Zoom İletişim - Kişisel Verileri Koruma Politikası

Kişisel Verilerin Korunması Politikası

2. Amaç

Kişisel Verilerin Korunması Politikası (“Politika”), Zoom İletişim Planlama ve Satınalma A.Ş. (“Zoom İletişim”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca işlenmesine yönelik yöntem ve kuralları açıklamak amacıyla hazırlanmıştır.

3. Kapsam

İşbu Politika, Zoom İletişim’in faaliyetlerini gerçekleştirmek amacıyla müşterilerinden, çalışanlarından, hizmet sağlayıcılarından, iş başvurusunda bulunmak suretiyle ya da diğer herhangi bir amaç veya kanal vasıtasıyla kendisiyle ilişki tesis eden diğer gerçek kişilerin kişisel verilerine ilişkindir.

4. Kısaltmalar ve Tanımlar


Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Bilgi Sistemi	Zoom İletişim’in operasyonel faaliyetlerini yerine getirmesine yardımcı olarak kurulmuş, bilgi ve verileri toplayan, çözümleyen ve depolayan otomatik sistemler, yazılımlar
Çalışan	Zoom İletişim personeli.
Elektronik Ortam	Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Fiziksel Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı	Zoom İletişim ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul	Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri	Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika	Kişisel Verilerin Korunması Politikası
Veri Sahibi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi

5. Sorumluluk ve Görev Dağılımları

Zoom İletişim çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak saklanmasının sağlanmasından ve ayrıca kişisel verilerin korunması amacıyla oluşturulan yaşam döngüsünün geliştirilmesi için yürütülen çalışmalara aktif olarak destek vermekten sorumludur.

Kişisel Verilerin İşlenmesi 6.1 Kişisel Verilerin İşlenmesinde Uygulanan İlkeler

Zoom İletişim, kişisel verileri aşağıda ifade edilmekte olan ilkeler ışığında işlemektedir:

• Kişisel veriler, KVKK mevzuatına, genel güven ve dürüstlük kurallarına uygun olarak işlenir,
• Kişisel verilerin işlenmesi faaliyetleri yürütülürken, kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamak için gerekli idari ve teknik tedbirler alınmakta olup, kişisel veri sahiplerinin bu kapsamdaki talepleri dikkate alınarak kişisel verilerle ilgili gerekli düzenlemeler yapılır,
• Kişisel veriler, veri işleme faaliyetlerine başlanmadan evvel oluşturulan ticari faaliyetlerle bağlantılı olarak, hukuka uygun, açık ve meşru amaçlar dahilinde işlenir,
• Kişisel veriler, sadece belirli amaçlar için ve gerekli olduğu ölçüde işlenmekte olup, gerek duyulmayan kişisel verilerin işlenmesinden kaçınılır,
• Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Sürenin bitiminde veya işleme amacının ortadan kalkması durumunda, kişisel veriler Zoom İletişim veya ilgili kişisel veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

6.2 İşlenen Kişisel Veriler

Kişisel veriler, veri sahiplerinden alınan açık rıza aracılığıyla veya KVKK’nın 5. ve 6. Maddelerince açık rızaya tabi olmaksızın yürütülebilecek faaliyetler çerçevesinde işlenmekte olup, bu veriler ancak işbu Politika’nın ‘6.3 Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde işlem görmektedir. Zoom İletişim ve veri sahibi arasındaki ilişkinin türüne göre farklılaşmakta olan ve işbu Politika’daki ilkelere uyumlu bir şekilde işlenen başlıca kişisel veri türleri aşağıdaki gibidir:

•Ad, soyad, meslek, ünvan, çalışma bilgisi, eğitim durumu, cinsiyet, medeni durum, eş/çocuk bilgisi, vatandaşlık durumu, vergi mükellefiyeti durumu, anne-baba adı, vergi kimlik numarası, SGK numarası, imza bilgisi gibi müşterilere ve diğer gerçek kişilere ilişkin veri sahibini tanıtıcı bilgiler,

•Nüfus cüzdanı fotokopisi, nüfus sureti fotokopisi, pasaport ve sürücü belgesi, ikametgah belgesi gibi kimlik tespit belgelerinde bulunan doğum tarihi, doğum yeri, kimlik numarası, kan grubu, din, uyruk, parmak izi ve fotoğraf gibi veriler,

