PSMETRICS YAZILIM A.Ş
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

1.1. Amaç ve Kapsam

İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Psmetrics Yazılım A.Ş. (“Şirket”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), bu Kanun kapsamındaki ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları ile uyumun sağlanması; ayrıca Şirket’in kişisel verilerin işlenmesi ve korunmasına ilişkin yükümlülüklerini yerine getirirken uyacağı esasların belirlenmesi amacıyla hazırlanmış ve yürürlüğe konulmuştur.

Bu Politika, kişisel verilerin işlenme koşullarını ortaya koymakta ve Şirket’in kişisel verilerin işlenmesinde benimsediği temel ilkeleri açıklamaktadır. Bu çerçevede, Şirket’in gerçekleştirdiği tüm kişisel veri işleme faaliyetleri ile Şirket tarafından kişisel verileri işlenen veri sahiplerine yönelik genel açıklamalar içermektedir. İlgili kişilerin kişisel verilerinin ve özel nitelikli kişisel verilerinin işlendiği süreçlerle ilgili olarak, süreç özelinde ayrıca hazırlanmış aydınlatma metinleri sunulmaktadır.

1.2. Tanımlar

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
• Çalışan: Şirket bünyesinde tam zamanlı, yarı zamanlı, geçici veya sürekli iş sözleşmesiyle görev yapan, stajyerler, taşeron firma personeli, danışmanlar ve dış kaynaklı çalışanlar da dahil olmak üzere Şirket faaliyetlerine doğrudan veya dolaylı katkı sağlayan tüm bireyler
• İlgili Kişi/Kişiler: Kişisel verisi işlenen gerçek kişi veya kişiler
• Kişisel Veri/ler: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
• Kurum: Kişisel Verileri Koruma Kurumu
• Kurul: Kişisel Verileri Koruması Kurulu
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR

2.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler

Şirket, kişisel veri işleme faaliyetlerinde öncelikle hukuka uygunluk, şeffaflık ve veri minimizasyonu ilkeleri başta olmak üzere, Kanun’da belirtilen tüm ilkelere uygun hareket etmeyi esas almaktadır. Kişisel veriler, yalnızca belirlenmiş meşru ve açık amaçlar doğrultusunda işlenmekte; bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde toplanmaktadır.

Aynı zamanda, kişisel veriler belirli bir amaç doğrultusunda toplanmakta; bu amacın ortadan kalkması halinde söz konusu veriler silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Verilerin gereksiz yere saklanmasının ve amacını aşan kullanımların önüne geçilerek, ilgili kişilerin mahremiyetinin korunmasına önem verilmektedir. Şirket, tüm kişisel veri işleme faaliyetlerini şeffaflık ve hesap verebilirlik ilkelerine uygun şekilde yürütmektedir.

2.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar

Şirket, kişisel veri işleme faaliyetlerini her zaman Kanun kapsamında geçerli bir hukuki sebebe dayanarak gerçekleştirmektedir. Örneğin, bir sözleşmenin kurulması veya ifası amacıyla kişisel verilerin işlenmesinin gerekli olduğu hallerde, ilgili kişinin adı, iletişim bilgileri ve ödeme bilgileri gibi veriler, sözleşmenin gereklerinin yerine getirilebilmesi için işlenebilmektedir. Bazı durumlarda ise kişisel verilerin işlenebilmesi için ilgili kişiden açık rıza alınması gerekmektedir.

Rızaya dayalı veri işleme söz konusu olduğunda, ilgili kişiler özgür iradeleriyle verdikleri bu rızayı istedikleri zaman geri alma hakkına sahiptir. Rızanın geri alınması yalnızca ileriye yönelik sonuç doğurmakta olup, geri çekilmeden önce gerçekleştirilen işlemler bu durumdan etkilenmemektedir ve hukuka aykırı hale gelmemektedir.

3. KİŞİSEL VERİLERİN AKTARILMASI

Şirket, kişisel verileri yalnızca Kanun’un izin verdiği sınırlar çerçevesinde üçüncü taraflarla paylaşmaktadır. Örneğin, yetkili kamu kurumları ya da düzenleyici otoriteler tarafından bilgi talep edilmesi durumunda, bu veriler sadece ilgili yasal yükümlülükler kapsamında aktarılmaktadır. Bu tür her veri aktarımında, veri güvenliğini sağlamak adına gerekli teknik ve idari önlemler alınmaktadır.

