KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

AMAÇ

Kişisel Verilerin Korunması Kanunu ile getirilen yükümlülükler, Anayasa’nın 20.maddesi ile düzenlenen özel hayatın gizliliği ve kişisel verilerin korunmasını talep hakkı ve kişisel verilere ilişkin yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurulu Kararları kapsamında, veri sorumlusu sıfatıyla Abdulmuttalip Duran ((Şahıs Şirketi,Rodevino.com web sitesi), “Rodevino”) olarak yükümlülüklerimizi yerine getiriyor, hukuka uygun olarak işlenmesine önem veriyoruz.

İşbu politika, verilerin mahremiyetinin korunması ve gizliliğinin sağlanmasını kurumsal ilke olarak benimseyerek ilgili mevzuat hükümlerine uygun olarak Rodevino iş süreçleri ve faaliyetleri kapsamında gerçekleştirdiğimiz veri işleme süreçleri, veri güvenliğine ilişkin aldığımız tedbirler hakkında kişisel verisi işlenen personel, personel adayı, stajyer, tedarikçi, ziyaretçi, toplantı katılımcısı ve diğer kişilerin bilgilendirilmesi ile kişisel verileri işleyen personellerin uyacakları usul ve esaslar konusunda bilinçlendirilmesi amacıyla hazırlanmıştır.

KAPSAM

Bu politika Rodevino iş süreçleri ve faaliyetleri kapsamında kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

HUKUKİ VE TEKNİK TERİMLERİN TANIMLARI VE KISALTMALAR

TERİM

TANIM

Alıcı Grubu

Rodevino tarafından kişisel verilerin aktarıldığı kurum organizasyonu dışındaki gerçek veya tüzel kişileri ifade eder.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Çerez

İnternet sitesi tarafından cihazlara yerleştirilen, internet sitelerinin belirli işlevleri gerçekleştirmesini, hatırlamasını, tercihleri depolamasını veya ölçümlemesini sağlayan küçük metin dosyalarıdır.

Elektronik Ortam

Kişisel verilerin elektronik cihazlar (bilgisayarlar, akıllı telefonlar, tabletler, dijital kameralar vb.) aracılığıyla oluşturulabileceği, erişilebileceği, değiştirilebileceği ve kaydedilebileceği ortamları ifade eder.

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan kişisel verilerin fiziksel veya analog formatta oluşturulabildiği, erişilebildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder. Bu ortamlar, kağıt dokümanlar, el yazısı notlar, fotoğraflar ve benzeri fiziksel medya şekillerini içerir. Elektronik olmayan ortamlar, bilgisayar tabanlı teknoloji kullanımından önce ve hala yaygın olarak kullanılan geleneksel yöntemler ve materyalleri kapsar.

Hizmet Sağlayıcı

Rodevino ile aralarında yazılı/sözlü sözleşme veya hukuki ilişki bulunan ve bu kapsamda talep edilen hizmet çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi ifade eder.

İrtibat Kişisi

Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) 4. maddesi ç bendine göre irtibat kişisi, Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kanun

24/3/2016 tarihli 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu politika kapsamında ayrıca belirtilmedikçe kişisel veri kavramı özel nitelikli kişisel verileri de kapsayacak şekilde kullanılmıştır.

Kişisel Veri İşleme Envanteri

Rodevino iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemini ifade eder.

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

Kişisel Verileri Koruma Komisyonu

Rodevino bünyesinde kişisel verilerin korunması uyum süreci kapsamında oluşturulmuş, Kanun ve ilgili mevzuat kapsamında kişisel verilerin korunması süreçlerini yöneten, organize eden komisyonu ifade eder.

Kurul

Kişisel Verileri Koruma Kurulunu ifade eder.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Personel

Rodevino ile arasında iş akdi bulunan personeli ifade eder.

Politika

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları kişisel veri saklama ve imha politikasını ifade eder.

