Bilgi Güvenliği Politikası

Indeks Grup Şirketleri Kişisel Verilerin Korunması Politikası

1. Kapsam

a. İşbu kişisel verilerin korunması politikasının (“Politika”) amacı, İNDEKS GRUP ŞİRKETLERİ (İndeks Bilgisayar Sistemleri Mühendislik Sanayi ve Ticaret Anonim Şirketi, Despec Bilgisayar Pazarlama ve Ticaret Anonim Şirketi, Neteks Teknoloji Ürünleri Anonim Şirketi, Datagate Bilgisayar Malzemeleri A.Ş., Teklos Teknoloji Lojistik Hizmetleri A.Ş.), bağlı şirketleri, iştirakleri ve hissedarlarının (“İndeks Grup Şirketleri”) üçüncü kişilerin kişisel verilerini, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) düzenlemeleri ile uyumlu olarak işlemesini sağlamaktır. Kanunun ihlali İndeks Grup Şirketleri tarafından ciddi bir şekilde ele alınacak olup, disiplin prosedürleri kapsamında değerlendirilecektir. Kanunun amaçları çerçevesinde, aşağıdaki tanımlar esas alınacaktır:

  1. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
  2. Kişisel Verilerin İşlenmesi: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
  3. Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
  4. Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan herhangi bir gerçek veya tüzel kişiyi;
  5. Veri İşleyen: İndeks Grup Şirketleri tarafından verilen yetkiye dayanarak onun adına Kişisel Verileri işleyen üçüncü bir gerçek veya tüzel kişiyi;
  6. Veri Sahibi: Kişisel Verileri işlenen gerçek kişiyi;
  7. Veri Kayıt Sistemi: İndeks Grup Şirketleri tarafından kullanılan Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;
  8. Kurul: Kişisel Verileri Koruma Kurulunu;
  9. Kurum: Kişisel Verileri Koruma Kurumunu;
  10. Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade etmektedir.

b. İşbu Politika ile İndeks Grup Şirketleri, Veri Sahibini bilgilendirmeyi amaçlamaktadır ve içeriği aşağıdaki şekildedir:

  1. İndeks Grup Şirketleri tarafından toplanan Kişisel Verilerin içerik ve kategorileri; kullanılış ve aktarım seçenekleri;
  2. Kişisel Verilerin işleniş biçimleri;
  3. Kişisel Verilerin muhafaza edilme biçimleri;
  4. Kişisel Veri Sahiplerinin hakları;
  5. Kişisel Verilerin korunmasına ilişkin alınan önlemler;

2. Kişisel Verinin İşlenmesine Dair Esaslar

a. İndeks Grup Şirketleri’nin amacı, ticaret sicillerinde belirtilmiş olan amaçların bütünüdür.

b. İndeks Grup Şirketleri’nin, amacı ile ilişkili olarak, müşterileri, çalışanları, bayileri ve yetkililerinden toplanabilecek ve işlenebilecek Kişisel Veriler aşağıda sıralanır ve bu liste İndeks Grup Şirketleri’nin amaçları doğrultusunda genişletilebilir:

  1. Nüfus cüzdanı, sürücü belgesi, pasaport, ikametgâh, nüfus kayıt örneği, evlilik cüzdanı vb. kimlik belgeleri ve bunların örnekleri;
  2. Sağlık raporları, kan grubu karneleri vb. gibi sağlık bilgileri;
  3. Toplantı, seminer vb. gibi etkinliklerde çekilen fotoğraf ve video kayıtları;
  4. Güvenlik nedeniyle çekilen fotoğraf ve video kayıtları;
  5. Telefon numarası, elektronik posta adresi bilgileri;
  6. Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili, sabıka kaydı dâhil olmak üzere çeşitli bilgileri;
  7. Veri sahibinin imzasını tasdik eder nitelikte herhangi bir resmi belge;

c. İndeks Grup Şirketleri, ticari ortaklar için; KVKK md. 5(2)(c)’de düzenlenen istisnalar hariç olmak kaydıyla, Kişisel Verileri sadece aşağıda belirtilen amaç ve dayanaklar çerçevesinde işleyeceğini taahhüt etmektedir;

