Gizlilik Politikası
1. Amaç ve Kapsam
İşbu Gizlilik Politikası; DEKA tarafından işletilen dekaanaliz.com internet sitesinde sunulan istatistik, makine öğrenmesi ve tıbbi görüntü analizi danışmanlık hizmetleri çerçevesinde toplanan kişisel verilerin işlenme esaslarını düzenlemektedir. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili ikincil mevzuat hükümleri esas alınarak hazırlanmıştır.
Politika, DEKA KVKK Aydınlatma Metni ve Çerez Politikası ile birlikte uygulanır.
Kişisel verilerin işlenmesine ilişkin veri sorumlusunun kimliği, hukuki sebepler ve KVKK kapsamındaki başvuru yöntemleri, KVKK Aydınlatma Metni'nde ayrıntılı olarak açıklanır. İşbu Politika, taraflar arasında imzalanabilecek bir Gizlilik Sözleşmesi'nin (NDA) yerine geçmez.
2. İşlenen Kişisel Veri Kategorileri
DEKA tarafından işlenen kişisel veriler, iki ana kanal aracılığıyla elde edilmektedir.
2.1. Platform Üzerinden Toplanan Veriler
Platform üzerinden Kullanıcı tarafından doğrudan iletilen ad ve soyad, e-posta adresi ve telefon numarası gibi kimlik ve iletişim bilgileri ile çalışma türü, veri durumu ve serbest metin biçimindeki talep içerikleri kayıt altına alınır.
Bunlara ek olarak Kullanıcının platformu ziyareti sırasında otomatik olarak işlenen IP adresi, tarayıcı bilgisi, cihaz bilgisi, ziyaret zamanı ve benzeri teknik kayıtlar; platform güvenliğinin, hizmet sürekliliğinin ve sistem bütünlüğünün sağlanması amacıyla sınırlı süreyle saklanabilir.
2.2. Danışmanlık İlişkisi Kapsamında İşlenen Veriler
Danışmanlık sözleşmesinin imzalanmasını takiben danışan araştırmacının kurum, unvan, akademik bağ ve çalışma alanı gibi mesleki bilgileri ile analize teslim ettiği proje verileri işlenebilir.
Danışmanlık ilişkisinin kurulması ve yürütülmesi kapsamında; sözleşme bilgileri, fatura bilgileri, adres, vergi kimlik numarası veya vergi dairesi bilgileri ile ödeme ve işlem kayıtları, uygulanabilir olduğu ölçüde işlenebilir.
Tıbbi araştırmalar kapsamında sağlık verileri yalnızca KVKK anlamında anonim hâle getirilmiş biçimde teslim alınır. Kodlama, takma ad kullanımı, rumuzlama veya doğrudan kimlik bilgilerinin kaldırılması; verilerin başka bilgilerle yeniden ilişkilendirilmesinin mümkün olduğu durumlarda tek başına anonimleştirme olarak kabul edilmez.
DEKA, kimliği belirli veya belirlenebilir gerçek kişilere ait özel nitelikli kişisel verileri danışandan talep etmez. Kişiyi tanımlamaya veya yeniden tanımlamaya imkân veren tüm alanların, proje verileri DEKA'ya iletilmeden önce danışan araştırmacı tarafından geri döndürülemeyecek biçimde anonim hâle getirilmesi gerekir. Anonim olmayan özel nitelikli kişisel verilerin DEKA tarafından işlenmesi öngörülmemektedir.
Genel iletişim formu, standart elektronik posta veya mesajlaşma uygulamaları aracılığıyla kimliği belirli ya da belirlenebilir hastalara veya araştırma katılımcılarına ait sağlık, genetik, biyometrik ya da diğer özel nitelikli kişisel veriler gönderilmemelidir.
3. Toplama Yöntemleri ve Hukuki Sebepler
Kişisel veriler; platformdaki iletişim formu, elektronik posta, telefon, mesajlaşma uygulamaları, sözleşmeler, mali belgeler ve danışmanlık sürecinde kullanılan iletişim kanalları aracılığıyla otomatik, kısmen otomatik veya bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplanabilir.