•Adres, elektronik posta, telefon ve faks numarası gibi iletişim bilgileri ile birlikte, telefon ve çağrı merkezi görüşmeleri ve elektronik posta yazışmaları kapsamındaki iletişim kayıtları,

•Vergi levhası, ticaret gazetesi, yetki belgesi, yeterlilik belgeleri, imza sirküleri, vekaletname, imza beyannamesi ve faaliyet belgesi gibi tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri,

•Kurulmuş olan ticari ilişkinin niteliğine göre gerekli olabilecek her türlü finansal bilgi, belge ve kayıt (banka hesap numarası IBAN, fatura bilgisi vb.), fiyatlandırma, mutabakat, tahsilat ve ödeme faaliyetlerine ilişkin detaylı finansal veriler.

6.3 Kişisel Verilerin İşlenme Amaçları 6.3.1 Açık Rıza aranmayan haller

Zoom İletişim, KVKK’nın 5. Maddesinin 2. Fıkrasında ve 6. Maddesinin 3. Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla sınırlı olarak veri sahibinin kişisel verilerini açık rıza olmaksızın işleyebilmektedir:

•Kanunlarda açıkça öngörülmesi,

•Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

•Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

•Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

•Veri sahibinin kendisi tarafından alenileştirilmiş olması,

•Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

•Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

•Sağlık ve cinsel hayat dışında kalan özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmüş olması,

•Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

6.3.2 Zoom İletişim Tarafından Yapılan Veri İşleme Faaliyetleri ve Amaçları

Kişisel veriler, Zoom İletişim tarafından aşağıdaki amaçlar kapsamında işlenebilmekte ve aktarılmakta olup, bu amaçlar için gerekli olan veya ilgili mevzuatların öngördüğü süre kadar saklanabilmektedir. Zoom İletişim aşağıda örneklendirilen veri işleme faaliyetlerinin, işbu Politikanın 6.3.1 maddesinde öngörülen koşullardan herhangi birini karşılamaması durumunda, ilgili veri işleme faaliyetine ilişkin olarak veri sahibinin açık rızasını almaktadır:

•Yasal ve idari yükümlülükler kapsamında sorumlu olunan faaliyetlerin gerçekleştirilmesi,

•Veri sahibinin mevzuattaki veya Zoom İletişim bünyesinde kabul gören kural ve politikalardaki değişiklikler hususunda aydınlatılması,

•Kanuna aykırı işlemlerin veya suiistimallerin soruşturulması, tespiti, bildirilmesi ve önlenmesi ile birlikte, hukuki sürece tabi faaliyetlerin, dava ve şikayetlerin yönetilmesi ve yürütülmesi,

•Medya planlarının ve satınalma işlemlerinin yapılması,

•Pazarlama analizlerinin yapılabilmesi amacıyla Zoom İletişim müşterilerinden sağlanan müşteri verilerinin analiz edilmesi ve ilgili raporların hazırlanması,,

•Medya planlama faaliyetleri kapsamında yüzyüze görüşmeler yolu ile veri sahiplerinin görüşünün alınması,

•Hizmet sağlayıcılarla tesis edilen işbirliklerinin yürütülmesi,

•Finans ve muhasebeye yönelik faaliyetlerin planlanması, takibi ve icrası.

•Kimlik tespiti ve doğrulanması, finansal güvenlik kurallarına uyulması amacıyla gerekli filtreleme ve raporlama gibi işlemler, güvenli ödeme ve tahsilat sistemlerinin işletilmesi,

•Şirketin taraf olduğu hukuk süreçlerinin icrası ve takibi,

•Meşru menfaatlerin korunması,

•Sözleşmelerin müzakeresi, oluşturulması ve ifası,

•Kişisel verilerin işlenmesine ilişkin yapılan başvuruların cevaplanması amacıyla veri sahibine veya veri sahibi adına hareket eden kişiye geri dönüşün sağlanması,

•Zoom İletişim’in iş sürekliliğinin sağlanması amacıyla bilgi sistemlerinin yeterli, etkili ve verimli çalışması için gerekli ortamın sağlanması,

•Kargo takibi yapılması,

•Çalışanların veya iş ilişkisi kurulmuş diğer kurum çalışanlarının etkinliklerden faydalandırılması,

•Çalışanların sağlık sigortası, yemek, taşınabilir bilgisayar, cep telefonu, araç gibi yan haklardan faydalandırılması,

•Zoom İletişim tarafından kullanılan fiziki ve elektronik ortamların güvenliğinin sağlanması.

