Cletech
00

Kişisel Verilerin Korunması ve İşlenmesi Politikası

Hiraş Halkla İlişkiler Reklam Ajansı Sanayi ve Ticaret Limited Şirketi

1. Amaç

Hiraş Halkla İlişkiler Reklam Ajansı Sanayi ve Ticaret Limited Şirketi (“Şirket” veya “Hiraş”), kişisel verilerin korunmasını, yürüttüğü ticari faaliyetlerin ve kurduğu iş ilişkilerinin temel unsurlarından biri olarak kabul etmektedir.

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı; Şirket tarafından kişisel verilerin hangi esaslara göre işlendiğini, korunduğunu, saklandığını, gerektiğinde aktarıldığını ve ilgili kişi başvurularının hangi çerçevede değerlendirildiğini genel düzeyde açıklamaktır.

Bu Politika, Şirket’in kurumsal veri koruma yaklaşımını ortaya koyan üst politika metnidir. İşlem bazlı aydınlatma metinlerinin yerine geçmez. Müşteri işlemleri, internet sitesi kullanımı, çerezler ve başvuru süreçleri bakımından ayrıca yayımlanan özel metinler öncelikle esas alınır.

2. Kapsam

Bu Politika; müşterilere, potansiyel müşterilere, internet sitesi ziyaretçilerine, telefon veya çağrı merkezi üzerinden iletişime geçen kişilere, iş ortaklarına, tedarikçi yetkililerine, danışmanlara, ziyaretçilere, çalışan adaylarına ve Şirket ile herhangi bir nedenle ilişki kuran diğer gerçek kişilere ait kişisel verileri kapsar.

Politika, hem dijital hem de fiziksel ortamlarda işlenen verilere uygulanır. İnternet sitesi formları, elektronik postalar, telefon görüşmeleri, çağrı merkezi süreçleri, başvuru kayıtları, sözleşmeler, operasyonel kayıtlar, log kayıtları ve benzeri veri işleme alanları bu kapsamda değerlendirilir.

3. Şirket Faaliyetleri Kapsamında Veri İşleme Çerçevesi

Şirket; özellikle satışı yapılan ürünlere ilişkin tanıtım, müşteri iletişimi, ürün yönlendirme, talep ve şikâyet yönetimi, satış öncesi ve satış sonrası iletişim, internet sitesi üzerinden alınan başvuruların değerlendirilmesi ile telefon ve çağrı merkezi süreçlerinin yürütülmesi sırasında kişisel veri işleyebilir.

Bu çerçevede veri işleme faaliyetleri; ilgili kişiye dönüş yapılması, talebin karşılanması, yönlendirme sağlanması, işlem güvenliğinin korunması, ticari süreçlerin yürütülmesi, teknik veya operasyonel destek verilmesi, mevzuata uyum sağlanması ve gerektiğinde hukuki hakların korunması amaçlarıyla sınırlı olarak gerçekleştirilir.

Şirket, faaliyet alanı ile ilgisiz, gereksiz veya ölçüsüz veri toplamamayı esas alır.

4. Temel İlkeler

Şirket, kişisel verileri işlerken aşağıdaki temel ilkelere uygun hareket etmeyi amaçlar:

  • hukuka ve dürüstlük kurallarına uygun davranmak,
  • verilerin doğru ve gerektiğinde güncel olmasını sağlamak,
  • verileri belirli, açık ve meşru amaçlarla işlemek,
  • veri işleme faaliyetini amaçla bağlantılı, sınırlı ve ölçülü şekilde yürütmek,
  • verileri yalnızca gerekli süre kadar muhafaza etmek.

Bu ilkeler; internet sitesi kullanımı, müşteri iletişimi, çağrı merkezi süreçleri, teknik destek, başvuru yönetimi ve diğer veri işleme alanlarının tamamında birlikte gözetilir.

5. Kişisel Verilerin İşlenme Şartları

Şirket, kişisel verileri ilgili kişinin açık rızasına dayanarak veya mevzuatta açık rıza aranmaksızın veri işlemeye izin verilen diğer hukuki sebeplerden birine dayanarak işleyebilir.

Uygulamada Şirket tarafından kişisel veriler çoğunlukla aşağıdaki hukuki sebeplere dayanılarak işlenebilir:

  • bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
  • Şirket’in hukuki yükümlülüğünü yerine getirmesi,
  • bir hakkın tesisi, kullanılması veya korunması için gerekli olması,
  • ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması,
  • ilgili kişinin açık rızasının bulunması.