Kişisel veri işleme faaliyetlerinin dayandığı hukuki sebepler, kişisel veriler bakımından KVKK m.5 hükümleri çerçevesinde belirlenir.
| Faaliyet | Hukuki Sebep |
|---|---|
| Platform iletişim formu, elektronik posta, telefon veya mesajlaşma uygulamaları üzerinden iletilen taleplerin değerlendirilmesi | KVKK m.5/2 (c): Sözleşmenin kurulmasıyla doğrudan ilgili olması; KVKK m.5/2 (f): Veri sorumlusunun meşru menfaati |
| Danışmanlık sözleşmesinin kurulması, yürütülmesi, proje yönetimi ve teslim süreçleri | KVKK m.5/2 (c): Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması |
| Faturalama, muhasebe ve zorunlu yasal kayıtların tutulması | KVKK m.5/2 (ç): Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi |
| Hakların tesisi, kullanılması veya korunması ile olası uyuşmazlıkların yönetilmesi | KVKK m.5/2 (e): Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
| Platform teknik kayıtlarının tutulması ve bilgi güvenliğinin sağlanması | KVKK m.5/2 (f): Veri sorumlusunun meşru menfaati |
| Hizmet süreçlerinin ölçülmesi ve iyileştirilmesi | İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla KVKK m.5/2 (f): Veri sorumlusunun meşru menfaati |
Özel nitelikli kişisel veriler bakımından herhangi bir işleme faaliyetinin gündeme gelmesi hâlinde, söz konusu işleme faaliyeti yalnızca KVKK m.6'da öngörülen işleme şartlarından birinin mevcut olması ve özel nitelikli kişisel verilerin korunmasına yönelik gerekli teknik ve idari tedbirlerin alınması koşuluyla yürütülebilir. DEKA'nın olağan faaliyetleri kapsamında anonim olmayan özel nitelikli kişisel verilerin işlenmesi öngörülmemektedir.
Açık rıza gerektiren işleme faaliyetleri bakımından Kullanıcıdan ayrıca yazılı veya elektronik ortamda açık rıza beyanı alınır. Açık rıza dışında geçerli bir kişisel veri işleme şartının bulunduğu durumlarda, ilgili işleme faaliyeti açık rızaya dayandırılmaz.
Gerçek anlamda anonim hâle getirilmiş ve herhangi bir gerçek kişiyle ilişkilendirilmesi mümkün olmayan proje verileri, kişisel veri niteliğinde değildir.
4. İşleme Amaçları
Kişisel veriler, KVKK m.4'te belirtilen genel ilkelere uygun olarak ve aşağıdaki amaçların yerine getirilmesi için işlenir:
- Ön görüşme talebinin değerlendirilmesi, Kullanıcıya geri dönüş yapılması ve hizmet teklifi hazırlanması,
- Danışmanlık sözleşmesinin kurulması, sürdürülmesi ve ifa edilmesi,
- Proje planlama, analiz, raporlama, revizyon ve teslim süreçlerinin yürütülmesi,
- Danışanla iletişimin sağlanması ve taleplerin yönetilmesi,
- Hizmet kalitesinin ölçülmesi ve iyileştirilmesi,
- Faturalama, muhasebe ve vergi süreçlerinin yürütülmesi,
- KVKK kapsamındaki başvuruların değerlendirilmesi ve yanıtlanması,
- Hukuki hakların tesisi, kullanılması ve korunması,
- Yasal yükümlülüklerin yerine getirilmesi,
- Platformun teknik güvenliğinin, sistem bütünlüğünün ve hizmet sürekliliğinin sağlanması.
5. Kişisel Verilerin Aktarımı
DEKA, kişisel verileri kural olarak üçüncü kişilerle paylaşmaz.
Kişisel veriler; barındırma, elektronik posta, bilgi teknolojileri, teknik destek, muhasebe ve hukuki danışmanlık hizmeti sağlayıcılarına yalnızca hizmetin gerektirdiği ölçüde aktarılabilir. Kişisel veriler ayrıca hukuken yetkili kamu kurum ve kuruluşlarına, adli mercilere veya diğer yetkili makamlara mevzuatın gerektirdiği durumlarda aktarılabilir.
Kişisel verilerin yurt içindeki üçüncü kişilere aktarımı, KVKK m.8 hükümlerine ve ilgili diğer mevzuata uygun olarak, amaçla sınırlılık ve veri minimizasyonu ilkeleri gözetilerek gerçekleştirilir.
