KVKK – Kişisel Verilerin Korunmasına İlişkin Usul ve Esaslar
1. Kişisel Verilerin Korunmasına İlişkin Temel İlkeler
1.1. Genel İlkeler
Anayasa’nın m. 20/III’ünde belirtildiği üzere, kişisel veriler ancak kanunda öngörülen hallerde veya veri sahibinin açık rızasıyla işlenebilir. Kartdolum.com, kişisel verileri ilgili mevzuatta belirtilen ilkeler ve/veya veri sahibinin açık rızası çerçevesinde şu ilkelere uygun olarak işlemektedir:
-
Hukuka ve Dürüstlük Kuralına Uygun İşleme:
Kartdolum.com, tüm kişisel veri işlemlerinde geçerli hukuki düzenlemeler ve dürüstlük kuralına uygun hareket eder. -
Verilerin Doğru ve Güncel Olmasını Sağlama:
İşlenen verilerin doğru, eksiksiz ve gerektiğinde güncel tutulabilmesi için gerekli tedbirler alınır. Veri sahiplerine, verilerinin doğruluğunu sağlamak adına gerekli imkanlar sunulur. -
Belirli, Açık ve Meşru Amaçlarla İşleme:
Kişisel veriler, önceden belirlenmiş, açık ve meşru amaçlar doğrultusunda işlenir. Kartdolum.com, ticari faaliyetleriyle bağlantılı olarak ve yalnızca gerekli verileri işlemektedir. -
İşlem Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma:
Veriler, yalnızca belirlenen amacın gerçekleştirilmesi için elverişli ve ihtiyaç duyulan ölçüde işlenir; gereksiz veri toplama ve işleme önlenir. -
Belirlenen Süre Kadar Muhafaza Etme:
İşlenen veriler, ilgili mevzuatta öngörülen süre veya işlenme amacının gerektirdiği süre boyunca muhafaza edilir. Süre sonunda veriler silinir, yok edilir veya anonim hale getirilir.
2. Kişisel Verilerin İşlenme Amaçları
Kartdolum.com tarafından elde edilen kişisel veriler, aşağıdaki amaçlar doğrultusunda işlenmektedir:
- Yasal düzenlemelerin gerektirdiği yükümlülüklerin yerine getirilmesi.
- Operasyonel faaliyetlerin yürütülmesi (yazılım hizmetleri ve dış kaynak hizmetleri).
- Ticari faaliyetlerin mevzuata uygun şekilde yürütülmesi ve ilgili birimler tarafından gerekli çalışmaların yapılması.
- Kısa, orta ve uzun vadeli ticari politikaların planlanması ve uygulanması.
- Hizmet, ürün ve projelerin kullanıcı ihtiyaçlarına göre özelleştirilerek sunulması ve hakkında bilgi verilmesi.
- Etkin müşteri hizmeti sağlanması ve tekliflerin sunulması.
- Promosyon, kampanya, çekiliş, pazarlama ve reklam faaliyetlerinin yürütülmesi.
- Ziyaretçi profillerinin belirlenmesi ve pazar araştırmalarının yapılması.
- Ticari güvenilirliğin sağlanması, destek ve şikayetlerin çözümlenmesi.
- Finans, muhasebe ve faturalandırma işlemlerinin takibi.
- Hukuki işlemlerin takibi ve kurumsal iletişim faaliyetlerinin yürütülmesi.
- Bilgi teknolojileri altyapısının yönetilmesi ve güvenlik süreçlerinin planlanması.
3. Kişisel Verilerin İşlenme Şartları
Kartdolum.com, kişisel verileri ancak veri sahibinin açık rızasını temin ederek veya kanunda öngörülen hallerde, veri sahibinin açık rızası olmadan da işleyebilmektedir. İşte bu hallerden bazıları:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin veya bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Veri sahibinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kartdolum.com’un meşru menfaatleri için işlenmesi.
