göstermekteyiz.
Bu kapsamda Şirketimiz tarafından başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verilerin korunması amacıyla düzenlenen Kanun ve Yönetmelikler gereğince kişisel verilerinizin hukuka aykırı olarak işlenmesini önleme, hukuka aykırı olarak erişilmesini önleme ve muhafazasını sağlama amacıyla,
uygun güvenlik düzeyini temin etmeye yönelik tüm teknik ve idari tedbirler alınmaktadır.
Bu metnin hedef kitlesi, internet sitelerimizde ve kurumsal süreçlerimizde kişisel verileri işlenen tüm gerçek kişiler ve
çalışanlarımızdır. Elektra Software olarak internet üzerinden web tabanlı ve bulut üzerinden hizmet veren
çevrimiçi yazılımlarımız (“Web Tabanlı Yazılımlar”),
masaüstü yazılımlarımız (“Masaüstü”) internet sitelerimiz (“Site”, “Siteler”) ve mobil
uygulamalarımız (“Mobil Uygulama”, “Mobil Uygulamalar”) üzerinden hizmet vermekteyiz.
Bu aydınlatma Metni söz konusu yazılım, site ve uygulamaların tamamını kapsamaktadır.
Web tabanlı Yazılımlarımız: OPEX
İnternet Sitelerimiz : www.otelcrm.net, www.opex.app, www.opexyurt.com
Mobil Uygulamalarımız : Opex Mobil, Opex Öğrenci Uygulaması
Yazılımlarımız, Uygulamalarımız, Sitelerimiz ve Mobil Uygulamalarımız üzerinde işlenen kişisel bilgiler, kişisel verilerin korunmasına ilişkin mevzuata uygun olarak işlenmektedir. Web tabanlı, masaüstü ve mobil uygulamalarımızla ilgili olarak yalnızca kullanıcı hesabı açan ve/veya mobil uygulamaları indirenler ve internet sitelerimizi kullananlar bakımından “veri sorumlusu” statüsündeyiz ve
bu Gizlilik Politikasının yalnızca bu kişilere ait verilerin işlenmesi ile ilgili olarak geçerlidir.
Web tabanlı, masaüstü ve mobil uygulamalarımızı kullanarak veri işleyen ve kaydeden Müşterilerimiz bizden bağımsız olarak birer veri sorumlusudurlar. Bu durumlarda Şirket olarak yalnızca “veri işleyen” statüsünde olduğumuz için gerektiğinde kişisel verilerinizi işleyen Müşterilerimizin kendi gizlilik politikaları,
aydınlatma metni ve benzeri belgelerine başvurmanızı öneririz.
Öte yandan Sitelerimiz bünyesinde bağlantı verilen üçüncü taraflara ait internet sitelerinin veri güvenliği ve veri koruma uygulama ve politikalarına ilişkin bir garanti vermiyoruz. Bu konuda ilgili veri sorumlusunun veri güvenliği ve
veri koruma ile ilgili politikalarını ayrıca incelemenizi öneririz.
3. VERİ SORUMLUSUNUN KİMLİĞİ
ELEKTRA SOFTWARE (ya da “Kuruluş*) çalışanlar, çalışan adayları, müşteriler, tedarikçiler, tedarikçi
çalışanları ve ziyaretçiler başta olmak üzere ticari faaliyetlerini yürütürken temas kurduğu ve kişisel
verilerini işlediği tüm gerçek kişilere karşı “Veri Sorumlusu” statüsündedir ve yasadan kaynaklanan
yükümlülükleri yerine getirmekle yükümlüdür. ELEKTRA SOFTWARE , bu yükümlülüklerini aldığı uyum ve kontrol
araçları vasıtasıyla aldığı idari tedbirler ile uygun ve ölçülü seviyedeki teknik tedbirlerle yerine getirir.
ELEKTRA SOFTWARE 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinde tanımlı “Veri Sorumlusu”
sıfatıyla kişisel verilerinizi işlemekte olup iletişim bilgileri aşağıdadır:
Ünvan : Elektra Software Ltd. Şti..
Adres : 68 Tyrrells Way Sutton Courtenay Abingdon OX14 4DH
Web adreslerimiz: www.otelcrm.net, www.opex.app, www.opexyurt.com
Telefon : + 90 534 273 39 30
yazışma adresine ya da opex@opex.app adresine elektronik posta yoluyla iletebilirsiniz.