Hizmet sağlayıcılara yapılan aktarımlarda, mümkün olduğu ölçüde sözleşmesel gizlilik ve veri güvenliği yükümlülükleri uygulanır.
DEKA, kişisel verileri pazarlama, reklam veya benzeri ticari amaçlarla üçüncü kişilere satmaz ya da kiralamaz.
6. Yurt Dışına Aktarım
Platformun barındırma sağlayıcısının veya DEKA tarafından kullanılan elektronik posta, bilgi teknolojileri, bulut depolama, iletişim ya da diğer dijital hizmet altyapılarının yurt dışında bulunması veya kişisel verilere yurt dışından erişilmesi hâlinde kişisel veriler, ilgili hizmetin yürütülmesi amacıyla sınırlı olmak üzere KVKK m.9 hükümlerine uygun şekilde yurt dışına aktarılabilir.
Yurt dışına aktarım, aşağıdaki aktarım mekanizmalarından uygulanabilir olanına dayanılarak gerçekleştirilir:
- Kişisel Verileri Koruma Kurulu tarafından aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı verilmiş olması,
- Yeterlilik kararının bulunmadığı durumlarda Kanun'da öngörülen uygun güvencelerden birinin sağlanması,
- Standart sözleşmenin imzalanması,
- Bağlayıcı şirket kurallarının bulunması,
- Kurul tarafından onaylanan yazılı bir taahhütnamenin bulunması,
- Kanun'da belirtilen sınırlı ve arızi aktarım şartlarından birinin mevcut olması.
Standart sözleşme veya diğer uygun güvence yöntemlerinin kullanıldığı durumlarda, yürürlükteki mevzuatta öngörülen bildirim, izin ve başvuru işlemleri ilgili usul ve süreler içerisinde yerine getirilir.
Yurt dışına veri aktarımında aktarımın amacı, kapsamı ve süresiyle orantılı teknik ve idari güvenlik tedbirleri uygulanır. Kişisel verilerin yurt dışına aktarılmasına ilişkin güncel sistem; yeterlilik kararı, uygun güvenceler ve sınırlı arızi aktarım hâlleri üzerine kuruludur.
7. Saklama Süreleri
Kişisel veriler, işleme amacının gerektirdiği süre boyunca ve uygulanabilir mevzuatta öngörülen zamanaşımı, saklama ve muhafaza süreleriyle sınırlı olarak saklanır.
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Platform üzerinden iletilen iletişim ve ön görüşme talepleri | Talebin sonuçlanmasından itibaren en fazla 2 yıl |
| Danışmanlık ilişkisine ait sözleşmeler, yazışmalar ve proje yönetimi kayıtları | İlişkinin sona ermesinden itibaren, olası hukuki uyuşmazlıklarda hakların tesisi, kullanılması veya korunması amacıyla, uygulanabilir genel zamanaşımı süresiyle sınırlı olmak üzere en fazla 10 yıl |
| Faturalama, muhasebe ve mali belgeler | VUK m.253 uyarınca ilgili bulundukları yılı takip eden takvim yılından başlayarak 5 yıl; TTK m.82 veya uygulanabilir diğer mevzuatın daha uzun bir süre öngörmesi hâlinde ilgili süre boyunca |
| Platform teknik kayıtları | En fazla 30 gün |
| Danışmanlık projesine ait dosyalar, anonim veriler, kaynak kodları ve teknik çıktılar | Projenin tesliminden itibaren en fazla 6 ay |
| KVKK başvurularına ilişkin kayıtlar | Başvurunun sonuçlandırılmasından itibaren, hukuki yükümlülükler ve olası uyuşmazlık süreleriyle sınırlı olarak |
VUK m.253 uyarınca ilgili defter ve belgeler, ilgili bulundukları yılı takip eden takvim yılından başlayarak beş yıl muhafaza edilir. TTK m.82'nin uygulanması hâlinde ilgili ticari defter ve belgeler için on yıllık saklama süresi gündeme gelebilir.
Gerçek anlamda anonim hâle getirilmiş veriler kişisel veri niteliğinde değildir. Bu verilerin, kaynak kodlarının ve diğer teknik çıktıların saklanması; danışmanlık sözleşmesi, proje yönetimi, fikrî haklar ve gizlilik yükümlülükleri çerçevesinde değerlendirilir.
