SİNERJİ GRUP ENDÜSTRİ OTOMASYON TİC. VE SAN. LTD. ŞTİ. GİZLİLİK POLİTİKASI (VERİ GÜVENLİĞİ VE GENEL EKOSİSTEM KURALLARI)
İşbu Gizlilik Politikası, Sinerji Grup Endüstri Otomasyon Tic. ve San. Ltd. Şti. nezdinde yürütülen kişisel veri işleme faaliyetlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine tam uyumunun sağlanması amacıyla hazırlanmıştır.
Bu politika, aydınlatma yükümlülüğünün açık rızadan bağımsız ve ayrı olarak yerine getirilmesi zorunluluğuna dayanarak, kullanıcıları şeffaf bir şekilde bilgilendirmeyi hedefler. İşbu metin, hiçbir surette bir açık rıza beyanı yerine geçmemekte olup, yasal mevzuat uyarınca yalnızca bilgilendirme amacı taşımaktadır. Sinerji Grup, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve 6102 sayılı Türk Ticaret Kanunu çerçevesinde ticari dürüstlük ve şeffaflık ilkelerini tüm dijital ekosisteminde temel almaktadır.
Sinerji Grup, kişisel verileri 6698 sayılı Kanun madde 4 kapsamında hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla işler. Özellikle verilerin doğru ve gerektiğinde güncel tutulması ilkesine azami özen gösterilir.
Kişisel Verileri Koruma Kurulu’nun 12.01.2023 tarihli ve 2023/67 sayılı kararında vurgulanan “veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği” ilkesi gereğince, kullanıcılarımızın verilerini güncelleyebilecekleri altyapılar web sitemizde kesintisiz olarak sunulmaktadır. Aynı kararda emredilen “veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına” hükmü uyarınca, Sinerji Grup sistemlerine kayıt aşamasında iletişim bilgilerinin doğruluğunu teyit etmek amacıyla e-posta ve SMS doğrulama kodları gibi proaktif güvenlik mekanizmaları işletilmektedir.
Sinerji Grup, dijital altyapısında işlenen kişisel verilerin güvenliğini sağlamak için en üst düzeyde koruma kalkanları inşa etmiştir. Anayasa Mahkemesi’nin 12.10.2023 tarihli ve B. 2020/7518 başvuru numaralı kararında hüküm altına alınan “6698 sayılı Kanun gereğince veri sorumlusu […] gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” kuralı, şirketimizin siber güvenlik politikasının temelini oluşturur.
Kişisel Verileri Koruma Kurulu’nun 26.07.2018 tarihli ve 2018/91 sayılı kararında veri sorumlularının “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” açıkça belirtilmiştir. Bu yasal zorunluluk doğrultusunda şirketimiz aşağıdaki tedbirleri tavizsiz bir şekilde uygular:
A) Risk Analizi ve Şifreleme:
Kişisel Verileri Koruma Kurulu’nun 16.06.2020 tarihli ve 2020/465 sayılı kararında belirtilen “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin… belirlenerek buna uygun tedbirlerin alınması gerekmektedir” prensibi uyarınca, şirketimiz periyodik risk analizleri gerçekleştirir. Sistemlerimizde Kişisel Verileri Koruma Kurulu’nun 25.03.2021 tarihli ve 2021/311 sayılı kararında işaret edilen “şifreleme ve veri maskeleme” yöntemleri aktif olarak kullanılmaktadır. Ayrıca Kişisel Verileri Koruma Kurulu’nun 30.06.2020 tarihli ve 2020/511 sayılı kararı ışığında, “elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerekirken” kuralına tam uyum sağlanarak veriler kriptografik olarak güvence altına alınır.
B) Sızma Testleri ve Sistem Denetimi:
Siber saldırılara karşı ağ güvenliğimiz, Kişisel Verileri Koruma Kurulu’nun 16.06.2020 tarihli ve 2020/463 sayılı kararında emredilen “…güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir…” standartlarına göre yönetilmektedir. Web uygulama güvenlik duvarları ve iki faktörlü kimlik doğrulama sistemleri tüm erişim noktalarında zorunlu tutulmuştur.
C) Veri Yedekleme Stratejisi:
Fidye yazılımları ve veri kaybı risklerine karşı, Kişisel Verileri Koruma Kurulu’nun 16.06.2020 tarihli ve 2020/463 sayılı kararında yer alan “…veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi önerilmektedir. Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir…” talimatları doğrultusunda çevrimdışı ve izole yedekleme protokolleri uygulanır.
D) Erişim Yetkileri ve Personel Eğitimi:
Kurum içi erişim yetkilendirmeleri, Kişisel Verileri Koruma Kurulu’nun 04.03.2021 tarihli ve 2021/190 sayılı kararında altı çizilen “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” kuralı çerçevesinde en aza indirilmiş yetki modeliyle kurgulanmıştır. Personelimiz, Kişisel Verileri Koruma Kurulu’nun 05.05.2020 tarihli ve 2020/345 sayılı kararındaki “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” uyarısı gereği düzenli siber güvenlik ve mahremiyet eğitimlerine tabi tutulmaktadır.
