KVKK Aydınlatma Metni

1) Amaç

Kişisel veriler; hizmet sunumu, talep/teklif süreçlerinin yürütülmesi, iletişim faaliyetlerinin gerçekleştirilmesi, site güvenliğinin sağlanması, iş sürekliliği ve kalite yönetimi amaçlarıyla işlenebilir. Grey Soft yaklaşımında temel ilke; veri minimizasyonu ve amaçla sınırlılıktır. Yalnızca gerekli veriler, belirli ve meşru amaçlar için toplanır; amaç dışı kullanım senaryoları tasarım seviyesinde engellenir.

Kurumsal projelerde; loglama, izleme ve raporlama ihtiyaçları ortaya çıktığında; kapsam, saklama süresi ve erişim yetkileri ayrıca tanımlanır. Böylece veri işleme süreçleri denetlenebilir hâle getirilir ve operasyonel riskler kontrol altında tutulur.

2) Veri Kategorileri

İş süreçlerine göre; kimlik ve iletişim bilgileri (ad-soyad, e-posta, telefon), talep/teklif içerikleri, proje gereksinim notları, form kayıtları, sözleşme ve faturalama süreçlerinde gerekli olabilecek veriler işlenebilir. Ayrıca; site güvenliği ve performans izleme amacıyla IP, tarayıcı bilgileri, cihaz/oturum verileri ve erişim logları gibi teknik veriler oluşabilir.

İlgili veri kategorileri; kullanılan form alanları ve talep kanallarına göre değişebilir. Grey Soft; veriyi sınıflandırır, etiketler ve erişim modelini rol bazlı yetkilendirme ile sınırlar. Böylece hem operasyonel ihtiyaçlar karşılanır hem de yetkisiz erişim riski minimize edilir.

3) Hukuki Sebepler

Kişisel veriler; KVKK’da yer alan hukuki sebeplere dayanarak işlenebilir. Bunlar; ilgili kişinin açık rızası, bir sözleşmenin kurulması veya ifası için zorunlu olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, bir hakkın tesisi/kullanılması/korunması ve meşru menfaat kapsamında veri işlenmesinin zorunlu olması gibi dayanakları içerebilir.

Grey Soft süreçlerinde; özellikle teklif/iletişim akışları “sözleşme öncesi talep” kapsamında ele alınır. Güvenlik ve sistem bütünlüğü için tutulan erişim kayıtları ise meşru menfaat ve hukuki yükümlülük çerçevesinde yönetilir.

4) Saklama ve Güvenlik

Kişisel veriler; işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen saklama süreleri ile sınırlı olarak muhafaza edilir. Saklama süreleri; veri kategorisine, hizmet akışına ve yasal yükümlülüklere göre farklılık gösterebilir. Süre sonunda veriler; silme, yok etme veya anonimleştirme yöntemleriyle imha edilir.

Güvenlik tarafında; rol bazlı erişim, güçlü parola politikaları, loglama/audit izleri, yedekleme, ağ güvenliği kontrolleri ve gerektiğinde şifreleme önlemleri uygulanır. Kurumsal projelerde ayrıca; erişim yetkileri periyodik olarak gözden geçirilir ve kritik aksiyonlar izlenebilir hâle getirilir.

5) Başvuru Hakları

KVKK kapsamında ilgili kişi; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini isteme, mevzuatta öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme, yapılan işlemlerin aktarılan üçüncü kişilere bildirilmesini isteme, otomatik sistemler ile analiz sonucu aleyhe bir sonucun ortaya çıkmasına itiraz etme ve kanuna aykırı işleme sebebiyle zararın giderilmesini talep etme haklarına sahiptir.

Başvurular; kimlik doğrulaması yapıldıktan sonra değerlendirilir ve mevzuatta öngörülen sürelerde sonuçlandırılır. Başvuru için iletişim kanallarımız üzerinden bize ulaşabilirsiniz.