INFINITYQ İLERİ TEKNOLOJİ VE YAPAY ZEKA SİSTEMLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ (“INFINITYQ”)
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
INFINITYQ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI BİLGİ FORMU
Doküman İsmi:
InfinityQ Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”)
Hedef Kitle:
InfinityQ tarafından kişisel verileri işlenen tüm gerçek kişiler
Hazırlayan:
InfinityQ
Versiyon:
1.0
Yürürlük Tarihi:
13.04.2026
Politika’nın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metni dikkate alınmalıdır.
© INFINITYQ İLERİ TEKNOLOJİ VE YAPAY ZEKA SİSTEMLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ, 2026
İşbu belge InfinityQ’nun yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
İçindekiler
1. BÖLÜM 1 – GİRİŞ
1.1. GİRİŞ
INFINITYQ İLERİ TEKNOLOJİ VE YAPAY ZEKA SİSTEMLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ (“InfinityQ”) tarafından yürütülen faaliyetler kapsamında, kişisel verilerin korunması temel öncelikler arasında yer almaktadır. İşbu InfinityQ Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile; InfinityQ tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinde benimsenen ilke ve esaslar ile bu faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) hükümlerine uyumuna ilişkin temel prensipler açıklanmaktadır.
Bu çerçevede Politika’da, InfinityQ tarafından yürütülen kişisel veri işleme faaliyetlerine ilişkin detaylı bilgilere yer verilerek ilgili kişilerin bilgilendirilmesi ve gerekli şeffaflığın sağlanması amaçlanmaktadır. InfinityQ, bu sorumluluğun bilinciyle kişisel verileri işbu Politika kapsamında işlemekte ve korumaktadır.
1.2. KAPSAM
İşbu Politika, InfinityQ çalışanları dışında kalan ilgili kişilere ait olup; tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla InfinityQ tarafından işlenen tüm kişisel verileri kapsamaktadır. Söz konusu ilgili kişi gruplarına ilişkin detaylı bilgilere, işbu Politika’nın EK-2 (“İlgili Kişiler”) başlıklı ekinde yer verilmektedir.
1.3. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunmasına ilişkin yürürlükte bulunan kanuni düzenlemeler öncelikle uygulanacaktır. Yürürlükteki mevzuat hükümleri ile işbu Politika arasında herhangi bir uyumsuzluk bulunması halinde, InfinityQ ilgili mevzuat hükümlerinin esas alınacağını kabul etmektedir. İşbu Politika, yürürlükteki mevzuat tarafından ortaya konulan kural ve yükümlülüklerin, InfinityQ uygulamaları çerçevesinde somutlaştırılması ve uygulanmasına yönelik usul ve esasları düzenlemektedir.
1.4. POLİTİKA’NIN YÜRÜRLÜĞÜ
InfinityQ tarafından düzenlenen bu Politika 13.04.2026 tarihlidir.
Politika’nın tamamının veya herhangi bir bölümünün güncellenmesi halinde, güncel metnin yürürlük tarihi buna göre revize edilir. Politika, InfinityQ’in internet sitesinde yayımlanmakta olup, ayrıca ilgili kişilerin talebi üzerine erişimlerine sunulmaktadır.
2. BÖLÜM 2 – KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
InfinityQ, Kanun’un 12’nci maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere yetkisiz erişilmesini, aktarılmasını veya veri güvenliğini zedeleyebilecek her türlü riski önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, verilerin niteliğine uygun gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda InfinityQ, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan ilke kararları ve rehberler doğrultusunda, yeterli güvenlik seviyesini temin etmeye yönelik idari tedbirleri uygulamakta; gerekli denetimleri gerçekleştirmekte veya gerçekleştirilmesini sağlamaktadır.
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Hassas nitelikteki kişisel veriler, hukuka aykırı olarak işlenmeleri halinde ilgili kişiler bakımından mağduriyete veya ayrımcılığa yol açma riski taşıdığından, Kanun kapsamında özel bir korumaya tabi tutulmuştur. Bu doğrultuda, Kanun’un 6’ncı maddesi uyarınca “özel nitelikli kişisel veriler”; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile sağlık, cinsel hayat, biyometrik ve genetik veriler olarak tanımlanmıştır.
