Kişişel Verilerin İşlenmesi hakkında bilgilendirme
KONU
Bu bilgilendirmenin konusu, Kişisel Verilerin Korunması Mevzuatı (KVK) ve Kişisel Verileri Koruma Kurulu kararları doğrultusunda, Veri Sorumlusu ile Veri İşleyen arasındaki hak ve yükümlülüklerin açıklanmasıdır.
Bu web sayfasındaki yazılımı kullanan kişi/firmalar aşağıdaki bilgilendirmeyi okuyup, anladıklarını ve kendileri ile ilgili hükümlere uyacaklarını kabul ve taahhüt etmiş sayılırlar.
AÇIKLAMALAR
-
İlgili mevzuat ve kanunlara göre Argedan Bilişim A.Ş. sahibi olduğu yazılım gereği VERİ İŞLEYEN, anılan yazılama veri giren olarak da Müşteri VERİ SORUMLUSU’dur.
-
Müşteri ile Argedan arasında herhangi bir Yazılım Kullanım teklifi/sözleşmesi imzalanması (Bundan sonra Ana Sözleşme olarak anılacak) halinde; Veri İşleyen (Argedan) yalnızca; Veri Sorumlusu’nun (Müşteri) kendi belirlediği amaçlar çerçevesinde kişisel veri içeren bilgileri, Veri İşleyenin sunmuş olduğu belirli standartlara sahip yazılım üzerinden işlemesine olanak sağlar. Veri işleyen bu yazılım üzerinden Veri Sorumlusu adına herhangi bir kişisel veri işlemez. Bu yazılıma herhangi bir kişisel veri işlemek için Veri Sorumlusundan talimat almaz. Veri İşleyen, (Lisans ve mobil uygulama son kullanıcı sayılarının takibi ile ilgili genel toplam bilgileri hariç olmak üzere) Veri Sorumlusu tarafından ıslak imzalı dilekçe ile bir talep gelmedikçe yazılım üzerinden Veri Sorumlusu adına herhangi bir kişisel veri işleme faaliyeti gerçekleştirmez, yazılıma Veri Sorumlusu’na tahsis edilmiş kullanıcı oturumları aracılığıyla işlenmiş hiçbir kişisel veriyi kendi amaçları için aktarmaz, değiştirmez, güncellemez, depolamaz, açıklamaz, devralmaz, sınıflandırmaz, silmez, kullanmaz.
-
Yazılı talimatla yapılan silme işleminin takibi ve doğruluğunun kontrolü Veri Sorumlusu’nun sorumluluğundadır.
-
Yazılım ham/boş hali ile (herhangi bir kişisel veri kaydı içermeden) Veri Sorumlusu’na kurulum yapılır, teslim edilir. Kurulum aşamasından sonra, Veri Sorumlusu’nun kullanıcı oturumları açıldıktan sonra yazılıma kaydettiği kişisel verilere, Veri İşleyen ancak hata ayıklamaları, güncellemeler ve/veya geliştirmeler için erişir. Veri İşleyen, hata ayıklamaları, güncellemeler ve/veya geliştirmeler için bu kişisel verilere yalnızca ekranda görüntülemek sureti ile erişir. Veri İşleyen (sunucu ve yedekleme hizmeti Veri İşleyen tarafından verilmediği sürece) bu kişisel verileri kendi kullanıcı bilgisayarlarına (download etmez) indirmez, kendi bilgisayar dizinlerine (:C/, :D/, :E/ vb.) kaydetmez, depolamaz, aktarmaz, güncellemez, değiştirmez, devralmaz, açıklamaz, sınıflandırmaz, silmez, kullanmaz.
-
KVK’da öngörülen yasal istisnalar hariç olmak üzere Argedan, Veri Sorumlusunun yazılı onayı olmadan kişisel verileri üçüncü kişilere/kurumlara ya da yurt dışına aktaramaz, ana sözleşmenin amacı dışında işleyemez, silemez, imha edemez. Ancak, Veri Sorumlusu’nun yükümlülüklerini yerine getirmemesi, Veri Sorumlusu’na ulaşılamaması ya da Veri Sorumlusu ile yapılan hizmet anlaşmasının sonlanması hâllerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tüm verilere erişim kısıtlanabilir, durdurulabilir ve/veya geri döndürülemeyecek şekilde silinebilir ve buna ilişkin e-posta Veri Sorumlusu’na iletilir.