4. TEMEL KAVRAMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle açıklanan rıza
Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
İlgili kişi: Kişisel verisi işlenen gerçek kişi
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veriye dokunan çalışan: Görev tanımı gereği kuruluş namına ilgili kişilerin kişisel
verilerini işleyen çalışanlar
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlemi
Komite: Kuruluş bünyesinde “KVK Komitesinin Görev ve Sorumlulukları Yönergesi”ne uygun
olarak oluşturulan, kuruluş, birimleri ve çalışanları tarafından yürütülen tüm kişisel veri süreçlerinin
izlenmesi, politikalara uyulup uyulmadığının kontrol edilmesi, kişisel veri süreçlerinin kuruluş adına
yürütülmesi gibi görevleri bulunan dahili Komite
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
KVK: 6698 sayılı Kişisel Verileri Koruma Kanunu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik veriler
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
işleyen gerçek veya tüzel kişi
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Ortak veri sorumlusu: Kuruluşun ticari ve kurumsal faaliyetleri kapsamında kişisel
verileri paylaştığı, bu paylaşım süresince ortak olarak kişisel veriler üzerinden işleme faaliyetleri
gerçekleştirdiği diğer veri sorumlusu.
Bağımsız veri sorumlusu: Kuruluşun ticari ve kurumsal faaliyetleri kapsamında kişisel
verileri bir defalığına paylaştığı diğer veri sorumlusu.
5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kuruluşumuzda ilgili kişilere ait kişisel veriler, tamamen ve doğrudan kuruluşun faaliyetleri ve ilgili
kişiyle olan ticari, iş veya hukuki bağla ilişkili olmak üzere;
- Yönetim Süreçleri ile ilgili Amaçlar:
- Ticari faaliyetlerin yürütülmesi,
- İş sürekliliğinin sağlanması, hukuki ve idari iş güvenliğinin temini,
- İş ve uygulama stratejilerinin planlanması ve icrası,
- İş sağlığı ve güvenliği süreçlerinin yönetilmesi,
- Kuruluş, hizmetler ve ürünler hakkında sunum, tanıtım ve bilgilendirme yapılması,
- Mevzuat ve sözleşmelerden kaynaklanan yükümlülüklerin yerine getirilmesi,
- Kuruluş içi ve çevresinde fiziki mekan güvenliğinin sağlanması,
- Hukuki destek alınması,
- Elektronik ve diğer sosyal medya araçları ile basılı, süreli ve süresiz yayınların kullanılması,
- Bayilik süreçlerinin yürütülmesi
- Basın mensupları ve basın, yayın organları ile iletişim kurulması ve sürdürülmesi,
- Kamuoyunun faaliyetler hakkında bilgilendirilmesi,
- İş görüşmelerinin zamanında ve etkili bir biçimde gerçekleştirilmesi,
- İşlerin zamanında ve gereğine uygun bir biçimde tamamlanabilmesi,
- Yerel, ulusal ve uluslararası seviyelerdeki faaliyetlerin planlanması ve yürütülmesi,
- Yurtiçinde ve yurt dışındaki iş ortakları ve topluluk şirketlerleri ile ilişkilerin yürütülmesi,
- Fikri ve sınai mülkiyetle ilgili işlemlerin yürütülmesi,
- Kuruluş, ürünler ve hizmetler hakkında tanıtım, pazarlama ve bilgilendirme yapılması,
- Müşteri ve potansiyel müşterilerden bildirim ve geri dönüş alınması,
- Müşterilere teknik destek sağlanması,
- Müşteri ve potansiyel müşterilerin sorularının cevaplanması
- Elektronik fatura hizmetleri konusunda destek sağlamak,
- Fuar, seminer gibi etkinliklere katılmak,
- Çalışanlarla İlgili Amaçlar:
- Çalışanların iş sözleşmelerinin oluşturulması ve ifası,
- Çalışanlara sunulan hizmetlerin yerine getirilmesi ve uygulanması,
- Çalışanlara sosyoekonomik fayda sağlanması,
- Yurt içi ve yurt dışı görevlendirme, yolculuk ve konaklamaya ilişkin süreçlerin yürütülmesi,
- İnsan kaynakları süreçlerinin planlanması ve yürütülmesi,
- İşe alım, iş ilişkisinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi,
- Özlük dosyalarının oluşturulması, fiziksel ve elektronik ortamlarda saklanması,
- Mesai takibi,
- İşten ayrılış çıkış işlemleri ve mülakatlarının yürütülmesi,
- Performans ve denetim faaliyetlerinin yürütülmesi,
- Bilişim Süreçleri ile ilgili Amaçlar:
- Bilişim ve iletişim altyapısının oluşturulması, güncellenmesi,
- Bilişim araç ve sistemlerinin kullanıcılarının yönetilmesi,
- Kurumsal e-posta hesaplarının yönetilmesi,
- Kurumsal sosyal medya hesaplarının yönetilmesi,
- İşten ayrılan çalışanların e-posta hesaplarının yönetilmesi, denetlenmesi ve kapatılması,
- Taşınabilir ve/veya masa üstü elektronik cihazların yönetilmesi, izlenmesi, denetlenmesi,
- Mobil uygulama kullanıcılarına ait işlemlerin yürütülmesi,
- Internet sitesi üyelerine ilişkin işlemlerin yürütülmesi,
- Veri güvenliğinin sağlanması ve verilerin arşivlenmesi,
- İnternet erişim loglarının tutulması,
- Kuruluşa ait taşıtların ve kullanıcılarının takibinin yapılması,
- Müşterilere ait dijital varlıkların ve hakların korunması ve yönetilmesi amaçlarıyla kişisel veriler
işlenmektedir.
6. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİLER
ELEKTRA SOFTWARE genel ve yoğun olarak ilgili kişilerin verilerini bu Gizlilik Politikası ve diğer idari
ve teknik tedbirler kapsamında işler. Bu kategoriler dışında yer alan gerçek kişilere ait kişisel verilerin
işlenmesinde de işbu Gizlilik Politikası başta olmak üzere kuruluş veri işleme politikalarına uyulacaktır.
Kişisel verileri işlenmekte olan gerçek kişi kategorileri şunlardır:
- Çalışanlar,
- Belirsiz süreli iş akdiyle çalışanlar,
- Stajyer ve İŞKUR işbaşı eğitim programlarında görevli olanlar,
- İş Başvurusunda bulunanlar,
- Müşteri temsilcileri ve çalışanları,
- Tedarikçi temsilcileri ve çalışanları,
- Danışman ve Denetçiler,
- Kamu görevlileri,
- Ziyaretçilerimiz,
- İnternet Sitelerinin ziyaretçileri,
- Potansiyel müşteriler ve kullanıcılar,
- Bayilerimiz
7. YASAL GEREKÇELER VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
7.1. Çalışanlarımıza ve Belirsiz Süreli İş Akdiyle Hizmet Veren Çalışanlarımıza ve Stajyerlere Ait Kişisel
Veriler
Kuruluş çalışanların, çalışan adaylarının ve stajyerlerin kişisel verilerini,
- İş Sözleşmesi,
- 4857 Sayılı İş Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4632 Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu,
- 2004 sayılı İcra İflas Kanunu,
- 4904 sayılı Türkiye İş Kurumu ile İlgili Bazı Düzenlemeler Hakkında Kanun,
- 3308 sayılı Mesleki Eğitim Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 5070 Sayılı Elektronik İmza Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla
Mücadele Edilmesi Hakkında Kanun,
- Sosyal Sigorta İşlemleri Yönetmeliği,
- 1774 sayılı Kimlik Bildirim Kanunu,
- Ücret, Prim, İkramiye Ve Bu Nitelikteki Her Türlü İstihkakın Bankalar Aracılığıyla Ödenmesine
Dair Yönetmelik
ve benzeri kanun, yönetmelik, tebliğlere uygun olarak işlemektedir.
Kuruluş bu kapsamda çalışanların kimlik, iletişim, özlük, finans, mesleki deneyim, fiziksel mekan güvenliği,
hukuki işlem, işlem güvenliği, risk yönetimi, görsel ve işitsel kayıtlar ve diğer bilgiler kategorileri ile
inanç, dernek üyeliği, vakıf üyeliği, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri gibi özel
nitelikli verilerini işlemektedir.
7.2. İş Başvurusunda Bulunanlara Ait Kişisel Veriler
İş başvurusunda bulunanların özgeçmiş, niyet mektubu gibi araçlarla kendi istekleri ile bizimle
paylaştıkları veya kendi istekleri ile tüm ilgili kuruluşlarla paylaşılması için ilettikleri online istihdam
platformları ve/veya yetenek ajanları tarafından bizimle paylaşılan, kimlik, özlük, iletişim, aile bilgileri,
finans, eğitim, mesleki tecrübe, alışkanlıklar gibi kişisel veriler ile özgeçmişlerine kaydettikleri dernek,
vakıf üyelikleri gibi yine kendi istekleri ile paylaştıkları özel nitelikli verileri işlemekteyiz.