  1. Daha önceden elde edilmiş verilerin ileriki işlemlerde kullanılması;
  2. Ticari uyuşmazlıkların çözümü;
  3. Zaman kazanılması;
  4. Veri güvenliğinin temini amacıyla verilerin yurtdışı veya yurtiçi serverlara aktarılması;
  5. Verilerin yedeklenmesi;
  6. Dış ve iç denetim, muhasebe, vergi danışmanlığı;
  7. İç veri aktarımının yürütülmesi;
  8. IT, tercüme, hukuki danışmanlık hizmeti;
  9. Geleceğe dönük planlama;
  10. İstatistik tutulması;
  11. Geçmiş çalışmaların takibi;
  12. İş yerinde düzen ve kontrol, yönetim, uyumun sağlanması;
  13. Ofis etkinliklerinden edinilen verilerin arşivlenmesi;
  14. İşe alım sürecinin işleyişinin kolaylaştırılması;
  15. Eğitim seminerlerinin düzenlenmesi;
  16. Müşteri memnuniyeti, kalite kontrol;
  17. WİFİ hizmeti verilebilmesi,
  18. Pazarlama, yeni ürün ve hizmetlerin geliştirilmesi,
  19. Ulusal ve dini bayram ve özel günlerde tebrik mesaj ve e-postaların gönderilmesi,
  20. Sanal Pos ile tahsilat yapılması.

3. Veri Toplama Yöntemi

İndeks Grup Şirketleri, Kişisel Verileri aşağıdaki belirtilen yöntemler ile toplayacaktır:

  1. Elektronik posta;
  2. Faks;
  3. Telefon;
  4. SMS;
  5. Posta;
  6. Kurye;
  7. İndeks Grup Şirketleri’nin internet sitesi ve sosyal medya hesapları;
  8. Sanal Ortamlar;
  9. Elden teslim.

4. İşleme ve Aktarım İzni

a. Yurtiçinde İşleme ve Aktarım:

İndeks Grup Şirketleri’nin ilgili kişilerin Kişisel Verilerinin yurtiçinde işlenmesi ve üçüncü gerçek ve tüzel kişilere aktarımı ilgili kişinin açık rızası ile mümkün olup açık rıza yoksa ancak aşağıdaki şartların varlığında gerçekleşecektir:

  1. Kanunlarda açıkça öngörülmesi;
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması;
  4. İndeks Grup Şirketleri’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması;
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İndeks Grup Şirketleri ve/ veya diğer Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

b. Özel Nitelikli Kişisel Verilerin İşleme ve Aktarımı:

  1. İndeks Grup Şirketleri özel nitelikli Kişisel Verileri ancak Veri Sahibinin açık rızası ile işleyip yurtiçinde aktarabilir.
  2. Sağlık ve cinsel hayata ilişkin olmayan Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
  3. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

c. Yurtdışında Kişisel Veri İşleme ve Aktarım:

  1. İndeks Grup Şirketleri ancak Veri Sahiplerinin açık rızası ile Kişisel Verileri yurtdışında işleyebilir ve aktarabilir.
  2. İndeks Grup Şirketleri yukarıda 4.a ve 4.b’de belirtilen şartların mevcudiyeti halinde Veri Sahibinin açık rızası olmaksızın Kişisel Verileri yurt dışına aktarabilir ve bunlara ek olarak;
    • Kişisel Verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması;
    • Yeterli korumanın bulunmaması durumunda İndeks Grup Şirketleri’nin ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde İndeks Grup Şirketleri Kişisel Verileri yurt dışına aktarabilir.
  3. Uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili Veri Sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, İndeks Grup Şirketleri’nin ancak ilgili kamu kurum veya kuruluşunun görüşünü alarak Kurulun izniyle yurt dışına aktarılabilir.