6.4 Kişisel Verilerin Toplanması

Zoom İletişim tarafından işbu Politikanın ‘6.3 Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için doğrudan çalışanlar ve müşterilerden, iş başvurusunda bulunan çalışan adaylarından, tedarikçilerden, resmi kurumlardan ve diğer fiziki ortamlardan kişisel veri edinebileceği gibi, internet siteleri, sosyal medya ve diğer kamuya açık mecralar veya düzenlenen eğitimler, organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri toplayabilmektedir.

6.5 Kişisel Verilerin Aktarılması

Zoom İletişim, işbu Politikanın '6.3 Kişisel Verilerin İşlenme Amaçları' bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK'nın 8 ve 9'uncu maddeleri uyarınca, kamu kurum ve kuruluşlarına, hizmet sağlayıcılarına, denetim ve danışmanlık firmalarına, bankalara, arşiv ve kargo firmalarına, hizmet alınan mali müşavirlik ve hukuk bürolarına, sigorta firmalarına, sağlık kuruluşlarına, yemek, araç kiralama, operatör şirketlere, kullanılabilecek bilişim teknolojileri gereği yurtdışı sunuculara veya bulut bilişim yolu kullanılan durumlarda buluta veri aktarabilmekte ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir.

6.6 Kişisel Verilerin Saklanma Süresi ve İmhası

Kişisel Veriler Zoom İletişim bünyesinde, ilgili mevzuatların öngördüğü süre veya bu verilerle ilişkili faaliyetlerin ve işbu Politikada da belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca saklanmaktadır. Kullanım amacı sonlanan veya saklama süresi sona eren kişisel veriler ise, KVKK’nın 7’nci maddesi uyarınca Zoom İletişim tarafından veya veri sahibinin talebi üzerine Veri Saklama ve İmha Politikası'na uygun olarak imha edilmektedir.

7. Kişisel Veri Sahibinin Hakları

KVKK’nın 11. Maddesi kapsamında kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve bu madde uyarınca veri sahipleri Zoom İletişim nezdinde aşağıdaki haklara sahiptir:

•Kişisel veri işlenip işlenmediğini öğrenme,

•Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,,

•Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

•Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

•Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

•Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, bunların silinmesini veya yok edilmesini isteme,

•Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

•İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

•Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Yukarıda belirtilen haklardan birinin kullanılması amacıyla veri sahiplerinden gelecek talepler, Zoom İletişim Satınalma ve Planlama A.Ş., Büyükdere Caddesi Noramin İş Merkezi No: 237 Kat: A / 113, Maslak / İstanbul adresine, kimlik tespit edici belgeler ve imza ile bizzat elden teslim edilerek veya posta ile taahütlü gönderilerek iletebilecektir. Üçüncü kişilerin veri sahipleri adına talepte bulunabilmeleri için, kişisel veri sahibi tarafından başvuruda bulunacak kişi adına noter vasıtasıyla düzenlenmiş özel vekaletnamenin sunulması gerekmektedir. Taleplerin ayrıca bir maliyet gerektirmesi durumunda Zoom İletişim, Kurul tarafından belirlenen tarifedeki ücretleri talep edebilecektir. Zoom İletişim, veri sahipleri tarafından yöneltilen başvuruları değerlendirirken ihtiyaç duyulması durumunda veri sahibinden bilgi talep edebilir ve soru yöneltebilir, değerlendirme sonucunda gerekçesini açıklayarak başvuruyu reddedebilir. Her durumda, Zoom İletişim söz konusu talepleri 30 (otuz) gün içerisinde sonuçlandırarak yazılı olarak ya da elektronik ortamda başvuru sahibine bildirir.

Konu ile ilgili detaylar ve iş akışı “Kişisel Veriler Talep ve Şikayet Prosedürü”nde anlatılmaktadır.

8. Kişisel Verilerin Güvenliği İle İlgili Uygulanan Teknik ve İdari Tedbirler

Kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve verilerin muhafazasını sağlamak amacıyla, KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Zoom İletişim tarafından alınmış olan idari ve teknik tedbirler aşağıdaki maddelerde belirtilmiştir.