7.3. Müşteri ve Tedarikçilerimizin Temsilcilerine Ait Kişisel Veriler
Kuruluş ticari faaliyetlerini yürütürken ilişki kurduğu müşteri ve tedarikçi gerçek kişiler ile müşteri ve
tedarikçi kurumların temsilcileri ve gerçek kişilerin kişisel verilerini,
- Hizmet Sözleşmesi,
- 6098 sayılı Türk Borçlar Kanunu,
- 2004 sayılı İcra İflas Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 213 sayılı Vergi Usul Kanunu,
- Vergi Usul Kanunu Genel Tebliğleri
ve benzeri yasa, yönetmelik ve tebliğler gereği işlemektedir. Kuruluş müşteri ve tedarikçi gerçek
kişilerin ve temsilcilerinin kimlik, iletişim, finans, hukuki işlem ve diğer bilgiler kategorilerindeki
kişisel verilerini işlemektedir.
7.4. Denetçi, Danışman ve Kamu Çalışanlarına Ait Kişisel Veriler
Kuruluş ticari ve imalat faaliyetlerinin yürütülmesi ve sürdürülebilirliğinin ve kalitesinin sağlanması
amacıyla kontrol ve denetim görevi yürüten denetçi, danışman ve kamu çalışanlarının kişisel verilerini,
- 6102 sayılı Türk Ticaret Kanunu,
- 4458 sayılı Gümrük Kanunu,
- 213 sayılı Vergi Usul Kanunu,
- 4857 Sayılı İş Kanunu,
- 4904 sayılı Türkiye İş Kurumu ile İlgili Bazı Düzenlemeler Hakkında Kanun,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- Vergi Usul Kanunu Genel Tebliğleri,
ve benzeri kanun, yönetmelik, tebliğlere uygun olarak işlemektedir.
Kuruluş bu kapsamda denetçi, danışman ve kamu görevlilerinin kimlik, iletişim, özlük kategorilerindeki
kişisel verilerini işlemektedir.
7.5. Uygulama ve Site Kullanıcılarımıza Ait kişisel veriler
Kendi ürünümüz olan web tabanlı, masaüstü ve mobil uygulamaları kendi adına veya kurumsal olarak kullanan
kullanıcıların kimlik, özlük, iletişim, lokasyon kategorilerindeki kişisel verilerini işlemekteyiz.
Ayrıca uygulama ve yazılımları denemek isteyen kişiler için de bir deneme hesabı oluşturulmakta ve kimlik,
özlük, iletişim kategorilerindeki kişisel verileri işlenmektedir.
7.6. Ziyaretçilerimize Ait Kişisel Veriler
Bilişim ve tesis güvenliğinin sağlanması amacıyla ziyaretçilerin kişisel verilerini,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla
Mücadele Edilmesi Hakkında Kanun,
kapsamında ve meşru menfaatimiz gereği işlemekteyiz.
Bu kapsamda ziyaretçilerin Kimlik, İşlem Güvenliği, Fiziksel Mekan Güvenliği gibi kategorilerdeki
kişisel verileri işlenmektedir.
7.7. Site Ziyaretçilerine ve Üyelerine Ait Kişisel Veriler
Meşru menfaatimiz gereği internet sitelerimizi ziyaret eden ve üye olarak kayıt olan kullanıcılara ait işlem
güvenliği, kimlik gibi kategorilerdeki kişisel verileriniz formlar ve “çerezler” aracılığı ile işlenmektedir.
Çerezler hakkında daha fazla bilgi almak için “Çerez Politikamıza” başvurmanızı rica
ediyoruz.
7.8. Potansiyel Müşterilerimize Ait Kişisel Veriler
Sitelerimizdeki reklamlar dışında, kullanıcılarımızı, deneme sürümü kullanıcılarımızı, müşterilerimizi ve
potansiyel müşterilerimizi e-posta, sosyal medya veya telefon aracılığıyla yeni ürünler veya hizmetler
hakkında rızalarını alarak bilgilendirebiliriz. İlgili kişiler bu tür tanıtım, reklam ve promosyon iletişimine
karşı, diledikleri zaman itiraz edebilirler. Ayrıca bu tür e-postalarımızda ve SMS mesajlarını almak istemeyen
ilgililer, mesajları engelleyebilir, iptal seçeneğini kullanabilir veya bize başvurarak listelerden silinmeyi
isteyebilirler.
