Kişisel Verileri Koruma Politikası Tarafları
İşbu sözleşmenin tarafları, hizmet sağlayan Dahusoft Yazılım Sanayi ve Ticaret A.Ş. (bundan böyle "Veri İşleyen" olarak anılacaktır) ve hizmet alan müşteri (bundan böyle "Veri Sorumlusu" olarak anılacaktır) arasındadır.
1. Konu
İşbu Politika, taraflar arasındaki Hizmet ve Veri İşleme Sözleşmesi kapsamında kişisel verilerin işlenmesi için geçerlidir. "İşleme", "kişisel veri", "veri sorumlusu" ve "işleyici" gibi terimler; GDPR, 6698 sayılı KVKK, 6102 sayılı TTK ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun'da kendilerine atfedilen anlamlara sahiptir.
2. Veri İşleyen ve Veri Sorumlusu
Veri İşleyen, Kişisel Verileri yalnızca Hizmet ve Veri İşleme Sözleşmesi kapsamındaki hizmetlerin sağlanması için gerekli olduğu ölçüde işler ve hiçbir zaman kendi amaçları için işlemez. Taraflar, kişisel verilerin güvence altına alınması ve işlenmesinde Veri İşleyenin uzmanlığından faydalanmak amacıyla sözleşmeyi akdetmektedir.
3. Saklama ve Güvenlik
Veri İşleyen, kişisel verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri alır. Bunlar; yalnızca yetkili personelin erişimini sağlama, kazara/yasa dışı imha, kayıp veya yetkisiz erişime karşı koruma (gerektiğinde şifreleme), güvenlik ihlallerini tespit ve onarım önlemleri ile personelin gizlilik taahhüdünü içerir. Veri İşleyen, yazılı bir güvenlik politikasını her zaman yürürlükte bulundurur.
4. Güvenlikte İyileştirmeler
Veri İşleyen, uygulanan tedbirleri sürekli değerlendirir ve gerekliliklere uyumu sürdürmek için bu tedbirleri sıkılaştırır, tamamlar ve iyileştirir. Veri Sorumlusu, ek güvenlik önlemleri alınması için talimat verebilir.
5. Denetim
Veri Sorumlusu, Veri İşleyenin Politikaya ne ölçüde uyduğunu belirlemek amacıyla bağımsız bir üçüncü tarafça denetim yaptırma hakkına sahiptir. Denetim, uyumsuzluk açıkça gösterilmediği sürece Veri Sorumlusunun masrafıyla gerçekleştirilir.
6. Uluslararası Veri Transferi
Veri İşleyen, yeterli koruma düzeyine sahip olmayan bir ülkeye (planlanan) aktarımları derhal Veri Sorumlusuna bildirir ve yalnızca onay alındıktan sonra gerçekleştirir. Aktarım süreci GDPR ve KVKK Madde 9 hükümleri kapsamında planlanır.
7. Bilgi Yükümlülükleri ve Olay Yönetimi
Veri İşleyen, kişisel verilerle ilgili herhangi bir olayı derhal Veri Sorumlusuna bildirir ve iş birliği yapar. Olay, ortaya çıkmasından sonra 24 saat içinde bildirilir; bildirim olayın niteliği, gerçekleşme/keşif tarihi, etkilenen kişi sayısı, ilgili veri kategorileri ve alınan güvenlik önlemleri gibi bilgileri içerir.
8. Alt İşleyicilerle Sözleşme Yapılması
Veri İşleyen, Veri Sorumlusunun önceden yazılı izni olmaksızın faaliyetlerini üçüncü taraflara taşere edemez. Alt işleyiciler, Veri İşleyen ile aynı veya eşdeğer yükümlülüklere tabi olur ve bunlara uyulması denetlenir.
9. Kişisel Verilerin İadesi veya Yok Edilmesi
Politikanın feshi veya Veri Sorumlusunun talebi üzerine Veri İşleyen, GDPR ve KVKK'da öngörülen şartlar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya düzeltilmesini sağlar. Fesih durumunda ilgili tüm üçüncü taraflar bilgilendirilir.
10. Kişisel Verilerin Talep Edilmesi (Başvuru)
İlgili kişi, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca; ad-soyad, T.C. Kimlik/Pasaport No, adres, iletişim bilgisi, talep konusu ve ilgili belgeleri sağlayarak başvurabilir. Başvuru; ıslak imzalı dilekçe ile elden/Noter aracılığıyla merkez adrese veya güvenli elektronik imza ile KEP adresine yapılabilir. Talepler, ulaştığı tarihten itibaren en geç 30 gün içinde cevaplanır.
11. Sorumluluk ve Tazminat
Veri İşleyen, bu Politikanın ihlalinden kaynaklanan veya bununla bağlantılı talep, zarar ve masraflara karşı Veri Sorumlusunu tazmin eder ve zararsız tutar.
12. Süre ve Fesih
Bu Politika, Hizmet ve Veri İşleme Sözleşmesi ile aynı tarihte yürürlüğe girer ve otomatik olarak sona erer. Feshe rağmen, niteliği gereği devam etmesi gereken yükümlülükler geçerliliğini korur.
13. Çeşitli
Politika hükümleri ile sözleşme hükümleri arasında tutarsızlık olması halinde Politika hükümleri geçerlidir. Bu Politika Türkiye Cumhuriyeti yasalarına tabidir. Politikada yapılacak önemli değişiklikler, yürürlüğe girmeden önce e-posta veya kurumsal web sitesi/sosyal medya üzerinden bildirilir.
Ek 1: Sahip Olunan Haklar
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- KVKK ve GDPR şartları çerçevesinde silinmesini veya yok edilmesini isteme,
- Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,
- Otomatik sistemlerle analiz sonucu aleyhe çıkan sonuca itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme.
Ek 2: İşlenecek Kişisel Veriler
Aşağıdaki veriler yalnızca Hizmet ve Veri İşleme Sözleşmesi (E-Ticaret satış kanalı ve ERP entegrasyonu / gönderi / fatura firması / sipariş yönetimi) kapsamında ve ilgili süreçlerinde işlenir:
- Fatura Adı, Fatura Adresi, Fatura Kimlik Numarası, Fatura Telefon Numarası
- Teslimat Adı, Teslimat Adresi, Teslimat Telefon Numarası
- E-posta Adresi
- Sipariş ayrıntıları (ürün, fiyat, miktar, KDV)
Ek 3: Ek Güvenlik Önlemleri
Veri İşleyen; GDPR ve KVKK Kişisel Veri Güvenliği Rehberi gerekliliklerine, ISO/IEC 27001, ISO/IEC 27017 ve ISO/IEC 27701 standartlarına uyumlu, Bilgi Güvenliği Yönetim Sistemi (ISMS) kapsamında fiziksel, teknik, örgütsel ve yönetimsel önlemler alır. Bu politikalar; şifre, erişim, yama, varlık, değişim, kriptografik kontrol, tedarikçi yönetimi, yedekleme/geri yükleme, veri depolama ve mobil cihaz yönetimi politikalarını içerir. Bu kontroller üzerinde manuel sızma testi, otomatik güvenlik taramaları ve ISO uyumluluk denetimleri düzenli olarak yapılır.