InfinityQ tarafından kişisel verilerin korunmasına yönelik olarak alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından ayrıca ve daha yüksek güvenlik standartları çerçevesinde uygulanmaktadır. Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararı’nda öngörülen yeterli önlemler, Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası’nda açıklanan esaslar doğrultusunda hayata geçirilmekte; bu çerçevede yürütülen faaliyetler InfinityQ bünyesinde gerçekleştirilen denetimler kapsamında düzenli olarak izlenmekte ve denetlenmektedir.
Özel nitelikli kişisel verilerin işlenmesine ilişkin detaylı açıklamalara işbu Politika’nın 3.3. maddesinde yer verilmiştir.
2.3. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
InfinityQ, kişisel verilerin hukuka aykırı olarak işlenmesini veya bu verilere yetkisiz erişilmesini önlemek ve kişisel verilerin güvenli şekilde muhafazasını sağlamak amacıyla, çalışanlar nezdinde farkındalığın artırılmasına yönelik olarak ilgili iş birimlerine düzenli eğitimler verilmesini sağlamaktadır. InfinityQ tarafından organize edilen eğitim ve farkındalık çalışmaları, Kişisel Verileri Koruma Kurulu tarafından resmî internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi” esas alınarak hazırlanmaktadır.
Gerçekleştirilen eğitimler ve farkındalık faaliyetleri ile, çalışanların görevlerini yerine getirirken yürüttükleri kişisel veri işleme faaliyetlerinin Kanun ve ilgili ikincil mevzuata uygun şekilde gerçekleştirilmesi amaçlanmaktadır. Bu kapsamda InfinityQ, mevcut çalışanlarının yanı sıra bünyesine yeni katılan çalışanların da kişisel verilerin korunmasına ilişkin farkındalık kazanmasını teminen gerekli sistemleri kurmakta; ihtiyaç duyulması halinde bu süreçlerde danışmanlardan destek almaktadır. Ayrıca, ilgili mevzuattaki güncellemeler dikkate alınarak eğitim, seminer ve bilgilendirme faaliyetlerine katılım değerlendirilmekte ve bu doğrultuda yeni eğitim programları düzenlenmektedir.
3. BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler InfinityQ’nun iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
InfinityQ, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
InfinityQ, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
InfinityQ, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
InfinityQ, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, InfinityQ öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişinin başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
3.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
İlgili kişinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
(i) İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
(ii) Kanunlarda Açıkça Öngörülmesi
İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(iv) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
(v) InfinityQ’in Hukuki Yükümlülüğünü Yerine Getirmesi
InfinityQ’nun hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(vi) İlgili Kişinin Kişisel Verisini Alenileştirmesi
İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
(vii) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(viii) InfinityQ’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla InfinityQ’nun meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel verilerin kural olarak işlenmesi yasaktır. Ancak, InfinityQ olarak işbu Politika’da belirtilen ilkelere uygun olmak suretiyle ve Kanun’un 6. maddesinde belirtilen aşağıdaki şartların varlığı halinde özel nitelikli kişisel veriler işlenmektedir:
(i) İlgili Kişinin Açık Rızasının Bulunması
Özel nitelikli kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan özel nitelikli kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir:
(ii) Kanunlarda Açıkça Öngörülmesi
İlgili kişinin özel nitelikli kişisel verileri, kanunda açıkça öngörülmekte ise, diğer bir ifade ile ilgili kanunda özel nitelikli kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için özel nitelikli kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(iv) İlgili Kişinin Özel Nitelikli Kişisel Verisini Alenileştirmesi
İlgili kişinin, özel nitelikli kişisel verisini kendi alenileştirme iradesine uygun olarak alenileştirmiş olması halinde, ilgili özel nitelikli kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
(v) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(vi) Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca İlgili Amaçlar Kapsamında İşlenmesinin Gerekli Olması
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması halinde ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(vii) İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alan Hukuki Yükümlülüklerin Yerine Getirilmesi İçin İşleme
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesinin zorunlu olması halinde, ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(viii) Siyasi, Felsefi, Dini veya Sendikal Amaçlarla Kurulan Vakıf, Dernek ve Diğer Kar Amacı Gütmeyen Kuruluş ya da Oluşumlara İlişkin Olarak İşleme
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumlar; tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta bulunan kişilere yönelik olarak ilgili kişinin özel nitelikli kişisel verilerini işleyebilecektir.
