KVKK

NES BİLGİ VERİ TEKNOLOJİLERİ VE SAKLAMA HİZMETLERİ A.Ş.

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

A.KAPSAM

Kişisel Verilerin Korunması ve Aydınlatma Metni, Nes Bilgi Veri Teknolojileri ve Saklama Hiz. A.Ş. “Bundan sonra kısaca Nes Bilgi olarak anılacaktır” tarafından kişisel verilerin işlenmesine yönelik kurallar bütününün açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmıştır.

B.TANIMLAR

Kişisel veri                                          Kimliği belirli veya belirlenebilir her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.

Özel nitelikli kişisel veri                 Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Açık rıza                                               Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim hale getirme                    Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel verileri işleme                     Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri bu kapsama girmektedir.

Kişisel veri sahibi                             Kişisel verisi işlenen gerçek kişi

Veri kayıt sistemi                            Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu                                Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Veri işleyen                                       Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

KVKK                                                   7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurul                                                   Kişisel Verileri Koruma Kurulu

Kurum                                                Kişisel Verileri Korumu Kurumu

Politika                                                               Nes Bilgi Kişisel Verilerin Korunması ve Gizlilik Politikası

 

C.AMAÇ

İşbu politikanın amacı, Nes Bilgi’nin yürüttüğü veri işleme faaliyetleri ve kişisel verilerle ilgili sistemler konusunda açıklamada bulunarak ilgili kişileri bilgilendirmek ve böylece kişisel veriler hususunda şeffaflık sağlamaktır.

D.KİŞİSEL VERİ

1.Kişisel Veri İşlemesine İlişkin Genel İlkeler

Nes Bilgi, KVKK 4. maddesinin 2. fıkrası uyarınca ve işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilmiş olan amaçlar kapsamında, aşağıdaki ilkelere uygun olarak kişisel veri işlemektedir:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

 

2.İşlenen Kişisel Veriler

Nes Bilgi tarafından İşlenen Veriler Kişisel veriler veri sahiplerinden açık rıza alınmak suretiyle ya da KVKK’nın 5. ve 6. maddelerince açık rızaya tabi olmaksızın yürütülebilecek faaliyetler ışığında işlenmektedir. Nes Bilgi ile veri sahibi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanallarına ve amaç bilgisine bağlı olarak işbu Politika’daki ilkelere uyumlu bir şekilde işlenen bu kişisel veri türleri bunlarla sınırlı olmamak kaydıyla aşağıda belirtilmiştir.

  • İsim, soy isim, meslek, unvan, çalışma bilgisi, eğitim durumu, cinsiyet, medeni durum, eş/çocuk bilgisi, vatandaşlık durumu, askerlik bilgisi, adli sicil bilgisi, vergi mükellefiyeti durumu gibi veri sahibini tanıtıcı bilgiler,
  • Nüfus cüzdanı fotokopisi, nüfus sureti fotokopisi, pasaport ve sürücü belgesi gibi kimlik tespit belgelerinde bulunan doğum tarihi, doğum yeri, kimlik numarası, kan grubu, din ve fotoğraf gibi veriler,
  • Adres, elektronik posta, telefon ve faks numarası gibi iletişim bilgileri ile birlikte, telefon görüşmeleri ve elektronik posta yazışmaları kapsamındaki iletişim kayıtları diğer sesli veriler,
  • Vergi levhası, ticaret gazetesi, yetki belgesi, ISO belgeleri, yeterlilik belgeleri, imza sirküleri ve faaliyet belgesi gibi tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri,
  • Fiyatlandırma, mutabakat, tahsilat ve ödeme faaliyetlerine ilişkin detaylı finansal veriler.

3.Kişisel Verilerin İşlenme Amaçları

Nes Bilgi tarafından KVKK’nın 5. Maddesinde belirtilen ve aşağıda yer alan amaçlar dâhilinde kişisel veriler işlenmektedir;

  • Kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin Nes Bilgi tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin işlenmesinin Nes Bilgi’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Nes Bilgi tarafından işlenmesi,
  • Kişisel verilerin Nes Bilgi tarafından işlenmesinin Nes Bilgi veya veri sahiplerinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Nes Bilgi’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
  • Veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.

 

Nes Bilgi tarafından yukarıda belirtilen şartlar kapsamında, hizmetlerinin sunulması ve mevzuata uyum ve başta olmak üzere, aşağıda belirtilen amaçlar doğrultusunda kişisel veriler işlenmektedir.