Stajyer

Rodevino nezdinde veya Rodevino tarafından yürütülen projeler kapsamında ilgili kurum ve kuruluşlarda staj yapacak gerçek kişileri ifade eder.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurul tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

KİŞİSEL VERİLERİN KORUNMASI KOMİSYONU

Rodevino nezdinde verilerin hukuka uygun olarak işlenebilmesi, yükümlülüklerinin yerine getirilmesi, kişisel verilerin korunması, kişisel veri güvenliğinin takibinin yapılabilmesi, kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlanması ve kurum içi rastgele/periyodik denetimler gerçekleştirilmesi süreçleriyle ilgili olarak Kişisel Verilerin Korunması Komisyonu kurulmuştur. Komisyonun çalışma usul ve esasları Rodevino içerisinde ayrı bir politika ile düzenlenmiştir.

KİŞİSEL VERİLERİN İŞLENMESİ SÜREÇLERİNDE BİRİMLER VE GÖREVLERİ

Kişisel veri işleme süreçleri kapsamında Rodevino birimleri ve ilgili birimlerin görev dağılımı aşağıdaki şekildedir.

BİRİM / UNVAN / GÖREV TANIMI

Kişisel Verilerin Korunması Komisyonu / Komisyon Üyeleri / Tüm birimlerin işlediği kişisel veri süreçlerinin yönetimi ve takibiyle, mevzuata ve hazırlanan politika ve prosedürlere uyum sağlanıp sağlanmasından sorumludur. Mevcut ve değişen veri işleme süreçlerinin mevzuata uygun şekilde yürütülebilmesi için çalışmalar yapmaktadır.

İrtibat Kişisi / ………. / Veri sorumlusunun Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişimin sağlanmasından sorumludur.

İnsan Kaynakları / İnsan Kaynakları / Faaliyetleri ve görevlerine uygun olarak bünyesinde bulunan, toplanan, işlenen kişisel verilerin Kanun’a, ilgili mevzuata ve işbu politikaya uyumlu olarak yürütülmesinden sorumludur. Kendisine iletilen ilgili kişi başvurularının kanuni düzenlemelere uygun şekilde yanıtlanabilmesi için destek verir.

GENEL İLKELER

Kişisel verilerin işlenebilmesi için söz konusu veri işleme faaliyetinin Kanun’un 4.maddesinde düzenlenen genel ilkelere uygun olması gerekmektedir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur.

Hukuka ve dürüstlük kurallarına uygun olma ilkesi:

Hukuka uygun olma ilkesi, veri işleme faaliyetinin yürürlükteki mevzuata uygun olması anlamına gelmektedir. Dürüstlük kuralına uygun olması ise veri işlenen ilgili kişilerin yanıltılmaması, makul beklentilerine uygun şekilde veri işleme faaliyetlerinin yürütülmesini ifade eder. Aynı zamanda bu ilke şeffaflığın sağlanması ve bilgilendirmelerin doğru şekilde açık ve anlaşılır yapılmasını da gerektirir. İlgili süreç kapsamında makul olmayan verinin, ilgili kişiden talep edilmesi veya bunun veri sorumlusu tarafından dürüstlük kurallarına aykırı olarak işlenmesi bu ilkeye aykırıdır. Rodevino olarak yürüttüğümüz tüm veri işleme faaliyetlerinde bu ilkeyi benimsiyoruz ve verilerinizi hukuka uygun olarak ve dürüstlük kuralının gerektirdiği şekilde işliyoruz.

Doğru ve gerektiğinde güncel olma ilkesi:

Kişisel veriler doğru ve gerektiğinde güncel olmalıdır. Bu ilke ile verilerin başka kişilerce erişilmesinin ve ilgili kişinin aleyhine doğabilecek sonuçların önlenmesini amaçlamaktadır. Örneğin yanlış verilen bir e-postaya gönderilen ilgili kişiye ait fatura bilgileri yetkisiz başka bir kişi tarafından erişilebilir olabilecektir. Rodevino olarak verilerin doğru olduğunu teyit etmek amacıyla gereken platformlarda çift faktörlü doğrulama sistemleri kullanıyoruz. İlgili kişilerden gelen düzeltme ve değişiklik taleplerini ivedilikle inceliyor ve gereğini yerine getiriyoruz. Ayrıca platformlarımızda bulunan elektronik formlar ile cep telefonu, e-posta adresi, özgeçmiş gibi bilgilerini değiştirme imkanı sağlıyor ve bu sayede ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutma yükümlülüğümüzü yerine getiriyoruz.

