1. Amaç ve Kapsam

Bu Politika, ÖGETÜRK TEKNOLOJİ ANONİM ŞİRKETİ (“Şirket”) tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuata uygun olarak yürütülmesini sağlamak amacıyla hazırlanmıştır.

Bu politika;

  • çalışanlar
  • çalışan adayları
  • müşteriler
  • platform kullanıcıları
  • tedarikçiler

başta olmak üzere Şirket ile ilişkili tüm gerçek kişilere ait kişisel verileri kapsar.

2. Tanımlar

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Özel Nitelikli Kişisel Veri: Sağlık, biyometrik veri vb. hassas veriler
  • Veri Sorumlusu: Veri işleme amaçlarını belirleyen taraf
  • Veri İşleyen: Veri sorumlusu adına veri işleyen taraf
  • KVKK: 6698 sayılı Kanun

3. Veri İşleme İlkeleri

Şirket kişisel verileri;

  • hukuka ve dürüstlük kurallarına uygun
  • doğru ve güncel
  • belirli ve meşru amaçlarla
  • sınırlı ve ölçülü
  • gerekli süre kadar

işler.

4. Veri Kategorileri ve İşleme Amaçları

Veri Kategorisiİşleme Amaçları
Kimlik BilgileriSözleşme ve operasyon süreçleri
İletişim BilgileriMüşteri ve kullanıcı iletişimi
Finansal VerilerMuhasebe ve ödeme işlemleri
Platform VerileriCRM ve iletişim hizmetlerinin sunulması
Log ve Güvenlik VerileriSistem güvenliği ve denetim
Özlük Verileriİnsan kaynakları süreçleri

5. Veri İşleme Hukuki Sebepleri

Kişisel veriler aşağıdaki hukuki sebeplerle işlenir:

  • KVKK Md.5/2-c → sözleşme
  • KVKK Md.5/2-ç → hukuki yükümlülük
  • KVKK Md.5/2-e → hak tesisi
  • KVKK Md.5/2-f → meşru menfaat

6. SaaS Platform Modeli

Şirket tarafından sunulan CRM ve iletişim platformu kapsamında:

  • Müşteri firmalar veri sorumlusu
  • Şirket veri işleyen

olarak hareket eder. Bu kapsamda:

  • veriler yalnızca müşteri talimatları doğrultusunda işlenir
  • bağımsız kullanım yapılmaz

Şirket tarafından sunulan platform kapsamında müşteri firmalar veri sorumlusu, Şirket ise veri işleyen sıfatıyla hareket etmektedir. Şirket, kişisel verileri yalnızca müşteri talimatları doğrultusunda işler ve veriler üzerinde bağımsız tasarruf yetkisine sahip değildir.

7. Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler:

  • yalnızca gerekli hallerde işlenir
  • açık rıza veya mevzuat gereği işlenir
  • ek güvenlik tedbirleri uygulanır

8. Veri Güvenliği

Şirket aşağıdaki tedbirleri uygular:

  • erişim kontrolü
  • loglama
  • yetkilendirme
  • veri yedekleme
  • sistem güvenliği

Bu tedbirler düzenli olarak gözden geçirilir ve geliştirilir.

9. Veri Aktarımı

Kişisel veriler;

  • kamu kurumları
  • mali müşavir
  • teknik altyapı sağlayıcıları
  • yazılım hizmet sağlayıcıları

ile paylaşılabilir. Yurt dışına veri aktarımı yapılmamaktadır.

10. Saklama ve İmha

Kişisel veriler:

  • mevzuatta öngörülen süre kadar
  • veya işleme amacı süresince

saklanır. Süre sonunda:

  • silinir
  • yok edilir
  • anonim hale getirilir

11. Saklama Süreleri

Veri TürüSaklama Süresi
Müşteri Verileri10 yıl
Çalışan Verileri10 yıl
Log Kayıtları2 yıl
Aday Verileri1 yıl

Saklama süreleri, ilgili mevzuat ve işleme amaçlarına göre belirlenmekte olup gerektiğinde güncellenebilir.

12. İlgili Kişi Hakları

KVKK Md.11 kapsamında kişiler:

  • bilgi talep edebilir
  • düzeltme isteyebilir
  • silme talep edebilir
  • itiraz edebilir

13. Organizasyon

Şirket içinde:

  • Yönetim
  • Bilgi Sistemleri
  • İnsan Kaynakları

birimleri veri güvenliğinden sorumludur. Bu birimler, kendi sorumluluk alanları kapsamında KVKK uyumundan sorumludur.

14. Denetim ve Uygulama

Bu politika:

  • periyodik olarak gözden geçirilir
  • gerektiğinde güncellenir

15. Yürürlük

Bu politika yayımlandığı tarihte yürürlüğe girer.