KİŞİSEL VERİLERİN KORUNMASI

1. Amaç

Bu politika; veri sorumlusu sıfatıyla MessageGate Bilişim A.Ş. (MessageGate) tarafından yürütülen her türlü faaliyette işlenen kişisel verilerin işlenmesi, korunması, saklanması ve imhasına yönelik benimsenen yöntemleri tarif etmeyi ve Avrupa Birliği Genel Veri Koruma Tüzüğü ile İngiltere Veri Koruma Tüzüğü ‘nün (EU GDPR ve UK GDPR bundan sonra GDPR olarak adlandırılacaktır) 13-14. maddesi ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu ‘nun (“KVKK”) 10. Maddesinde belirtilen aydınlatma yükümlülükleri detaylandırmayı amaçlamaktadır. Bu politika, kişisel verilerin MessageGate tarafından toplanması, kullanılması, paylaşması, saklanması ve imhası süreçlerinde uygulanan prensipleri içerir. MessageGate tarafından işlenen; çalışan, aday çalışan, çalışan yakını, referans, tedarikçi çalışanları, şirket ortakları, tedarikçi ve aday tedarikçi, müşteri adayı, çevrimiçi ziyaretçi, outsource çalışan, partner çalışanı, partner firma yetkilisi, müşteri ve müşterilerin ilgili kişilerine ait kişisel veriler ile ilgili kişileri bilgilendirmeyi amaçlamaktadır.

2. Kapsam

Bu politika; MessageGate ’in sahip olduğu ya da MessageGate tarafından yönetilen çalışan, aday çalışan, çalışan yakını, referans, tedarikçi çalışanları, şirket ortakları, tedarikçi ve aday tedarikçi, müşteri adayı, çevrimiçi ziyaretçi, outsource çalışan, partner çalışanı, partner firma yetkilisi, müşteri ve müşterilerin ilgili kişilerine ait kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetleri kapsar.

3. Yetki ve Sorumluluklar

Kurum içerisinde işlenen kişisel verilerin; saklanması ve imhasına dair gereklerin yerine getirilmesinden tüm çalışanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.

KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu Veri Sorumlusu İrtibat Kişisi ‘ndedir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda detaylandırılmıştır;

Veri Sorumlusu İrtibat Kişisi: Veri sorumlusu adına Kanun ‘da belirlenmiş usul ve esaslar çerçevesinde yapılması gereken iş ve işlemleri tasarlamak, planlamak, gerçekleştirmek ve ilgili aksiyonları organize etmek, denetimleri sağlamak.

Arşiv Görevlisi: Arşivde muhafaza edilen kişisel verilerin işlenmesi, saklanması, silinmesi, düzenlenmesi, imha edilmesi ve anonim hale getirilmesi süreçlerini yürütmek.

Bilgi Güvenliği Komiye Üyesi: Veri Sorumlusu adına Kanun ‘da belirlenmiş usul ve esaslar çerçevesinde yapılması gereken iş ve işlemleri tasarlamak, planlamak, gerçekleştirmek ve ilgili denetimleri sağlamak için Veri Sorumlusu İrtibat Kişisi ‘ne destek vererek kişisel veri güvenliğine ilişkin süreçlerin yaşatılmasında yardımcı olur. Veri sahiplerinden gelen kişisel veri taleplerinin değerlendirilmesi ve cevap verilmesi aşamalarında yer alır. Ayrıca Bilgi Güvenliği Komite Üyesi ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 27701 Kişisel Veri Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi standardı çalışmalarında da yer alır.

4. Tanımlar ve Kısaltmalar

Tanım / Kısaltma Açıklama
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Veri Sahibi/İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kanun Kişisel Verilerin Korunması Kanunu
EU GDPR Avrupa Birliği Veri Koruma Tüzüğü
UK GDPR İngiltere Veri Koruma Tüzüğü
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin
Anonim Hale
Getirilmesi
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin
Silinmesi
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul Kişisel Verileri Koruma Kurulu ve/veya Avrupa ve İngiltere veri koruma denetim makamları
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan
Ortam
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Özel Nitelikli Kişisel
Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete ’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Çalışan MessageGate personeli.
Hizmet Sağlayıcı MessageGate ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
Çevrimiçi Ziyaretçi MessageGate ‘in web sitesini ziyaret eden ve çerez bilgileri elde edilen site ziyaretçileri
Müşteri MessageGate ‘in anlaşma sağladığı ve MessageGate ‘in hizmetlerinden faydalanan tüzel ve gerçek kişiler
Müşterinin İlgili Kişisi MessageGate ‘in veri işleyen olduğu durumlarda, MessageGate ‘in anlaşma yaptığı Müşterinin veri sorumlusu olduğu ve sorumluluğunda olan gerçek kişiler
SSL VPN Güvenli erişim sağlayan sanal özel ağ teknolojisidir.

5. Kişisel Verilerin İşlenmesi ve Korunması Politikası

MessageGate kişisel verileri korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci işbu politika ile somut bir şekilde ortaya koymaktadır. İlgili kanunlar ve yönetmelikler ile bu politikanın uyumsuz olduğu durumlarda ya da güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde MessageGate yürürlükteki mevzuata uyacağını kabul etmektedir. Kanunun, yönetmelik ve mevzuatlarda olan değişikliklere göre bu politika güncellenip, MessageGate ’in yasal gereklikleri yerine getirmesi için revize edilir.

5.1 Kişisel Veri Sahipleri ve İşlenen Kişisel Veriler

MessageGate aşağıdaki belirtilen kişisel verileri işlemektedir:

Veri Sahibi Veri Kategorileri
Çalışanlar Adli sicil kaydı, banka ve maaş bilgileri, görsel ve işitsel kayıtlar, hukuki dosyalar, iletişim bilgileri, kimlik bilgileri, log kayıtları, mesleki bilgiler, özlük ve sağlık bilgileri
Çalışan Adayları Fotoğraf, kimlik bilgileri, iletişim bilgileri, mesleki ve özlük bilgileri
Çalışan Yakınları Adı soyadı ve telefon bilgisi
Çevrimiçi Ziyaretçi IP adresi, tarayıcı bilgisi, web sitesi logları (anonim) ve çerez bilgisi
Müşteriler Banka ve finansal bilgiler, hukuki evraklar, kimlik bilgileri, iletişim bilgileri, log kayıtları, şikâyet ve destek kayıtları, firma ve vergi dairesi bilgileri, hizmet ve teklif bilgileri
Müşterilerin İlgili Kişisi Finans, görsel ve işitsel kayıtlar, iletişim, işlem güvenliği, kimlik, lokasyon, müşteri işlem, özlük, çerez bilgisi
Ortaklar Banka ve finansal bilgiler, kimlik bilgileri, iletişim bilgileri, imza sirküleri ve vekaletnameler
Outsource Çalışanlar Banka ve finansal bilgiler, iletişim, log kayıtları, kimlik, özlük ve zimmet bilgileri
Partner Çalışanı Kimlik, iletişim
Partner Yetkilisi Kimlik, iletişim
Potansiyel Müşteriler Kimlik, iletişim, log kayıtları, hizmet içeriği ve teklif bilgisi, firma bilgisi
Potansiyel Tedarikçiler Adı soyadı, unvanı, iletişim ve teklif bilgisi
Referanslar Adı soyadı, unvanı, iletişim ve firma bilgisi
Tedarikçi Çalışanı Adı soyadı, iletişim bilgisi
Tedarikçi Yetkilisi Kimlik bilgisi, iletişim bilgisi, log kayıtları, banka ve finansal bilgiler, hukuki dosyalar, vergi dairesi bilgileri

5.2 Kişisel Verilerin İşlenme Amaçları

MessageGate kişisel verileri aşağıda belirtilen amaçlarda işlemektedir;

Veri İşleme Amacı Veri Sahipleri
Acil Durum Yönetimi Süreçlerinin Yürütülmesi Çalışan Yakınları
Bilgi Güvenliği Süreçlerinin Yürütülmesi Çalışanlar, Outsource Çalışanlar
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi Çalışan Adayları, Referanslar
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar
Disiplin Süreçlerinin Yönetimi Çalışanlar
Eğitim Faaliyetlerinin Yürütülmesi Çalışanlar, Outsource Çalışanlar
Erişim Yetkilerinin Yürütülmesi Çalışanlar, Müşteriler, Outsource Çalışanlar, Tedarikçi Yetkilisi
Faaliyetlerin Mevzuata Uygun Yürütülmesi Çalışanlar, Çevrimiçi Ziyaretçi, Müşteriler, Outsource Çalışanlar
Finans ve Muhasebe İşlerinin Yürütülmesi Çalışanlar, Müşteriler, Ortaklar, Tedarikçi Yetkilisi
Fiziksel Mekân Güvenliğinin Temini Çalışanlar
Görevlendirme Süreçlerinin Yürütülmesi Çalışanlar
Hukuk İşlerinin Takibi ve Yürütülmesi Çalışanlar, Müşteriler, Tedarikçi Yetkilisi
İletişim Faaliyetlerinin Yürütülmesi Çalışanlar, Çalışan Adayları, Outsource Çalışanlar, Tedarikçi Çalışanı
İnsan Kaynakları Süreçlerinin Planlanması Çalışanlar, Çalışan Yakınları, Outsource Çalışanlar
İş Faaliyetlerinin Yürütülmesi / Denetimi Çalışanlar, Ortaklar, Outsource Çalışanlar, Partner Çalışanı, Partner Yetkilisi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi Çalışanlar
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi Partner Çalışanı, Partner Yetkilisi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Çalışanlar, Outsource Çalışanlar
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi Tedarikçi Çalışanı, Tedarikçi Yetkilisi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi Müşteriler
Mal / Hizmet Satış Süreçlerinin Yürütülmesi Müşteriler, Partner Çalışanı, Partner Yetkilisi
Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi Müşteriler, Müşterinin İlgili Kişisi
Pazarlama Analiz Çalışmalarının Yürütülmesi Çevrimiçi Ziyaretçi
Sözleşme Süreçlerinin Yürütülmesi Çalışanlar, Outsource Çalışanlar
Talep / Şikayetlerin Takibi Müşteriler, Potansiyel Müşteriler
Taşınır Mal ve Kaynakların Güvenliğinin Temini Çalışanlar, Outsource Çalışanlar
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi Potansiyel Tedarikçiler
Ücret Politikasının Yürütülmesi Çalışanlar
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi Müşteriler, Potansiyel Müşteriler
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini Çalışanlar
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi Çalışanlar

