okul101 | Kişisel Verilerin Korunması Hakkında Bilgilendirme

A. Amaç ve Kapsam

Bilişim Aktörleri Bilgisayar Rek. İlet. San. Tic. Ltd. Şti. (ŞİRKET olarak anılacaktır) olarak 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun olarak anılacaktır) kapsamında kişisel verilerin yasalara uygun biçimde korunması ve işlenmesi görev ve yükümlülüklerimiz arasındadır. Bu bağlamda ilgili Kanunun 10'uncu Maddesi uyarınca okul101 (SERVİS olarak anılacaktır) kullanıcıları ve SERVİS'in çevrimiçi sayfalarının ziyaretçilerini aydınlatmak, Kanun kapsamında izlenecek idari ve teknik adımları açıklamak amacıyla bu belge hazırlanmıştır.

B. Tanımlar

Anonimleştirme: Daha önce bir kişiyle ilişkilendirilmiş olan verilerin kimliği belirli veya belirlenebilir gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel Veri: Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her tür veri.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep ya da diğer inançlarla ilgili veriler; dernek, vakıf ya da sendika üyeliğiyle ilgili veriler; sağlık, cinsel hayat, kılık kıyafet, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler; ve biyometrik ve/veya genetik veriler.

Veri İşleme: Tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi vb. her türlü işlem.

Veri İşleyen: Veri sorumlusunun verdiği yetkiyle onun adına kişisel veri işleyen gerçek ya da tüzel kişi.

Veri Sahibi: Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu: Kişisel verilerin işlenme amaç ve araçlarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

C. ŞİRKET'in Kişisel Veri İşleme Faaliyetleri

1. Veri Sahipleri

Veri sahipleri ŞİRKET tarafından kişisel verileri işlenen, ŞİRKET çalışanları dışındaki tüm gerçek kişilerdir. Bu kişiler SERVİS'in mevcut müşterileri, potansiyel müşterileri; ŞİRKET'in iş ilişkisi içinde bulunduğu üçüncü kişiler; ya da örneklenen bu gruplara dahil olmayan diğer üçüncü kişiler olabilir.

2. Veri İşleme Amaçları

Veri işleme amaçları aşağıdak gibi listelenebilir.

  1. SERVİS'ten ilgili kişileri yararlandırmak için gerekli çalışmaların ve iş süreçlerinin ŞİRKET tarafından yürütülmesi,
  2. ŞİRKET'in insan kaynakları süreçlerinin planlanması ve yürütülmesi,
  3. ŞİRKET'in muhtelif ticari faaliyetlerini (ürün/proje geliştirme, iletişim, tedarik, güvenlik, finans/muhasebe, satış/pazarlama, insan kaynakları, operasyon vb.) yürütmeye yönelik olarak ilgili ŞİRKET çalışanları ve ŞİRKET'in işi ilişkisi içinde bulunduğu üçüncü kişiler tarafından gerekli iş ve işlemlerin yapılması,
  4. SERVİS'in (ve ŞİRKET'in geliştirdiği benzer diğer ürün ve hizmetlerin) saptanan kullanıcı gereksinimlerine göre özelleştirilerek üretim, satış ve pazarlama faaliyetleri kapsamında ilgili kişilere önerilmesi / tanıtılması için gerekli bilgi çıktılarının oluşturulması,
  5. ŞİRKET'in iş stratejilerinin planlanmasına yönelik olarak bilgi çıktılarının oluşturulması ve
  6. ŞİRKET'in ve ŞİRKET'in iş ilişkisi içinde olduğu gerçek ve tüzel kişilerin hukuki, ticari ve teknik iş ve işlemlerine (mevzuata uyumluluk faaliyetleri, müşteri ilişkileri yönetimi faaliyetleri, hukuki / finansal denetim faaliyetleri vb.) ilişkin güvenliğin sağlanması.

D. Kişisel Verilerin İşlenmesi İlkeleri

ŞİRKET, Kanunun 4'üncü maddesi uyarınca kişisel verilerin işlenmesi süreçlerinde hukuka ve dürüstlük kurallarına uygun olmayı; doğru ve gerektiğinde güncel olmayı; ilgili verileri belirli, açık ve meşru amaçlar için işlemeyi ve işleme süreçlerinin bu amaçlarla bağlantılı, sınırlı ve ölçülü olmasını; ilgili verilerin mevzuatta öngörülen ya da söz konusu amaçlar için gerekli olan süre kadar muhafaza edilmesini gözetir.