Ayrıca ürünlerimiz ve/veya hizmetlerimizle ilgilenenleri bilgilendirmek için bir bültenimiz bulunmaktadır.
Her bülten, bültenimizden aboneliğinizi iptal edebileceğiniz bir bağlantı içermektedir. Aboneliği iptal etmek
isteyenler hesap ayarları üzerinden bunu gerçekleştirebilirler. Bu kapsama sınırlı olmak üzere potansiyel
müşterilerimize ait kimlik, özlük ve iletişim kategorilerindeki kişisel verilerini işlemekteyiz.
7.9. Bayilerimize Ait Kişisel Veriler
Ürün ve hizmetlerimizi satış, pazarlama ve satış sonrası destek hizmetlerinde rol alan bayilerimizin
temsilcilerinin kimlik, iletişim, özlük verilerini,
- Bayilik Sözleşmesi
- 6098 sayılı Türk Borçlar Kanunu,
- 2004 sayılı İcra İflas Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 213 sayılı Vergi Usul Kanunu,
- Vergi Usul Kanunu Genel Tebliğleri
ve benzeri yasa, yönetmelik ve tebliğler gereği işlemektedir
8. İLGİLİ KİŞİNİN HAKLARI
Kuruluş, Kanun kapsamında ilgili kişinin veri işlenmeden önce onayını alma hakkının olduğunu, verinin
işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir.
Bu anlamda ilgili kişiler İrtibat Kişisine başvurarak;
- a) Kişisel verinizin işlenip işlenmediğini öğrenme,
- b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) Kanunun 7’nci maddesinde de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir
sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini
talep etme haklarını kullanabilir.
Buna karşın, Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır.
Kişisel veriler, iş ve sözleşme ilişkisinin gereği, yargısal ya da kamu otoritesince kanuni bir yetkinin
kullanılması durumunda ilgili kurum ve kuruluşlarla paylaşabilir.
Sayılan haklar kapsamındaki talepler, kuruluş Başvuru Formunu eksiksiz doldurup ıslak imzanız ile iadeli
taahhütlü mektupla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi olacak şekilde)
İrtibat Kişisine ileterek gerçekleştirilir. Başvuru süreci ile ilgili Kişisel Veri Başvuruları Aydınlatma
Metnine göz atabilirsiniz.
9. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK TEMEL KURALLAR
ELEKTRA SOFTWARE birimleri ve çalışanları ilgili kişilerin kişisel verilerini işlerken Gizlilik Politikası ve
diğer kurumsal politikaların da üzerine inşa edildiği şu temel kurallara özen göstermeye dikkat edeceklerdir.
- Hukuka ve dürüstlük kurallarına uygun olma: Kuruluş kendi topladığı veya diğer taraflarca
kendisi ile paylaşılan kişisel verilerin KVK’da belirtilen ilgili kişinin aydınlatılması, gerekli durumlarda
verilerin işlenmesi için ilgili kişinin açık rızasının alınması gibi şartların yerine getirilip
getirilmediğini kontrol eder ve sorgular. İlgili kişilerin aydınlatılması, açık rızalarının alınması veya
bilgi için yaptıkları başvurulara cevap verirken dürüstlük kurallarına uygun bir şekilde davranır.
- Doğru ve gerektiğinde güncel olma: Kuruluş işlediği ve veri tabanlarında tuttuğu kişisel
verilerin kontrol mekanizmaları elverdiği oranda doğru bilgiler içerdiğinden emin olmaya çalışır. Mümkün
olduğu kadar verileri güncel tutmaya özen gösterir. Veri kaynaklarını doğru bilgi paylaşmaya ve
değişikliklerde güncelleme yapmaya teşvik eder. Verilerin toplanması aşamasında doğru ve güncel olduklarını
kontrol etmeye dikkat eder.
- Belirli, açık ve meşru amaçlar için işlenme: Kuruluş,
kişisel verileri ancak bu Gizlilik Politikasında belirlenen belirli, açık ve meşru amaçlarla işler.
- İşlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olma: Kuruluş, kişisel verileri işlendikleri amacın
sınırları dışında başka bir amaç için işlememeye, böyle bir ihtiyaç doğduğunda ilgili kişinin aydınlatılması
ve gerektiğinde açık rızasının alınmasına özen gösterir. Verileri sadece işlendikleri amaçla sınırlı ve
hizmetin gerektirdiği ölçüde kullanır. İş amaçları dışında verileri işlemez, kullanmaz ve kullandırtmaz.
Kişisel verilerin başka bir amaçla işlenmesi gerektiğinde Komite’nin gözetiminde ve onayı ile ilgili uyum
araçlarında ve kontrol araçlarında düzeltmelerin yapılması sağlanır.
- Süreyle Bağlılık : Kuruluş, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri
amaç için gerekli olan süre kadar muhafaza etmeye özen gösterir. Sözleşmeden kaynaklı kişisel verileri
ilgili Kanunlardaki ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde
muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında kuruluş kişisel veriyi siler ya da anonimleştirir.
Hangi kategorideki verilerin ne kadar süre muhafaza edileceği Kişisel Veri Envanterinde belirlenmiştir.
- Veri Azaltma: Kuruluş, birimleri ve çalışanları yasaların ve ilgili mevzuatın zorunlu
kıldığı kapsam ve süreler dışında, ancak işleme amacının gerektirdiği miktarda, amaçla ilgili
kategorilerdeki verileri toplar ve gerekli olduğu sürece sistemlerinde işlemeye özen gösterir.
- Silme ve İmha Etme: Kuruluş işlemekte olduğu kişisel verileri bağlı olduğu yasalar,
sosyal güvenlik, borçlar, vergi ve ticaret hukuku gibi ilgili alan mevzuatında öngörülen sürelerle sınırlı
ve/veya işleme amacının gerekli kıldığı süreler boyunca saklar. Bu sürelerin sona ermesi durumunda ise
Kişisel Veri Saklama, Silme, İmha ve Aktarma Politikasına uygun olarak ve Komitenin de izni ve
gözetiminde süresi dolan kişisel verileri siler, yok eder veya anonim hale getirir.
- Gizlilik ve Veri Güvenliği: Kuruluşta kişisel verilerin işlenmesi,
aktarılması ve saklanması süreçlerinin tamamında genel gizlilik kurallarına ve veri güvenliğinini
sağlanmasına özen gösterilir, bu amaçla oluşturulan politika belgelerine ve kurallara uygun işlem yapılır.
Gerekli idari ve teknik önlemler alınmasına özen gösterilir.
10. KİŞİSEL VERİLERİN AKTARILMASI
ELEKTRA SOFTWARE üretime dönük ve ticari faaliyetlerini yürütebilmek, kurum olarak ihtiyaç duyduğu uzmanlık
gerektiren faaliyetlerin yürütülmesini sağlamak amaçlarıyla yurt içindeki ve yurt dışındaki hizmet ve ürün
tedarikçilerinden yararlanır ve görev tanımları, faaliyetleri ve sağladıkları hizmetin niteliğine göre “veri
işleyen”, “veri sorumlusu” veya “ortak veri sorumlusu” sayılan bu tedarikçiler, iş ortakları veya yetkili
kurum ve kuruluşlara kişisel verileri aktarabilir.
10.1. Kişisel Veri Aktarımında Gözetilecek Hususlar
- Kişisel veri paylaşımı sırasında veri aktarılan tüm taraflar ile bir veri aktarım sözleşmesi, taahhütname
veya benzeri belgelerin imzalanması yoluyla veri aktarımının güvence altına alınması sağlanır.
- Her bir birim ve çalışan kişisel veri aktarımı yapılan muhatabın kişisel verilerle ilgili oluşturabileceği
riskleri önceden gözetmeli ve risk yaratacak durumların oluşmaması için özen göstermelidir.
- Yurt dışı menşeli uygulama ve servislerin kullanımında KVK ve GDPR gibi ilgili mevzuata uyum konusunda
özen gösterilir.
- Taraflar ve tedarikçilere yapılacak veri aktarımları esnasında veri güvenliğinin uygun ve güvenli araç ve
kanallarla yapılması, kişisel verilerin aktarıldığı gerçek kişilerin muhatap tarafından yetkilendirilmiş
olup olmadığının takip edilmesi, kişisel verilerin aktarım amacıyla oluşturulan nüsha ve kopyaları varsa
bunların işlevleri sona erer ermez tüm mecralardan silinmesine dikkat edilmesi zorunludur.