5.3 Süreç Bazlı İşlenen Kişisel Veriler

MessageGate, aşağıda belirtilen alt süreçlere göre kişisel veriler işlemektedir;

Birimi Süreç Veri Kategoriler
BT Operasyon ve Altyapı Erişim Yetkisi Kontrolleri İletişim, Kimlik
Kullanıcı Destek Kimlik
Mail Hizmeti İletişim, Kimlik
Uygulama Log Yönetimi İletişim, Log Kayıtları, Kimlik
Uzaktan Çalışma İletişim, Log Kayıtları, Kimlik
Çerez Bilgisinin Alınması IP adresi, Tarayıcı bilgisi, Web sitesi logları (anonim)
Müşteri Hesapları Yönetim Süreci İletişim, Log Kayıtları, Kimlik
Uygulama Aktivasyon Süreci İletişim, Kimlik, Özlük
Yazılım Dağıtım Süreci Finans, Görsel ve işitsel kayıtlar, İletişim, Log Kayıtları, Kimlik, Lokasyon, Müşteri işlem, Özlük, Pazarlama
Yazılım Destek Süreci İletişim, Kimlik, Müşteri İşlem, Özlük
İnsan Kaynakları Bordrolama Süreci Finans, İletişim, Kimlik, Özlük, Sağlık Bilgileri
Özlük Dosyasının Oluşturulması Süreci Adli Sicil Bilgileri, Finans, Görsel ve işitsel kayıtlar, Kimlik, İletişim, Mesleki deneyim, Özlük, Sağlık bilgileri
Disiplin Süreci Kimlik, Özlük
Eğitim Süreci Finans, Kimlik
Hukuki Süreçler Finans, Hukuki işlem, İletişim, Kimlik, Özlük
İşe Alım Aday Seçimi Görsel ve işitsel kayıtlar, İletişim, Kimlik, Mesleki deneyim, Özlük
İşten Çıkış Evraklarının İmzalatılması Finans, İletişim, Kimlik, Özlük
Muvafakatname Süreci Kimlik
Outsource Çalışanlar Finans, İletişim, Kimlik
Sözleşme Süreci Finans, İletişim, Kimlik
Taahhütlerin Alınması Kimlik, Özlük
Zimmet Süreçleri Kimlik, Özlük
İnsan Kaynakları / İdari İşler Satınalma Süreçleri Finans, İletişim, Kimlik, Özlük
İş Geliştirme İş Geliştirme Süreci İletişim, Kimlik
Mali İşler Finans Süreci Finans, İletişim, Kimlik, Özlük
Müşteri Operasyonları Finans, İletişim, Kimlik, Özlük
Tedarikçi Operasyonları Finans, İletişim, Kimlik, Özlük
Satış Pazarlama Satış Pazarlama Süreci İletişim, Log Kaydı, Kimlik, Özlük, çerez bilgisi
Çerez Bilgisinin Alınması IP adresi, Tarayıcı bilgisi, çerez bilgisi (anonim)
Üst Yönetim Hukuki Süreçlerin Yürütülmesi Finans, Hukuki işlem, İletişim, Kimlik
Yazılım Geliştirme ve Ar-Ge Yapay Zeka Modellerinin Geliştirilmesi Görsel ve İşitsel Kayıtlar, Müşteri İşlem, Pazarlama
Yazılım Analiz Süreci İletişim, Kimlik
Yazılım Geliştirme Süreci Log Kayıtları, Kimlik
Yazılım Test Süreci İletişim, Kimlik

5.4 Veri Toplama Yöntemleri

MessageGate kişisel verileri elde etme yöntemleri aşağıda belirtilmiştir:

Veri Kategorileri Elde Edilme Yöntemi
Adli Sicil Kayıtları Elden teslim, kâğıt ortam
Finans Bilgisi Elektronik kayıtlar ve kâğıt ortam formlar, müşteri ve tedarikçi cari kartları, mail, e-arşiv, elden teslim, fatura, kaşe bilgileri, muhasebe programı, icra beyanları, sözlü beyan, maaş bordrosu, özlük dosyaları, SGK sayfası, personel iş sözleşmesi, satınalma sözleşmeleri, müşteri sözleşmeleri, yazılı beyan, yazılım veritabanı
Görsel ve İşitsel Kayıtlar Elden teslim, iş başvuru sitesi ara yüzü, mail, müşteri veri kaynakları, yazılım veritabanı, HR Firması
Hukuki İşlem İcra kâğıdı, müşteri ve tedarikçi cari kartlar, sözleşmeler, özlük dosyaları
İletişim Bilgisi Elektronik kayıtlar ve kâğıt ortam formlar, görsel, sözlü beyan, BT uygulaması, müşteri ve tedarikçi cari kartları, destek paneli, mail, elden teslim, E-Arşiv, fatura, iş başvuru sitesi arayüzü, kaşe bilgileri, muhasebe programı, ibraname belgesi, icra kâğıdı, işe giriş evrak listesi formu, müşteri ve tedarikçi sözleşmeleri, yazılı beyan, uygulama paneli, özlük dosyaları, personel iş sözleşmesi, proje yönetim uygulaması, sosyal medya platformları, yazılım veritabanı, HR Firması
İşlem Güvenliği Bilgileri BT uygulaması, mail, uygulama paneli, proje yönetim uygulaması, sözlü beyan, yazılım veritabanı, web sitesi
Kimlik Bilgisi Elektronik kayıtlar ve kağıt ortam formlar, görsel, sözlü beyan, BT uygulaması, mail, destek paneli, İK evrakları (disiplin evrakları, savunma yazıları, tutanaklar, kvkk aydınlatma ve açık rızalar, zimmet formları, ibraname, muvafakatname ve sözleşmeler, masraf formu, personel izin formu, icra kağıdı, istifa mektubu), E-Arşiv, elden teslim, fatura, eğitim katılım formları, iş başvuru sitesi arayüzü, kaşeler, muhasebe programı, işe giriş evrak listesi formu, kağıt ortam, kartvizit, müşteri ve tedarikçi sözleşmeleri, uygulama paneli, müşteri ve tedarikçi cari kartlar, özlük dosyaları, SGK portal, politika dokümanı, proje yönetim uygulaması, SGK bilgi mailleri, sosyal medya platformları, yazılım veritabanı, HR Firması
Lokasyon Bilgisi Yazılım veritabanı
Mesleki Bilgiler Elden teslim, iş başvuru sitesi arayüzü, mail, HR Firması
Müşteri İşlem Bilgileri Destek paneli, mail, müşteri veri kaynakları, yazılım veritabanı
Özlük Bilgileri Elektronik kayıtlar ve kağıt ortam formlar, görsel, sözlü beyan, cari kart, mail, sözleşme, destek paneli, İK evrakları (disiplin evrakları, savunma yazıları, tutanaklar, ibraname belgesi, istifa mektubu, işten çıkış bildirgesi, personel izin formu, zimmet formları), e-arşiv, elden teslim, fatura, iş başvuru sitesi arayüzü, kaşeler, muhasebe programı, uygulama paneli, özlük dosyaları, SGK portal, satınalma sözleşmeleri, SGK bilgi mailleri, yazılı beyan, yazılım veritabanı, HR Firması
Pazarlama Bilgileri Mail, müşteri veri kaynakları, yazılım veritabanı, web sitesi, elektronik kayıt formları
Sağlık Bilgileri Elden teslim, SGK arayüzü

5.5 Veri İşleme Hukuki Sebepleri

MessageGate kişisel verileri yasal zorunluluklar nedeniyle ve iş sürekliliğinin sağlanması adına işlemektedir. Kişisel verileriniz; GDPR ‘ın 5. maddesi ve KVKK ‘nın 4(2) maddesindeki öngörülen ilkeler ışığında açık rıza temini suretiyle veya GDPR ‘da 5. Maddesinde belirtilen durumlarda veya KVKK ‘nın 5(2) ve 6(3) maddelerinde öngörülen durumların olması durumunda işlenmektedir. Veri işlemede Kanun ‘un 5(2) ve 6(3) gereksinimlerini karşılamaması durumunda açık rıza alınması esastır. Tam metnine www.mevzuat.gov.tr adresinden ulaşabileceğiniz Kanun’un 5(2) ve 6(3) maddelerinde belirtilen aşağıdaki hususların varlığının meydana gelmesi durumunda işleyebilmektedir;

5.5.1 5(2) Kişisel Veri İşleme Gerekçesi
  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanunda öngörülmesine ilişkin ilgili kanunlar bu politikada detaylandırılmıştır.

