GDPR Uyumu

Genel Veri Koruma Tüzüğü (GDPR) (AB) 2016/679, Avrupa Birliği ve Avrupa Ekonomik Alanı'ndaki bireyler için kişisel verilerin korunmasını düzenleyen birincil hukuki çerçevedir. Türkiye'de ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) eşdeğer bir çerçeve oluşturmaktadır. Meet2Be'nin işleticisi Pinet Bilişim A.Ş. ("biz", "bizim", "Şirket") olarak tüm veri işleme faaliyetlerinde hem GDPR hem de KVKK'ya tam uyum konusundaki kararlılığımız tamdır.

Bu sayfa; veri sorumlusu ve veri işleyen olarak üstlendiğimiz roller, dayandığımız hukuki gerekçeler, veri sahiplerinin hakları, teknik ve idari güvenlik tedbirlerimiz, alt işleyici çerçevemiz ve veri ihlali müdahale prosedürlerimiz dahil GDPR ve KVKK uyum çerçevemizi ayrıntılı biçimde açıklamaktadır.

2016 yılında yürürlüğe giren Türkiye'nin KVKK'sı, AB'nin 95/46/EC sayılı Veri Koruma Direktifi temel alınarak hazırlanmış ve GDPR ilkeleriyle büyük ölçüde örtüşmektedir. Her iki çerçeve de aynı temel ilkeleri paylaşır: hukuka uygunluk, dürüstlük ve şeffaflık; amaçla sınırlılık; veri minimizasyonu; doğruluk; saklama süreleriyle sınırlılık; bütünlük ve gizlilik; hesap verebilirlik.

Farklılık bulunan durumlarda her iki standarttan daha katı olanı uygularız. Bu yaklaşım, AB/AEA kullanıcılarının tam GDPR korumasından yararlanmasını, Türk kullanıcılar da dahil tüm kullanıcıların ise KVKK'dakine eşdeğer ya da daha kapsamlı haklardan faydalanmasını sağlar. Uyum programımız, farklı kullanıcı grupları için ayrı veri işleme süreçleri gerekmeksizin her iki çerçeveyi eş zamanlı karşılayacak şekilde tasarlanmıştır.

Türkiye'nin KVKK Kurumu'nun Avrupa Komisyonu'ndan yeterlilik kararı alma sürecini yakından takip etmekteyiz; gelişmelere göre uyum prosedürlerimizi güncellemeye devam edeceğiz. Sınır ötesi veri akışları için Standart Sözleşme Hükümleri (SCC'ler) halihazırda yürürlüktedir.

Meet2Be, veri işleme faaliyetinin niteliğine bağlı olarak GDPR ve KVKK kapsamında çift rol üstlenmektedir:

GDPR Madde 6 ve KVKK Madde 5 uyarınca, her veri işleme faaliyetinin hukuki bir dayanağı olması zorunludur. Her işleme faaliyetine uygulanabilir dayanağı, İşleme Faaliyetleri Kayıt Defteri'mizde (ROPA) belgeleriz. Mevcut altı dayanak ve bunların faaliyetlerimize uygulanma biçimleri şöyledir:

GDPR Madde 15–22 ve KVKK Madde 11 kapsamında, kişisel verileriniz üzerinde kapsamlı haklara sahipsiniz. Bu hakların bir kısmı mutlak, bir kısmı ise sınırlıdır (yasal istisnalara tabidir). Tüm hak başvurularını kimlik belgesiyle birlikte privacy@meet2be.com adresine iletiniz. 30 gün içinde yanıt verilir; karmaşık başvurularda bu süre, önceden bildirim yapılarak iki ay daha uzatılabilir.

Açıkça asılsız veya aşırı olmayan hak başvuruları için herhangi bir ücret talep etmeyiz. Kimliğinizi doğrulamak amacıyla yanıt süresini bir kez askıya alabiliriz. Bir başvuruyu reddedersek gerekçelerimizi ve denetim makamına başvurma hakkınızı açıklarız.

Küresel ölçekte faaliyet gösterdiğimizden, verileriniz AB yeterlilik kararı bulunmayan ülkeler de dahil Türkiye ve AEA dışındaki ülkelerde depolanabilir veya işlenebilir. Tüm uluslararası aktarımların GDPR V. Bölümü ve KVKK Madde 9 ile uyumunu aşağıdaki mekanizmalar aracılığıyla sağlarız:

Kişisel veri aktardığımız tüm üçüncü ülkelerin ve uygulanan aktarım mekanizmalarının güncel listesini tutmaktayız. Bu listeye privacy@meet2be.com adresi üzerinden talep üzerine ulaşabilirsiniz.