- Kuruluş birim ve çalışanları veri aktardıkları taraf ve tedarikçilerin kişisel veriler konusundaki
hassasiyetlerini ve uygulamalarını gözetmek, risk oluşturabilecek durumları üstlerine zamanında bildirmekle
yükümlüdürler. Kuruluş çalışanları kişisel veriler konusunda çözümleyemedikleri durum ve sorunlar konusunda
zamanında üstlerinden gerekli desteği istemelidirler.
10.2. Kişisel Verilerin Aktarıldığı Durumlar ve Aktarım Yapılan Taraflar
Kişisel veriler aşağıda belirtilen amaçlarla, yine aşağıda belirtilen taraflarla paylaşılmaktadır:
- Kuruluş tarafından yürütülen ticari faaliyetlerin planlanması ve yerine getirilmesi için gerekli olan
hallerde yurt içi ve yurt dışındaki topluluk şirketleri, iş ortakları, iştirakler, danışman firmalar,
diğer hizmet tedarikçiler gibi özel kurum ve kuruluşlar ile kamu kurum ve kuruluşlarına,
- İş sürekliliğinin sağlanması, hukuki, teknik ve ticari iş güvenliğinin temini, insan kaynakları, iş
sağlığı ve güvenliği ile acil durum süreç ve stratejilerinin planlanması ile icra edilmesi için bu
alanlarda hizmet veren gerçek ve tüzel kişilerle ve onların birlikte çalıştığı üçüncü taraflara;
- Kuruluşun tedarik ettiği hizmetler çerçevesinde sözleşme imzaladığı kişiler ve onların birlikte
çalıştığı üçüncü kişilere,
- Kuruluşun sunduğu hizmetler veya çalışana sosyo-ekonomik fayda sağlayıcı nitelikte dışarıdan hizmet
sağlayan tedarikçiler ve onların birlikte çalıştığı üçüncü taraflara,
- İşe alım, işten çıkış sürecinde Kuruluş içi departmanlara, topluluk şirketlerimize, önceki veya
sonraki işverenlere,
- Kuruluşun yasal yükümlülüklerini yerine getirmesi için gerekli olan hallerde iş ortaklarımız,
danışman firmalarımız, tedarikçilerimiz, özel kurum ve kuruluşlar, mahkemeler, kamu kurum ve
kuruluşları ve yetkili mercilere,
- Kuruluş tarafından yapılan sözleşmelerin kurulması ve ifası kapsamında gerekli ödeme ve tahsilat
işlemleri için ilgili bankalara,
- Çalışanların sigorta ve benzeri haklardan yararlanabilmeleri için sigorta acenteleri ve sigorta
şirketlerine
- Kuruluşumuzun haklarının tesisi, kullanılması ve korunması kapsamında hukuki ve mali destek almak
amacıyla hukuk, muhasebe/SMM büroları, avukatlar ve diğer danışmanlara,
- Kurumsal elektronik iletişim kanalları için gerekli altyapı ve hizmetler ile Veri güvenliğinin sağlanması
amacıyla bulut hizmeti sunan yurt içindeki ve yurt dışındaki hizmet tedarikçilerine;
- Anlık ileti, dosya paylaşımı, video konferans, elektronik posta vb. çevrimiçi iletişim kanalları ve
araçlarını kullanabilmek için hizmet tedarik ettiğimiz yurt dışı menşeiliplatform ve uygulamalara,
- Elektronik imza temini ve yetkilendirilmesi işlemleri için hizmet sağladığımız tedarikçiye,
- Çalışanların motivasyonlarının artırılması, ekip ruhunun güçlendirilmesi amaçlarıyla özel günlerinde
destek mesajları atılabilmesi, etkinlikler düzenlenmesi, başarı çalışanların ödüllendirilmesi için bu
alanlarda hizmet sağlayan tedarikçi kuruluşlarla,
- Kuruluş tarafından alınan veya müşterilerin talebi üzerine yürütülen kalite, sosyal ve diğer konulardaki
denetimlerin yürütülebilmesi için denetim yapan denetçiler ve yurt içi veya yurt dışı menşeli denetim
kuruluşlarına,
- Fikri ve sınai mülkiyete konu iş ve işlemlerle ilgili hukuki ve teknik süreçlerin yürütülmesi amacıyla
özel ve kamu kurum/kuruluşlarına kişisel veriler aktarılmaktadır.