5.5.2 6 (3) Özel Nitelikli Kişisel Veri İşleme Gerekçesi

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise;

  1. Kamu sağlığının korunması,
  2. Koruyucu hekimlik,
  3. Tıbbî teşhis,
  4. Tedavi ve bakım hizmetlerinin yürütülmesi,
  5. Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

MessageGate ’in veri işleyebilmek için kullandığı hukuki dayanaklar “MessageGate KVKK Veri Envanteri” dokümanında detaylandırılmıştır.

5.6 Kişisel Verilerin İşlenmesi İçin İlkeler

GDPR ‘ın 5. maddesi ve KVKK ‘nın 4(2) maddelerinde kişisel verilerin işlenmesi için ilkeler belirlenmiştir. MessageGate belirlenen ilkelere uygun şekilde kişisel verileri işlemektedir. Kişisel verilerin işlenmesi aşağıdaki ilkelere uygun yapılmaktadır;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

5.7 Kişisel Verilerin Aktarılması

Müşteri, tedarikçi ve çalışanlara ait kişisel veriler kamu faydası gözetilmesi kaydı ile GDPR ve KVKK ’da öngörülen temel ilkelere uygun olarak işlenmektedir. KVKK ’nın 8. ve 9. maddeleri ve GDPR ‘ın Bölüm V ‘te belirtilen kişisel veri işleme şartları ve amaçları dâhilinde aşağıda belirtilen yurtiçi ve/veya yurtdışı ilgili taraflar ile paylaşılabilmektedir.

5.7.1 Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması

MessageGate, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, Kanun’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, Kanun’da belirtilen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise;

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

Kişisel verilerin aktarıldığı yurtiçi taraflar aşağıda detaylandırılmıştır;

İlgili Taraf

Aktarım Sebebi

Aktarım Yöntemi

KVKK Hukuki Dayanak

Anlaşmalı Bankalar

Kar dağıtımlarının yapılabilmesi, ortak ve paydaşların finansal süreçlerinin yürütülebilmesi, personel maaşlarının yatırılabilmesi,

Mail, elden teslim, toplu talimat kullanılarak mail ile

Kanunda Öngörülmesi

Anlaşmalı Hukuk Büroları

Sözleşme kontrolü, olası uyuşmazlıkların çözümü, çalışan ve işveren ile ilgili davaların yürütülebilmesi ve yasal bir talep olması durumunda kullanıcı erişim logları mahkemeye sunulmak üzere anlaşmalı avukat ile paylaşılabilir. Avans geri alınması bitmeden iş akdi sona ermesi durumunda kurum avukatına bilgi verilebilmekte. İcra süreçlerinin yürütülebilmesi Anlaşmalı Hukuk Büroları vasıtası ile icra dairesi ile paylaşılmakta. Çalışanların hukuki itiraz veya şikayetlerinin değerlendirilebilmesi için paylaşılmaktadır.

Kargo, mail, medya aygıtı

Kanunda Öngörülmesi

Meşru Menfaat

Sözleşmenin İfası

Hukuki Yükümlülüğün Yerine Getirilmesi

Anlaşmalı Müşteriler

Veri Sorumlusu olan Anlaşmalı Müşteri ile yapılan sözleşme kapsamında elde edilen kişisel veriler Müşteri tarafından görünmesi gerekmekte

Müşteriye Kullanımına Sunulan Yazılım

Veri Sorumlusu olan Müşteri tarafından alınan açık rıza

Sözleşmenin İfası

Anlaşmalı Sigorta Şirketleri

Otomatik katılım zorunluluğu kapsamında anlaşmalı sigorta şirketleri ile paylaşılmakta.

Sigorta Şirketi Arayüzü

Kanunda Öngörülmesi

Anlaşmalı Tedarikçiler

Anlaşma şartlarının yerine getirilebilmesi için paylaşılmakta

Mail, Yazılı Beyan

Açık Rıza

Sözleşmenin İfası

Meşru Menfaat

Anlaşmalı HR Firmaları

Outsource çalışan istihdamı süreçlerinin yürütülebilmesi için kişisel veri paylaşımları yapılabilmekte

Mail

Açık Rıza

Alenileştirme

Sözleşmenin İfası

Meşru Menfaat

Gelir İdaresi Kurumu

Beyanname verilmesi için GİB ile paylaşılmakta.

GİB 'e bildirim usulü beyan

Kanunda Öngörülmesi

Sosyal Güvenlik Kurumu

Vergi beyanlarının yapılabilmesi için SGK ve GİB ile paylaşılmakta. Yasal zorunluluk olan aylık bildirgeler ve AGİ beyanları için SGK 'ya kişisel veri aktarımı yapılabilmekte.

SGK ‘ya bildirim usulü beyan

Kanunda Öngörülmesi

İcra Daireleri

İcra süreçlerinin yürütülebilmesi Anlaşmalı Hukuk Büroları vasıtası ile icra dairesi ile paylaşılmakta.

Anlaşmalı Hukuk Bürosu vasıtası ile elden teslim

Hukuki Yükümlülüğün Yerine Getirilmesi

Kanunda Öngörülmesi

Yetkili Mahkemeler

Çalışanlar ile ilgili hukuki bir sorun olması ve yasal bir talep olması durumunda kullanıcı erişim logları mahkemeye sunulmak üzere Anlaşmalı Hukuk Bürosu vasıtası ile paylaşılmakta. Müşteri, çalışan ve Tedarikçiler ile olası uyuşmazlıklarda kurum avukatı aracılığı ile yetkili mahkemeler ile paylaşılmakta

Anlaşmalı Hukuk Bürosu vasıtası ile elden teslim yada medya aygıtı ile

Kanunda Öngörülmesi

Meşru Menfaat

Sözleşmenin İfası

Hukuki Yükümlülüğün Yerine Getirilmesi

Yetkili Kamu Kurum ve Kuruluşları

Kurumun faaliyet ve operasyonlarının devamlılığı için talep eden kişi / kurumlar ile paylaşılabilmekte.

Fotokopisini Elden Teslim,

Mail,

Kanunda Öngörülmesi

Reklam Yayıncıları

MessageGate ve Anlaşmalı Müşteri adına ürün veya hizmetlerin tanıtımı için reklam yayıncına çerez bilgileri ve gerektiği yerlerde Müşteri İlgili Kişisi ‘nin ilgili kişisel verileri paylaşılmaktadır.

Çerez Yönlendirme,

Müşteri yazılımı,

Reklam Yayıncı API 'si

Açık Rıza

Sözleşmenin İfası 

5.7.2 Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması

MessageGate, Veri Sorumlusu olan müşterileri ile yapılan anlaşmaya istinaden yurtdışı sunucular üzerinde kişisel verileri işlenerek Reklam Yayıncıları ‘na veri aktarımları yapılabilmektedir.

MessageGate, müşteri hesaplarının yönetimi, uygulama aktivasyon işlemleri ve yazılım dağıtım, geliştirme ve test işlemlerini gerçekleştirirken yurtdışı kaynaklı bulut sistemleri üzerinde işlemlerini yürütebilmektedir.

Yurtdışı bulut kullanımı gereken durumlarda; bulut servis sağlayıcısının belirlediği güvenlik önlemleri uygulanmaktadır. Ayrıca MessageGate, veri maskeleme, hashleme ve yetki sınırlandırmalar başta olmak üzere ihtiyaç duyulabilecek tüm teknik tedbirler alınmıştır. Alınan tedbirler “Teknik Tedbirler” başlığı altında detaylandırılmıştır.

5.8 İnternet Sitesi Ziyaretçilerinin Kişisel Verileri ve İnternete Erişim Noktası Hizmeti İçin Alınan Kişisel Veriler

MessageGate ‘in sahibi olduğu internet sitelerinde çerez bilgisi alınmaktadır. Detaylı bilgilere web sayfasında yer alan Çerez Politikası dokümanında ulaşabilirsiniz. Aydınlatma yükümlülüğü ve alınan kişisel verilerin işlenme amaçları Çerez Politikası ‘nda detaylandırılmıştır.

MessageGate, internet erişimlerinde mobil internet kullanmaktadır. MessageGate, bundan dolayı internet erişim logları işlememektedir.

Müşteri hesaplarının yönetimi, yazılım dağıtım, uygulama log yönetimi, uzaktan çalışma ve yazılım geliştirme süreçleri yürütülürken müşteri, tedarikçi ve çalışanların sistem ve uygulama erişim logları işlenebilmektedir. Loglara yetkisiz erişimlerin engellenebilmesi için yetki sınırlandırması yapılmıştır. Ayrıca loglar üzerinde zaman damgası bulunmaktadır. Uzaktan erişim güvenliğinin sağlanabilmesi için VPN ile erişimler sağlanmakta. Ayrıca statik ip ve mac adresleri kontrolleri yapılmaktadır. Detaylı bilgiye “Teknik Tedbirler” başlığından ulaşabilirsiniz.