Etkinlik organizatörleri için veri işleyen sıfatıyla faaliyet gösterirken, platform üzerinden gönderilen kişisel verilere erişebilecek alt işleyicilerle çalışmaktayız. Tam ve güncel alt işleyici listemize privacy@meet2be.com adresinden ulaşabilirsiniz.

Tüm alt işleyiciler, DPA'mızdaki veri koruma yükümlülüklerine eşdeğer kısıtlamalar öngören yazılı alt işleme sözleşmesi kapsamında faaliyetlerini yürütmektedir (GDPR Madde 28/4). Tüm alt işleyiciler kullanıma alınmadan önce ve belirli aralıklarla gerekli incelemeden geçirilmektedir.

Alt işleyicilerde yapılması planlanan değişiklikler, itiraz imkânı tanımak amacıyla veri sorumlusu müşterilere (etkinlik organizatörleri) en az 30 gün öncesinden bildirilir. Müşterinin itiraz etmesi ve anlaşmazlığın çözüme kavuşturulamaması hâlinde, müşteri cezai şart ödenmeksizin ilgili hizmetleri sonlandırabilir.

GDPR Madde 25 ile tasarım ve varsayılan olarak veri koruma ilkesi çerçevesinde, sonradan düşünülen bir unsur olarak değil, başlangıçtan itibaren tüm sistem geliştirme, özellik tasarımı ve iş süreci faaliyetlerine veri koruma kaygılarını entegre ediyoruz.

Tasarım gereği gizlilik taahhütlerimiz şunları kapsar: her belirli amaç için yalnızca zorunlu asgari kişisel veriyi toplama (veri minimizasyonu); teknik açıdan mümkün olan durumlarda varsayılan olarak kişisel verilerin takma adlaştırılması ve şifrelenmesi; her amaç için yalnızca kesinlikle gerekli olan kişisel verilerin varsayılan olarak işlenmesi (varsayılan gizlilik); kişisel veri içeren yeni özellikler başlatılmadan önce gizlilik etki değerlendirmesi yapılması; GDPR Madde 30 gereğince tüm veri işleme faaliyetlerinin belgelenmiş kayıtlarının tutulması (ROPA).

Mühendislik uygulamalarımız; kişisel veriye dokunan özellikler için kod inceleme gerekliliklerini, gizlilik bilincine dayalı güvenlik testi protokollerini ve tüm mühendislik personeli için zorunlu veri koruma eğitimini kapsamaktadır.

GDPR Madde 35 uyarınca, gerçek kişilerin hak ve özgürlükleri açısından yüksek risk doğurma ihtimali taşıyan işlemeler başlamadan önce Veri Koruma Etki Değerlendirmesi (DPIA) yapılması zorunludur. Büyük ölçekli özel kategori veri işleme, önemli etkileri olan sistematik profil oluşturma, gizlilik sonuçları belirsiz yeni teknolojilerin kullanımı veya başka herhangi bir nedenle yüksek risk oluşturabilecek tüm yeni işleme faaliyetleri için DPIA yürütürüz.

Her DPIA; işlemenin ve amaçlarının tanımını, zorunluluk ve orantılılık değerlendirmesini, veri sahipleri üzerindeki risklerin tespitini ve bu riskleri gidermeye yönelik tedbirleri içerir. Bir DPIA'nın, teknik veya idari tedbirlerle giderilemeyen yüksek artık risk ortaya koyması hâlinde, işleme başlamadan önce ilgili denetim makamına danışılır (GDPR Madde 36).

DPIA belgeleri, işleme faaliyeti süresince ve sonrasında en az beş (5) yıl süreyle saklanır. İşlemenin niteliğinde, kapsamında, bağlamında veya amaçlarında değişiklik olması hâlinde DPIA'lar gözden geçirilir.

GDPR Madde 33 ve 34 ile KVKK gereklilikleriyle uyumlu, belgelenmiş bir Kişisel Veri İhlali Müdahale Prosedürü uygulamaktayız. Prosedürümüz, ihlallerin zamanında ve sistematik biçimde tespit edilmesini, kontrol altına alınmasını, değerlendirilmesini ve raporlanmasını güvence altına almaktadır.

