KVKK Politikası

1. AMAÇ VE KAPSAM

Bu politika, STN İnovasyon ve Teknoloji A.Ş. ("Şirket") tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat uyarınca kişisel verilerin işlenmesi, korunması, saklanması, aktarılması ve imhasına ilişkin temel ilkeleri belirlemek amacıyla hazırlanmıştır.

Politika; müşteriler, potansiyel müşteriler, çalışanlar, çalışan adayları, iş ortakları, tedarikçiler, ziyaretçiler ve Yutomat mobil uygulaması kullanıcılarını kapsar.

2. TANIMLAR

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Özel Nitelikli Kişisel Veri: Sağlık, biyometrik, genetik, inanç, ceza mahkûmiyeti gibi hassas veriler.
• Veri Sorumlusu: STN İnovasyon ve Teknoloji A.Ş.
• Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
• İlgili Mevzuat: 6698 sayılı KVKK ve ilgili yönetmelikler, tebliğler, rehberler.

3. KİŞİSEL VERİLERİN İŞLENME İLKELERİ

Şirket; kişisel verileri aşağıdaki ilkelere uygun olarak işler:

1. Hukuka ve dürüstlük kurallarına uygunluk
2. Doğru ve gerektiğinde güncel olma
3. Belirli, açık ve meşru amaçlar için işlenme
4. Amaçla bağlantılı, sınırlı ve ölçülü olma
5. İlgili mevzuatta öngörülen veya işleme amacı için gerekli süre kadar muhafaza edilme

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Ürün ve hizmetlerin sunulması, satışı ve satış sonrası destek; sözleşme süreçlerinin yürütülmesi; finans-muhasebe-satın alma-lojistik ve operasyon; müşteri memnuniyeti, pazarlama ve promosyon faaliyetleri; kurumsal iletişim ve itibar yönetimi; bilgi güvenliği, erişim kontrolü ve sistem yönetimi; çalışan özlük, bordro, performans ve eğitim; hukuki/idari yükümlülüklerin yerine getirilmesi; fiziksel mekan güvenliği (kamera dahil); ziyaretçi kayıtları; Yutomat cihaz ve mobil uygulama kullanım süreçlerinin yönetilmesi; yapay zeka ve veri analitiği tabanlı sistemlerin işletilmesi.

5. KİŞİSEL VERİ KATEGORİLERİ

Kimlik ve iletişim bilgileri; finansal bilgiler; işlem güvenliği bilgileri (IP, log, şifre, erişim kayıtları); müşteri ve kullanıcı işlem bilgileri (sipariş, talep, sepet, davranış verileri); fiziksel mekan güvenliği bilgileri (kamera, giriş-çıkış); çalışan verileri (özlük, maaş, eğitim, performans); biyometrik ve özel nitelikli veriler (yüz tanıma, sağlık, ses); pazarlama ve profilleme bilgileri (çerez, tercih, alışkanlık, analiz).

6. İŞLEMENİN HUKUKİ SEBEPLERİ

Kanunlarda açıkça öngörülmesi; sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; veri sahibinin açık rızasının bulunması; meşru menfaat kapsamında işlenmesinin gerekli olması.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel nitelikli kişisel veriler (sağlık, biyometrik, genetik, dini inanç vb.) KVKK m.6'da belirtilen şartlar dahilinde, açık rıza alınarak veya kanunda öngörülen hallerde işlenir. Bu verilere erişim yalnızca yetkili ve gizlilik yükümlülüğü altındaki personelle sınırlıdır.

8. KİŞİSEL VERİLERİN AKTARILMASI

Yurt İçi Aktarım: Kamu kurumları, yargı mercileri, iş ortakları, tedarikçiler, finans kuruluşları, danışmanlar ve denetçilerle paylaşım yapılabilir.

Yurt Dışı Aktarım: Bulut servisleri, yazılım altyapıları veya iş ortaklarımız aracılığıyla yurt dışına aktarım yapılabilir. Aktarım, yalnızca açık rıza alınması veya KVKK'nın 9. maddesindeki güvencelerin sağlanması durumunda gerçekleştirilir.

9. SAKLAMA VE İMHA

Kişisel veriler; ilgili mevzuatta öngörülen veya işleme amacı için gerekli süre kadar saklanır. Süre sonunda veriler, "Kişisel Veri Saklama ve İmha Politikası" çerçevesinde silinir, yok edilir veya anonimleştirilir.

Örnek süreler: Müşteri işlemleri 10 yıl; kamera 30 gün; finansal veriler 10 yıl; sağlık/biyometrik veriler 15 yıl.

10. VERİ GÜVENLİĞİ TEDBİRLERİ

İdari: Gizlilik taahhütnameleri; KVKK eğitimleri; erişim yetkilendirmesi; üçüncü taraf sözleşmelerinde veri koruma hükümleri.

Teknik: Şifreleme; firewall/antivirüs; erişim kontrolü ve log takibi; güvenli sunucular ve yedekleme; düzenli sızma testleri ve güvenlik denetimleri.

11. VERİ SAHİBİNİN HAKLARI (KVKK m.11)

Veri sahipleri; işlenip işlenmediğini öğrenme; amaçları ve aktarılan tarafları öğrenme; yanlış/eksikse düzeltme; silme/yok etme/anonimleştirme talep etme; otomatik işleme sonucu aleyhe durumlara itiraz etme haklarına sahiptir. Başvurular "Kişisel Veri Başvuru Formu" ile yapılabilir. Yanıt süresi en geç 30 gündür.

12. SORUMLULUK VE DENETİM

Denetimler yılda en az bir kez yapılır; tespit edilen ihlaller Hukuk ve IT departmanları tarafından raporlanır.

13. YÜRÜRLÜK VE GÜNCELLEME

Bu politika, STN Yönetim Kurulu'nun onayıyla yürürlüğe girer. Güncellemeler www.stntechnologies.com adresinde yayımlanır.