Silme veya yok etme talebi, uygulanabilir kanuni saklama yükümlülükleri ve devam eden sözleşmesel veya hukuki gereklilikler dikkate alınarak değerlendirilir.
İşleme amacının ve hukuki sebebin ortadan kalkması üzerine kişisel veriler; resen veya İlgili Kişinin talebi üzerine, uygulanabilir mevzuata uygun olarak silinir, yok edilir veya anonim hâle getirilir.
8. Veri Güvenliğine İlişkin Tedbirler
DEKA, KVKK m.12 uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve uygun güvenlik düzeyini temin etmek amacıyla gerekli teknik ve idari tedbirleri alır.
Teknik tedbirler kapsamında; riskin ve kullanılan sistemlerin niteliğine uygun erişim kontrolü, kullanıcı yetkilendirmesi, kimlik doğrulama, şifreleme, güncelleme, yedekleme, kayıt tutma ve güvenli veri aktarımı tedbirleri uygulanır.
İdari tedbirler kapsamında; veri minimizasyonu, erişim yetkilerinin sınırlandırılması, uygun sözleşmesel güvencelerin sağlanması, hizmet sağlayıcıların risk temelli değerlendirilmesi, gizlilik yükümlülükleri ve gerekli görülen hâllerde danışan tarafıyla Gizlilik Sözleşmesi veya NDA imzalanması yer alır.
Teknik ve idari tedbirlerin kapsamı; işlenen verilerin niteliği, kullanılan altyapı, mevcut riskler ve teknolojik imkânlar dikkate alınarak belirlenir.
9. İlgili Kişinin Hakları
KVKK m.11 uyarınca İlgili Kişi, kişisel verilerine ilişkin olarak aşağıdaki haklara sahiptir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
- KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi hâlinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi sonucunda kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin Kanun'a aykırı olarak işlenmesi nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Otomatik sistemler aracılığıyla analiz sonucunda kişi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı, KVKK m.11 kapsamında açıkça düzenlenmiştir.
10. Başvuru Usulü
İlgili Kişi, KVKK m.11 kapsamındaki taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri çerçevesinde DEKA'ya iletebilir.
Elektronik posta yoluyla yapılacak başvuruların, başvuru sahibinin DEKA'ya daha önce bildirdiği ve DEKA sistemlerinde kayıtlı bulunan elektronik posta adresi üzerinden info@dekaanaliz.com adresine gönderilmesi gerekir.
Başvuruda aşağıdaki bilgilere yer verilmelidir:
- Başvuru sahibinin ad ve soyadı,
- Başvuru yazılı ise imzası,
- Türkiye Cumhuriyeti vatandaşları için Türkiye Cumhuriyeti kimlik numarası; yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu,
- Talebi destekleyen bilgi ve belgeler.
Başvurunun DEKA'ya daha önce bildirilmemiş farklı bir elektronik posta adresinden yapılması hâlinde, başvuru sahibinin kimliğinin doğrulanabilmesi amacıyla ek bilgi veya belge talep edilebilir.
Veri sorumlusunun resmî unvanı ve yazılı başvuru adresi, şirket kuruluş işlemlerinin tamamlanmasının ardından KVKK Aydınlatma Metni ve işbu Politika kapsamında güncellenecektir. KEP adresi oluşturulması hâlinde bu kanal da ayrıca ilan edilecektir.
DEKA, başvuruyu talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilebilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hâlinde İlgili Kişinin, KVKK'da öngörülen süreler içerisinde Kişisel Verileri Koruma Kuruluna şikâyette bulunma hakkı saklıdır.
Başvuruların yazılı olarak veya Kurul tarafından belirlenen diğer yöntemlerle yapılabilmesi mümkün olmakla birlikte, sıradan elektronik posta ile yapılan başvurularda e-posta adresinin daha önce veri sorumlusuna bildirilmiş ve sistemde kayıtlı olması önem taşır.
11. Açık Rızanın Geri Alınması
İlgili Kişi, açık rızaya dayalı olarak işlenen kişisel verileri bakımından vermiş olduğu açık rızayı her zaman geri alma hakkına sahiptir.
Açık rızanın geri alınmasına ilişkin talepler, info@dekaanaliz.com adresine elektronik posta gönderilerek iletilebilir. Kimlik doğrulamasının gerekli olduğu durumlarda ek bilgi veya belge talep edilebilir.