5.9 Kişisel Veri Sahibinin Hakları

Kişisel veri sahiplerinin KVKK 11. ve GDPR ‘ın III. Bölümde belirtilen hakları aşağıda detaylandırılmıştır:

  • Kişisel verinizin işlenip işlenmediğini öğrenme. İşlenen kişisel verilere erişim talep etme,
  • Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verinizin silinmesini veya yok edilmesini isteme
  • Kişisel verinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin, kişisel verinizin aktarıldığı üçüncü kişilere bildirilmesini isteme. İşlenen kişisel verilerin kısıtlanmasını isteme, verilerin taşınmasını talep etme,
  • İşlenen verinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarınız bulunmaktadır.

6. Kişisel Verilerin Saklanması ve İmhası

6.1 Veri Sorumlusu Organizasyonu ve Veri Ortamları

MessageGate ’in tüm çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin uygulanması için aktif rol alırlar. Birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik tedbirler alınır.

Kişisel veriler, MessageGate tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır;

Elektronik Ortamlar Elektronik Olmayan Ortamlar
  • Sunucular (Etki alanı, uygulama sunucuları, veritabanı)
  • Office uygulamaları
  • Muhasebe uygulaması
  • Bulut sistemi
  • BT uygulamaları
  • Telefon rehberleri
  • Bilgi güvenliği cihazları (güvenlik duvarı, günlük kayıt dosyası)
  • Kişisel bilgisayarlar (masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Taşınabilir medyalar (Usb, taşınabilir disk)
  • Çerez bilgileri
  • Mail
  • Kâğıt
  • Yazılı, basılı, görsel ortamlar
  • Klasörler
  • Özlük dosyaları
  • Birimlerin kilitli dolapları
  • İş Başvuru formları

MessageGate tarafından; Veri Sahibi Ana Kategorisi, çalışan, aday çalışan, çalışan yakını, referans, tedarikçi çalışanları, şirket ortakları, tedarikçi ve aday tedarikçi, müşteri adayı, çevrimiçi ziyaretçi, outsource çalışan, partner çalışanı, partner firma yetkilisi, müşteri ve müşterilerin ilgili kişilerine ait kişisel veriler Kanun ‘a uygun olarak saklanır ve imha edilir.

Kanun ‘un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmıştır. Kanun ‘un 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği Kanun ‘un 5 ve 6. Maddelerinde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, MessageGate faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.

6.2 Saklamayı Gerektiren Hukuki Sebepler

Kişisel verileriniz Türkiye Cumhuriyeti tarafından onaylanmış aşağıdaki kanunların varlığı durumunda açık rızanız olmaksızın işlenebilmektedir;

  • 2004 Sayılı İcra ve İflas Kanunu
  • 213 Sayılı Vergi Usül Kanunu
  • 26716 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Yönetmelik
  • 28462 Sayılı Bireysel Emeklilik Sistemi Hakkında Yönetmelik
  • 4857 Sayılı İş Kanunu
  • 5411 Sayılı Bankacılık Kanunu
  • 5510 Sayılı Sosyal Güvenlik Kurumu ve Genel Sağlık Sigortası Kanunu
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun
  • 6098 Sayılı Türk Borçlar Kanunu
  • 6102 Sayılı Türk Ticaret Kanunu
  • 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
6.2.1 İmhayı Gerektiren Sebepler

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • KVKK ‘nın 11. Ve GDPR ‘ın III. Bölümde belirtilen ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun MessageGate tarafından kabul edilmesi,
  • MessageGate ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul ‘a şikâyette bulunması ve bu talebin Kurul veya ilgili merci tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • Durumlarında, MessageGate tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.

6.3 Kişisel Verilerin Güvenliğinin Sağlanması

MessageGate, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kanun ‘un 12. Maddesinin 1. bendinde öngörülen;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Sartları sağlamak adına gerekli tedbirlerini almaktadır.

MessageGate ’in kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır:

6.3.1 Teknik Tedbirler
  • Gelişen teknolojiye uygun olarak bilgi güvenliği alanında gerekli altyapı yatırımlarının yapılması sağlanır.
  • Bilgi işlem ve diğer birim çalışanlarının kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlanır. Yetki tanımlamalarında verilen hizmetlerle sınırlı olacak şekilde erişim yetkilendirmeleri tanımlar. Uzaktan erişimlerde güvenlik katmanları uygulanmaktadır.
  • MessageGate ‘de en az yetki prensibine göre kişisel veriye erişim kısıtlamaları gerçekleştirir. Dijital ortamda bulunan sunucu, uygulama ve dosyalardaki erişimler ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Kişisel Veri Yönetim Sistemi standartları kapsamında belirli periyodlarda kontrol edilir. Ayrıcalıklı yetki gereken durumlarda süre sınırlandırması yapılarak aksiyonlar alınır.
  • MessageGate, erişim ve yetkilendirme tanımlarını yapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgiler raporlanır. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır.
  • Kurum 5651 sayılı kanun kapsamında sistem ve uygulama erişim loglarını alınır. Üçüncü taraf tedarikçilerin erişim talepleri yazılı olarak alınmaktadır. Alınan taleplere ilişkin SSL VPN ile bağlantı sağlanmaktadır. SSL VPN harici ikili doğrulama güvenlik önlemleri alınmaktadır. Mac filtreleme ve statik ip adresleri kullanılarak erişimler kısıtlanmaktadır.
  • Kişisel verilerin bulunduğu ağlara erişimler kısıtlanmıştır. Misafir ağı bulunmamaktadır. Ağ erişim logları güvenlik sistemleri tarafından tutulmaktadır. Sunucular arasında ağlar ayrıştırılmıştır.
  • Kurumumuzda her yıl periyodik olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kriterleri dikkate alınarak sızma testleri gerçekleştirilmektedir. Sosyal mühendislik tatbikatları yapılmaktadır. Çıkan bulgulara göre hızlı bir şekilde aksiyon alınmaktadır.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması sağlanmaktadır. Tüm kullanıcı sistemlerinde lisanslı antivirüs kullanılmaktadır. Bulut ortamda bulunan sistemlerin güvenlikleri bulut hizmet sağlayıcısının sunduğu altyapı kullanılarak sağlanmaktadır. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonları kullanılmakta ve sistemlerin log kayıtları alınmaktadır.
  • Kişisel veriler bulunduğu ortamlar için otomatik yedekler düzenli olarak alınmaktadır.
  • Kişisel verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalık yaygınlaştırılır. Kurum içi eğitimlerde teknik konularda anlatılmaktadır.
  • Alınan tedbirler, kontroller ile sürekli yaşatılması sağlanır.
  • Kullanıcı hesapları merkezi olarak yönetilmektedir. Müşterilere tanımlanan kullanıcı hesapları merkezi olarak yönetilmektedir. Kullanıcı ve çalışan parolaları kompleks olarak ayarlanmıştır.
  • Web servis kullanıldığı ortamlarda ve MessageGate web sayfasında SSL sertifika güvenliği bulunmaktadır.
  • MessageGate, gerçekleştirdiği güvenlik testlerinde uygulamaları ve web servislerini de kapsam dahiline alarak güvenlik operasyonları yürütmektedir. Uygulamalara erişimlerde yetki kontrolleri yapılmaktadır. Kişisel verilerin işlendiği ortamlara uygun olarak maskeleme önlemleri alınmaktadır. Uygulama üzerinden gerçekleşen veri transferlerinde şifreleme ve hashleme işlemleri gerçekleştirilmektedir. Geliştirme ve test ortamları ayrıştırılmış olup, uygulamalar canlıya alınmadan gerekli kontroller yapılmaktadır.
  • MessageGate ‘in satışını gerçekleştirdiği uygulamaların logları alınmakta ve analizler gerçekleştirilmektedir. Anormal durumlarda uyarı sistemleri ile kişisel veri güvenliği üst seviyede tutulmaktadır.
  • Kişisel veri barındıran sistemlerin yedekleri periyodik olarak alınmakta ve alınan yedekler kontrol edilmektedir.
  • Sunucu ve bağlı ortamın güvenliğinin sağlanabilmesi için güvenlik duvarı uygulamaları ile kişisel veri güvenliği sağlanmaktadır.
  • Kişisel verilerin silinmesi, imha edilmesi ve anonimleştirilmesi süreçlerinde müşteri sözleşmeleri ve kişisel veri işleme amaçları dikkate alınarak kişisel veriler işlenmektedir. Kişisel verilerin işleme amacının ortadan kalktığı durumlarda veri tabanlarında salt özellik kullanılarak kişisel veriler hashlenmektedir. Kritik önem arz eden ve kişisel veri barındıran çalışan medya ve bilgisayarlarının kullanım ömrü tamamlandığı, üçüncü taraflara teslim edildi, başka personellere tahsis edilmesi durumlarında wipe edilerek formatlanmaktadır.
6.3.2 İdari Tedbirler
  • MessageGate, kişisel verilerin tespiti, analizi ve denetimini gerçekleştirebilmek için Kişisel Veri Envanteri oluşturmuştur. Yeni bir kişisel veri elde edilmesi ya da mevcut kişisel verilerin kullanım amacının değişmesi durumlarında Kişisel Veri Envanteri güncellenmektedir.
  • MessageGate, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli Bilgi Güvenliği ve KVKK Farkındalık eğitimlerini verir.
  • Kişisel veri ve bilgi güvenliğine ilişkin ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Kişisel Veri Yönetim Sistemi standartları kapsamında prosedür, politika ve talimatlar oluşturulmuştur. Oluşturulan dokümanlarda belirtilen kurallara göre veri güvenliği önlemleri alınır.
  • Çalışanlar ve MessageGate ‘in işi gereği veri paylaşımı yaptığı kişi ve kurumlar ile kişisel ve bilgi güvenliği hususlarının yer aldığı sözleşmeler imzalanır. Sözleşmelerde veri gizliliğine özgü sorumluluklar bulunur. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Sözleşme içeriklerine uygun hareket edilip edilmediği iç denetimler ve bağımsız kurumlar tarafından kontrol edilir.
  • Kurulan sistemler yetkin personeller tarafından gerekli iç denetimler ile kontrol edilir. MessageGate, kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler.
  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Kişisel Veri Yönetim Sistemi standardı kapsamında risk analizleri gerçekleştirilir. Risk analizleri haricinde veri sınıflandırması, bilgi güvenliği risk değerlendirmesi ve iş etki analizleri gerçekleştirilerek süreçler işletilir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınması sağlanır.
  • Personel iş sözleşmelerinin içeriklerinde kişisel veri güvenliğine ilişkin güncellemeler yapılmıştır. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Bunun haricinde MessageGate ‘in disiplin süreçleri kanunlara uygun olarak yürütülmektedir.
  • Kurum içi iletişim yöntemleri belirlenmiştir. Kurum içinde Veri Sorumlusu İrtibat Kişisi ataması gerçekleştirilmiştir. Bunun haricinde kişisel veri güvenliğine ilişkin Bilgi Güvenliği Komitesi kurulmuştur. Komite üyelerinin görev tanımları oluşturularak, rol, yetki ve sorumluluklar detaylandırılmıştır. Acil durumlarda iletişim sağlanması gereken kurum içi çalışanlar ile kurum dışı ilgili taraf ve kurum bilgileri belirlenmiştir.
6.3.3 Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler

MessageGate, kişisel veri güvenliğinin sağlanması için gerekli denetimleri yapar veya yaptırır. Kişisel veri güvenliğinin sürdürülebilirliğini sağlamak için iç denetimlerin yapılması sağlar. MessageGate iç denetimlerin verimliliğini arttırmak için ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Kişisel Veri Yönetim Sistemi standartlarına göre kontroller sağlamaktadır. Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi işlem tarafından sistemler düzenli olarak izlenmektedir. Yapılan denetimlerde kişisel verilerin hukuka aykırı erişilmesi ya da işlenmesi tespit edildiğinde Veri Sorumlusu İrtibat Kişisi bilgilendirilmektedir.

6.3.4 Üçüncü Tarafların Kişisel Verileri Korumasını Sağlamak İçin Uygulanan Tedbirler

MessageGate, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerine yer verir. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır. Üçüncü tarafların sistemlere erişim sağlaması gereken durumlarda erişimle ilgili denetim izleri saklanır.

6.3.5 Özel Nitelikli Kişisel Verilerin Koruması İçin Uygulanan Tedbirler

Özel nitelikli kişisel veriler için gerek nitelikleri itibari ile gerekse kişilerin mağduriyetine veya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Özel Nitelikli” olarak belirlenmiştir.

Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

MessageGate, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilmektedir.

Özel nitelikli kişisel verilerin kullanımına ilişkin çalışanlara politika ve prosedürler ile bilgilendirmeler yapılmaktadır. Özel nitelikli kişisel veriler kişinin rızası ya da Kanun ‘un 6. Maddesinde belirtilen hususların olmaması durumunda işlenmez. Özel nitelikli kişisel verilerin işlenebileceği durumlarda, bilgilendirmesi yapılmış ve açık rızası alınmış 3. Taraf kişi / kurum harici kimseyle paylaşılmaz.

6.3.6 Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması

Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlara gerekli bilgilendirmeler yapılmaktadır. Eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir.

İlgili kanun, yönetmelik ya da mevzuatlarda değişiklik olması halinde politikalar revize edilmekte ve ilgili değişiklikler personellere tekrar duyurulmaktadır.

6.4 Kişisel Verilerin İmha Teknikleri

MessageGate, elde ettiği kişisel verilerini kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar, nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse ve iş süreçlerini etkilememesi şartıyla imha eder. Veri sahiplerine ait kişisel veriler; ilgili kanunların belirlemiş olduğu saklama sürelerinin dolması ya da ilgili verinin kullanımına ilişkin şartın ortadan kalması durumunda planlanması gereklilikleri ortadan kalktığında kurumun alacağı karara istinaden imha edilmektedir. Her yıl Veri Sorumlusu İrtibat Kişinin belirlediği tarihlerde saklanmasına gerek görülmeyen kişisel veriler mevzuata uygun olarak aşağıda belirtilen tekniklerle imha edilir. İmha işlemleri; silme, yok etme ve anonim hale getirme olarak üç farklı metotta gerçekleştirilir.

6.4.1 Kişisel Verilerin Silinmesi

Kişisel verilerin silinme yöntemleri aşağıdaki tabloda belirtilmiştir;

Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona eren kişisel veriler; veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Operasyonel süreçlerde dosyası sonuçlanarak tamamlanmış kişisel veri ortamları sadece yetki verilmiş yöneticinin erişim sağlayacağı şekilde silinir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona eren kişisel veriler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
6.4.2 Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi aşağıdaki tabloda belirtilmiştir;

Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler geri döndürülemeyecek şekilde fiziksel olarak okunamaz hale getirilir. İmhalar İmha Tutanağı Formu kullanılarak gerçekleştirilir.
6.4.3 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6.5 Saklama ve İmha Süreleri

MessageGate tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili saklama süreleri, süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel veriler Veri Envanteri dokümanında detaylandırılmıştır.

MessageGate ‘in tabii olduğu kanunlar, ilgili taraflar ile yapılan sözleşme hükümleri ve MessageGate ‘in operasyonel faaliyetleri için ihtiyaç duyulan süreler dikkate alınarak saklama süreleri belirlenmiştir.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen imha edilir. Kişisel verilerin kategori bazlı azami saklama süreleri aşağıdaki gibidir;

Veri

Veri Sahibi

Saklama Süreleri

Adli Sicil Kayıtları

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Finans Bilgisi

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Müşteriler

10 Yıl

Müşterinin İlgili Kişisi

2 Yıl

Ortaklar

10 Yıl

Outsource Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Potansiyel Tedariçi

10 Yıl

Tedarikçi Yetkilisi

10 Yıl

Görsel ve İşitsel Kayıtlar

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Çalışan Adayları

1 Yıl

Müşterinin İlgili Kişisi

10 Yıl

Hukuki İşlem

Çalışan

10 Yıl

Müşteriler

10 Yıl

Tedarikçi Yetkilisi

10 Yıl

İletişim Bilgisi

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Çalışan Adayları

1 Yıl

Çalışan Yakını

İş Akdi Bitiminden İtibaren 10 Yıl

Müşteriler

10 Yıl

Müşterinin İlgili Kişisi

2 Yıl

Ortaklar

10 Yıl

Outsource Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Partner Çalışanı

10 Yıl

Partner Yetkilisi

10 Yıl

Potansiyel Müşteri

5 Yıl

Potansiyel Tedarikçi

10 Yıl

Referanslar

1 Yıl

Tedarikçi Çalışanı

10 Yıl

Tedarikçi Yetkilisi

10 Yıl

İşlem Güvenliği Bilgileri

Çalışanlar

10 Yıl

Çevrimiçi Ziyaretçiler

2 Yıl

Müşteriler

10 Yıl

Müşterinin İlgili Kişisi

Hizmet Akdi Bitiminden İtibaren 2 Yıl

Outsource Çalışanlar

2 Yıl

Potansiyel Müşteri

5 Yıl

Tedarikçi Yetkilisi

2 Yıl

Kimlik Bilgisi

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Çalışan Adayları

1 Yıl

Çalışan Yakını

İş Akdi Bitiminden İtibaren 10 Yıl

Müşteriler

10 Yıl

Müşterinin İlgili Kişisi

2 Yıl

Ortaklar

10 Yıl

Outsource Çalışanlar

10 Yıl

Partner Çalışanı

10 Yıl

Partner Yetkilisi

10 Yıl

Potansiyel Müşteri

5 Yıl

Potansiyel Tedarikçi

10 Yıl

Referanslar

1 Yıl

Tedarikçi Çalışanı

10 Yıl

Tedarikçi Yetkilisi

10 Yıl

Lokasyon Bilgisi

Müşterinin İlgili Kişisi

Hizmet Akdi Bitiminden İtibaren 2 Yıl

Mesleki Bilgiler

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Çalışan Adayları

1 Yıl

Müşteri İşlem Bilgileri

Müşteriler

Hizmet Akdi Bitiminden İtibaren 2 Yıl

Müşterinin İlgili Kişisi

10 Yıl

Özlük Bilgileri

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

Çalışan Adayları

1 Yıl

Müşteriler

10 Yıl

Müşterinin İlgili Kişisi

Hizmet Akdi Bitiminden İtibaren 2 Yıl

Ortaklar

10 Yıl

Outsource Çalışanlar

10 Yıl

Potansiyel Müşteri

5 Yıl

Referanslar

1 Yıl

Tedarikçi Yetkilisi

10 Yıl

Pazarlama Bilgileri

Müşterinin İlgili Kişisi

10 Yıl

Müşteri

5 Yıl

Potansiyel Müşteri

5 Yıl

Çevrimiçi Ziyaretçiler

2 Yıl

Sağlık Bilgileri

Çalışanlar

İş Akdi Bitiminden İtibaren 10 Yıl

7. Başvuru Yöntemleri

GDPR ve KVKK kapsamında kişisel verilerinize ilişkin haklarınızı aşağıda belirtilen yöntemleri kullanarak gerçekleştirebilirsiniz;

