Kişisel Verilerin Korunması ve İşlenmesi Politikası
Son güncelleme: 15 Temmuz 2026
Politika sürümü: 1.0 Son güncelleme: 15 Temmuz 2026
1. Amaç ve kapsam
Bu politika, Gazioğlu Yazılım Anonim Şirketi tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili düzenlemelerle uyumlu, ölçülü ve denetlenebilir biçimde yönetilmesine ilişkin genel çerçeveyi belirler. Müşteriler, müşteri adayları, kullanıcılar, çalışan adayları, çalışanlar, tedarikçi/iş ortağı yetkilileri, ziyaretçiler ve diğer ilgili kişiler kapsamdadır.
2. Veri işleme ilkeleri
Şirket, kişisel verileri hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlarla; amaçla bağlantılı, sınırlı ve ölçülü şekilde işler. Veriler yalnızca ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre kadar muhafaza edilir.
3. İşleme şartının belirlenmesi
Her faaliyet için veri kategorisi, amaç, veri sahibi grubu, saklama süresi, alıcı grubu ve KVKK’nın 5. veya gerekiyorsa 6. maddesindeki işleme şartı belirlenir. Açık rıza, ancak başka bir işleme şartı bulunmadığında veya faaliyet niteliği gerektirdiğinde alınır; hizmetin ön şartı hâline getirilmez ve geri alma imkânı sağlanır. Aydınlatma ile açık rıza ayrı yürütülür.
4. Veri yaşam döngüsü
- Toplama: Yalnızca belirlenen amaç için gerekli alanlar istenir; gereksiz serbest metin ve dosya paylaşımı sınırlandırılır.
- Kullanım ve erişim: Erişimler görev ve rol ihtiyacına göre verilir; yönetici işlemleri ve güvenlik olayları kayıt altına alınır.
- Paylaşım: Alıcı ve amaç önceden belirlenir; hizmet sağlayıcılarla gizlilik, güvenlik ve silme yükümlülükleri düzenlenir.
- Saklama: Yasal süre, sözleşme ilişkisi, uyuşmazlık ihtimali ve operasyonel gereklilik birlikte değerlendirilir.
- İmha: İşleme şartı ortadan kalktığında veri güvenli biçimde silinir, yok edilir veya geri döndürülemeyecek şekilde anonimleştirilir.
5. Teknik ve idari güvenlik tedbirleri
- Rol ve yetki tabanlı erişim, güçlü parola özetleme, oturum güvenliği ve başarısız giriş kontrolleri,
- Hazırlanmış veritabanı sorguları, girdi doğrulama, CSRF ve dosya türü/boyutu kontrolleri,
- TLS/HTTPS, güvenlik başlıkları, olay ve işlem logları, yedekleme ve geri dönüş kontrolleri,
- Yetki kaldırma, tedarikçi değerlendirmesi, gizlilik taahhütleri ve gerektiğinde eğitim,
- İhlal şüphesinin kayıt altına alınması, etkisinin sınırlandırılması ve mevzuatın gerektirdiği bildirimlerin değerlendirilmesi.
Hiçbir teknik sistem mutlak güvenlik garantisi vermez. Tedbirler risk, teknoloji ve işleme faaliyetindeki değişikliklere göre düzenli olarak gözden geçirilir.
6. Aktarım ve yurt dışı aktarım
Aktarımlar veri minimizasyonu ve ihtiyaç kadar erişim ilkeleriyle yapılır. Barındırma, iletişim, destek, ödeme veya analiz sağlayıcıları kullanılmadan önce konum, alt işleyenler, sözleşme ve güvenlik koşulları incelenir. Yurt dışı aktarım varsa KVKK’nın 9. maddesine uygun aktarım mekanizması kurulmadan hizmet etkinleştirilmez.
7. Saklama ve imha yönetimi
Şirket, veri envanteriyle uyumlu bir saklama ve imha yaklaşımı uygular. Süreler, ilgili faaliyete uygulanan kanun, sözleşme ve zamanaşımı sürelerine göre belirlenir. Yedeklerde bulunan veriler de yedek döngüsü içinde erişime kapatılır ve güvenli silme planına tabi tutulur.
8. İlgili kişi başvuruları
Başvurular kimlik ve yetki doğrulaması yapılarak kaydedilir, ilgili sistemlerde araştırılır ve en geç 30 gün içinde yanıtlanır. Başvuru kanalları ve hakların ayrıntısı KVKK Aydınlatma Metninde açıklanmıştır.
9. Sorumluluk, denetim ve güncelleme
Veri işleyen birimler kendi süreçlerindeki doğruluk, erişim ve saklama kurallarından; sistem yöneticileri teknik kontrollerden; yönetim ise politika gözetiminden sorumludur. Yeni form, entegrasyon, sağlayıcı veya iş amacı devreye alınmadan önce mahremiyet etkisi değerlendirilir. Politika, mevzuat veya veri akışı değiştiğinde güncellenir ve güncel sürüm bu sayfada yayımlanır.