1. Veri Sorumlusu

Bu metinde “SaveAs Yazılım” ifadesi, veri sorumlusu sıfatıyla hareket eden şirketi ifade eder.

2. Amaç ve Kapsam

KVKK’nın amacı, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek/tüzel kişilerin yükümlülüklerini belirlemektir.

İşbu metin; web sitesi ziyaretçileri, iletişim formu kullanıcıları, müşteri/iş ortağı temsilcileri, tedarikçi temsilcileri, çalışan adayları ve çalışanlar dahil olmak üzere kişisel verisi işlenen ilgili kişi grupları için veri işleme süreçlerini açıklamayı hedefler.

3. Tanımlar

4. Temel İlkeler

SaveAs Yazılım, kişisel verileri işlerken KVKK madde 4’te yer alan ilkelere uygun hareket etmeyi hedefler:

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlarla işleme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza etme

5. Veri Kategorileri ve İlgili Kişiler

5.1 İlgili kişi grupları (örnek)

• Web sitesi ziyaretçileri
• İletişim formu kullanıcıları
• Müşteri/iş ortağı yetkilileri ve çalışanları
• Tedarikçi yetkilileri ve çalışanları
• Çalışan adayları
• Çalışanlar

5.2 Veri kategorileri (örnek)

• Kimlik (ad, soyad vb.)
• İletişim (e-posta, telefon, adres vb.)
• Müşteri işlem (talep/şikâyet, teklif, sözleşme süreçleri)
• Finans (fatura/ödeme bilgileri – gerekli ise)
• İşlem güvenliği (log, IP, erişim kayıtları)
• Hukuki işlem (uyuşmazlık ve resmi kurum yazışmaları)
• İK (özgeçmiş, başvuru bilgileri – adaylar için)
• Fiziksel mekan güvenliği (ziyaretçi kaydı – varsa)

Bu liste örnektir. Fiilen hangi veri kategorilerinin işlendiği; kullanılan kanallara ve hizmet kapsamına göre değişebilir.

6. İşleme Amaçları

• İletişim taleplerinin alınması ve yanıtlanması
• Teklif, sözleşme ve satış süreçlerinin yürütülmesi
• Müşteri ilişkileri ve destek süreçlerinin yürütülmesi
• Ürün/hizmetlerin sunulması, geliştirilmesi ve iyileştirilmesi
• Bilgi güvenliği süreçleri, kötüye kullanımın önlenmesi
• Finans/muhasebe süreçleri (gerekli olduğu ölçüde)
• Mevzuata uyum ve hukuki yükümlülüklerin yerine getirilmesi
• İK süreçlerinin yürütülmesi (aday/çalışan kapsamında)

7. Hukuki Sebepler

KVKK madde 5 uyarınca kişisel veriler, kural olarak açık rıza olmaksızın işlenemez. Ancak aşağıdaki hukuki sebeplerden birinin varlığı halinde açık rıza aranmaksızın işlenebilir:

• Kanunlarda açıkça öngörülmesi
• Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
• Hukuki yükümlülüğün yerine getirilmesi için zorunlu olması
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Meşru menfaat için zorunlu olması (temel haklara zarar vermemek kaydıyla)
• Fiili imkânsızlık halinde hayat/beden bütünlüğünün korunması için zorunlu olması

8. Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler, KVKK madde 6 kapsamında ek önlemlerle işlenir. Sağlık ve cinsel hayata ilişkin veriler ancak kanunda belirtilen istisnalar kapsamında veya açık rıza ile işlenebilir.

SaveAs Yazılım, özel nitelikli veri işlemeyi gerektiren bir süreç bulunması halinde; gerekli idari/teknik tedbirleri ayrıca uygular.