-
Veri İşleyen, ana sözleşmede belirtilen Yazılım programını KVK’nın idari ve teknik tedbirleri doğrultusunda hazırlamış olup yazılım içerisinde; Veri Sorumlusu’nun yazılımı, KVK’nın idari ve teknik tedbirlerine uygun olarak yetkilendirilmiş kullanıcılar ile kullanabilmesi için “Kullanıcı Grup Ve Yetkileri” adı ile bir modül bulunmaktadır. Bu modül ile, Yönetici (Admin) kullanıcısına sahip kişi tarafından yazılıma erişimi olan tüm kişilerin erişim yetki ve çerçeveleri ayarlanabilmektedir.
-
Veri Sorumlusu, Yazılımdaki bu özelliği kullanarak kişisel verilere yetkisiz erişimi önler, sınırlı ve ölçülü erişim sağlanmasını yönetir. Veri Sorumlusu, Yazılım’ın bu özelliklerini kullanarak, yetkisiz kişilerin herhangi bir kullanıcı oturumu açmadan ve/veya açarak, Yazılım içerisindeki kendisine yetki verilmemiş bilgilere erişmesini, elde etmesini, bir kopyasını almasını önler. Yazılımdaki bu özellikleri kullanmamaktan, admin şifresinin gizli tutulmamasından, KVK Mevzuatında öngörülen teknik ve idari tedbirlerin alınmamasından kaynaklanan tüm sorumluluk münhasıran Veri Sorumlusu’na aittir.
-
İlgili kişilerin aydınlatılması, açık rızalarının alınması, Veri Sorumlusu bünyesinde verilerin gizliliğinin sağlanması ve KVK’da öngörülen tüm idari ve teknik tedbirlerin alınması Veri Sorumlusu’nun sorumluluğundadır. Veri İşleyen’in hizmete sunmuş olduğu Yazılım programında bulunan “özel nitelikli kişisel veri” modüllerinde bu verilerin işlenmesine karar verme, ilgili kişilerin aydınlatılması, açık rızalarının alınması, Veri Sorumlusu bünyesinde verilerin gizliliğinin sağlanması ve KVK’da öngörülen tüm idari ve teknik tedbirlerin alınması Veri Sorumlusu’nun sorumluluğunda olup salt bu modüllerin Yazılım’da var olmasından dolayı Veri İşleyen’e herhangi bir sorumluluk atfedilemez. Yazılımda bulunan tüm kişisel veri modülleri için bu hüküm geçerlidir.
-
Argedan Bilişim A.Ş. hiçbir şekilde arka planda kişilerin anlık konumunu takip etmez. Ancak; kullanım hakları satın alınan yazılımda karekod okutma anında “sadece karekod alanının konumunun doğrulanması amacıyla” konum kaydetme özelliği var ve Veri Sorumlusu bu doğrulamanın yapılmasını istiyor ise; bu konuda konum verisi, giriş-çıkış saatleri ve tarihleri, giriş-çıkışa yetkili olup olmadıkları, kimlik bilgisi alınan ilgili kişilere aydınlatma yükümlülüğünde bulunmak, yasal dayanakları açıklamak ya da açık rıza almak, Veri Sorumlusunun sorumluluğunda olup ilgili özellikler nedeniyle Argedan Bilişim A.Ş.'ye (Veri İşleyene) bir sorumluluk yüklenemez. İlgili kişilerin konum verilerinin ve yukarıda belirtilen diğer kişisel verilerinin kaydedilmesi konusunda karar vermek ve bu amaçla Argedan Bilişim A.Ş.’nin (veri işleyen) ürettiği yazılımı kullanmak, Veri Sorumlusunun işini / işletmesini yönetme süreci ile ilgili olduğu için, Argedan Bilişim A.Ş.'nin ürettiği yazılımla otomatik olarak alınan ve kaydedilen konum verisi ve yukarıda belirtilen diğer kişisel veriler nedeniyle oluşabilecek hukuki anlaşmazlıklarda tek muhatap Veri Sorumlusudur.