E) Veri İşleyenler ile İlişkiler ve Müşterek Sorumluluk
Sinerji Grup, hizmet aldığı üçüncü taraf veri işleyenlerle olan ilişkilerini 6698 sayılı Kanun madde 12 fıkra 2 kapsamında sıkı denetim kurallarına bağlamıştır. İstanbul 4. Asliye Ticaret Mahkemesi’nin 14.06.2023 tarihli, E. 2022/100 ve K. 2023/534 sayılı kararında tespit edilen “Kişisel verilerin hukuka aykırı olarak işlenmesini, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik önlemlerini almak ve her türlü teknik ve idari tedbirleri uygulamak kural olarak veri sorumlusunun yükümlülüğüdür. Kişisel verilerin veri sorumlusu tarafından değil de üçüncü bir kişi tarafından veri sorumlusu adına işleyen veri işleyenin varlığı halinde ise veri sorumlusu (…) ve veri işleyen (…) ilgili yasal yükümlülükler bakımından birlikte müştereken sorumludur.” içtihadı uyarınca, iş ortaklarımızın güvenlik altyapıları şirketimizce sürekli denetlenmektedir.
Kişisel Verileri Koruma Kurulu’nun 16.06.2020 tarihli ve 2020/466 sayılı kararında emredilen “…veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” kuralı gereği, hizmet alınan bulut bilişim, sunucu ve altyapı sağlayıcıları ile imzalanan sözleşmelerde üst düzey güvenlik taahhütleri zorunlu kılınmıştır.
Kişisel verileriniz, 6698 sayılı Kanun madde 7 kapsamında, işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Kişisel Verileri Koruma Kurulu’nun 26.07.2018 tarihli ve 2018/91 sayılı kararında ifade edilen “işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” kuralı, şirketimizin saklama ve imha politikasının temelidir.
Ayrıca, veri işleyen konumundaki iş ortaklarımız için de İstanbul 4. Asliye Ticaret Mahkemesi’nin 14.06.2023 tarihli, E. 2022/100 ve K. 2023/534 sayılı kararında belirtilen “davalının ise uhdesinde bulunan davalının müşterilerine ait kişisel verileri sözleşmenin hitamında veya meşru sebebin ortadan kalkmasını takiben, talebe bağlı olmaksızın silmesi ve bu silme işlemini gösterir ilgili imha raporlarını ve benzeri kayıtları elinde bulundurması ve gerektiğinde ibraz edebilmesi gereklidir” yükümlülüğü katı bir şekilde uygulanır ve imha süreçleri raporlanarak kayıt altına alınır.
Sinerji Grup, kullandığı üçüncü taraf analitik servisleri ve bulut altyapıları kapsamında gerçekleşebilecek sınır ötesi veri aktarımlarında 6698 sayılı Kanun madde 9 hükümlerine titizlikle uyar. Kişisel Verileri Koruma Kurulu’nun 17.03.2022 tarihli ve 2022/249 sayılı kararında açıkça belirtilen “kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağının” kuralı gereğince, aktarım için ilgili kişilerden aktif onaylı açık rıza alınır veya ilgili kararda geçen “Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması” şartları eksiksiz olarak yerine getirilir.
Alınan tüm teknolojik ve idari tedbirlere rağmen bir veri ihlali gerçekleşmesi durumunda, şirketimiz Anayasa Mahkemesi’nin 12.10.2023 tarihli ve B. 2020/7518 başvuru numaralı kararında vurgulanan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” kuralına riayet eder. 6698 sayılı Kanun madde 12 fıkra 5 uyarınca, ihlalin tespiti anından itibaren yasal süre olan yetmiş iki saat içerisinde Kişisel Verileri Koruma Kuruluna ve etkilenen ilgili kişilere şeffaf, hızlı ve eksiksiz bir bildirim süreci işletilir.
6698 sayılı Kanun madde 11 uyarınca ilgili kişiler, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme ve silinmesini talep etme haklarına sahiptir.
Bu hakların kullanılabilmesi için web sitemizde özel olarak tasarlanmış Veri Sahibi Başvuru Formu bulunmaktadır. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca şirketimize iletilen talepler, niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır.
Sinerji Grup, 6102 sayılı Türk Ticaret Kanunu madde 1524 uyarınca yayınlamakla yükümlü olduğu kurumsal ve ticari bilgilere web sitesindeki Bilgi Toplumu Hizmetleri sekmesi üzerinden kesintisiz erişim sağlar. Ayrıca, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca ticari elektronik ileti gönderimleri, yalnızca İleti Yönetim Sistemi üzerinden doğrulanabilir ve özgür iradeye dayalı aktif onay mekanizmaları ile gerçekleştirilir. Web sitemizde kullanılan çerezler, zorunlu olanlar hariç olmak üzere, zımni onay veya önceden işaretlenmiş kutucuklar reddedilerek, tamamen kullanıcıların aktif tercihleri doğrultusunda Çerez Aydınlatma Metni ve yönetim paneli üzerinden idare edilmektedir.
English 
Türkçe