Belirli, açık ve meşru amaçlar için işlenme ilkesi:

Rodevino, yürüttüğü veri işleme faaliyetlerine ilişkin amaçlarını ve hukuki sebepleri belirler. Bu amaçlar meşru ve açıktır. İlgili kişilere yapılan bilgilendirmelerde söz konusu amaçlara detaylı şekilde ve genel olmayan açık ifadelerle yer verilmektedir. Ayrıca politika dokümanlarında işleme ve saklama amaçları sayılmaktadır. Veri işleme amacının değişmesi durumunda da ilgili kişilere ayrıca aydınlatma yapılmaktadır. Söz konusu amaçlar Rodevino projeleri, faaliyetleri ve hukuken yüklenen görevleriyle, sunulan hizmetler bağlantılıdır. Rodevino tarafından ilgili kişilerin başvurularına verilen yanıtlarda da bu ilkeye uygun hareket edilmekte, açık ve belirli ifadeler kullanılmaktadır.

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi:

Rodevino, yürüttüğü veri işleme faaliyetlerine konu amaçlarını, kanuni yükümlülükleri, proje ve platform kapsamındaki faaliyetleri ile bağlantılı olarak ve bu amaçlarla sınırlı olacak şekilde ölçülü olma ilkesine de uyumlu belirler. Amacı yerine getirmek için gerekli olmayan verileri işlememek konusunda azami özen gösterir.

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi:

Rodevino nezdinde tutulan ve saklanan kişisel verileri eğer mevzuatta öngörülen bir süre varsa bu süre kadar yoksa işlendiği amacın gerektirdiği süre kadar muhafaza eder. İlgili sürelerin sona ermesi durumunda Kişisel Veri Saklama ve İmha Politikasına uygun olarak ilgili verileri siler, yok eder veya anonim hale getirir.

İŞLENEN KİŞİSEL VERİLER

Rodevino tarafından toplanan ve aşağıda yer verilen kişisel verileriniz, kişisel verinizin işlendiği faaliyet, verisi işlenen kişi gruplarından hangisine dahil olduğunuza ve ilgili diğer hususlara bağlı olarak değişmektedir. İşlenen kişisel verilere kategorik olarak yer verilmiştir.

Kimlik Bilgisi (ad soyad, anne - baba adı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, uyruk, tc kimlik no gibi)

İletişim Bilgisi (e-posta adresi, iletişim adresi, ikametgah adresi, kayıtlı elektronik posta adresi (KEP), telefon numarası, Dijital iletişim adresleri, NVİ adresi gibi)

Özlük (bordro bilgileri, işe giriş-çıkış belgesi kayıtları, özgeçmiş bilgileri, iş başvuru formu bilgileri, çalışma bilgileri gibi)

Hukuki İşlem (adli ve idari makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)

Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri gibi)

İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, Log kayıtları, işlem kayıtları, şifre ve parola bilgileri, çalışan kurumsal e-posta işlem ve içerikleri, kurumsal bilgisayar işlem ve içerik kayıtları, şifre ve parola bilgileri gibi )

Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)

Finans (banka, şube ve IBAN numarası, ücret bilgisi gibi)

Mesleki Deneyim (Öğrenci belgesi, mezun belgesi (Lisans, yüksek lisans, doktora), meslek içi eğitim bilgileri, katılınan eğitimlere ilişkin sertifikalar, diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, yandal bilgileri (üniversite adı, fakülte/meslek yüksek okulu/yüksekokul/enstitü adı, program adı, öğrenim dili, başlama tarihi, bitirme tarihi, bitirme durumu, genel not ortalaması, not sistemi), akademik / Mesleki yeterlilik bilgileri, sosyal/sanatsal faaliyet, sportif faaliyet bilgileri, gibi)