Kişisel veriler paylaşılırken, Şirket Kanun’da yer alan tüm kurallara uygun hareket etmekte ve veri güvenliğini sağlamak için gerekli idari ve teknik tedbirleri hayata geçirmektedir. Verilerin aktarıldığı ülkede yeterli düzeyde bir veri koruma standardı bulunmuyorsa, veri güvenliğinin diğer uygun güvencelerle sağlanmasına özen gösterilmektedir.

Kanun kapsamındaki ilgili kişilere ait kişisel veriler, 10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ile diğer ilgili mevzuat hükümlerine uygun şekilde, uygun güvenceler sağlanarak yurt dışına aktarılmaktadır. Bu aktarım sürecinde veri güvenliğinin sağlanması amacıyla gereken tüm teknik ve idari önlemler alınmaktadır.

4. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI

Kanun gereğince, ilgili kişilerin kişisel verilerinin işlenmesine ilişkin olarak aydınlatılmaları ve bilgilendirilmeleri zorunludur. Bu kapsamda, Şirket nezdinde kişisel veri işleme faaliyetinin yürütüldüğü her durumda, ilgili kişilerin aydınlatılmasını sağlamak üzere gerekli kurumsal yapı oluşturulmuştur.

İlgili kişiler, Kanun kapsamında kişisel verilerinin işlenmesine ilişkin çeşitli haklara sahiptir. Örneğin, ilgili kişi veri sorumlusuna başvurarak, hangi kişisel verilerinin hangi amaçlarla işlendiği konusunda bilgi talep etme hakkına sahiptir. Bu haklara dair ayrıntılı bilgilere Kanun’un 11. maddesinden ulaşılabilir.

İlgili kişilerin, Kanun’un 11. maddesi kapsamındaki taleplerini “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” doğrultusunda; yazılı olarak ya da kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza veya Şirket’e daha önce bildirdikleri ve sistemde kayıtlı bulunan elektronik posta adresi aracılığıyla iletmeleri gerekmektedir.

Başvurular, talebin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak işlemin ayrıca bir maliyet gerektirmesi durumunda, Kanun uyarınca ilgili kişiden ücret talep edilebilecektir.

Şirket, başvuru sürecinde öncelikle başvuruda bulunan kişinin gerçekten ilgili kişi olup olmadığını tespit etmektedir. Gerekli görülmesi halinde, talebin daha iyi anlaşılabilmesi amacıyla ek bilgi istenebilecektir.

İlgili kişi başvurularına verilen yanıtlar Şirket tarafından yazılı olarak veya elektronik ortamda iletilmektedir. Başvurunun reddedilmesi halinde, ret gerekçeleri ilgili kişiye açık bir şekilde bildirilecektir.

5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel verilerin saklanması süreçlerinde Kanun’a uygunluk gözetilmektedir. Verilere ilişkin olarak mevzuatta belirli bir saklama süresi öngörülmüş ise, bu süreye riayet edilmektedir. Kişisel verilerin hangi süre ile saklanacağına karar verilirken öncelikle bu yasal süreler dikkate alınmaktadır. Saklama süresine ilişkin yasal bir düzenleme bulunmaması hâlinde, kişisel veriler “ihtiyaç duyulan makul süre boyunca saklama" ilkesi doğrultusunda muhafaza edilmektedir. Bu sürenin sona ermesiyle birlikte, kişisel veriler silinmekte, yok edilmekte veya anonim hâle getirilmektedir.

Şirket nezdinde işlenmekte olan kişisel veriler bakımından, ilgili oldukları veri işleme faaliyeti esas alınarak azami saklama süreleri belirlenmiştir. Bahsi geçen azami süreler de dâhil olmak üzere, saklama ve imha süreçlerinin ne şekilde yürütüldüğüne ilişkin ayrıntılı bilgilere Kişisel Veri Saklama ve İmha Politikası’nda yer verilmektedir.

6. YÜRÜRLÜK VE DEĞİŞİKLİK

İşbu Politika, Şirket tarafından onaylanmak suretiyle yürürlüğe girmiştir. Şirket, yürürlükteki mevzuattaki değişiklikler doğrultusunda bu Politika üzerinde değişiklik yapma hakkını saklı tutar. Politikanın en güncel haline www.psmetrics.ai adresli Şirket internet sitesi üzerinden erişim sağlanabilir. Kanun hükümleri ile bu Politika arasında çelişki bulunması hâlinde, uygulanacak olan hüküm yürürlükteki Kanun hükümleri olacaktır.