Şirket, açık rıza gerektiren bir süreç ile yalnızca aydınlatma yapılmasını gerektiren süreci birbirinden ayrı değerlendirir. Açık rıza gereken hâllerde bu süreç ayrıca ve özel olarak yürütülür.

6. İşlenebilecek Kişisel Veri Türleri

Şirket tarafından işlenebilecek kişisel veriler, ilişkinin niteliğine göre değişmekle birlikte genel olarak aşağıdaki başlıklarda toplanabilir:

  • kimlik bilgileri,
  • iletişim bilgileri,
  • müşteri işlem bilgileri,
  • ürün veya hizmet talep bilgileri,
  • teklif ve yönlendirme bilgileri,
  • talep ve şikâyet kayıtları,
  • internet sitesi kullanım bilgileri,
  • işlem güvenliği ve log kayıtları,
  • hukuki işlem ve uyum bilgileri,
  • finansal ilişki kapsamında gerekli olabilecek bilgiler,
  • görsel veya işitsel veriler,
  • çalışan adayı bilgileri,
  • çerez ve teknik kullanım verileri.

Şirketin faaliyet modeli yoğun biçimde özel nitelikli kişisel veri işlenmesini gerektirmemekle birlikte, istisnai durumlarda bu tür verilerle karşılaşılması hâlinde ilgili mevzuata uygun ve daha sıkı bir koruma yaklaşımı benimsenir.

7. Kişisel Verilerin İşlenme Amaçları

Şirket tarafından kişisel veriler genel olarak aşağıdaki amaçlarla işlenebilir:

  • müşteri ilişkilerinin yürütülmesi,
  • ürün ve hizmetler hakkında bilgi verilmesi,
  • talep ve şikâyetlerin alınması ve sonuçlandırılması,
  • internet sitesi üzerinden gelen başvuruların değerlendirilmesi,
  • satış öncesi ve satış sonrası iletişim süreçlerinin yürütülmesi,
  • teknik veya operasyonel yönlendirme yapılması,
  • telefon ve çağrı merkezi süreçlerinin yönetilmesi,
  • iş faaliyetlerinin planlanması ve sürdürülmesi,
  • bilgi ve işlem güvenliğinin sağlanması,
  • sözleşme, muhasebe, denetim ve uyum süreçlerinin yürütülmesi,
  • hukuki yükümlülüklerin yerine getirilmesi,
  • bir hakkın korunması veya ispat süreçlerinin yürütülmesi.

Şirket, her veri işleme faaliyetinde kullanılan veri ile işleme amacı arasında makul, ölçülü ve savunulabilir bir bağ bulunmasını esas alır.

8. Telefon ve Çağrı Merkezi Süreçleri

Şirket, müşterileriyle telefon veya çağrı merkezi kanalı üzerinden iletişim kurabilir. Bu süreçlerde paylaşılan bilgiler; müşteri desteğinin sağlanması, ürün yönlendirmesi yapılması, talep ve şikâyetlerin yönetilmesi, işlem güvenliğinin sağlanması ve iletişim süreçlerinin yürütülmesi amacıyla işlenebilir.

Şirket altyapısında çağrı kayıtlarının alınması uygulamasının mevcut olduğu durumlarda, ses kayıtları; hizmet kalitesinin izlenmesi, talep ve şikâyet süreçlerinin yönetilmesi, işlem güvenliğinin sağlanması ve gerektiğinde hukuki ispat süreçlerinin yürütülmesi amaçlarıyla işlenebilir. Bu durumda ilgili kişiye görüşme başlangıcında ayrıca bilgilendirme yapılır.

Çağrı kaydı uygulaması mevcut olsa dahi, kayıtların sınırsız kullanımı, ölçüsüz biçimde saklanması veya yetkisiz erişime açık bırakılması kabul edilmez. Bu alan ayrıca şirket içi süreçler çerçevesinde yönetilir.

9. Kişisel Verilerin Aktarılması

Şirket, kişisel verileri yalnızca gerekli olduğu ölçüde ve hukuki dayanağı bulunduğu ölçüde üçüncü kişilere aktarabilir.

Aktarım yapılabilecek taraflar somut duruma göre değişmekle birlikte genel olarak şunlar olabilir:

  • teknik altyapı ve bilgi teknolojileri hizmet sağlayıcıları,
  • internet sitesi barındırma ve destek sağlayıcıları,
  • telefon ve çağrı merkezi altyapı sağlayıcıları,
  • hukuk, danışmanlık, denetim ve muhasebe hizmeti alınan kişi ve kuruluşlar,
  • tedarikçiler ve çözüm ortakları,
  • ürün, destek veya yönlendirme sürecinde rol alan ilgili iş ortakları,
  • kanunen yetkili kamu kurum ve kuruluşları,
  • mahkemeler, noterlikler, icra daireleri ve diğer yetkili merciler.