Görsel İşitsel Veri (fotoğraf, görsel ve işitsel kayıtlar)

Ceza mahkumiyeti ve güvenlik tedbirleri (adli sicil kaydı)

Askerlik Bilgileri (askerlik yükümlülüğünü yerine getirip getirmediğine ilişkin bilgi (yaptı/yapmadı/tecille muaf)),

Sürücü Belgesi Bilgileri (Verildiği tarih, sınıf tarihi, verildiği yer),

İş süreçleri kapsamında işlenen diğer kişisel veriler şirkette çalışırken verdiğiniz dilekçelere konu kişisel verileriniz (istifa dilekçesi, talep dilekçesi), İzin talep formu (izin şekli, izin nedeni, toplam izin süresi, kalan izin süresi, ayrılış tarihi, izinde bulunacağı adres, dönüş tarihi, talep tarihi, imza ) vb.)

Çerezlerle toplanan kişisel verileriniz

VERİSİ İŞLENEN KİŞİ GRUPLARI

Rodevino tarafından aşağıdaki kişi gruplarının kişisel verileri işlenmektedir.

Çalışan

Çalışan adayı

Stajyer

Müşteri

Tedarikçi

Tedarikçi yetkilisi/ortağı

Vekaletname ile işlem yapan kişiler

Eğitmen

Ziyaretçi

VERİLERİNİZİN TOPLAMA YÖNTEMLERİ

Rodevino tarafından işlenen kişisel veriler aşağıdaki toplama yöntemleriyle elde edilmektedir.

Çalışanların özlük dosyası belgeleri

Fiziki ve elektronik formlar, raporlar ve dokümanlar

Platformlar

İnternet siteleri

Uygulama ve yazılımlar

Çerezler (Cookies) ve Benzer Takip Teknolojileri,

VERİ İŞLEME ŞARTLARI

Kişisel Verilerin İşlenme Şartları:

Aşağıdaki kişisel veri işleme şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Bu veri işleme şartları mevcut değilse kişisel veriler ancak açık rıza ile işlenebilir.

Kanunlarda açıkça öngörülmesi.

Rodevino arafından yürütülen iş ve işlemlerde kanunlarda açıkça öngörülmesi hukuki sebebine dayalı olarak veri işleme faaliyeti yapılmaktadır. Aşağıda kanunlarda açıkça öngörülmesi hukuki sebebine dayanak teşkil eden mevzuatın bir kısmına örnek vermek suretiyle yer verilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu

4857 Sayılı İş Kanunu

4734 Sayılı Kamu İhale Kanunu

5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

6361 Sayılı İş Sağlığı Ve Güvenliği Kanunu

213 Sayılı Vergi Usul Kanunu

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

Rodevino tarafından yürütülen iş ve işlemlerde bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması hukuki sebebine dayalı olarak veri işleme faaliyeti yapılmaktadır. Aşağıda bu hukuki sebebe dayanak teşkil eden sözleşmelerin bir kısmına örnek vermek suretiyle yer verilmiştir.

Telif sözleşmesi

İş sözleşmesi

Hizmet tedarik sözleşmesi

Mal satın alım sözleşmesi

Danışmanlık sözleşmesi

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

Rodevino tarafından yürütülen iş ve işlemlerde veri sorumlusunun hukuki yükümlülüğü hukuki sebebine dayalı olarak veri işleme faaliyeti yapılmaktadır. Aşağıda bu hukuki sebebe dayanak teşkil eden mevzuatın bir kısmına örnek vermek suretiyle yer verilmiştir.

İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği

Kişisel Sağlık Verileri Hakkında Yönetmelik

İlgili kişinin kendisi tarafından alenileştirilmiş olması.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları:

Özel nitelikli kişisel verilerin işlenebilmesi için gereken veri işleme şartları özel nitelikli kişisel verilerin türüne göre farklı bir sınıflandırmaya tabi tutulmuştur. Sağlık ve cinsel hayat dışındaki ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, kanunlarda öngörülmesi işleme şartına dayalı olarak işlenebilmektedir. Ancak sağlık ve cinsel hayat verisinin bu veri işleme şartına dayalı olarak işlenmesi mümkün değildir.