10.3. Kişisel Verilerin Yurt Dışına Aktarılması
Günümüzde yaygın ve kaçınılmaz olarak kullanılan bulut, anlık ileti ya da online iletişim kanalları ile
hizmet sunumu amacıyla yurt dışında yerleşik aşağıdaki taraflarla paylaşılacaktır. Bu kapsamda,
- Ofis iş ve işlemleri için ABD Menşeli Microsoft ile,
- İş amacıyla çalışanlar arasında ve müşterilerle kurulan ilişkilerde anlık mesajlaşma uygulaması olarak
Whatsapp uygulaması üzerinden ABD Menşeli Facebook ile,
- İş amacıyla büyük boyutlu dosyaların paylaşımı için ABD menşeli Google, Wetransfer ve Microsoft ile,
- Veri merkezi, bulut sunucu hizmetleri sağlayan Azure üzerinden ABD menşeli Microsoft ile,
- Toplu e-posta yönetimi için ABD menşeli Constant Contact ile,
- Müşterilere internet sitesi üzerinden anlık destek verebilmek için ve ABD Menşeli Tawk.to ile,
- Müşterilere teknik destek sağlayabilmek için uzaktan erişim sağlayan ABD menşeli Ammy, Almanya menşeli
Anydesk ve Teamviewer ile,
- Video konferanslar hizmetleri için Skype uygulaması üzerinden ABD menşeli Microsoft,
- Kurumsal e-posta hizmetlerimiz için ABD menşeli Google ve Rusya menşeli Yandex ile ve eposta sunucusu
hizmeti veren SendGrid uygulaması üzerinden Twilio ile,
- Günlük iş faaliyetlerinin yürütülmesi için mobil ve masaüstü İşletim sistemleri sağlayan ABD menşeli
Apple, ABD menşeli Microsoft ve Google ile,
- Sosyal Medya hizmeti sunan ve yurt dışından hizmet veren ABD menşeli Facebook, Twitter, Instagram,
Linkedin ve Youtube üzerinden ABD menşeli Google ile paylaşılmaktadır.
Her bir hizmet sağlayıcının kendi gizlilik politikalarına şu bağlantılardan ulaşabilirsiniz:
- Microsoft (https://privacy.microsoft.com/en-us/privacystatement)
- Whatsapp (https://www.whatsapp.com/legal/client)
- Google (https://policies.google.com/privacy?hl=en-US)
- Wetransfer (https://wetransfer.com/legal/privacy)
- Constant Contact (https://www.endurance.com/privacy/privacy)
- to (https://www.tawk.to/privacy-policy/)
- Ammy (https://www.ammyy.com/en/priv_policy.html)
- Anydesk (https://anydesk.com/en/privacy)
- Teamviewer (https://www.teamviewer.com/en/privacy-policy/)
- Skype (https://support.skype.com/en/skype/all/privacy-security/)
- Yandex (https://yandex.com.tr/support/legal/confidential/01032016/index.html?lang=en)
- Twilio (https://www.twilio.com/legal/privacy)
- Apple (https://www.apple.com/legal/privacy/en-ww/)
- Facebook (https://www.facebook.com/policy.php)
- Twitter (https://twitter.com/en/privacy)
- Instagram (https://help.instagram.com/519522125107875)
- Linkedin (https://www.linkedin.com/legal/privacy-policy)
- Sharethis (https://sharethis.com/privacy/)
- Cloudflare (https://www.cloudflare.com/privacypolicy/)
11. DENETİM, BAŞVURULAR VE VERİ İHLAL BİLDİRİMLERİ
Kuruluş kişisel verilerin korunması konusunda gerekli iç ve dış denetimleri yaptırabilmektedir.
İlgili kişilerin yaptığı başvurular en geç 30 gün içerisinde, Komite tarafından ilgili birimin de görüşü
alınarak cevaplanır.
Kuruluş kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde, bu durumun öğrenildiği
tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVK Kuruluna bildirimde bulununur. İlgili tarafları
ve kişileri de aynı şekilde bilgilendirir.
12. GÜNCELLEME
İş bu politika belgesi, kuruluşun kişisel veri işleme şartları, araçları, amaçları ile kapsamı
değiştiğinde ve kişisel verilerin paylaşıldığı tarafların değişmesi durumlarında güncellenir. Her bir maddede
yapılan güncellemeler ayrı bir tabloda tutulur.