Şirket, veri aktarımında “gerekli olan kadar veri” ilkesini esas alır. Aktarım ihtiyacı her işlem özelinde ayrıca değerlendirilir.

10. Yurt Dışına Aktarım

Şirket tarafından kullanılan yazılım, bulut hizmeti, çağrı merkezi altyapısı, internet sitesi araçları veya üçüncü taraf teknik sistemler sebebiyle yurt dışı veri aktarımı gündeme gelebilir. Böyle bir durumda Şirket, yürürlükteki mevzuatta öngörülen hukuki çerçeveye uygun hareket etmeyi esas alır.

11. Kişisel Verilerin Güvenliği

Şirket, kişisel verilerin güvenliği için uygun teknik ve idari tedbirler almayı hedefler. Bu kapsamda yetki sınırlandırması, erişim kontrolü, parola güvenliği, log yönetimi, yedekleme, ağ güvenliği, fiziksel arşiv güvenliği, çalışan farkındalığı ve sözleşmesel koruma mekanizmaları gibi araçlardan yararlanılabilir.

Güvenlik yaklaşımı, verinin niteliğine ve işlendiği ortama göre farklılaştırılabilir. Özellikle internet sitesi, çağrı merkezi, telefon altyapısı ve müşteri iletişim kanalları bakımından güvenlik hassasiyeti ayrıca dikkate alınır.

12. Saklama ve İmha

Şirket, kişisel verileri süresiz olarak saklamaz. Veriler, işlendikleri amaç için gerekli olan süre ve ilgili mevzuatta öngörülen asgari süre kadar muhafaza edilir.

Saklama ihtiyacı sona erdiğinde veya ilgili mevzuat çerçevesinde gerekli şartlar oluştuğunda kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu süreçte veri kategorisi, hukuki sebep, saklama amacı ve ispat ihtiyacı birlikte değerlendirilir.

13. İlgili Kişi Hakları

İlgili kişiler, kişisel verilerine ilişkin olarak aşağıdaki haklara sahiptir:

  • kendileriyle ilgili kişisel veri işlenip işlenmediğini öğrenme,
  • işlenmişse buna ilişkin bilgi talep etme,
  • işleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
  • verilerin aktarıldığı üçüncü kişileri bilme,
  • eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme,
  • şartları oluşmuşsa verilerin silinmesini veya yok edilmesini isteme,
  • yapılan düzeltme veya silme işlemlerinin üçüncü kişilere bildirilmesini isteme,
  • otomatik sistemler ile analiz sonucu aleyhe bir sonucun doğmasına itiraz etme,
  • kanuna aykırı işleme nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme.

14. Başvuru Usulü

İlgili kişiler, haklarına ilişkin taleplerini Şirket’e yazılı olarak veya mevzuatta kabul edilen diğer usullerle iletebilir. Bu kapsamda internet sitesinde yayımlanan KVKK Başvuru Formu kullanılabilir.

Şirket, usule uygun şekilde iletilen başvuruları yasal süre içinde değerlendirir ve sonuçlandırır.

15. Politikanın Diğer Metinlerle İlişkisi

Bu Politika, Şirket’in genel veri koruma yaklaşımını açıklayan üst metindir. Hiraş Halkla İlişkiler Reklam Ajansı Sanayi ve Ticaret Limited Şirketi’nin kişisel verilere ilişkin kurumsal yaklaşımını ve genel esaslarını açıklamak amacıyla hazırlanmıştır. Ancak işlem bazlı bilgilendirme ihtiyacı bakımından aşağıdaki metinler ayrıca önem taşır:

  • Müşteri Aydınlatma Metni,
  • Çerez Aydınlatma Metni,
  • İnternet Sitesi Gizlilik Politikası,
  • KVKK Başvuru Formu.

Somut bir veri işleme faaliyetinde daha özel bir metin mevcut ise, öncelikle o metin esas alınır.

16. Güncelleme ve Yürürlük

Şirket, işbu Politikayı mevzuat değişiklikleri, teknik ihtiyaçlar, faaliyet alanındaki gelişmeler ve uygulama gerekleri doğrultusunda gözden geçirebilir ve güncelleyebilir.

Politikanın güncel versiyonu, internet sitesinde yayımlandığı tarihten itibaren yürürlükte kabul edilir.