top of page

Kişisel Verilerin Korunması ve İşlenmesi Politikası

​

Onid Studio

​

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BÖLÜM 1 – POLÄ°TÄ°KANIN AMACI;

 

6698 sayılı KiÅŸisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; (Åžirket) tarafından yürütülen kiÅŸisel veri iÅŸleme faaliyeti ve kiÅŸisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada ÅŸeffaflığı ve hukuka uygunluÄŸu saÄŸlamak ve kiÅŸisel verileri ÅŸirketimiz tarafından iÅŸlenen veri sahibi gerçek kiÅŸileri bilgilendirmek amacıyla bu politika hazırlanmıştır

Onid Studio (Åžirket) Bu politika ile bir Anayasal hak olan KiÅŸisel Verilerinin Korunmasını bir Åžirket Politikası haline getirmekte ve hukuki ve sosyal sorumluluÄŸu kapsamında KiÅŸisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir.

Politika ile, Åžirket bünyesinde kiÅŸisel verilerin hukuka uygun olarak iÅŸlenmesi ve korunması konusunda farkındalığın oluÅŸması ve tüm süreçlerde mevzuata uyumu temin etmek için sürdürülebilir ve denetlenebilir sistem kurulması amaçlanmaktadır.

KiÅŸisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak gerekli politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluÅŸturulmakta, açık rızalar uygulanmakta, gizlilik sözleÅŸmeleri yapılmakta, kiÅŸisel verilerin korunması için ÅŸirketimiz tarafından mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.

 

BÖLÜM 2- TANIMLAR

​

KiÅŸisel Verilerin Korunması Kanunu ve Onid Studio ‘KiÅŸisel Verilerin Korunması ve Ä°ÅŸlenmesi Politikasın da’ yer alan bazı tanımların açıklamalarına aÅŸağıda yer verilmiÅŸtir.

 

KiÅŸisel Verilerin Ä°ÅŸlenmesi: KiÅŸisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, deÄŸiÅŸtirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleÅŸtirilen her türlü iÅŸlem.

KiÅŸisel Veri Sahibi: KiÅŸisel verisi iÅŸlenen gerçek kiÅŸi müÅŸteriler, çalışanlar, çalışan adayları, tedarikçiler ve çalışanları, ortaklar, ÅŸirket ile yapılmış sözleÅŸme kapsamındaki diÄŸer üçüncü ÅŸahıs gerçek kiÅŸiler.

KiÅŸisel Veri: KimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiye iliÅŸkin her türlü bilgi.

Özel Nitelikli KiÅŸisel Veri: Irk, etnik köken, siyasi düÅŸünce, felsefi inanç, din, mezhep veya diÄŸer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliÄŸi, saÄŸlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Veri Sorumlusu: KiÅŸisel verilerin iÅŸlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir ÅŸekilde iÅŸlendiÄŸi ve saklandığı veri kayıt sistemini kuran ve yöneten kiÅŸi veri sorumlusudur.

Veri Ä°ÅŸleyen: Veri sorumlusunun verdiÄŸi yetki kapsamında onun adına veri iÅŸleyen gerçek veya tüzel kiÅŸi.

Açık Rıza: Belirli bir konuya iliÅŸkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

KiÅŸisel Verilerin Silinmesi: KiÅŸisel verilerin ilgili kullanıcılar için hiçbir ÅŸekilde eriÅŸilmez ve tekrar kullanılamaz hale getirilmesi iÅŸlemidir.

KiÅŸisel Verilerin Yok Edilmesi: KiÅŸisel verilerin hiç kimse tarafından hiçbir ÅŸekilde eriÅŸilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi iÅŸlemidir

Anonim Hale Getirme: KiÅŸisel verilerin baÅŸka verilerle eÅŸleÅŸtirilse dahi hiçbir surette kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemez hale getirilmesidir.

KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu

KVK Kurulu: KiÅŸisel Verileri Koruma Kurulu

Veri Sorumluları Sicili: VERBÄ°S) KVK Kurulu gözetiminde, KiÅŸisel Verileri Koruma Kurumu BaÅŸkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.