ŞİRKET, Kanunun 5'inci maddesi uyarınca veri sahibinin açık rızasının (SERVİS arayüzleri -web sitesi vb.- müşteriden, potansiyel müşteriden, ziyaretçilerden ve diğer üçüncü kişilerden bu rızanın alınmasına yönelik yöntemler barındırabilmektedir) olması ya da bu aranmaksızın aşağıdaki koşullarda kişisel verileri işleyebilmektedir:

  1. İlgili kişisel veri işleme sürecinin kanunlarda açıkça öngörülmesi,
  2. İlgili kişisel veri işleme sürecinin fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. İlgili kişisel veri işleme sürecinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. İlgili kişisel veri işleme sürecinin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişisel veri işleme sürecinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. İlgili kişisel veri işleme sürecinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve
  7. İlgili kişisel veri işleme sürecinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.

ŞİRKET, Kanunda "özel nitelikli" sıfatıyla belirtilen kişisel verilerin işlenmesi konusunda yine Kanun hükümlerine uygun olarak hareket etmektedir. Bu bağlamda özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurumu ve Kurulunca belirlenecek önlemlerin alınması kaydıyla ve Kanunda öngörülen hallerde işlenebilir.

E. Kişisel Verilerin Aktarılması

ŞİRKET, Kanunlar ve sair mevzuat kapsamında ve açıklanan amaçlarla toplanan kişisel verileri

  1. ŞİRKET faaliyetlerini ve iş süreçlerini devam ettirmek için hizmet sunan yurt içi ve/veya yurt dışı ilgili ŞİRKET içi birimlere, ŞİRKET yetkililerine, iş ortaklarına ve hissedarlara,
  2. ŞİRKET tarafından ŞİRKET adına faaliyetleri gerçekleştirebilmek amacıyla yetki verilmiş olan, kişisel veri işleyen yurt içi ve/veya yurt dışı hizmet sağlayıcılara (finansal kuruluşlar, sigorta şirketleri, müşavirlik firmaları, hukuk - vergi danışmanları vb),
  3. Düzenleyici ve denetleyici kurumlara, kişisel verileri tabi olduğu kanunlara göre açıkça talep etmeye yetkili olan kamu kurum veya kuruluşlara,
  4. Yasal takip süreçleri ile ilgili zorunlu kişilere, kurum ve kuruluşlara ve denetimciler de dahil olmak üzere ŞİRKET'in danışmanlık aldığı üçüncü kişilere ve
  5. Yukarıda anılanlarla sınırlı olmaksızın, yurt içinde ve yurt dışında, yukarıda belirtilen amaçlarla iş ortakları, hizmet alınan üçüncü kişi, yetkilendirilen kişi ve kuruluşlara aktarılabilecektir.

F. Veri Sahibi Hakları ve Hakların Kullanımı

ŞİRKET, Kanunlar ve sair mevzuat kapsamında ve açıklanan amaçlarla toplanan kişisel verileri

1. Kanunun Veri Sahibine Tanıdığı Haklar

Kişisel veri sahibinin Kanunun 11'inci maddesi kapsamında sahip olduğu haklar aşağıda açıklanmıştır:

  1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme ve
  8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

2. Hakların İleri Sürülemeyeceği Haller

Kişisel veri sahipleri, Kanunun 28'inci maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan bu belginin F.1. bölümünde açıklanmış olan haklarını ileri süremezler:

  1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  2. Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  3. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  4. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve
  5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunun 28'inci maddesi gereğince aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, bu belgenin F.1. bölümünde açıklanmış olan diğer haklarını ileri süremezler:

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  2. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

G. Verilerin Silinmesi ve Anonimleştirilmesi

Bir kişisel veri, Kanunun 7'nci maddesinde ve Türk Ceza Kanununun 138'inci maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren nedenler ortadan kalktığı takdirde ŞİRKET kararı ya da kişisel veri sahibinin talebi üzerine silinebilir ya da anonimleştirilebilir. Bu kapsamda ŞİRKET, ilgili yükümlülüğünü yerine getirmek üzere kendi bünyesinde gerekli teknik ve idari tedbirleri alır.

H. İletişim

Kanun kapsamında ŞİRKET ile iletişime (geri bildirimde bulunma, soru iletme vb.) geçmek isteyen kişi, talebini kimlik belgesi ve dilekçe ile Bilişim Aktörleri Bilgisayar Rek. İlet. San. Tic. Ltd. Şti. ODTÜ TEKNOKENT Bilişim İnovasyon Merkezi (CoZone) Mustafa Kemal Mah. Dumlupınar Bulv. 280/G No: 1260 Çankaya Ankara Türkiye adresine bizzat elden teslim edebileceği gibi noter kanalıyla ulaştırabilir ya da info@okul101.com adresine güvenli elektronik imzalı olarak iletebilir.