4. Kişisel Verilerin Korunmasına İlişkin Alınan Tedbirler
Kartdolum.com, KVKK’nın 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı işlenmesini ve yetkisiz erişimi önlemek için gerekli teknik ve idari tedbirleri almaktadır:
4.1. Teknik Tedbirler:
- Teknolojinin imkan verdiği ölçüde güvenlik önlemleri (güvenlik duvarları, SSL, şifreleme) uygulanır.
- Uzman personel istihdam edilerek düzenli güvenlik testleri ve güncellemeler yapılır.
- Kişisel verilere erişim yetkileri, işleme amacı doğrultusunda sınırlandırılır.
- Yazılım ve donanım güvenliği düzenli denetlenir; uzaktan erişim gerektiren durumlarda çok aşamalı kimlik doğrulama sistemleri kullanılır.
4.2. İdari Tedbirler:
- Çalışanlara kişisel veri koruma konusunda düzenli eğitim verilir.
- Kişisel verilerin aktarılacağı kişilerle yapılan sözleşmelere, güvenlik tedbirlerine uyulacağına dair hükümler eklenir.
- Veri işleme faaliyetleri detaylı olarak incelenir ve her birim için uyum süreçleri belirlenir.
- Şirket içi denetim sistemleri ve politikalarla veri koruma uygulamaları sürekli gözden geçirilir.
- Çalışanlara kişisel verilerin ifşa ve kullanımına ilişkin taahhütler alınır.
4.3. Denetim Faaliyetleri:
- Alınan teknik ve idari tedbirlerin etkinliği, düzenli denetimlerle kontrol edilmekte ve sonuçlar ilgili birimlere raporlanmaktadır.
- Gerekli iyileştirme faaliyetleri, denetim sonuçlarına göre uygulanır.
5. Kişisel Verilerin İşlendiği Yerler
Kişisel veriler, Türkiye, İrlanda, Hollanda ve Amerika Birleşik Devletleri gibi farklı bölgelerde bulunan veri merkezlerinde barındırılmaktadır. Gerekli güvenlik önlemleri alınarak, ilgili ülkeler dışında da veriler aktarılabilir ve depolanabilir.
6. Kişisel Verilerin Aktarılması
Kartdolum.com, kişisel verileri işleme amaçları doğrultusunda ve gerekli güvenlik tedbirleri alındıktan sonra, aşağıdaki hallerde üçüncü kişilere aktarabilir:
- Veri sahibinin açık rızası var ise.
- Kanunlarda açıkça öngörülen durumlarda.
- Hayat veya beden bütünlüğünün korunması için zorunlu ise.
- Bir sözleşmenin kurulması veya ifası için gerekli ise.
- Kartdolum.com’un hukuki yükümlülüğünü yerine getirebilmesi için zorunlu ise.
- Kişisel veriler, veri sahibi tarafından alenileştirilmiş ise.
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu ise.
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kartdolum.com’un meşru menfaatleri için aktarım zorunlu ise.
7. Kişisel Verilerin Yurtdışına Aktarılması
Kişisel veriler, veri sahibinin açık rızası bulunması veya kanunda öngörülen diğer hallerde, yeterli korumaya sahip yabancı ülkelere aktarılabilir. Bu aktarım sırasında, ilgili ülke ve veri sorumlusu tarafından yeterli güvenlik tedbirlerinin alınması sağlanır.
8. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler (örneğin; ırk, etnik köken, siyasi düşünce, din, sağlık, cinsel hayat, biyometrik ve genetik veriler) yalnızca veri sahibinin açık rızası veya kanunda öngörülen hallerde işlenir. Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, gizlilik yükümlülüğü altında olan kişiler veya yetkili kurumlar tarafından işlenir.
9. Kişisel Verilerin Saklanma Süreleri
Kişisel veriler, ilgili mevzuatta öngörülen süreler boyunca veya işlenme amacının gerektirdiği süre boyunca saklanır. Mevzuatta bir saklama süresi belirlenmemişse, ticari teamüller ve işleme amacı dikkate alınarak saklanır; amacın sona ermesi durumunda veriler silinir, yok edilir veya anonim hale getirilir.
10. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
İşlenmesini gerektiren sebepler ortadan kalktığında, veya veri sahibi talepte bulunduğunda, ilgili kişisel veriler kanuni düzenlemelere uygun şekilde silinir, yok edilir veya anonim hale getirilir.
11. Kartdolum.com’un Aydınlatma ve Bilgilendirme Yükümlülüğü
Kartdolum.com, kişisel verilerin elde edilmesi sırasında veri sahiplerini aşağıdaki hususlarda aydınlatır:
- Veri sorumlusunun kimliği ve varsa temsilcisi,
- Kişisel verilerin hangi amaçla işleneceği,
- Verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Veri sahibinin sahip olduğu haklar.
Veri sahipleri, Anayasa ve KVKK kapsamındaki bilgi talep etme haklarını kullanabilir; ayrıntılı bilgi için Prosedür’ün “Veri Sahibi’nin Hakları” bölümüne ve Aydınlatma Metnine başvurabilir.
4.1. Veri Sahibinin Hakları
Veri sahipleri şunlara haklidir:
- Kartdolum.com’un kişisel verilerini işleyip işlemediğini öğrenmek,
- İşleme faaliyeti hakkında bilgi talep etmek,
- Verilerin işlenme amacına uygunluğunu ve doğru şekilde kullanılıp kullanılmadığını öğrenmek,
- Verilerin üçüncü kişilere aktarılması durumunda ilgili bilgileri talep etmek,
- Eksik veya yanlış işlenen verilerin düzeltilmesini istemek,
- İşleme amacı sona ermiş verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etmek,
- Verilerin aktarımının ilgili üçüncü kişilere bildirilmesini istemek,
- Otomatik analiz sonucu oluşan ve veri sahibine zarar verebileceğini düşündüğü sonuçlara itiraz etmek,
- Kanuna aykırı veri işlenmesinden kaynaklanan zararın giderilmesini talep etmek.
Başvurular, “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi Tarafından Veri Sorumlusuna Yapılacak Başvuru Formu” veya yazılı olarak iletilebilir.
4.2. İstisnalar
KVKK’nın 28. maddesi uyarınca, aşağıdaki durumlarda veri sahipleri yukarıdaki haklarını kullanamazlar:
- Kişisel verilerin, yalnızca gerçek kişi tarafından kendisi veya aynı evde yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Resmi istatistik veya araştırma, planlama ve istatistik amaçlarıyla anonim hale getirilerek işlenmesi.
- Sanat, tarih, edebiyat veya bilimsel amaçlarla, ifade özgürlüğü kapsamında işlenmesi.
- Kanunla görev ve yetki verilmiş kamu kurumlarının yürüttüğü önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Suç işlenmesinin önlenmesi, soruşturulması veya ifası amacıyla yargı makamları veya infaz mercileri tarafından işlenmesi.
- Ayrıca, kişisel veri işlemenin belirli durumlarında (örneğin, suç soruşturması, resmi denetim veya ekonomik çıkarların korunması) aydınlatma yükümlülüğünün uygulanmaması.
12. Yetki ve Sorumluluk
Kişisel verilerin korunması ve işlenmesi ile ilgili tüm faaliyetler, Yönetim Kurulu tarafından onaylanan prosedürlere uygun olarak yürütülmektedir. Kartdolum.com’un, ilgili mevzuata uyumu sağlamak, verilerin korunması için gerekli koordinasyonu yapmak ve uyum süreçlerini denetlemekten sorumlu yetkili birimleri bulunmaktadır.
13. Kişisel Verilerin Kategorizasyonu
Kartdolum.com, kişisel verileri, mevzuata uygun olarak; müşteriler, ziyaretçiler, çalışan adayları, şirket yetkilileri, tedarikçiler, iş ortakları vb. kategorilerde toplar ve işler. İşlenen veriler, KVKK’nın genel ilkeleri ve ilgili mevzuat hükümleri doğrultusunda sınıflandırılarak, veri sahipleri bilgilendirilir.