 

BÖLÜM 3 – KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENMESÄ°NE Ä°LÄ°ÅžKÄ°N GENEL Ä°LKELER 

​

KiÅŸisel verilerin iÅŸlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven, dürüstlük ve ÅŸeffaflık kuralına uygun hareket edilmektedir. Bu çerçevede, kiÅŸisel veriler iÅŸ faaliyetlerinin gerektirdiÄŸi ölçüde ve bunlarla sınırlı olarak iÅŸlenmektedir.

KiÅŸisel verilerin iÅŸlenme amaçları açıkça ortaya konulmakta ve bunlara aydınlatma metinlerin de yer verilmektedir. Veriler ÅŸirket faaliyetleriyle baÄŸlantılı amaçlar kapsamında iÅŸlenmektedir.

KiÅŸisel verilerin iÅŸlendiÄŸi süre boyunca doÄŸru ve güncel olması için gerekli önlemler alınmaktadır

Åžirketim, kiÅŸisel verileri yalnızca iÅŸ faaliyetlerinin gerektirdiÄŸi nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak iÅŸlemekte ve iÅŸlendikleri amaç için gerekli olan süre ve faaliyetle ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir.

KiÅŸisel veriler saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi baÅŸvurusuna uygun olarak belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleÅŸtirme) ile imha edilmektedir

 

BÖLÜM 4- Ä°ÅžLENEN KİŞİSEL VERÄ°LER VE KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENME AMAÇLARI

​

KiÅŸisel verileriniz, veri kategorileri ile baÄŸlantılı ve ölçülü ÅŸekilde aydınlatma metinlerinde yer verilen amaçlara baÄŸlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek iÅŸlenebilmektedir.

Aydınlatma Metinlerinde, iÅŸlenen kiÅŸisel ve özel nitelikteki verilerinize, iÅŸleme amacı ve hukuki sebepleriyle eÅŸleÅŸtirilerek her veri kategorisi bazında ayrı ayrı yer verilmektedir.

Ä°lgili tüm kiÅŸilere bilgi verilmesi amacıyla ayrı aydınlatma metinleri hazırlanmış ve uygulamaya alınmıştır.

Ä°lgili kiÅŸi bazında hazırlanan ve ilgililere iletilen aydınlatma metinlerin de iÅŸlenen veri kategorileri, verilerin hangi amaçla iÅŸlendiÄŸi ve aktarıldığı bilgileri yer almaktadır.

KVKK mevzuatına uyumlu olarak elde edilen ve iÅŸlenen kiÅŸisel verileriniz ÅŸirkete ait fiziki arÅŸivler ve/veya biliÅŸim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü tarafımızda olmak üzere ülke içindeki teknolojik ortamlarda yedeklenebilecektir.

 

BÖLÜM 5- KİŞİSEL VERÄ° SAHÄ°BÄ°NÄ°N AYDINLATILMASI VE BÄ°LGÄ°LENDÄ°RÄ°LMESÄ° 

​

Åžirketimiz, kiÅŸisel verilerin iÅŸlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kiÅŸisel verileri amacın gerektirdiÄŸi faaliyetler dışında kullanmamakta, KVK Kanunu’nun 10. maddesine uygun olarak, kiÅŸisel verilerin elde edilmesi sırasında kiÅŸisel veri sahiplerini aydınlatmaktadır.

KiÅŸisel verilerin hangi amaçla iÅŸleneceÄŸi henüz kiÅŸisel veri iÅŸleme faaliyeti baÅŸlamadan ortaya konulmaktadır.

Veri kategorisi bazında amaçlar belirlenmekte ve her kategori için Kanunun 5. ve 6. Maddelerinde yer alan hukuki ÅŸartlardan hangisine dayalı olarak veri iÅŸlendiÄŸine ve verilerin kimlere aktarılabileceÄŸine ve aktarma amaçlarına Aydınlatma Metnin de yer verilmektedir.

