KVKK Aydınlatma Metni
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m.10 uyarınca, Onysoft HR platformu kullanıcılarının kişisel verilerinin işlenmesine ilişkin aydınlatma yükümlülüğümüz kapsamında hazırlanmıştır.
1. Veri Sorumlusu Kimliği
Kişisel verileriniz, KVKK kapsamında "veri sorumlusu" sıfatıyla aşağıda kimlik ve iletişim bilgileri yer alan şirketimiz tarafından işlenmektedir:
| Alan | Bilgi |
|---|---|
| Ticari unvan | OnySoft Veri Merkezi Sistemleri Yazılım San. ve Tic. A.Ş. |
| Adres | İTOB OSB Mahallesi 10009 Sk. D Blok No: 2/1, Menderes / İzmir 35477 |
| VERBİS kayıt no | 1054832 |
| İletişim | kvkk@onysoft.com · 0850 302 30 21 |
Şirketimiz 1999 yılından bu yana İzmir'de faaliyet göstermekte olup ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 9001 Kalite Yönetim Sistemi sertifikalarına sahiptir. Onysoft HR hizmeti kapsamında hem kendi müşterilerimizin (firma yetkilileri, bayiler) verileri bakımından veri sorumlusu, hem de müşteri firmaların kendi personeline ait veriler bakımından veri işleyen sıfatıyla hareket ederiz. Veri işleyen sıfatımıza ilişkin hükümler ayrıca Veri İşleme Sözleşmesi'nde (DPA) düzenlenmiştir.
2. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, KVKK m.5 ve m.6'da belirtilen işleme şartlarına dayalı olarak aşağıdaki amaçlarla işlenmektedir:
- Kimlik doğrulama: Üyelik oluşturulması, hesaba güvenli giriş, oturum yönetimi ve iki faktörlü doğrulama süreçlerinin yürütülmesi.
- Sözleşmenin ifası: Onysoft HR SaaS hizmetinin sunulması, hesabınızın yapılandırılması, hizmet seviyesi taahhütlerinin (SLA) yerine getirilmesi.
- Fatura ve tahsilat: Abonelik bedellerinin faturalandırılması, ödeme işlemlerinin gerçekleştirilmesi, muhasebe kayıtlarının tutulması.
- Müşteri destek hizmetleri: Destek taleplerinin karşılanması, hata bildirimlerinin incelenmesi, hizmet kalitesinin artırılması.
- Güvenlik ve loglama: Sistem güvenliğinin sağlanması, yetkisiz erişimlerin tespiti, denetim izlerinin (audit log) tutulması.
- Ürün geliştirme: Anonimleştirilmiş kullanım analitiği üzerinden ürün deneyiminin iyileştirilmesi.
- Yasal yükümlülükler: SGK mevzuatı, Vergi Usul Kanunu, KVKK ve ilgili ikincil düzenlemelerden doğan saklama ve bildirim yükümlülüklerinin yerine getirilmesi.
- Pazarlama: Açık rızanıza bağlı olarak (opt-in) kampanya, yeni özellik ve etkinlik duyurularının iletilmesi.
- İstatistik ve raporlama: Toplulaştırılmış, kimliksizleştirilmiş iş zekâsı raporlarının üretilmesi.
- Bilgi güvenliği süreçleri: Yedekleme, felaket kurtarma, sızma testi ve olay müdahale süreçlerinin işletilmesi.
3. İşlenen Kişisel Veri Kategorileri
| Kategori | Örnek Veriler | Hukuki Dayanak |
|---|---|---|
| Kimlik | Ad, soyad, TC kimlik no, doğum tarihi | Sözleşmenin ifası (m.5/2-c) |
| İletişim | E-posta, telefon, adres | Sözleşmenin ifası (m.5/2-c) |
| Müşteri işlem | Fatura, abonelik, ödeme kayıtları | Hukuki yükümlülük (m.5/2-ç) |
| Teknik | IP adresi, tarayıcı bilgisi, cihaz tanımlayıcıları | Meşru menfaat (m.5/2-f) |
| Görsel | Profil fotoğrafı (opsiyonel) | Açık rıza (m.5/1) |
| Lokasyon | GPS koordinatı — yalnızca devam doğrulaması anında | Açık rıza (m.5/1) |
Özel nitelikli kişisel veri: Platform, özel nitelikli kişisel verilerin (sağlık, biyometrik veri vb.) işlenmesini varsayılan olarak gerektirmez. Müşteri firmanın personel özlük dosyasına sağlık raporu gibi belgeler yüklemesi hâlinde bu veriler yalnızca ilgili firmanın erişimindedir ve KVKK m.6'ya uygun şekilde açık rıza koşuluyla işlenir.