Sağlık ve cinsel hayat şeklindeki özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

Yukarıda sayılan veri işleme şartlarının söz konusu faaliyete uygun olmaması durumunda özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızasının bulunması gerekmektedir.

KİŞİSEL VERİ İŞLEME AMAÇLARI

Rodevino, iş süreçleri ve faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda işlemektedir.

Personel seçme ve insan kaynakları süreçlerinin yürütülmesi

Bilgi güvenliğinin ve sistem güvenliğinin sağlanabilmesi, yapılan işlemlerin kayıtlarının tutulabilmesi, ilgili mevzuat hükümleri uyarınca yükümlülüklerimizin yerine getirilebilmesi

Bilgilerin ve kurum faaliyetlerinin gizliliğinin korunabilmesi, fiziksel mekan ve kişi güvenliğinin sağlanması

Kullanıcı kaydının oluşturulması

Eğitim faaliyetlerinin yürütülmesi, çalışanlarının eğitim ihtiyaçlarının karşılanması

Yetkili kişilerin tespiti

Eğitim faaliyetlerinin yürütülmesi

Yöneticilerin personel eğitim ve geliştirme faaliyetlerini analiz etmek ve veriye dayalı çözüm önerileri sunmak

Mal / Hizmet satın alım süreçlerinin yürütülmesi

Programı kullanacak kişinin yetkilendirilmesi, kullanıcı bilgilerinin gönderilmesi, kimlik doğrulama

Rodevino, uygulamalarına ilişkin erişim yetkilendirmelerinin düzenlenmesi

Bilgi toplumu hizmetinin gereklerinin sağlanabilmesi, analitik verilerin toplanması

İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek

Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak

Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak

Yasal raporlamalar yapmak

Finans ve muhasebe işlerinin yürütülmesi

Hukuk işlerinin takibi ve yürütülmesi

Organizasyon ve etkinlik yönetimi

Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

Yönetim faaliyetlerinin yürütülmesi

Ziyaretçi kayıtlarının oluşturulması ve takibi

Görevlendirme süreçlerinin yürütülmesi

Envanter oluşturulması

İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verilerin yurt içinde aktarılabilmesi için Kanun’un 5. maddesinin ikinci fıkrasında, veya özel nitelikli kişisel veri söz konusu ise yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması gerekmektedir. Bu şartlar açık rıza dışındaki yukarıdaki başlıklarda yer verilen veri işleme şartlarıdır. İlgili şartların mevcut olmaması durumunda kişisel veriler ve özel nitelikli kişisel veriler ilgilinin kişinin açık rızası olmadan aktarılamamaktadır.

Kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişilerin açık rızasının bulunması gerekmektedir. Kişisel veriler, Kanun’un 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

Yeterli korumanın bulunması,

Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmektedir.

Rodevino faaliyetleri kapsamında verilerinizin aktarıldığı alıcı grupları kategorik olarak aşağıda örnekler sayılmak suretiyle belirtilmiştir. Detaylı bilgiler aydınlatma metinlerinde yer almaktadır.

ALICI GRUBU

AÇIKLAMA

YURT İÇİ/YURT DIŞI

Yetkili Kamu Kurum ve Kuruluşları

Rodevino, hukuki yükümlülüklerini yerine getirmek ve platformları kapsamındaki faaliyetlerini yürütmek ve ayrıca bilgi ve belge paylaşımına ilişkin yükümlülüklerini yerine getirmek, herhangi bir uyuşmazlık olması durumunda hak ve taleplerin ileri sürülebilmesi, korunabilmesi ve kullanılabilmesi amacıyla bu alıcı grubuna veri aktarımı yapmaktadır.