Amacın gerçekleÅŸtirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kiÅŸisel verilerin iÅŸlenmesinden kaçınılmaktadır.

Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile verisi iÅŸlenecek gerçek kiÅŸilere iletilerek bilgilendirme yapılmaktadır. Veri sahipleri iÅŸ iliÅŸkisi ve sözleÅŸme kurulmasından önce açık bir ÅŸekilde bilgilendirilmektedir.

Aydınlatma Metinlerin de;

a) Veri sorumlusunun ve varsa temsilcisinin kimliÄŸi,

b) KiÅŸisel verilerin hangi amaçla iÅŸleneceÄŸi,

c) Ä°ÅŸlenen kiÅŸisel verilerin kimlere ve hangi amaçla aktarılabileceÄŸi,

ç) KiÅŸisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları;

Konularında ayrıntılı bilgilendirme yer almaktadır

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kiÅŸisel veriler hakkında bilgilendirilme hakkına sahip olduÄŸu ortaya konulmuÅŸtur.

Bu doÄŸrultuda KVK Kanunu’nun 11. maddesinde kiÅŸisel veri sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiÅŸtir.

Onid Studio KVK Kanunu’nun 11. ve 13. maddelerine uygun olarak KiÅŸisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kiÅŸiye gerekli bilgilendirmeleri süresi olan 30 gün içinde yapmaktadır. BaÅŸvuru cevaplanmasının zamanında ve hukuka uygun yapılması için ‘BaÅŸvuru Cevaplama Prosedürü’ düzenlenerek ÅŸirket içinde sorumlu kiÅŸiler belirlenmiÅŸ ve görevlendirilmiÅŸtir.

 

BÖLÜM 6- KİŞİSEL VERÄ°LERÄ°N TOPLANMA YÖNTEMÄ° VE HUKUKÄ° SEBEBÄ°

​

KiÅŸisel veriler, faaliyet konularımıza uygun düÅŸecek ÅŸekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çaÄŸrı merkezi, e -posta ve KEP yoluyla tarafınızdan iletilen bilgiler, web sitelerimiz üzerinden yapılmış olan dijital baÅŸvurular, paylaşılan finansal veriler, form ve sözleÅŸmelerde yer alan bilgiler, dilekçe ve yazılı baÅŸvurularınız, hukuki tebligatlar, görsel kayıtlar yoluyla fiziksel ve elektronik ortamla toplanmaktadır.

Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüÄŸü kapsamında kiÅŸisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen iÅŸleme ÅŸartlarından hangisine dayanılarak iÅŸlendiÄŸidir.

Åžirketimiz Kanun 5. Madde 2.fıkra kapsamında, aÅŸağıda maddeleri belirtilen hukuki durumların uygunluÄŸu varsa bu maddelere dayanarak kiÅŸisel veri sahiplerinin verilerini açık rıza almaksızın toplamakta ve ilgili kiÅŸilere Aydınlatma metni ile bilgilendirme yapmaktadır.

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kiÅŸinin kendisinin ya da bir baÅŸkasının hayatı veya beden bütünlüÄŸünün korunması için zorunlu olması.

c) Bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla, sözleÅŸmenin taraflarına ait kiÅŸisel verilerin iÅŸlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüÄŸünü yerine getirebilmesi için zorunlu olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması.

f) Ä°lgili kiÅŸinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meÅŸru menfaatleri için veri iÅŸlenmesinin zorunlu olması.

Åžirketimiz KVKK 6. Madde de yer alan (2) ‘’Özel nitelikli kiÅŸisel verilerin, ilgilinin açık rızası olmaksızın iÅŸlenmesi yasaktır.’’ hükmüne baÄŸlı olarak açık rıza alınmadan özel nitelikli veri toplanmamaktadır. 

 

BÖLÜM 7- ÖZEL NÄ°TELÄ°KLÄ° KİŞİSEL VERÄ°LERÄ°N KORUNMASI

​

KiÅŸisel Verilerin Korunması Kanunu bazı kiÅŸisel verilere, hukuka aykırı olarak iÅŸlendiÄŸinde kiÅŸilerin maÄŸduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiÅŸtir.