3.4. İLGİLİ KİŞİNİN AYDINLATILMASI
InfinityQ, ilgili kişilerin kişisel verilerinin elde edilmesi sırasında, Kanun 10. maddesine ve ikincil mevzuata uygun olarak kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ile işlenmesine ilişkin hukuki sebebi ve kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
3.5. KİŞİSEL VERİLERİN AKTARILMASI
InfinityQ, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, üçüncü gerçek kişilere) aktarabilmektedir. InfinityQ bu doğrultuda Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın EK 4 (“EK 4 – InfinityQ Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılması mümkündür.
3.5.1. Kişisel Verilerin Yurtiçinde Mukim Üçüncü Taraflara Aktarılması
Aşağıda belirtilen veri işleme şartlarından (“Veri İşleme Şartları”) bir ya da birkaçının mevcut olması halinde InfinityQ tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
· İlgili kişinin kişisel verilerinin yurt içinde mukim üçüncü kişilere aktarılmasına rıza vermesi,
· Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
· Kişisel verilerin InfinityQ tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
· Kişisel verilerin aktarılmasının InfinityQ’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde InfinityQ tarafından aktarılması,
· Kişisel verilerin InfinityQ tarafından aktarılmasının InfinityQ’nun veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla InfinityQ meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
3.5.2. Kişisel Verilerin Yurt Dışında Mukim Üçüncü Taraflara Aktarılması
InfinityQ tarafından kişisel verilerin yurt dışına aktarılması; Kanun’un 9. maddesine ve işbu Politika’da belirtilen ilkelere uygun bir biçimde, teknik ve idari tedbirler alınarak aşağıda açıklanan doğrultuda gerçekleştirilecektir:
(i) İlgili Ülke, Uluslararası Kuruluş veya Ülke İçerisindeki Sektörler Hakkında Verilmiş Yeterlilik Kararına Dayalı Aktarım
Kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında Kurul tarafından verilmiş bir yeterlilik kararı bulunması halinde InfinityQ tarafından yurt dışına aktarılabilecektir.
Yeterlilik kararı, Kurul tarafından verilmekte ve Resmî Gazete’de yayımlanmaktadır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü de alabilecektir. Yeterlilik kararı, en geç dört yılda bir değerlendirilmektedir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(ii) Uygun Güvencelere Dayalı Aktarım
Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde InfinityQ tarafından yurt dışına aktarılabilecektir:
· Kamu Kurum ve Kuruluşları veya Kamu Niteliğindeki Meslek Kuruluşları için Özel Aktarım Sebebi:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
· Bağlayıcı Şirket Kuralları:
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
· Standart Sözleşmeler:
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı ve Kurul’a bu standart sözleşme hakkında yasal süreler içerisinde bildirim yapılması.
· Taahhütname:
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(iii) Arızi Hallere Dayalı Aktarım
Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden birinin sağlanamaması halinde, arızi olmak kaydıyla aşağıdaki hallerden birinin varlığı halinde InfinityQ tarafından yurt dışına aktarılabilecektir:
· Muhtemel Risklere Yönelik Bilgilendirilmiş Özel Açık Rıza:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
· Sözleşmenin İfası ve Sözleşme Öncesi Tedbirlerin Uygulanması:
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
· İlgili Kişi Yararına Üçüncü Taraf Sözleşmeleri:
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
· Üstün Bir Kamu Yararı için Zorunluluk:
Aktarımın üstün bir kamu yararı için zorunlu olması.