Yurt İçi

Tedarikçiler

Rodevino, hukuki görüş alabilmek, yazılım, bakım, sunucu barındırma, çekimler kapsamında stüdyo kullanımı, bilgi işlem ve sistemlerine ilişkin süreçler, sağlık sigortası süreçleri, danışmanlık ve diğer alanlarda hizmet temin edebilmek amacıyla tedarikçilerle çalışmaktadır. İlgili süreçlerin yürütülmesi kapsamında da bu alıcı grubuna veri aktarımı yapmaktadır.

Yurt İçi

İş Ortakları / Paydaşlar

Rodevino tarafından yürütülen projeler ve platform faaliyetleri kapsamında ilgili platformu kullanan özel ve kamu işverenler, üniversiteler, üniversite kariyer merkezleri, kariyer danışmanları, ulusal staj programı kapsamında bilgilerin doğruluğunu onaylayan kurum ve kuruluşlar ile işbirliği yapılan diğer gerçek ve tüzel kişilere veri aktarımı yapılmaktadır.

Yurt İçi

Platform Kullanıcıları/Proje Katılımcıları

Rodevino, platform ve projeleri kapsamında ilgili platformu kullanan diğer kullanıcılara veya projeye katılan diğer katılımcılara platform ve proje ile ulaşılmak istenen amaçla sınırlı olmak üzere veri aktarımı yapılmaktadır.

Yurt İçi

Herkese Açık

Video çekimi yapılan ve kayıt aranmaksızın Rodevino tarafından herkesin yararlanması için sunulan ayrıca canlı olarak çeşitli mecralarda yayınlanan proje ve faaliyetler kapsamında veri aktarımı yapılmaktadır.

Yurt İçi

Google

Analitik çerezlerin kullanılabilmesi amacıyla veri aktarımı yapılmaktadır.

Yurt Dışı

AÇIK RIZA

Kişisel Verilerin Korunması Kanununun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

Belirli bir konuya ilişkin olması:

Veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir.

Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir.

Rızanın bilgilendirmeye dayanması:

Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir.

Bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir.

Özgür iradeyle açıklanması.

Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır.

Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez. Ancak buradaki her sebep kendi içerisinde değerlendirilmeli, rızayı etkileme derecesi belirlenmelidir.

Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman Rodevino’ye vermiş olduğu açık rızasını geri alabilir.

Açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Kendiliğinde işaretli şekilde gelen kutucuklar olumlu irade beyanı olmadığından açık rıza alınması için kullanılmamalıdır. Web sitesinin kullanımına devam edilmesi de açık rıza verildiğini anlamına gelmemektedir.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Rodevino, Kişisel Verilerin Korunması Kanunu’nun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sunmaktadır.

Veri sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel verilerin hangi amaçla işleneceği,

Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde sayılan ilgili kişinin hakları.

Kişisel Verilerin Korunması Kanunu’nun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kişisel Verilerin Korunması Kanunundaki diğer bir veri işleme şartı kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda Rodevino tarafından aydınlatılmaktadır.

Kişisel verilerin ilgili kişiden elde edilmemesi halinde; ilgili kişiyi aydınlatma yükümlülüğünün;

Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,

Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada yerine getirilmesi gerekir.

Aydınlatma yükümlülüğü Rodevino tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilmektedir.

Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmektedir.

Rodevino’nin farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmektedir.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

İLGİLİ KİŞİLERİN HAKLARI

Rodevino tarafından veri sorumlsuu sıfatıyla kişisel verisi işlenen ilgili kişiler Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca aşağıdaki haklara sahiptir.

Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

Kişisel verilerin silinmesini veya yok edilmesini isteme,

Yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kanun ile veri güvenliğine ilişkin çeşitli yükümlülükler getirilmiştir. Buna göre veri işleme süreçlerinde yer alan personeller;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Rodevino tarafından alınan teknik tedbirler aşağıdaki gibidir.

TEKNİK TEDBİRLER

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

Erişim logları düzenli olarak tutulmaktadır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır. (Bilişim Sistemlerinde*)

Erişim, bilgi güvenliği konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak

gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. (Sunucu odası vb.*)

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. (Sunucu odası vb.*)

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.

Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Rodevino tarafından alınan idari tedbirler aşağıdaki gibidir.

İDARİ TEDBİRLER

Çalışanların niteliğinin geliştirilmesine yönelik Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.

Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri/taahhütnameleri imzalatılmaktadır.

Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

Kişisel verilerin korunmasına ilişkin politika ve prosedürler oluşturulmuştur.

Saklama ve imha politikası oluşturulmuştur.

Sözleşmeler veri güvenliği hükümleri içermektedir.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Kişisel veri işleme envanteri hazırlanmıştır.

Kurum içi periyodik ve rastgele denetimler yapılmaktadır.

Veri işleyenle çalışılması halinde, idari ve teknik tedbirlerin alınması hususunda Rodevino bu kişilerle birlikte Kanun hükmü gereği müştereken sorumlu olduğundan çalışılan veri işleyenlerin ilgili tedbirlere uyup uymadığına, bilgi güvenliği standartlarına uyumuna dikkat etmekte ve gerekli denetimi yapmaktadır.

Rodevino personeli ve veri işleyenler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

YETERLİ ÖNLEMLERİN ALINMASI

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Yeterli önlemler, Kişisel Verileri Koruma Kurulunun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenmiştir.

VERİ İHLALİ SÜREÇLERİ

Rodevino , sistemlerine yönelik siber saldırı olup olmadığını, verilere hem iç hem de dış aktörler tarafından hukuka aykırı olarak erişilip erişilmediğini düzenli olarak kontrol etmektedir.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Rodevino bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. En kısa süre Kurum tarafından 72 saat olarak belirlenmiştir.

KİŞİSEL VERİ ENVANTERİ

Rodevino, faaliyetleri kapsamında işlediği kişisel verilere ilişkin olarak bir kişisel veri envanteri hazırlamıştır. Envanter, değişen süreçler, veriler, aktarım grupları olduğunda gözden geçirilmekte ve güncellenmektedir.

VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS)

Rodevino, VERBİS’e kayıt yükümlülüğü bulunmayan bir veri sorumlusudur.

İLGİLİ KİŞİ BAŞVURUSU

İlgili kişi başvuruları Kişisel Verileri Koruma Kurulu tarafından yayınlanan ‘’Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğ’’ hükümleri uyarınca yapılmalıdır.

Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. İlgili kişilerin başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabileceği ilgili mevzuatta düzenlenmiştir.

İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Rodevino daha önce bildirilen ve Rodevino sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla iletebilmektedir. İlgili kişilerden gelen başvurunun bu yöntemlerden birisiyle iletilip iletilmediği değerlendirilmelidir.

İlgili kişiler tarafından yapılan başvuru aşağıdaki hususları mutlaka içermelidir.

Ad, soyad ve başvuru yazılı ise imza,

Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

Tebligata esas yerleşim yeri veya iş yeri adresi,

Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

Talep konusu.

Konuya ilişkin bilgi ve belgeler başvuruya eklenebilmektedir.

Yazılı başvurularda, Rodevino veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihidir.

İlgili kişi taleplerinin Rodevino tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılmaktadır.

Rodevino, başvuruyu kabul edebilir veya gerekçesini açıklayarak reddebilir.

Rodevino, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmektedir.

Kanun’da veri sorumlusu olarak Rodevino kendisine iletilen talebi ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin ayrıca bir maliyeti gerekmesi halinde Kurul’un belirleyeceği esaslar doğrultusunda bir ücretlendirme yapılmasının da mümkün olabileceği ifade edilmiştir.

İlgili kişinin talebinin kabul edilmesi hâlinde, Rodevino talebin gereğini en kısa sürede yerine getirir ve ilgili kişiye bilgi verir

VERİ SORUMLUSU BİLGİLERİ

Şirket: Abdulmuttalip Duran

Vergi Numarası: 3151260831 Kale Vergi Dairesi

Adres: Yenişehir Mahallesi Kardeşler Caddesi Cumhuriyet teknokent oda:z19

E-posta Adresi: abdulmuttalipduran@gmail.com