9. Toplama Yöntemi ve Kaynaklar

Kişisel veriler; aşağıdaki yöntemlerle toplanabilir:

• Web sitesi iletişim formları
• E-posta, telefon ve diğer iletişim kanalları
• Sözleşmeler, teklif dokümanları, iş süreçleri
• Log kayıtları ve güvenlik kayıtları
• Fiziki evraklar (varsa)

10. Aktarım ve Alıcı Grupları

Kişisel veriler, KVKK madde 8 ve ilgili mevzuat uyarınca; gerekli olduğu ölçüde ve amaçla sınırlı şekilde aşağıdaki alıcı gruplarına aktarılabilir:

• Yetkili kamu kurum ve kuruluşları (talep halinde)
• Hukuk danışmanları ve denetim hizmeti sağlayıcıları (gerekli ise)
• BT altyapı / barındırma / e-posta hizmet sağlayıcıları (gerekli ise)
• Ödeme/finans altyapısı sağlayıcıları (gerekli ise)
• Tedarikçiler ve iş ortakları (amaçla sınırlı)

Aktarım yapılan hizmet sağlayıcılar “veri işleyen” sıfatıyla hareket edebilir; bu durumda gerekli sözleşmesel ve teknik tedbirler uygulanır.

11. Yurt Dışı Aktarım

Yurt dışına veri aktarımı; kullanılan teknoloji altyapıları ve hizmet sağlayıcılara göre gündeme gelebilir. Yurt dışı aktarım olması halinde KVKK madde 9 kapsamında gerekli şartlar sağlanarak işlem tesis edilir.

Eğer yurt dışı sağlayıcılar kullanıyorsan (ör. e-posta / hosting / analytics), bu bölüme “hangi hizmet sağlayıcı türleri” ve “hangi veri türleri” gibi netlik eklemek iyi olur.

12. Saklama Süreleri ve İmha

Kişisel veriler; işleme amacı için gerekli süre ve ilgili mevzuatta öngörülen asgari süreler dikkate alınarak saklanır. Süre bitiminde; silme, yok etme veya anonim hale getirme yöntemleriyle imha edilir.

12.1 Örnek saklama süreleri (şablon)

Saklama sürelerini “gerçek operasyonuna” göre netleştirmen en doğrusu. Aksi halde bu blok genel şablon olarak kalabilir.

13. Güvenlik Tedbirleri

SaveAs Yazılım, kişisel verilerin gizliliğini ve bütünlüğünü korumak için makul idari ve teknik tedbirler uygular. Örnek:

• Erişim yetkilerinin sınırlandırılması ve rol bazlı erişim
• Loglama ve izleme
• Şifreleme / güvenli iletişim (TLS/HTTPS)
• Yedekleme ve felaket kurtarma yaklaşımları
• Güvenlik duvarı, zararlı yazılım önleme
• Çalışan farkındalığı ve süreç kontrolleri
• Sözleşmesel yükümlülükler ve tedarikçi denetimi (gerektiğinde)

14. İlgili Kişi Hakları ve Başvuru

KVKK madde 11 kapsamında ilgili kişiler aşağıdaki haklara sahiptir:

1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. İşlenmişse buna ilişkin bilgi talep etme
3. İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme
5. Eksik/yanlış işlenmişse düzeltilmesini isteme
6. Şartlar oluştuğunda silinmesini/yok edilmesini isteme
7. Aktarılan üçüncü kişilere bildirilmesini isteme
8. Otomatik sistemlerle analiz sonucu aleyhe sonuca itiraz etme
9. Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme

14.1 Başvuru yöntemi

Taleplerinizi; kimliğinizi doğrulayıcı bilgiler ve talebinizi açıklayan bir dilekçe ile aşağıdaki kanallardan iletebilirsiniz:

Başvurular, KVKK madde 13 uyarınca talebin niteliğine göre mümkün olan en kısa sürede ve en geç 30 gün içinde sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifeye göre ücret talep edilebilir.

15. Güncellemeler

İşbu metin, mevzuat ve süreç değişikliklerine göre güncellenebilir. Güncel versiyon web sitesinde yayımlandığı tarihte yürürlüğe girer.