  • Nes Bilgi insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;
  • Nes Bilgi’nin ve Nes Bilgi ile iş ilişkisi içerisinde olan kişiler ile hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin temini doğrultusunda; Nes Bilgi tarafından yürütülen, iletişime yönelik idari operasyonlar, hizmete yönelik operasyonlar Nes Bilgi’ye ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi/iş ortağı (yetkili veya çalışanlar veya ortakları) değerlendirme süreçleri, hukuki ve ticari risk analizleri, hukuki uyum süreci, mali işler yürütülmesi.
  • Nes Bilgi’nin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;
  • Nes Bilgi tarafından yürütülen finans operasyonları, iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçelendirme, sözleşme), Nes Bilgi’nin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
  • Şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonların yönetimi olarak sıralanabilmektedir.

 

4.Kişisel Verilerin Saklanma Süresi

Kişisel veriler Nes Bilgi bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler ise, KVKK’nın 7’nci maddesi uyarınca Nes Bilgi tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

5.KVKK Çerçevesinde Veri Sahibinin Hakları

KVKK’nın 11. Maddesi kapsamında kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve bu madde uyarınca veri sahipleri Nes Bilgi üzerinde aşağıdaki haklara sahiptir:

  1. Kişisel veri işlenip işlenmediğini öğrenme
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kanun ilgili maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Yukarıdaki haklardan birinin kullanılması amaçlı olarak veri sahiplerinden gelecek talepler en geç 30 gün içerisinde karşılanacaktır.

Bu talepler ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerinizle ilgili tüm soru ve talepleri başvuru formunu doldurarak ve kimlik tespit edici belgeler ile Barbaros Mah. Ak Zambak Sk. Uphill Towers A Blok K:16/92 Ataşehir/İstanbul adresine bizzat elden teslim edilerek, noter kanalıyla gönderilerek veya nesbilgiveriteknolojileri@hs06.kep.tr adresine güvenli elektronik imzalı olarak iletebilecektir.

Taleplerin ayrıca bir maliyet gerektirmesi durumunda Nes Bilgi ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edebilecektir.

6.Yurtdışına Veri Aktarımı

işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için kişisel veriler mevzuata uygun biçimde yurt dışına aktarabilir. Bu aktarımlarda kişisel verilerin gerektiği şekilde korunması için gerekli önlemler alınır.

7.Kişisel Verilerin Güvenliği

  •  Güvenlik Önlemleri

Şirketimiz, KVKK 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbir ve kontrolleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

  • Denetim

Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. Şirketimizin mevcut çalışanlarının ve iş birimi bünyesine yeni dâhil olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta ve çalışanlara gerekli eğitimler verilmektedir.

BİLGİ GÜVENLİĞİ POLİTİKASI

Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri geliştirmek ve uygulamak.
Bilgi varlıkları, değerleri, güvenlik ihtiyaçları, zafiyetleri, varlıklara yönelik tehditlerin, tehditlerin sıklıklarının saptanması için yöntemlerin belirleyeceği çerçeveyi tanımlamak.
Tehditlerin varlıklar üzerindeki gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik çerçeveyi tanımlamak.
Risklerin işlenmesi için çalışma esaslarını ortaya koymak.
Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek
Tabi olduğu ulusal veya sektörel düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklarından kaynaklanan bilgi güvenliği gereksinimlerini sağlamak.
İş / hizmet sürekliliğine bilgi güvenliği tehditlerinin etkisini azaltmak ve işin sürekliliğine ve sürdürülebilirliğine katkıda bulunmak.
Gerçekleşebilecek bilgi güvenliği olaylarına etkin ve hızlı müdahale edebilecek ve olayların etkilerini minimize edecek yetkinliğe sahip olmayı temin etmek.
Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek.
Kurum itibarını geliştirmek; kurumu, bilgi güvenliği kırılmalarından kaynaklanabilecek olumsuz etkilerden korumak.

Bu politikalar GİB tarafından yayınlanan EfaturaEntegratör ve Özel Entegratör Kılavuzuna dayanılarak hazırlanmıştır. Ayrıca TSE 27001 Bilgi Güvenliği,  ISO/IEC 22301:2012 iş sürekliliği: ISO 2000-1:2011 BT Hizmet Yönetimi standartlarına uygun olarak bilgi yönetimini sağlar