· Hakkın Tesisi, Kullanılması veya Korunması:
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
· Fiili İmkânsızlık:
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
· Kamuya Açık Sicillerden Aktarım:
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
3.5.3. Özel Nitelikli Kişisel Verilerin Yurt İçinde Mukim Üçüncü Kişilere Aktarılması
Özel nitelikli kişisel verilerin kural olarak aktarılması yasaktır. Ancak, InfinityQ olarak işbu Politika’da belirtilen ilkelere uygun olmak suretiyle ve Kanun’un 6. maddesinde belirtilen aşağıdaki şartların varlığı halinde özel nitelikli kişisel veriler işlenmektedir:
(i) İlgili Kişinin Açık Rızasının Bulunması
Özel nitelikli kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan özel nitelikli kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir:
(ii) Kanunlarda Açıkça Öngörülmesi
İlgili kişinin özel nitelikli kişisel verileri, kanunda açıkça öngörülmekte ise, diğer bir ifade ile ilgili kanunda özel nitelikli kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için özel nitelikli kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(iv) İlgili Kişinin Özel Nitelikli Kişisel Verisini Alenileştirmesi
İlgili kişinin, özel nitelikli kişisel verisini kendi alenileştirme iradesine uygun olarak alenileştirmiş olması halinde, ilgili özel nitelikli kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
(v) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(vi) Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca İlgili Amaçlar Kapsamında İşlenmesinin Gerekli Olması
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması halinde ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(vii) İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alan Hukuki Yükümlülüklerin Yerine Getirilmesi İçin İşleme
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesinin zorunlu olması halinde, ilgili kişinin özel nitelikli kişisel verileri işlenebilecektir.
(viii) Siyasi, Felsefi, Dini veya Sendikal Amaçlarla Kurulan Vakıf, Dernek ve Diğer Kar Amacı Gütmeyen Kuruluş ya da Oluşumlara İlişkin Olarak İşleme
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumlar; tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta bulunan kişilere yönelik olarak ilgili kişinin özel nitelikli kişisel verilerini işleyebilecektir.
3.5.4. Özel Nitelikli Kişisel Verilerin Yurt Dışında Mukim Üçüncü Taraflara Aktarılması
InfinityQ tarafından özel nitelikli kişisel verilerin yurt dışına aktarılması; Kanun’un 9. maddesine ve işbu Politika’da belirtilen ilkelere uygun bir biçimde, teknik ve idari tedbirler alınarak aşağıda açıklanan doğrultuda gerçekleştirilecektir:
(i) İlgili Ülke, Uluslararası Kuruluş veya Ülke İçerisindeki Sektörler Hakkında Verilmiş Yeterlilik Kararına Dayalı Aktarım
Kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında Kurul tarafından verilmiş bir yeterlilik kararı bulunması halinde InfinityQ tarafından yurt dışına aktarılabilecektir.
Yeterlilik kararı, Kurul tarafından verilmekte ve Resmî Gazete’de yayımlanmaktadır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü de alabilecektir. Yeterlilik kararı, en geç dört yılda bir değerlendirilmektedir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(ii) Uygun Güvencelere Dayalı Aktarım
Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde InfinityQ tarafından yurt dışına aktarılabilecektir:
· Kamu Kurum ve Kuruluşları veya Kamu Niteliğindeki Meslek Kuruluşları için Özel Aktarım Sebebi : Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
· Bağlayıcı Şirket Kuralları:
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
· Standart Sözleşmeler:
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı ve Kurul’a bu standart sözleşme hakkında yasal süreler içerisinde bildirim yapılması.