8.1 Teknik Tedbirler

•Bilgi sistemlerine erişim kullanıcı kodu ve şifre ile yapılır ve kişi bazında tanımlanır. Şifrelerin en az 8 karakter, içinde en az 1 sayı ve 1 özel karakter barındırmasına dikkat edilir.

•Erişim yetkileri veri işleme amaçlarına uygun olarak kişi ve rol bazlı kısıtlamaya tabi tutulur.

•Erişim yetkisi verilen Zoom İletişim çalışanı, kendisine verilen kullanıcı kodu ve şifreyi bir başkasıyla paylaşmaz.

•Kişisel veri içeren dokümanlar, belgeler kilit altında tutulur.

•Kişisel veri içeren elektronik dosyalar erişim yetkileri kısıtlanarak ve/veya şifrelenerek saklanır.

•Erişim yetkileri yetkili çalışan tarafından gözden geçirilir.

•Bilgi sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için ayrı bir oda/kabin tahsis edilir ve bu alana erişim yetkili personel ile kısıtlanır.

•Ağ güvenliği ve zararlı yazılım sızmasının önlenmesi için güvenlik duvarı ve virüs tarayıcılar kullanılır.

•Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenir ve bilgi sistemleri iç ve dış tehditlere karşı güncel tutulur.

•Kişisel verilerin güncelliğinin korunması ve iş sürekliliğinin sağlanması amacıyla düzenli sıklıkta veri yedekleme yapılır.

8.2 İdari Tedbirler

•Zoom İletişim çalışanları kişisel verilerin korunması ile ilgili gizlilik sözleşmesini imzalar. İlgili sözleşme şartlarını yerine getirmeyen çalışanlar için disiplin prosedürü uygulanır.

•Zoom İletişim çalışanlarının kişisel verilerin korunması konusunda farkındalıklarının oluşması ve sürekli kılınması için yılda en az 1 kez eğitim verilir.

•Kişisel veri işlenmeye başlamadan önce Zoom İletişim tarafından, veri sahiplerini aydınlatma yükümlülüğü yerine getirilir.

•Zoom İletişim tarafından veri aktarımı yapılan üçüncü kişi ve kuruluşlar ile imza edilen sözleşmelere de kişisel verilerin korunması ve güvenlik önlemlerine ilişkin hükümler eklenmektedir.

•Koruma altına alınacak verilerin tespiti ve güncel tutulması için kişisel verilerin işlendiği süreç ve verileri gösteren Kişisel Veri İşleme Envanteri oluşturulmuş ve Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt işlemi yerine getirilmiştir. İşbu envanter ve VERBİS kayıtları, KVKK mevzuatı veya Zoom İletişim’in iş politikalarında, iş modelinde, yeni bir iş alanına girmesi vb sebeplerle oluşabilecek değişikliklerde derhal güncellenir ve ilgili kişisel veri koruma tedbirleri hayata geçirilir.

9. Diğer İlişkili Politika ve Prosedürler

İşbu Politika, aşağıda belirtilen diğer ilgili politika ve prosedürler eşliğinde ele alınır:

•Kişisel Veri Saklama ve İmha Politikası,

•Kişisel Verilerin İşlenmesine İlişkin Başvuru Talep Yönetimi Prosedürü

•Veri İhlali Müdahale Prosedürü

10. Politikanın Yürürlüğe Girmesi ve Geçerlilik Süresi

İşbu Politika, Genel Müdür onayı ile tüm çalışanlara duyurularak yayınlandıktan sonra yürürlüğe girecektir. KVKK kapsamında Politikaya artık gerek duyulmaması durumunda da, yine Genel Müdür onayı ile tüm çalışanlara duyurularak yürürlükten kaldırılır.

11. Politikanın Güncelleme Periyodu

İşbu Politika, KVKK mevzuatında değişiklik olduğunda, Zoom İletişim’in kişisel veri işleme usul ve esaslarında değişiklikler olduğunda veya gerekli görülen diğer hallerde güncellenir ve Genel Müdür onayı alınarak çalışanlara duyurulur. Yanısıra, yılda 1 (bir) kez olmak üzere gözden geçirilir ve varsa güncellemeler yansıtılarak, Genel Müdür onayı ile çalışanlara duyurulur.