İhlal bildirimleri şu bilgileri içerir: ihlalin niteliği; etkilenen veri sahibi kategorileri ve tahmini sayısı; muhtemel sonuçlar; ihlalin giderilmesi ve etkilerinin azaltılmasına yönelik alınan veya planlanan tedbirler. Denetim makamına bildirim yükümlülüğü olup olmaksızın tüm ihlaller, dahili ihlal kaydımıza işlenir.

Depolama sınırlılığı ilkesi (GDPR Madde 5/1-e; KVKK Madde 4/2-ç) gereğince, kişisel verileri yalnızca orijinal amaç ve varsa yasal yükümlülükler için gerekli olduğu süre boyunca saklarız. Veri saklama takvimimiz belgelenmiş olup yıllık olarak gözden geçirilmektedir.

Temel saklama süreleri: Hesap verileri — abonelik süresince ve sona ermesinden sonra 3 yıl boyunca saklanır; bu süre, olası anlaşmazlık veya taleplerin ele alınabilmesi için gereklidir. Finansal ve faturalama kayıtları — Vergi Usul Kanunu (VUK) gereği 10 yıl boyunca saklanır. Etkinlik ve katılımcı verileri — organizatörün aboneliği süresince saklanır ve aboneliğin sona ermesinden itibaren 90 gün içinde silinir; hesap kapatıldıktan sonra katılımcı verileri gerekenden daha uzun süre tutulmaz. Sunucu günlükleri — güvenlik amacıyla 90 gün boyunca saklanır. Pazarlama onayı kayıtları — rızanın geçerli olduğu süre boyunca ve sonrasında kanıt olarak 3 yıl daha saklanır.

Saklama süreleri dolduğunda kişisel veriler, endüstri standardı silme yöntemleriyle (şifreli veriler için üzerine yazma veya kriptografik silme) güvenli biçimde silinir ya da geri dönüşümsüz olarak anonimleştirilir. Kişisel verileri, geçerli saklama süresinin ötesinde kişinin tanımlanmasına imkân tanıyacak biçimde arşivlemeyiz.

GDPR Madde 32 ve KVKK Madde 12 kapsamında, teknik ilerlemeyi, uygulama maliyetlerini ve işlemenin niteliğini, kapsamını, bağlamını ve amaçlarını göz önünde bulundurarak uygun teknik ve idari tedbirler (TOM) uygularız. Mevcut TOM'larımız şunlardır:

• HSTS ve sertifika sabitleme ile TLS 1.2 veya üzeri kullanılarak iletim sırasındaki tüm kişisel verilerin şifrelenmesi.
• AES-256 kullanılarak depolanan hassas kişisel verilerin şifrelenmesi.
• İşleme amacı için tam kimlik belirlenmesinin gerekli olmadığı durumlarda kişisel verilerin takma adlaştırılması.
• Çalışanların yalnızca görevleri için gerekli kişisel verilere erişimini sağlayan rol tabanlı erişim denetimleri (RBAC).
• Kişisel veri içeren sistemlere tüm yönetimsel ve ayrıcalıklı erişimler için çok faktörlü kimlik doğrulama (MFA) zorunluluğu.
• Düzenli güvenlik açığı değerlendirmeleri, sızma testleri ve güvenlik kodu incelemeleri.
• Kişisel verilere yapılan tüm erişimlerin ve yapılan değişikliklerin kapsamlı denetim kaydının tutulması.
• Kişisel veriye erişimi olan tüm personel için yıllık zorunlu veri koruma eğitimi.
• Kişisel veri işleyen tüm tedarikçiler için resmi tedarikçi durum tespiti süreci.
• En az yılda bir kez masa başı tatbikatlarla test edilen olay müdahale planı.

Kişisel verilerinizin işlenmesinin yürürlükteki hukuku ihlal ettiğine inanıyorsanız, veri koruma denetim makamına şikayette bulunma hakkına sahipsiniz. Şikayetinizi, mutad ikametgahınızın, çalışma yerinizin veya iddia edilen ihlalin bulunduğu ülkedeki makama iletebilirsiniz.

Resmi bir şikayeti denetim makamına iletmeden önce lütfen önce bize privacy@meet2be.com adresinden ulaşınız. Mümkün olan durumlarda şikayetleri hızla ve gayri resmi yollarla çözmeye kararlıyız. Şikayetleri aldıktan sonra 5 iş günü içinde yanıt vereceğiz.