· Taahhütname:
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(iii) Arızi Hallere Dayalı Aktarım
Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden birinin sağlanamaması halinde, arızi olmak kaydıyla aşağıdaki hallerden birinin varlığı halinde InfinityQ tarafından yurt dışına aktarılabilecektir:
· Muhtemel Risklere Yönelik Bilgilendirilmiş Özel Açık Rıza:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
· Sözleşmenin İfası ve Sözleşme Öncesi Tedbirlerin Uygulanması:
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
· İlgili Kişi Yararına Üçüncü Taraf Sözleşmeleri:
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
· Üstün Bir Kamu Yararı için Zorunluluk:
Aktarımın üstün bir kamu yararı için zorunlu olması.
· Hakkın Tesisi, Kullanılması veya Korunması:
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
· Fiili İmkânsızlık:
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
· Kamuya Açık Sicillerden Aktarım:
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
4. BÖLÜM 4 – INFINITYQ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
InfinityQ nezdinde, ilgili kişiler Kanun’un 10’uncu maddesi ve ilgili ikincil mevzuat hükümleri uyarınca bilgilendirilmekte; kişisel veriler, InfinityQ’nun belirlediği kişisel veri işleme amaçları doğrultusunda, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel veri işleme şartlarından en az birine dayanılarak ve bu şartlarla sınırlı olmak üzere işlenmektedir. Bu süreçlerde, başta Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler olmak üzere, Kanun’da öngörülen tüm ilkelere uygun hareket edilmektedir.
İşbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde işlenen kişisel veri kategorilerine ve bu kategorilere ilişkin detaylı bilgilere, Politika’nın EK – 3 (“Kişisel Veri Kategorileri”) başlıklı ekinden ulaşılabilmektedir.
Kişisel veri işleme amaçlarına ilişkin ayrıntılı açıklamalara ise Politika’nın EK – 1 (“Kişisel Veri İşleme Amaçları”) başlıklı ekinde yer verilmiştir.
5. BÖLÜM 5 – KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
InfinityQ, kişisel verileri; işlendikleri amaç için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen asgari saklama süreleriyle sınırlı olmak kaydıyla muhafaza etmektedir. Bu kapsamda, InfinityQ öncelikle ilgili mevzuatta kişisel verilerin saklanmasına ilişkin açık bir süre öngörülüp öngörülmediğini değerlendirmekte; mevzuatta belirlenmiş bir süre bulunması halinde kişisel verileri söz konusu süreye uygun şekilde saklamaktadır. Mevzuatta herhangi bir saklama süresi öngörülmemiş olması durumunda ise kişisel veriler, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.
InfinityQ tarafından işlenen kişisel veriler, kategori bazında ele alınmakta ve her bir kişisel veri kategorisi bakımından azami saklama süreleri belirlenmektedir. Belirlenen azami saklama sürelerinin sona ermesi halinde kişisel veriler; periyodik imha süreleri veya ilgili kişi başvuruları dikkate alınarak, uygun imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) kullanılarak imha edilmektedir.
6. BÖLÜM 6 – İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1. İLGİLİ KİŞİNİN HAKLARI
İlgili kişiler aşağıda yer alan haklara sahiptirler:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6.2. İLGİLİ KİŞİNİN HAKLARINI KULLANMASI
İlgili kişiler bölüm 6.1.’de (“İlgili Kişinin Hakları”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle InfinityQ’ya iletebileceklerdir. Bu doğrultuda InfinityQ’nun web sitesinden ulaşılabilecek “İlgili Kişi Başvuru Formu”ndan yararlanabileceklerdir.