Veri Sorumlusu: MessageGate Bilişim A.Ş. (Türkiye)

Veri Koruma Görevlisi ve Veri Sorumlusu İrtibat Kişisi: Selman Delil – [email protected]

Kişisel veri başvurularınızı yaparken Kişisel Veri Başvuru Formu dokümanını doldurarak yapabilirsiniz. Aydınlatma başvuru yöntemleri aşağıdaki gibidir;

Yöntem İrtibat Bilgisi Açıklama
Elden Teslim Maltepe Piazza AVM Officelink
Cevizli Mahallesi, Tugay Yolu Caddesi, Piazza Avm, No:69C, İç Kapı:222 Maltepe/İstanbul
Kişisel Veri Başvuru Formu ‘nun elden teslimi sırasında kimliğinizi belirten ehliyet, nüfus cüzdanı, pasaport vb. evraklardan birini yanınızda bulundurunuz.
Noter Tasdikli Kargo Maltepe Piazza AVM Officelink
Cevizli Mahallesi, Tugay Yolu Caddesi, Piazza Avm, No:69C, İç Kapı:222 Maltepe/İstanbul
Kişisel Veri Başvuru Formu ‘nun Noter tasdikli evrakların gönderilmesi durumunda; kargonun MessageGate ‘e ulaştığı gün işleme alma tarihi olarak öngörülür. Bu kapsamda kargolarınızın iadeli taahhütlü olarak gönderilmesi gerekmektedir.
Mail [email protected] Kişisel Veri Başvuru Formu ‘nun mail ile tarafımıza gönderilmesinden sonra kimlik bilgilerinizin teyidi için sistemlerden kontroller ya da iletişim sağlanarak kimlik doğrulaması yapılabilmektedir.

Kişisel veri başvurularının tarafımızdan yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup, ilgili kişilere yasal süreler içerisinde yazılı olarak veya elektronik ortamda cevap verilecektir.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AYDINLATMA METNİ

MessageGate Bilişim A.Ş. (MessageGate) olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü ile İngiltere Veri Koruma Tüzüğü ‘nün (EU GDPR ve UK GDPR bundan sonra GDPR olarak adlandırılacaktır) 13-14. maddesi ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu ‘nun (“KVKK”) 10. maddesi uyarınca sizi kişisel veri işleme faaliyetlerimiz hakkında bilgilendirmek ve aydınlatmak isteriz.

EU GDPR, UK GDPR ve KVKK uyarınca, kişisel verileriniz; veri sorumlusu olarak MessageGate tarafından aşağıda açıklanan amaçlar kapsamında; hukuka ve dürüstlük kurallarına uygun bir şekilde işleyebilecek, kaydedebilecek, saklayabilecek, sınıflandırabilecek, güncelleyebilecek ve mevzuatın izin verdiği hallerde ve/veya işlendikleri amaçla sınırlı olarak 3. kişilere açıklayabilecek/aktarabilecektir.

1. KİŞİSEL VERİLERİN İŞLENME AMACI

MessageGate vermiş olduğu hizmetler kapsamında çalışan, aday çalışan, çalışan yakını, referans, tedarikçi çalışanları, şirket ortakları, tedarikçi ve aday tedarikçi, müşteri adayı, çevrimiçi ziyaretçi, outsource çalışan, partner çalışanı, partner firma yetkilisi, müşteri ve müşterilerin ilgili kişilerinin kişisel verilerini barındırılmaktadır. Alınan kişisel veri kategorileri Kişisel Verilerin Korunması ve İmha Politikası dokümanında detaylandırılmıştır.

MessageGate aşağıdaki detaylandırılmış amaçlar doğrultusunda veri sahiplerinin kişisel verilerinizi işlemektedir;

  • MessageGate, büyük ve orta ölçekli firmalara mesajlaşma platformlarını yönetebilmeleri için yazılım hizmeti vermektedir. Ayrıca veri sahibi olan müşterilerimizin web sitesi ve sosyal iletişim kanallarından ilgili yasalara uygun olarak, kişisel veri sahiplerinin ilgi alanlarına uygun reklam gösterimi amacıyla, reklam yayını yapan üçüncü taraflara müşteri hareketlerine ilişkin kişisel veri aktarımı için yapay zeka modelleri geliştirilmekte ve ilgili yazılım hizmetleri verilmektedir.
  • Müşterilerimizle yaptığımız sözleşmelerin ifası ve verilen hizmet kapsamında; uygulama aktivasyonlarının gerçekleştirilebilmesi, destek operasyonlarının yürütülebilmesi, kullanıcı profillerinin oluşturması ve erişim yetkilerinin tanımlanabilmesi için müşteri verileri işlenmektedir. Müşterilerimizde gerçekleştirdiğimiz sözleşme kapsamında; müşterilerimizin ilgili kişilerinin kişisel verileri işlenmektedir.
  • Müşterilerimizden gelen talep ve şikayetlerin değerlendirilebilmesi ve müşteri memnuniyetinin arttırılabilmesi için müşteri talep detayları işlenmektedir.
  • 4857 Sayılı İş Kanunu ve bağlı mevzuatlara göre; İnsan Kaynakları süreçlerinin hukuka uygun olarak sürdürülebilmesi, sözleşmelerin oluşturulabilmesi, disiplin süreçlerinin yürütülebilmesi, bireysel emeklilik sistemi ve diğer yan hakların yerine getirilebilmesi, bordrolama süreçlerinin yürütülebilmesi, muvafakatnamelerin alınabilmesi, Sosyal Güvenlik Kurumu bildirimlerinin ve asgari geçim indirimi hesaplamalarının yapılabilmesi için çalışanlarımızın kişisel verileri özlük dosyaları oluşturularak işlenmektedir. 4857 Sayılı İş Kanunu ‘na göre; çalışanlarımızın istifa, sözleşme fesih, emeklilik işlemlerinin yürütülebilmesi adına ibranameler alınmakta ve diğer dilekçeler depolanmaktadır.
  • Acil durumlarda çalışanlarımıza ulaşabilmek için iletişim bilgileri talep edilmektedir. İş akdinin yerine getirilebilmesi ve yakınlarına bilgi verilebilmesi için çalışan yakınlarının iletişim bilgileri de saklanmaktadır.
  • MessageGate, vermiş olduğu hizmetlerin devamlılığın sağlanabilmesi için outsource çalışanlar kullanabilmekte ve buna bağlı olarak kişisel veriler işleyebilmektedir. Ayrıca kurumsal işbirliklerinin geliştirilebilmesi, iş geliştirmeleri ve pazar araştırmalarının yapılabilmesi için partner firma ve çalışanları ile ikili ilişkiler esnasında kişisel veriler elde edebilmektedir.
  • Şirketimiz operasyon verimliliğinin artırılması ve bilgi güvenliği seviyesini üst seviyeye çıkarmak için farkındalık ve oryantasyon eğitimleri verilmekte ve ilgili eğitim kayıtları saklanmaktadır. Ayrıca şirket bilgi güvenliğinin tahsisi için bilgi güvenliği ve KVKK taahhütnameleri çalışanlarımızdan alınmaktadır.
  • 2004 Sayılı İcra ve İflas Kanunu kapsamında şirketimize gelen taleplerin yerine getirilebilmesi için çalışanlarımızın icra ve diğer hukuki süreç bilgileri saklanmaktadır.
  • Personel işe alımlarında çalışan adaylarının aranılan kriterlere uygunluğunun değerlendirilebilmesi ve ileriye dönük iletişimin sağlanabilmesi için aday çalışanların kişisel verileri işlenmektedir.
  • Ürün ve hizmet tedarikçilerimiz ile yapılan sözleşmelere göre alınan desteğin kesintisiz bir şekilde yürütülebilmesi, tedarikçileri değerlendirmelerinin yapılabilmesi ve iletişimin sağlanabilmesi için tedarikçilerin kişisel verileri işlenmektedir. Ayrıca tedarikçi adayları ile ileriye dönük iletişim sağlanabilmesi için iletişim ve teklif bilgileri saklanmaktadır.
  • Muhasebe işlemlerinin 213 Sayılı Vergi Usul Kanunu ve diğer kanunlara göre yürütülebilmesi için müşteri ve tedarikçilerimizin kişisel veriler işlenmektedir. Finansal süreçlerin sorunsuz işlenebilmesi için müşteri ve tedarikçi cari kartları ile faturalama ve mutabakat işlemleri yürütülmektedir.
  • Satış ve pazarlama operasyonlarının yerine getirilebilmesi için potansiyel müşterilerin kişisel verileri işlenmektedir. Anlaşma sağlanan müşteriler ile Türk Ticaret Kanunu ‘na uygun olarak sözleşmeler yürütülmektedir. Sözleşme sonrası müşterilerimize desteğin devamlılığı için kişisel veriler işlenmeye devam etmektedir. Çevrimiçi ziyaretçilerimizin çerez bilgileri reklam yayıncı kuruluşlarına aktarılarak analiz ve reklam çalışmaları yapılmaktadır.
  • Bilgi ve kişisel veri güvenliğinin sağlanabilmesi için sistemlerimize erişim sağlayan çalışan, outsource çalışan, tedarikçi ve müşteri log kayıtları işlenmekte ve güvenliği sağlanmış ortamlarda korunmaktadır. Ayrıca geliştirdiğimiz yazılımların analiz, geliştirme ve test aşamalarında çalışanlarımızın kimlik ve log bilgileri işlenmektedir.
  • Hukuki açıdan kurum içi ve kurum dışı yaşanan problemlerin yürütülebilmesi ve adli mercilerden gelebilecek taleplerin yerine getirilebilmesi için çalışan, tedarikçi ve müşteri kişisel verileri işlenebilmektedir.