-
Bu konuda ilgili kişileri bilgilendirmek münhasıran Veri Sorumlusunun yükümlülüğünde olup; 6698 Sayılı Kişisel Verilerin Korunması Kanunu'na uygun aydınlatma metni hazırlanması ve gerektiğinde açık rıza alınması önem arz etmektedir. Kaydedilen konum ve yukarıda belirtilen diğer veriler; Veri Sorumlusunun Argedan Bilişim A.Ş.'ye (Veri İşleyen) ıslak imzalı talimatıyla talimatıyla silinebilir/imha edilebilir. İmha süresini belirlemek de aynı şekilde veri sorumlusunun yükümlülüğündedir. Argedan Bilişim A.Ş. konum verilerinin saklanmasında diğer kişisel verilerin saklanmasında olduğu gibi gizlilik ilkesine riayet eder, kişisel verileri saklar, gerekli teknik önlemleri alarak korur, üçüncü kişilerle paylaşmaz, yurt dışına aktarmaz. Adli makamlardan gelen talepler hakkında (Mahkemeden gelen yazı ile ilgili kişinin konum verilerinin istenmesi gibi) veri sorumlusunu yazılı ve sözlü olarak bilgilendirir, konu ile sınırlı ve ölçülü bir bilgilendirmeyi yasal zorunluluk gerektirdiği için istisnaen paylaşır.
-
Yukarıdaki hüküm konum verisi ve giriş çıkış kayıtlarının Argedan Bilişim A.Ş. sunucularında saklandığı hâllerde geçerli olup, Veri Sorumlusu yukarıda anılan verileri kendi sunucularında kaydedip saklıyorsa, bu konuda Argedan Bilişim A.Ş.'nin sorumluluğu yazılımın satılmasıyla sona erer. Periyodik bakım hizmetinin alınması ya da güncellemelerin takip edilmesi Veri Sorumlusunun yükümlülüğündedir.
-
Veri İşleyen’in yazılım programını, KVK’ya ve bilgi güvenliğini gözetmeye uygun olarak kullanmak Veri Sorumlusu’na aittir.
-
Veri Sorumlusu, kişisel verilerin güvenliği için Yazılımda bulunan güvenlik tedbirlerinin dışında ek bir hizmet talep ederse, bu konu ayrı bir hizmet bedeline tabidir.
-
Veri Sorumlusunun,Veri İşleyen’i denetlemesi ya da denetlettirmesi yalnızca kişisel verilerin işlenmesi ile ilgili süreçleri kapsar. Veri İşleyenin, Veri Sorumlusu tarafından denetlenmek yerine, kendini planlı ve/veya plansız denetlettirip, denetim sonuç raporunu Veri Sorumlusu’na sunma hakkı saklıdır.
-
Veri İşleyen, Veri Sorumlusu’na ait kişisel verilerin korunması konusunda süresiz olarak sır saklama yükümlülüğüne tabidir.
-
Adli makamlardan ya da verisi işlenen ilgili kişiden, kişisel verilerle ilgili Veri Sorumlusu’na bir talep gelmesi hâlinde, talep süreye bağlı bir talep ise cevap verilmesi gereken sürenin en az %30’u kadar bir sürenin Veri İşleyen’e verilmesi zorunludur. Geç bildirimlerden doğan sorumluluk Veri Sorumlusu’na aittir. Anılan talep, süreye bağlı bir talep değilse olası hak kayıplarını önlemek adına, makul süre içerisinde Veri İşleyen’e bildirilir. Veri İşleyen’in ana sözleşme ve işbu ek protokol kapsamında Veri Sorumlusu’na yardım etme yükümlülüğü kapsamında sürelere riayet edilmesi önemlidir. Süreye bağlı bir talebin yerine getirilmesinin, Veri İşleyen için mevcut süreden daha fazla zaman gerektirecek bir işlem olması halinde, Veri İşleyen’in ek süre isteme hakkı saklıdır.