KVKK’nun 6.maddesinde açıklanan özel nitelikli bu veriler; ‘ırk, etnik köken, siyasi düÅŸünce, felsefi inanç, din, mezhep veya diÄŸer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.

KiÅŸisel Verilerin Korunması Kanunu’nun 22. nci maddesinin (1) numaralı fıkrasının (ç) bendinde; Kurul görevleri arasında ‘ Özel nitelikli kiÅŸisel verilerin iÅŸlenmesi için aranan yeterli önlemleri belirlemek’ hükmüne yer verilmiÅŸtir. Kurul 31/01/2018 tarih 2018/10 sayılı kararı ile ‘Özel Nitelikteki KiÅŸisel Verilerin Ä°ÅŸlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemleri açıklamıştır.

 

Åžirketimiz de, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kiÅŸisel veri iÅŸleyen veri sorumluları tarafından alınması gereken yeterli önlemlerin alınması ve özel nitelikli kiÅŸisel verilerin güvenliÄŸine yönelik sistemli, yönetilebilir ve sürdürülebilir bir yapı kurulması amacıyla ‘Özel Nitelikli Verilerin Korunması Politikası’ hazırlanmıştır

Dijital ortamda saklanan özel nitelikli kiÅŸisel veriler kuvvetli ÅŸifre parametreleri ile korunmaktadır.

Özel nitelikli verilere eriÅŸen kiÅŸilere gizlilik sözleÅŸmeleri imzalanmaktadır.

Fiziki olarak saklanan kiÅŸisel saÄŸlık verilerinin bulunduÄŸu dosyalar kilitli ve sadece yetkili saÄŸlık personelinin eriÅŸebildiÄŸi alanlarda fiziksel güvenlik tedbirleri alınarak saklanmaktadır.

Alınan tedbirler ÅŸirketimiz Veri Koruma Görevlisi tarafından kontrol edilmektedir.

 

BÖLÜM 8- KİŞİSEL VERÄ°LERÄ°N AKTARILMASI 

​

Åžirketimiz, kiÅŸisel veri iÅŸleme amaçları doÄŸrultusunda, kiÅŸisel veri sahibinin kiÅŸisel verilerini ve özel nitelikli kiÅŸisel verilerini üçüncü kiÅŸilere ve kurumlara mevzuata uygunluk saÄŸlayarak ve veri güvenlik tedbirlerini alarak aktarabilmektedir.

Aktarılan kiÅŸi ve ÅŸirketler ile aktarım amaçlarına Aydınlatma Metinlerinde yer verilmektedir.

KiÅŸisel verilerin aktarılmasına iliÅŸkin KVKK hükümlerine aÅŸağıda yer verilmiÅŸtir.

MADDE 8- (1) KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın aktarılamaz.

Ancak MADDE 8-(2) KiÅŸisel veriler; a)5 inci maddenin ikinci fıkrasında yer alan hukuki sebeplerden birinin varlığı halinde( hukuki sebeplere politikanın ‘’bölüm 6- kiÅŸisel verilerin toplanma yöntemi ve hukuki sebebi’ bölümünde yer verilmiÅŸtir)

b)6 ncı maddenin üçüncü fıkrasında açıklanan ‘’KiÅŸisel veri sahibinin saÄŸlığına ve cinsel hayatına iliÅŸkin özel nitelikli kiÅŸisel verileri ise ancak kamu saÄŸlığının korunması, koruyucu hekimlik, tıbbi teÅŸhis, tedavi ve bakım hizmetlerinin yürütülmesi, saÄŸlık hizmetleri ile finansmanının planlanması ve yönetimi ÅŸeklinde olup; sır saklama yükümlülüÄŸü altında bulunan kiÅŸiler veya yetkili kurum ve kuruluÅŸlara ‘’ açık rıza almadan aktarılabilmektedir. Kanun MADDE 9- (1) ‘KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın yurt dışına aktarılamaz’ hükmü kapsamında yurt dışına veri aktarımında açık rıza zorunluluÄŸu uygulanmaktadır