Kişisel verilerinizin işlenme amaçları konusunda detaylı bilgilere; http://www.messagegate.com internet adresinde yayınlanan Kişisel Verilerin Korunması ve İmha Politikası ‘ndan ulaşabilirsiniz.

2. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerinizin silinmesi konusunda detaylı bilgilere; http://www.messagegate.com internet adresinden yayınlanan Kişisel Verilerin Korunması ve İmha Politikası ‘ndan ulaşabilirsiniz.

3. VERİLERİN PAYLAŞILMASI

Veri sahiplerine ait kişisel veriler kamu faydası gözetilmesi kaydı ile GDPR ve KVKK ’da öngörülen temel ilkelere uygun olarak ve KVKK ’nın 8. ve 9. Maddeleri ve GDPR ‘ın Bölüm V ‘te belirtilen kişisel veri işleme şartları ve amaçları dâhilinde; MessageGate, elde ettiği kişisel verileri Müşteriler, Anlaşmalı Bankalar, Anlaşmalı Hukuk Büroları, Anlaşmalı Tedarikçiler ve Reklam Yayıncı Kuruluşları ile paylaşılabilmektedir. Bunun yanında elde edilen kişisel veriler, mevzuat gereği hukuki yükümlülük sebebiyle kamu kurumları ve diğer kuruluşlarla paylaşılabilecektir.

MessageGate bünyesindeki kişisel veriler, veri sorumlusu müşterileri ve verdiği hizmetlere ilişkin sözleşmeler ile sınırlı kalmak kaydıyla yurtdışına sunucular üzerinde işlenebilmektedir.

4. KİŞİSEL VERİLERİNİZİN TOPLANMASINDA YÖNTEMLER VE HUKUKİ SEBEPLER

Kişisel verileriniz; GDPR ‘ın 5. maddesi ve KVKK ‘nın 4(2) maddesindeki öngörülen ilkeler ışığında açık rıza temini suretiyle veya GDPR ‘da 5. Maddesinde belirtilen durumlarda veya KVKK ‘nın 5(2) ve 6(3) maddelerinde öngörülen durumlardan; Kanunda öngörülmesi, meşru menfaat, veri sorumlusunun hukuki yükümlülüğünü yerine getirilmesi, bir hakkın tesisi, alenileştirme, sözleşmenin ifası sebeplerine dayanarak; elektronik (web sitesi, elektronik kayıt formları, uygulama arayüzleri, mail, kariyer siteleri, e-arşiv, sosyal medya platformları, MessageGate ‘nin ürettiği yazılımlar ara yüzleri, müşteri veri kaynakları, BT ve proje uygulamaları), yazılı (sözleşme, fatura, kartvizit, yazılı evrak, Şirket içi form ve dokümanlar, İK formları, eğitim kayıtları, tutanaklar, resmi evrak), görsel, sözlü beyan veya elden teslim yöntemleri ile elde edilmektedir. Kişisel verilerinizin toplanma yöntemleri ve hukuki sebeplerin detayları Kişisel Verilerin Korunması ve İmha Politikası dokümanında detaylandırılmıştır.

5. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİNİN HAKLARI

Kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hakları, MessageGate ’ye yapacağınız bir talep ile kullanabilirsiniz. Bu kapsamda iletilen talepler MessageGate tarafından en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, GDPR ve KVKK uyarınca bir ücret öngörülmesi halinde, MessageGate tarafından belirlenen tarifedeki ücret alınabilmektedir. Bu kapsamda kişisel veri sahibi olarak;

  • Kişisel verinizin işlenip işlenmediğini öğrenme. İşlenen kişisel verilere erişim talep etme,
  • Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verinizin silinmesini veya yok edilmesini isteme
  • Kişisel verinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin, kişisel verinizin aktarıldığı üçüncü kişilere bildirilmesini isteme. İşlenen kişisel verilerin kısıtlanmasını isteme, verilerin taşınmasını talep etme,
  • İşlenen verinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarınız bulunmaktadır.

6. İLETİŞİM YÖNTEMLERİ

GDPR ve KVKK kapsamında kişisel verilerinize ilişkin haklarınızı aşağıda belirtilen yöntemleri kullanarak gerçekleştirebilirsiniz;

Veri Sorumlusu: MessageGate Bilişim A.Ş. (Türkiye)

Veri Koruma Görevlisi ve Veri Sorumlusu İrtibat Kişisi: Selman Delil – [email protected]

Kişisel veri başvurularınızı yaparken Kişisel Veri Başvuru Formu dokümanını doldurarak yapabilirsiniz. Aydınlatma başvuru yöntemleri aşağıdaki gibidir;

Yöntem İrtibat Bilgisi Açıklama
Elden Teslim Maltepe Piazza AVM Officelink Cevizli Mahallesi, Tugay Yolu Caddesi, Piazza Avm, No:69C, İç Kapı:222 Maltepe/İstanbul Kişisel Veri Başvuru Formu ‘nun elden teslimi sırasında kimliğinizi belirten ehliyet, nüfus cüzdanı, pasaport vb. evraklardan birini yanınızda bulundurunuz.
Noter Tasdikli Kargo Maltepe Piazza AVM Officelink Cevizli Mahallesi, Tugay Yolu Caddesi, Piazza Avm, No:69C, İç Kapı:222 Maltepe/İstanbul Kişisel Veri Başvuru Formu ‘nun Noter tasdikli evrakların gönderilmesi durumunda; kargonun MessageGate ‘e ulaştığı gün işleme alma tarihi olarak öngörülür. Bu kapsamda kargolarınızın iadeli taahhütlü olarak gönderilmesi gerekmektedir.
Mail [email protected] Kişisel Veri Başvuru Formu ‘nun mail ile tarafımıza gönderilmesinden sonra kimlik bilgilerinizin teyidi için sistemlerden kontroller ya da iletişim sağlanarak kimlik doğrulaması yapılabilmektedir.

Kişisel veri başvurularının tarafımızdan yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup, ilgili kişilere yasal süreler içerisinde yazılı olarak veya elektronik ortamda cevap verilecektir.

MESSAGEGATE ÇEREZ POLİTİKASI

MessageGate Bilişim A.Ş. (MessageGate) olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü ile İngiltere Veri Koruma Tüzüğü ‘nün (EU GDPR ve UK GDPR bundan sonra GDPR olarak adlandırılacaktır) 13-14. maddesi ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu ‘nun (“KVKK”) 10. maddesi uyarınca, çevrimiçi mecralarımızı ziyaretleriniz sırasında elde edilen çerez bilgileri hakkında sizleri bilgilendirmek ve aydınlatmak isteriz.

Çerez Politikası, MessageGate tarafından işletilmekte olan https://www.messagegate.com internet sitesinin ziyareti esnasında elde edilen çerezler hakkında veri sahiplerinin bilgilendirilmesini amaçlamaktadır. Bu politika ile çerezlerin hangi amaçla kullandığımızı ve bu çerezleri nasıl kontrol edebileceğinizi sizlere açıklamak istiyoruz.

MessageGate olarak sitemizde kullandığımız çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya sitemize yeni çerezler ekleyebiliriz. Dolayısıyla bu aydınlatma metninin hükümlerini dilediğimiz zaman değiştirme hakkını saklı tutarız. Güncel aydınlatma metni üzerinde gerçekleştirilmiş olan her türlü değişiklik sitede veya herhangi bir kamuya açık mecrada yayınlanmakla birlikte yürürlük kazanacaktır.

Kişisel verilerinizin MessageGate tarafından işlenmesi hakkında daha detaylı bilgi için https://www.messagegate.com adresinde yer alan Kişisel Veri Aydınlatma Metni ve bağlı politikaları okumanızı tavsiye ederiz.