Açık rızanın geri alınması, geri alma tarihinden itibaren ileriye dönük olarak sonuç doğurur. Geri alma öncesinde açık rızaya dayanılarak hukuka uygun biçimde gerçekleştirilen işleme faaliyetlerinin geçerliliği etkilenmez.
Sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması ya da meşru menfaat gibi açık rıza dışındaki geçerli hukuki sebeplere dayanan işleme faaliyetleri, ilgili hukuki sebep devam ettiği sürece sürdürülebilir.
12. Otomatik Karar Verme ve Profilleme
DEKA, Kullanıcılar üzerinde hukuki sonuç doğuran veya Kullanıcıları benzer biçimde önemli ölçüde etkileyen herhangi bir otomatik karar verme ya da profilleme faaliyeti yürütmemektedir.
Danışmanlık hizmeti kapsamında geliştirilen makine öğrenmesi veya derin öğrenme modelleri, danışan araştırmacının kendi araştırma projesinin parçasıdır. DEKA, söz konusu modelleri kendi Kullanıcıları veya üçüncü kişiler hakkında otomatik karar vermek amacıyla kullanmaz.
Danışan tarafından geliştirilen veya teslim alınan modellerin sonraki kullanımına, yaygınlaştırılmasına ve uygulanmasına ilişkin etik, hukuki ve bilimsel sorumluluk; ilgili sözleşme, araştırma protokolü, etik kurul kararları ve uygulanabilir mevzuat çerçevesinde danışana aittir.
13. Veri İhlali Bildirimi
Kişisel verilerin hukuka aykırı yollarla üçüncü kişiler tarafından elde edildiğinin tespit edilmesi hâlinde DEKA, KVKK m.12/5 ve Kişisel Verileri Koruma Kurulunun ilgili kararları uyarınca gerekli değerlendirmeleri yapar.
Bildirim yapılmasını gerektiren bir kişisel veri ihlalinin bulunması hâlinde DEKA, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç yetmiş iki saat içinde Kurula bildirimde bulunur.
İhlalden etkilenen İlgili Kişiler, makul olan en kısa sürede ve uygun iletişim yöntemleri kullanılarak ihlalin niteliği, olası sonuçları ve alınabilecek tedbirler hakkında bilgilendirilir.
İhlalin kaynağı, etkileri, etkilenen veri ve kişi kategorileri, alınan veya alınması planlanan tedbirler ile bildirim süreci belgelenerek denetim amacıyla saklanır. Kurulun veri ihlali bildirim yaklaşımında 72 saatlik süre esas alınmaktadır.
14. Üçüncü Taraf Siteler ve Harici Bağlantılar
Platform içerisinde üçüncü taraf internet sitelerine veya hizmetlere yönlendiren bağlantılar yer alabilir.
DEKA, üçüncü taraf internet sitelerinin içeriklerinden, güvenlik uygulamalarından, gizlilik politikalarından veya kişisel veri işleme faaliyetlerinden sorumlu değildir. Bu siteleri ziyaret eden Kullanıcıların, ilgili üçüncü tarafların kendi gizlilik ve kişisel veri işleme metinlerini incelemeleri tavsiye edilir.
DEKA'nın sosyal medya hesapları veya üçüncü taraf iletişim platformları üzerinden gerçekleştirilen iletişimler, ilgili platformların kendi kullanım koşulları ve gizlilik politikalarına da tabi olabilir.
15. Politikada Yapılacak Değişiklikler
DEKA, mevzuat değişiklikleri, kullanılan teknolojiler, hizmet sağlayıcılar veya iş süreçlerindeki gelişmeler doğrultusunda işbu Gizlilik Politikasını güncelleyebilir.
Politikanın güncel sürümü, internet sitesinde yayımlandığı tarihten itibaren geçerli olur. Önemli değişiklikler yapılması hâlinde Kullanıcılar, değişikliğin niteliğine göre internet sitesi, elektronik posta veya diğer uygun iletişim yöntemleri aracılığıyla bilgilendirilebilir.
Politikanın yürürlük ve son güncelleme tarihleri belgenin başlangıcında gösterilir.
16. İletişim
İşbu Gizlilik Politikası hakkındaki soru, talep ve başvurular aşağıdaki iletişim kanalı üzerinden DEKA'ya iletilebilir:
- E-posta
- info@dekaanaliz.com