 

BÖLÜM 9- KİŞİSEL VERÄ°LERÄ°N GÜVENLİĞİNÄ°N SAÄžLANMASI

​

KiÅŸisel Verilerin Hukuka Aykırı EriÅŸiminin Engellenmesi, KiÅŸisel Verilerin Hukuka Aykırı Olarak EriÅŸilmesinin Önlenmesi ve KiÅŸisel Verilerin Güvenli Ortamlarda Muhafazasının saÄŸlanması için alınan Ä°dari ve Teknik Tedbirler aÅŸağıda yer almaktadır.

 

A) Ä°dari Tedbirler

Organizasyon bünyesinde çalışan kiÅŸilerin oluÅŸturabileceÄŸi bilinçli veya bilinçsiz tehditler ve dış aÄŸlardan gelebilecek tehlikelerin iÅŸlendiÄŸi ‘Risk ve Tehditler Tablosu’ Veri Koruma Görevlisi ve Bilgi Sistem Yetkilisi/Danışmanı tarafından periyodik dönemlerde incelenmekte ve önleme tedbirleri kontrol edilmektedir.

Bu risklerin tanımlanması ve önceliÄŸinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri belirlenmekte ve önem sırasına göre çözümler uygulamaya alınmaktadır.

Çalışanların geliÅŸtirilmesine yönelik, kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmenin önlenmesi, kiÅŸisel verilerin hukuka aykırı olarak eriÅŸilmesinin önlenmesi, kiÅŸisel verilerin muhafazasının saÄŸlanması, teknik bilgi beceri geliÅŸtirilmesi, KVK Kanunu ve ilgili diÄŸer mevzuata ve veri gizliliÄŸine uyum ve farkındalığın saÄŸlanması amacıyla periyodik eÄŸitimler verilmektedir. 

Veri gizliliÄŸinin saÄŸlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri iÅŸleyenlerden taahhütname alınması zorunlu kılınmıştır.

Veri iÅŸleyen tedarikçiler, danışmanlar, bilgi sistem destek ÅŸirketleri ve diÄŸer üçüncü kiÅŸi veya ÅŸirketler yapılan sözleÅŸmelere de KVKK’una uyum ve gizlilik taahhütnameleri eklenmektedir.

KiÅŸisel veri güvenliÄŸine iliÅŸkin politika ve prosedürler hazırlanarak ÅŸirket süreç çalışma ve iÅŸleyiÅŸine uygun olacak ÅŸekilde uygulamaya konulmuÅŸtur.

Uygulamalar üzerinde teknik kontrol sistemleri kurulmuÅŸtur. Veri sorumlusu olarak kurum içi sistematik periyodik denetimleri Veri Koruma Görevlisi ve Bilgi Sistem Sorumlusu kanalıyla yapmaktadır.

Denetimler gerek görüldüÄŸünde uzman ÅŸirketlere veya bağımsız denetim ÅŸirketlerine yaptırılacaktır.

KiÅŸisel veri güvenliÄŸini ihlal etmeye yönelik saldırıların yanı sıra, kiÅŸisel verilerin hukuka aykırı olarak elde edilmesi ya da paylaşılması, teknolojik saldırı sonucu verinin açığa çıkması gibi gibi konularda veri ihlalinin tespiti halinde KiÅŸisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ve ihlalle ilgili önleyici tedbirlerin derhal alınmasının saÄŸlanmasını teminen ‘Veri Müdahale Planı’ yürürlüÄŸe konularak görevlendirmeler yapılmıştır.

 

B) Teknik Tedbirler

Bilgi güvenliÄŸi olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda biliÅŸim sistemlerinin sürekliliÄŸini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. KiÅŸisel verilerin hukuka aykırı iÅŸlenmesine ve aktarılmasına ve veri güvenliÄŸine yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması saÄŸlanmakta ve alınan tedbirlere yönelik kontroller yapılmaktadır.