1. Hangi Çerezler Hangi Amaçlarla Kullanılmaktadır?

MessageGate olarak sitemizde çeşitli amaçlarla çerezler kullanmakta ve bu çerezler vasıtasıyla kişisel verilerinizi işlemekteyiz. Bu amaçlar başlıca şunlardır;

  • Tercihlerinizi hatırlamak, kullanıcı davranışlarını segmentasyona göre özelleştirmek
  • Bizden almak istediğiniz hizmeti size sağlamak
  • Web sitemizi nasıl kullandığınızı anlamak
  • Web sitemizin performansını, işleyişini ve etkinliğini izlemek ve analiz etmek. Kullanıcı geri bildirimlerini toplamak ve iyileştirmeler yapmak
  • Pazarlama kampanyalarımızın etkisini anlamak ve artırmak
  • Güvenliği sağlamak ve dolandırıcılığı önlemek amacıyla siber saldırıları tespit etmek ve önlemek
  • Sosyal medya entegrasyonunu geliştirmek

MessageGate olarak kişisel verilerinizi KVKK’nın 5. ve GDPR ‘ın 6. maddesi uyarınca aşağıda yer alan hukuki sebeplere dayanarak otomatik yollarla işlemekteyiz. Hukuki dayanaklar;

  • Veri sahibinin açık rızası ile,
  • MessageGate ‘in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

MessageGate olarak, aydınlatma metni kapsamındaki kişisel verilerinizi yukarıda belirtilen amaçların gerçekleştirilebilmesi ile sınırlı olarak ve mevzuata uygun şekilde MessageGate ‘in hizmetlerinden faydalandığı tedarikçileri ile paylaşabiliriz. Verilerin aktarıldığı tarafların kişisel verilerinizi ilgili web tasarım uygulamasının panelinde saklanmakta ve güvenliği sağlanmaktadır.

2. Sitemizde Kullanılan Çerezler

Aşağıda sitemizde kullandığımız farklı türdeki çerezleri bulabilirsiniz. Sitemizde hem birinci parti çerezler (ziyaret ettiğiniz site tarafından yerleştirilen) hem de üçüncü parti çerezleri (ziyaret ettiğiniz site haricindeki sunucular tarafından yerleştirilen) kullanılmaktadır.

2.1 Zorunlu Çerezler

Bu çerezler, kullanıcının bir sayfanın güvenli alanlarına erişim gibi sitenin özel bölümlerinde gezinebilmesini ve bunları kullanabilmesini sağlamak için gereklidir. Bu çerezler olmadan web sitesinin önemli kısımları kullanılamaz.

2.2 İşlevsellik ve Tercih Çerezleri

Bu çerezler, kullanıcı davranışı hakkında bilgi toplar. Tüm bilgiler isimsiz toplanır ve işlevsellik çerezleri, kullanıcının diğer web sitelerindeki faaliyetlerini takip edemez. Bu bilgiler, web sitesinin geliştirilmesi için rapor derlemek amacıyla kullanılır. İşlevsellik çerezleri, kullanıcı tarafından istenen hizmeti sağlayanları da kapsayabilir.

2.3 Performans ve Analiz Çerezleri

Bu çerezler web sitesinin dil ayarları gibi kullanıcı tercihlerini kaydetmesini sağlayarak, kullanıcıya geliştirilmiş, daha kişisel bir deneyim sunar.

2.4 Hedefleme veya Reklam Çerezleri

Bu çerezler, kullanıcıya ve ilgilerine uygun reklamları görüntülemek için kullanılır. Bu çerezler aynı zaman belirli web sayfalarını ziyaret ederken kullanıcının etkileşim kurduğu bir reklam kampanyasının etkinliğini ölçmek ve potansiyel reklam verenlerle iletişime imkân tanımak için kullanılabilir.

3. Çerezlerin Kullanımını Nasıl Kontrol Edebilirim?

İnternet tarayıcınızın çeşidine göre aşağıdaki adımları izleyerek, çerezler hakkında bilgi edinip, izin verme veya reddetme hakkınızı kullanabilirsiniz:

Google Chrome Browser ’ınızın “adres bölümünde” yer alan, “kilit işareti” veya “i” harfini tıklayarak, “Cookie” sekmesinden çerezlere izin verebilir veya bloke edebilirsiniz.
İnternet Explorer Browser ’ınızın sağ üst köşesinde yer alan “Tool” veya “Araçlar” Bölümünden “Güvenlik” sekmesini tıklayın ve “izin ver” veya “izin verme” şeklinde çerez yönetimini gerçekleştirin.
Mozilla Firefox Browser ’ınızın sağ üst köşesinde yer alan “menüyü aç” sekmesini tıklayınız. “Seçenekler” görselini tıklayarak “Gizlilik ve Güvenlik” butonunu kullanarak çerez yönetiminizi yapınız.
Safari Telefonunuzun “Ayarlar” bölümünden “safari” sekmesini seçip, “Gizlilik ve Güvenlik” Bölümünden tüm çerez yönetiminizi sağlayabilirsiniz
Opera http://www.opera.com/browser/tutorials/security/privacy/ adresinden destek alabilirsiniz
Diğer Browser ‘lar Microsoft Edge, Maxthon gibi diğer browser ‘ların yardım veya destek sayfalarını inceleyebilirsiniz.

Yukarıdaki seçeneklerin yanı sıra; tüm çerezler hakkında bilgi sahibi olmak ve çerez yönetimi için: https://www.allaboutcookies.org, https://www.youronlinechoices.eu/ adresini ziyaret edebilir veya "Privacy Badger" uygulamasını kullanabilirsiniz (https://www.eff.org/tr/privacybadger)

4. Veri Sahibi Olarak Haklarınız Nelerdir?

Kişisel veri sahiplerinin KVKK 11. ve GDPR ‘ın III. Bölümde belirtilen hakları aşağıda detaylandırılmıştır:

  • Kişisel verinizin işlenip işlenmediğini öğrenme. İşlenen kişisel verilere erişim talep etme,
  • Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verinizin silinmesini veya yok edilmesini isteme
  • Kişisel verinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin, kişisel verinizin aktarıldığı üçüncü kişilere bildirilmesini isteme. İşlenen kişisel verilerin kısıtlanmasını isteme, verilerin taşınmasını talep etme,
  • İşlenen verinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarınız bulunmaktadır.

Söz konusu haklarınıza ilişkin taleplerinizi, https://www.messagegate.com adresinde yer alan Kişisel Veri Aydınlatma Metni ‘nde belirtilen yöntemlerle tarafımıza iletmeniz halinde başvurularınız en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır. Taleplere ilişkin olarak herhangi bir ücret talep edilmemesi esas olmakla birlikte, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret talep edilebilir. Ancak başvurunun MessageGate ‘in hatasından kaynaklanması halinde alınan ücret veri sahibine iade edilir.

ENTEGRE YÖNETİM SİSTEMİ POLİTİKASI (ISO 9001/27001/27701)

MessageGate olarak, müşteri memnuniyetini sağlamak ve küresel gelişim ile yoğunlaşan rekabetçi pazarda başarılı olabilmek için Bilgi Güvenliği, Kalite ve Kişisel Veri Yönetim Sistemleri kapsamında;

  • Entegre Yönetim Sistemlerimizin işletilmesi ve devamlılığı için Entegre Yönetim Ekibi kurmayı, koordine etmeyi ve ilgili rol ve sorumlulukların yerine getirilmesini,
  • MessageGate olarak, yazılım sektöründe kaliteli ve çözüm odaklı ürün ve hizmetler sunarak müşteri memnuniyetini üst seviyede tutmayı,
  • Bilginin gizliliği, bütünlüğü ve erişilebilirliği prensiplerine uymak ve sistemlerin etkinliğini sağlamak amacıyla risk analizi ve değerlendirmesi sonucu ortaya çıkan kritik riskler için risk işleme faaliyetleri yürütmeyi, tanımlanan fırsatları yakalayabilmek için aksiyonlar almayı,
  • Hizmetlerimizin ve süreçlerimizin kalitesini ve sürekliliğini arttırmak için çalışanlarımızın yetkinliğini arttıracak eğitim, donanım ve yazılım için gerekli kaynakları ayırmayı,
  • Süreç ve faaliyetlerin sürekli iyileştirilmesi amacıyla düzenli gözden geçirmeler gerçekleştirmeyi,
  • Tedarikçilerden alınan hizmetlere ilişkin gerekli kontrol ve önlemleri almayı,
  • Bütünsel yaklaşım zorunluluğu gereği tüm personelin ve iş ortaklarının Entegre Yönetim’ine katılımını ve uyumunu sağlamak için bilinçlendirmeyi ve teşvik etmeyi,
  • Değişen dünyada teknolojik gelişmeleri takip ederek farklılaşan müşteri beklentilerini karşılamayı, müşteri memnuniyetini arttırmayı,
  • Standartlara ve yasal mevzuatlara uyumunu iç ve dış denetimlerle kontrol etmeyi ve sistemi sürekli uyumlu kılmayı,
  • Hizmetlerimizin kalitesi ile birlikte güvenirliliğini arttırmayı,
  • Kurum kültürümüzün vazgeçilmez bir parçası olarak uygulamayı,
  • Hizmet alan tüm müşterilerimize sözleşmelerde tanımlı tüm gereksinimlere uyumun sağlanmasını,
  • Yönetim sistemlerimizin hedeflenen sonuçlara ulaşmasını sağlamayı,
  • Kişisel veri güvenliği konusunda idari ve teknik tedbirleri almayı,

Taahhüt ederiz.

Göz atmaya devam ederek, çerez kullanımımıza izin vermiş olursunuz. Daha fazla bilgi için lütfen Gizlilik Politikamıza bakın.