6.3. INFINITYQ TARAFINDAN BAŞVURULARA CEVAP VERİLMESİ
InfinityQ, ilgili kişi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
İlgili kişinin, bölüm 6.1.’de (“İlgili Kişinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak InfinityQ’ya iletmesi durumunda, InfinityQ talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
EK 1 – Kişisel Veri İşleme Amaçları
|
AMAÇLAR |
|
· Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
|
· Bilgi Güvenliği Süreçlerinin Yürütülmesi |
|
· Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi |
|
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
|
· Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi |
|
· Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
|
· Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi |
|
· Denetim / Etik Faaliyetlerinin Yürütülmesi |
|
· Eğitim Faaliyetlerinin Yürütülmesi |
|
· Erişim Yetkilerinin Yürütülmesi |
|
· Faaliyetlerin Mevzuata Uygun Yürütülmesi |
|
· Finans ve Muhasebe İşlerinin Yürütülmesi |
|
· Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi |
|
· Fiziksel Mekân Güvenliğinin Temini |
|
· Görevlendirme Süreçlerinin Yürütülmesi |
|
· Hukuk İşlerinin Takibi ve Yürütülmesi |
|
· İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
|
· İletişim Faaliyetlerinin Yürütülmesi |
|
· İnsan Kaynakları Süreçlerinin Planlanması |
|
· İş Faaliyetlerinin Yürütülmesi / Denetimi |
|
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
|
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi |
|
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi |
|
· Lojistik Faaliyetlerinin Yürütülmesi |
|
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
|
· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
|
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi |
|
· Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi |
|
· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
|
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
|
· Organizasyon ve Etkinlik Yönetimi |
|
· Pazarlama Analiz Çalışmalarının Yürütülmesi |
|
· Performans Değerlendirme Süreçlerinin Yürütülmesi |
|
· Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
|
· Risk Yönetimi Süreçlerinin Yürütülmesi |
|
· Saklama ve Arşiv Faaliyetlerinin Yürütülmesi |
|
· Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi |
|
· Sözleşme Süreçlerinin Yürütülmesi |
|
· Sponsorluk Faaliyetlerinin Yürütülmesi |
|
· Stratejik Planlama Faaliyetlerinin Yürütülmesi |
|
· Talep / Şikayetlerin Takibi |
|
· Taşınır Mal ve Kaynakların Güvenliğinin Temini |
|
· Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi |
|
· Ücret Politikasının Yürütülmesi |
|
· Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
|
· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini |
|
· Yabancı Personel Çalışma ve Oturma İzni İşlemleri |
|
· Yatırım Süreçlerinin Yürütülmesi |
|
· Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi |
|
· Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi |
|
· Yönetim Faaliyetlerinin Yürütülmesi |
|
· Ziyaretçi Kayıtlarının Oluşturulması ve Takibi |
|
· Diğer |
EK 2 – İlgili Kişiler
|
İLGİLİ KİŞİ KATEGORİLERİ |
|
Çalışan |
|
Çalışan Adayı |
|
Stajyer |
|
Stajyer Adayı |
|
Hizmet Alıcı/Hizmet Alıcı Yetkilisi veya Çalışanı |
|
Hissedar/Ortak |
|
Potansiyel Hizmet Alıcısı / Hizmet Alıcısı Yetkilisi veya Çalışanı |
|
Hizmet Alıcısı Harici Üçüncü Kişiler |
|
Tedarikçi Yetkilisi / Çalışanı |
|
Ziyaretçi |
|
Diğer - İş Ortağı |
EK 3 – Kişisel Veri Kategorileri
|
KİŞİSEL VERİ KATEGORİLERİ |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
|
Kimlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu veriler (ad soyad, anne- baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hâli, nüfus cüzdanı seri sıra no, T.C. kimlik no gibi) |
|
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası gibi bilgiler |
|
Aile Bireyleri ve Yakın Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; InfinityQ tarafından yürütülen operasyonlar çerçevesinde, InfinityQ’nun ve ilgili kişinin hukuki menfaatlerini korumak amacıyla ilgili kişinin aile bireyleri (örn. eş, anne, baba, çocuk) ve yakınları hakkındaki bilgiler |