Åžirketimiz sistemlerinde dış aÄŸlardan gelebilecek tehditlere karşı katmanlı aÄŸ güvenlik tedbirleri uygulanmaktadır. KiÅŸisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz eriÅŸim tehditlerine karşı korunması için güvenlik duvar ve bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden anti virüs sistemi kullanılmaktadır. Siber güvenlik açısından gerekli ve kademeli önlemler alınmıştır. Firewall üzerinde IPS WEBlocker, Anti spam, Anti virüs uygulamaları kurularak kullanıcı tarafında koruma saÄŸlanmıştır. DLP ve SIEM uygulama çalışmaları geliÅŸtirilmektedir.

KVKK KiÅŸisel Veri GüvenliÄŸi Rehberi(Teknik ve Ä°dari Tedbirler ) Madde 3.3. ‘KiÅŸisel Veri Ä°ÅŸlenen ortamların güvenliÄŸinin saÄŸlanması’ maddesi kapsamında Çevresel Tehditlere karşı biliÅŸim sistemleri güvenliÄŸinin saÄŸlanması için, sistem odası kullanımı izlenmektedir. Donanımsal (sistem odasına sadece yetkili personelin giriÅŸini saÄŸlayan eriÅŸim kontrol sistemi, 7/24 çalışan kamera izleme sistemi) fiziksel güvenliÄŸinin saÄŸlanması amacıyla kablolama ve priz sistemi kontrolleri, yangın söndürme sistemi kontrolü, sistem odası ısı, nem ve ışık seviyesi düzenlemeleri, iklimlendirme sistemi, su baskını önleme sistemi kontrol uygulamaları yapılmaktadır.

KiÅŸisel veri güvenliÄŸinin saÄŸlanmasını teminen, çalışanların biliÅŸim sistemlerine eriÅŸimi ve kullanıcıların yetkilendirilmesi, eriÅŸim ve yetki matrisi üzerinden kimlik yönetimi ve yetkilendirme politikaları aracılığı ile yapılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iÅŸ ve görevler ile yetki ve sorumlulukları için gerekli olduÄŸu ölçüde eriÅŸim yetkisi tanınmaktadır. KiÅŸisel verilere eriÅŸim için personel tarafından kullanılan ÅŸifreler, ilgili sistemler için tanımlanmış olan ÅŸifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama iÅŸareti kombinasyonlarından oluÅŸan karmaşık ÅŸifreler kullanılmaktadır. Çalışanların günlük faaliyetlerinin yetki profillerine uyum saÄŸlayıp saÄŸlamadığı bilgi sistem birimi ve Veri Koruma Görevlisi tarafından düzenli olarak kontrol edilmektedir. KiÅŸisel veri güvenliÄŸinin saÄŸlanması için kiÅŸisel veri içeren kağıt ortamındaki evraklar, dijital ortam cihazları, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların kullanımı kontrol altındadır.

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesini teminen sızma testleri uygulamaya alınacaktır.

Veri sorumlularının, kiÅŸisel verilerin iÅŸlendikleri amaç için gerekli olan azami süreyi belirleme ve silme, yok etme ve anonim hale getirme iÅŸlemleri, KiÅŸisel Verileri Saklama ve Ä°mha Politikası esaslarına uygun olarak yapılmaktadır.

Yedekleme ve iÅŸ devamlılığının sürdürülmesi konusunda kurum ihtiyaçlarına göre yeterli önlem alınmış tandem çalışan 2 sunucu ile sanallaÅŸtırma yapılmış ve aktif pasif cluster yapısı oluÅŸturulmuÅŸtur. Yedekleme için kritik sistemlerin yedekleri periyodik olarak alınmakta, geri dönüÅŸ testleri yapılmakta, yedekler belirli aralıklarla dış ortama taşınmaktadır.

Veri güvenliÄŸi farkındalığını saÄŸlamak ve standart uygulamaları tanımlamak adına veri güvenlik politika ve prosedürleri uygulamaya alınmıştır.