5. Kişisel Verilerin Güvenliği

a. İndeks Grup Şirketleri, Kişisel Verilerin güvenliğini aşağıdaki amaçları gerçekleştirmek için sağlayacak ve işbu amaçları sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacaktır:

  1. Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek;
  2. Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek;
  3. Kişisel Verilerin muhafazasını sağlamak.

b. İndeks Grup Şirketleri, Kişisel Verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu Politikanın 5.a bölümünde belirtilen tedbirlerin alınması hususunda bu diğer Veri İşleyenlerle birlikte müştereken sorumludur.

c. İndeks Grup Şirketleri, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

d. İndeks Grup Şirketleri ile Veri İşleyenler, öğrendikleri Kişisel Verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevlerinin sona ermesinden sonra da devam eder.

e. İşlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, İndeks Grup Şirketleri bu durumu 72 saat içerisinde Veri Sahibine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

6. Veri Sahibinin Hakları

a. Herkes İndeks Grup Şirketleri’ne başvurarak kendisiyle ilgili aşağıdaki haklara sahiptir.

  1. Kişisel Verilerinin işlenip işlenmediğini öğrenme;
  2. Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme;
  3. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
  4. Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme;
  5. Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme;
  6. Kanunun 7. maddesi çerçevesinde Kişisel Verilerin silinmesini veya yok edilmesini isteme;
  7. 6.a.v ve 6.a.vi bölümleri uyarınca yapılan işlemlerin, Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  8. İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle Veri Sahibinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ve
  9. Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

b. 6.a’da belirtilen hakların kullanılması için Kişiler Verilere ilişkin olarak ilgili kişilerin kimliklerinin tespitini sağlayacak bilgiler ile birlikte söz konusu taleplerin aşağıdaki iletişim yollarıyla web sitemizden ulaşılabilecek Başvuru Formu doldurulup imzalanarak yazılı şekilde iletilmesi gerekmektedir:

  1. Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden, iadeli taahhütlü posta veya noter aracılığı ile Ayazağa Mah. Mimar Sinan Sok. No:21 Seba Office Boulevard, D Blok Kat:1 No:11 Sarıyer İstanbul adresine iletilmesi,
  2. Başvuru formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun indeks@hs05.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi.
  3. Başvuru formu doldurulup mobil imza ya da ilgili kişi tarafından İndeks Grup Şirketleri’ne daha önce bildirilen ve İndeks Grup Şirketleri’nin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle kvkbasvuru@index.com.tr e-mail adresine elektronik posta ile gönderilmesi.

7. Kişisel Verilerin Doğru ve Güncel Olarak Muhafaza Edilmesine İlişkin Önlemler

İndeks Grup Şirketleri, Kişisel Verileri aşağıdaki yöntemler dâhilinde doğru ve güncel olarak muhafaza etmektedir:

  1. Günlük yedeklemeler;
  2. Firewall;
  3. Antivirüs programları;
  4. Sanal ortam erişiminde şifreleme sistemleri ve yetkilerde kısıtlamalar;
  5. Oda ve dolaplara kartlı, anahtarlı ve şifreli giriş sistemleri
  6. Gizlilik sözleşmeleri ve gizlilik taahhütnameleri.
  7. Felaket kurtarma senaryosu amaçlı farklı fiziksel lokasyonda yedeklemeler

8. Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler

İndeks Grup Şirketleri, işbu Politikada faaliyetlerin gerektirdiği ölçüde veya yasal açıdan gerekli olan değişiklikleri yapabilir. Söz konusu değişikliğe uğramış olan Politika metninin www.indexgrup.com sitesinde paylaşılması ile birlikte geçerlilik kazanacaktır. İndeks Grup Şirketleri ayrıca, müşterilere, çalışanlara, yetkililere ve ilgililere, yapılacak değişikliklerle ilgili elektronik posta yoluyla bildirimde bulunacaktır.



BAŞVURU FORMUNU İNDİR