-
Adli makamlardan Veri Sorumlusu’nun işlediği kişisel verilerle ilgili Veri İşleyen’e bir talep gelmesi hâlinde, adli makamların almış olduğu bir gizlilik kararı olmadıkça durum Veri Sorumlusu ile sözlü ve yazılı olarak teyit edilir ve talep gereği yerine getirilir.
-
2.3. ve devamındaki madde hükümlerindeki özenin gösterilmemesi sonucu kişisel veri ihlâline neden olan olay gerçekleşirse, doğacak zarardan ihmali /kusuru olan Taraf sorumlu olur. Kişisel veri ihlâline sebep olmayan taraf ödemek zorunda kaldığı tazminat, idari para cezası ve sair zarar ile ilgili ihmali/ kusuru olan tarafa rücu eder.
-
2.3. ve devamındaki madde hükümlerinin ihlâli halinde, ihlâlin/zararın ağırlığına göre, kusuru olmayan tarafın, ana sözleşmeyi derhal haklı sebeple ve tazminatsız fesih hakkı ya da anılan hükümlere uygunluk oluşturuluncaya kadar ana sözleşmeyi askıya alma hakkı saklıdır. Bu durumda zarara sebep olan Tarafın hizmete ilişkin ya da mali yükümlülükleri devam eder.
-
Veri Sorumlusu, “ilgili kişi tarafından iletilen tüm verilerin silinmesi talebini” Yazılım içerisinde gerçekleştirir. Bir başka deyişle; Veri Sorumlusu kişilere ait tüm (kişisel, özel, cari vb.) bilgileri Yazılım üzerinden silebilir. Verilerin Yazılım üzerinden silinmesi ile aynı bilgiler Veri İşleyen’e ait sunuculardan da (30 günlük yedekleme süresi sonunda) geri döndürülemeyecek şekilde silinir. Bu nedenle; tüm verilerin silinmesi hariç olmak üzere; ilgili kişiye ait bilgilerin silinmesi için Veri İşleyen’den bir talepte bulunulması gerekmez.
-
Adli makamlardan ya da ilgili kişilerden bir talep gelmesi hâlinde, talep konusu işlemle ilgili tevsik edici belge sunma yükümlülüğü Veri Sorumlusu’ndadır. Veri İşleyen, kişisel veriyi silme işlemini kimin hangi tarih ve saatte yaptığını log olarak tutmakla yükümlü değildir.
-
Tarafların birbirleriyle işbirliği içinde olması için birbirlerini bilgilendirmeleri önemlidir. Bu nedenle, veri sızıntısı şüphesi ya da veri sızıntısının olduğunun öğrenilmesi hâlinde durum derhal (24 saat içinde) diğer Taraf’a sözlü ve yazılı olarak bildirilir. Geç bildirimden doğan zararlardan ilgili taraf sorumlu olur. (Kişisel Verileri Koruma Kurulu’nun yerleşik kararları uyarınca kişisel veri ihlâli oluştuğunda derhal gerekli önlemlerin alınması ve gerekirse durumun 72 saat içinde Kurul’a bildirilmesi zorunludur).
-
Veri Sorumlusu ile Veri İşleyen arasındaki iş ilişkisinin sona ermesi hâlinde, Veri İşleyen, Veri Sorumlusu’na ait verileri siler. Hizmet süresi boyunca Veri Sorumlusu, verilerinin yedeklerini alabilir. Hizmet ilişkisi sonlanmadan önce verilerin yedeğini almak Veri Sorumlusu’nun sorumluluğundadır.
-
Veri İşleyen’in kendi amaçları doğrultusunda kişisel veri işleme faaliyetleri için bu sözleşme hükümleri uygulama alanı bulmaz.
-
Veri Sorumlusu, yazılım ve sunucular üzerindeki tüm verilerin taşınabilirliğini isterse, ilave masraflar doğması halinde bu masraflar Veri Sorumlusu tarafından karşılanır.
-
Veri İşleyen’e veriler üzerindeki herhangi bir işlem için talep geldiğinde, bu talebin ilave masraflar doğurması halinde, bu masraflar Veri Sorumlusu tarafından karşılanır.