 

BÖLÜM 10–Ä°ÅžLENEN KİŞİSEL VERÄ°LERÄ°N SAKLANMA SÜRELERÄ°

​

Süreçlere baÄŸlı olarak gerçekleÅŸtirilen faaliyetler kapsamındaki kiÅŸisel verilerle ilgili kiÅŸisel veri bazında hukuki saklama süreleri ÅŸirket ’KiÅŸisel Veri Saklama ve Ä°mha Politikasında’ yer almaktadır.

28 Ekim 2017 tarihinde yürürlüÄŸe giren ‘KiÅŸisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik’te iÅŸleme nedenleri ortadan kalkan kiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine iliÅŸkin usul ve esasları belirlenmektedir.

Åžirket ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kiÅŸisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. KiÅŸisel verilerin ne kadar süre boyunca saklanması gerektiÄŸine iliÅŸkin mevzuatta bir süre düzenlenmemiÅŸse, kiÅŸisel veriler ÅŸirketin o veriyi iÅŸlerken sunduÄŸu hizmetlerle amaca baÄŸlı olarak iÅŸlenmesini gerektiren süre kadar iÅŸlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

KiÅŸisel verilerin iÅŸlenme amacı sona ermiÅŸ; ilgili mevzuat ve iÅŸleme amacına baÄŸlı saklama sürelerinin de sonuna gelinmiÅŸse, kiÅŸisel veriler yalnızca olası hukuki uyuÅŸmazlıklarda delil teÅŸkil etmesi veya kiÅŸisel veriye baÄŸlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir. Gelecekte kullanma ihtimali ile kiÅŸisel veriler saklanmamaktadır.

 

BÖLÜM 11- VERÄ°LERÄ° SÄ°LME YOK ETME VE ANONÄ°MLEÅžTÄ°RME YÜKÜMLÜLÜÄžÜ

​

Kanunun 7. maddesinde, kiÅŸisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiÅŸtir.

Buna göre, kiÅŸisel verilerin hukuka uygun olarak iÅŸlenmiÅŸ olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kiÅŸinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir

KiÅŸisel verilerin silinmesi iÅŸlemi, “söz konusu kiÅŸisel verilerin ilgili kullanıcılar tarafından hiçbir ÅŸekilde eriÅŸilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin iÅŸlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez ÅŸekilde silinmesi saÄŸlanmaktadır

KiÅŸisel verilerin silinmesi ve yok edilmesi teknikleri ve kiÅŸisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar, teknik detaylarda Bilgi Sistem Birimin den görüÅŸ alınarak Veri Koruma Görevlisi tarafından verilir.

Silme iÅŸlemine konu teÅŸkil edecek kiÅŸisel veriler belirlenir. Silme iÅŸlemleri önceden belirlenmiÅŸ personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme iÅŸlemi yapan personelin silinen datayı geri getirme, tekrar kullanma eriÅŸim yetkileri kaldırılır.

Silinmesi gereken verilerin silme, yok etme veya anonimleÅŸtirilmesinin, kanun, yönetmelik ve ÅŸirket politika ve prosedürlerine uygun olarak yapıldığının ve iÅŸlemlere iliÅŸkin oluÅŸturulan bilgi kaydı doÄŸruluÄŸunun kontrolü Veri Koruma Görevlisi tarafından yapılır.

 

BÖLÜM 12 - VERÄ° SAHÄ°BÄ°NÄ°N HAKLARI VE BU HAKLARINI KULLANMASI 

​

Onid Studio KVK Kanunu’nun 10. maddesine uygun olarak kiÅŸisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kiÅŸisel veri sahibine yol göstermektedir.

Åžirket kiÅŸisel veri sahiplerinin haklarının deÄŸerlendirilmesi ve kiÅŸisel veri sahiplerine gereken bilgilendirmenin yapılması için idari ve teknik düzenlemeleri uygulamaya koymuÅŸtur.