|
Müşteri İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; hizmetlerimizin kullanımına yönelik kayıtlar ile ilgili kişilerin hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler |
|
Fiziksel Mekân Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
|
İşlem Güvenliği Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hizmetlerimizin yürütülmesi sırasında teknik, idari, hukuki güvenliği sağlamak için işlenen kişisel veriler (örneğin log kayıtları) |
|
Finansal Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; InfinityQ ile çalışanları, tedarikçileri veya hizmet alıcıları arasındaki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
|
Mesleki Deneyim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen InfinityQ’ya yapılan iş başvuruları ve InfinityQ’nun insan kaynakları ihtiyaçları doğrultusunda işlenen özgeçmiş bilgileri, sertifikalar, eğitim katılım tutanakları gibi kişisel veriler |
|
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler gibi) |
|
Talep/Şikâyet Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; InfinityQ’ya yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
|
Görsel/İşitsel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fotoğraf ve kamera kayıtları, ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
|
Denetim ve Teftiş Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; InfinityQ’nun iç denetim faaliyetleri veya dış denetimler sırasında işlenen kişisel veriler |
|
Hukuki İşlem ve Uyum Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kanuni yükümlülüklerimiz ve InfinityQ’nun politikalarına uyum kapsamında işlenen kişisel veriler |
|
Sistem Bilgileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; IP adresi bilgileri, uygulamaya giriş ve çıkış logları, hata (crash) kayıtları, zaman damgaları ve sistemsel işlem güvenliğine ilişkin diğer kayıtlar. |
EK 4 – InfinityQ Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
InfinityQ tarafından, Kanun’un 8. ve 9. maddelerine uygun olarak elde edilen kişisel veriler, aşağıda sıralanan kişi kategorilerine aktarılabilir:
(i) İş Ortakları
(ii) Tedarikçiler
(iii) Kanunen Yetkili Özel Hukuk Kişileri
(iv) Kanunen Yetkili Kamu Kurum ve Kuruluşları
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
|
Veri Aktarımı Yapılabilecek Kişiler |
Tanımı |
Veri Aktarım Amacı |
|
İş Ortakları |
· InfinityQ’nun sunduğu hizmetlerin yürütülmesi sırasında iş birliği yapılan gerçek veya tüzel kişiler. · Mali, hukuki, finansal ve operasyonel süreçlerde hizmet alınan iş ortakları. · Çeşitli faaliyetlerin ifası amacıyla çalışılan hizmet sağlayıcılar. |
İş/çözüm ortaklığı ilişkisi kapsamında sağlanan hizmetlerin yerine getirilebilmesi için, iş birliği amacıyla sınırlı olarak kişisel verilerin paylaşılması. |
|
Tedarikçiler |
· InfinityQ’nun hizmet süreçlerini dış kaynak kullanımı ile yürüttüğü durumlarda; InfinityQ talimatlarıyla ve onun adına veri işleme faaliyeti yürüten hizmet sağlayıcı gerçek/tüzel kişiler. · Örn. bulut sistem sağlayıcıları, IT firmaları, yazılım-donanım hizmet sağlayıcıları, güvenlik firmaları. |
InfinityQ’nun faaliyetleri kapsamında dış kaynak yoluyla aldığı hizmetlerin sağlanması için, yalnızca ilgili hizmetin sunulmasıyla sınırlı şekilde kişisel verilerin aktarılması. |
|
Kanunen Yetkili Kamu Kurum ve Kuruluşları |
· İlgili mevzuat çerçevesinde InfinityQ’dan bilgi ve belge talep etmeye yetkili kamu otoriteleri. · Örn. Bakanlıklar, Vergi Dairesi, Mahkemeler, Savcılıklar, SGK, Ticaret Sicili Müdürlükleri. |
Kamu kurum ve kuruluşlarının hukuki yetkileri kapsamında talep ettikleri kişisel verilere ilişkin yükümlülüklerin yerine getirilmesi ve yalnızca ilgili talep ile sınırlı veri paylaşımı yapılması. |
|
Kanunen Yetkili Özel Hukuk Kişileri |
· Kanunla açıkça yetkilendirilmiş özel hukuk kişileri; faaliyet alanı hukuken belirlenmiş olan ve bu yetki çerçevesinde hareket eden kurum ve kuruluşlardır. · Örn. noterler, bağımsız denetim şirketleri, yetkili arabulucular, meslek kuruluşları. |
Bu kurumların yürütmekle yükümlü oldukları faaliyetler kapsamında gerekli olan kişisel verilerin, yalnızca ilgili süreç ile sınırlı olmak üzere paylaşılması. |