Kişisel veri sahipleri Kişisel Verilerin Korunması Kanunu 11. Madde gereğince aşağıdaki haklara sahiptir;

a) KiÅŸisel veri iÅŸlenip iÅŸlenmediÄŸini öÄŸrenme,

b) KiÅŸisel verileri iÅŸlenmiÅŸse buna iliÅŸkin bilgi talep etme,

c) KiÅŸisel verilerin iÅŸlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öÄŸrenme,

ç) Yurt içinde veya yurt dışında kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸileri bilme,

d) KiÅŸisel verilerin eksik veya yanlış iÅŸlenmiÅŸ olması hâlinde bunların düzeltilmesini isteme,

e) 7’nci maddede öngörülen ÅŸartlar çerçevesinde kiÅŸisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan iÅŸlemlerin, kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸilere bildirilmesini isteme,

g) Ä°ÅŸlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kiÅŸinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ÄŸ) KiÅŸisel verilerin kanuna aykırı olarak iÅŸlenmesi sebebiyle zarara uÄŸraması hâlinde zararın giderilmesini talep etme,

Kişisel Veri Sahibinin Haklarını Kullanması;

Veri sahibi KVK Kanunu’nun 13. maddesinin 1. fıkrası gereÄŸince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir.

KiÅŸisel veri sahipleri adına üçüncü kiÅŸiler tarafından talepte bulunulması mümkün deÄŸildir.

KiÅŸisel veri sahibinin kendisi dışında bir kiÅŸinin talepte bulunması için konuya iliÅŸkin olarak kiÅŸisel veri sahibi tarafından baÅŸvuruda bulunacak kiÅŸi adına düzenlenmiÅŸ özel vekâletname bulunmalıdır.

Veri sorumlusuna baÅŸvuru Kanun Madde 13.te aÅŸağıda yer aldığı gibi düzenlenmiÅŸtir.

MADDE 13- (1) Ä°lgili kiÅŸi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceÄŸi diÄŸer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu baÅŸvuruda yer alan talepleri, talebin niteliÄŸine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, iÅŸlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kiÅŸiye yazılı olarak veya elektronik ortamda bildirir. BaÅŸvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereÄŸi yerine getirilir. BaÅŸvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

 

BaÅŸvurunuzda yer alan talepleriniz, talebin niteliÄŸine göre en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır. BaÅŸvuruda bulunma yöntemleri ilgili kiÅŸilere iletilen Aydınlatma Metinlerinde yer almaktadır.

Onid Studio baÅŸvuruda bulunan kiÅŸinin kiÅŸisel veri sahibi olup olmadığını tespit etmek adına ilgili kiÅŸiden ek bilgi ve belge talep edebilir ve kiÅŸisel veri sahibine baÅŸvurusunda yer alan hususlarla ilgili soru yöneltebilir. KiÅŸisel veri sahibi, KVK Kanunu’nun 14. Maddesi gereÄŸince baÅŸvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde baÅŸvuruya cevap verilmemesi hallerinde, cevabını öÄŸrendiÄŸi tarihten veya süresinde cevap verilmediÄŸi takdirde sürenin bittiÄŸi tarihten itibaren otuz ve her halde baÅŸvuru tarihinden atmış gün içinde KVK Kuruluna ÅŸikayette bulunabilir.

 

BÖLÜM 13- POLÄ°TÄ°KA’NIN VE Ä°LGÄ°LÄ° MEVZUATIN UYGULANMASI 

​

KiÅŸisel verilerin iÅŸlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Åžirket Politika arasında uyumsuzluk bulunması durumunda, Åžirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

 

BÖLÜM 14- POLÄ°TÄ°KA’NIN YÜRÜRLÜÄžÜ

​

Onid Studio tarafından düzenlenen bu politika ...../....../2022 tarihlidir. Politika Åžirketin internet sitesinde yayınlanır.

Bu politikanın hazırlanması, imzalanması, gözden geçirme ve güncellenmesi, Veri Koruma Görevlisi tarafından yerine getirilir.

bottom of page