Lokasyon verisi hakkında: GPS konum verisi yalnızca personelin giriş-çıkış doğrulaması yaptığı anda, tek seferlik olarak işlenir; sürekli konum takibi yapılmaz. Konum doğrulama özelliğinin kullanılması, ilgili personelden açık rıza alınmasına bağlıdır ve bu rızanın alınması müşteri firmanın (işverenin) sorumluluğundadır.
4. Kişisel Verilerin Aktarımı
4.1 Yurt içi aktarım
Verileriniz, hizmetin gerektirdiği ölçüde ve amaçla sınırlı olarak; İleti Yönetim Sistemi (İYS), sözleşmeli muhasebe müşavirliği, bankalar ve ödeme kuruluşları ile yasal yükümlülük hâlinde yetkili kamu kurum ve kuruluşlarına aktarılabilir.
4.2 Yurt dışı aktarım
Tüm platform verileri Türkiye sınırları içinde, İzmir'de bulunan kendi veri merkezimizde barındırılır. E-posta ve SMS gönderimi gibi sınırlı yardımcı hizmetlerde kullanılan yurt dışı alt yükleniciler (Ek-1) yalnızca ilgili iletişim verisini işler; bu aktarımlar KVKK m.9 kapsamında standart sözleşme (SCC) mekanizmasıyla yürütülür.
Alt yüklenicilerin güncel listesi bu metnin Ek-1 bölümünde ve ayrıca Alt Yüklenici Listesi sayfasında yayımlanır; listede değişiklik olması hâlinde 30 gün önceden e-posta ve panel bildirimi ile duyurulur.
5. Kişisel Veri Toplama Yöntemleri
Kişisel verileriniz; (i) web sitesi ve panel üzerindeki kayıt, iletişim ve destek formları, (ii) e-posta yazışmaları, (iii) çerezler ve benzeri izleme teknolojileri (Çerez Politikası), (iv) kayıt altına alınabilen telefon görüşmeleri ve (v) mobil uygulama üzerinden, tamamen veya kısmen otomatik yollarla toplanır. Telefon görüşmelerinin kaydedilmesi hâlinde görüşme başında bilgilendirme yapılır.
6. Veri Sahibinin Hakları (KVKK m.11)
KVKK m.11 uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- KVKK m.7 koşulları çerçevesinde silinmesini veya yok edilmesini isteme,
- Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,
- Münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonucun doğmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
7. Başvuru Yolları
Haklarınıza ilişkin taleplerinizi aşağıdaki kanallardan iletebilirsiniz. Başvurular en geç 30 gün içinde ücretsiz olarak sonuçlandırılır; işlemin ayrıca maliyet gerektirmesi hâlinde Kurul tarifesindeki ücret alınabilir.
| Kanal | Adres |
|---|---|
| E-posta | kvkk@onysoft.com |
| Yazılı başvuru | İTOB OSB Mahallesi 10009 Sk. D Blok No: 2/1, Menderes / İzmir 35477 |
| KEP | onysoft@hs01.kep.tr |
8. Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
| Üyelik verisi | Üyelik süresince + 3 yıl | TBK genel zamanaşımı hazırlığı |
| Fatura ve muhasebe kayıtları | 10 yıl | VUK m.253, TTK m.82 |
| Log kayıtları | 2 yıl | 5651 sayılı Kanun |
| Audit (denetim) kayıtları | 7 yıl | İç kontrol + sektör uygulaması |
| Pazarlama izinleri | Geri çekilene kadar | Açık rıza |
| Görsel / lokasyon verisi | Amaç ortadan kalkınca imha | KVKK m.7 |
Süresi dolan veriler, periyodik imha dönemlerinde (6 ayda bir) silinir, yok edilir veya anonim hâle getirilir.
9. Güvenlik Tedbirleri
KVKK m.12 uyarınca uygun güvenlik düzeyini temin etmeye yönelik aldığımız başlıca teknik ve idari tedbirler:
- ISO 27001 sertifikalı bilgi güvenliği yönetim sistemi,
- Aktarım hâlinde TLS 1.3, durağan hâlde AES-256 şifreleme,
- İki faktörlü doğrulama (2FA), IP kısıtlama ve rol tabanlı erişim kontrolü (RBAC),
- Düzenli sızma testleri, güvenlik açığı taramaları ve olay müdahale prosedürleri,
- Personel gizlilik sözleşmeleri (NDA) ve periyodik KVKK farkındalık eğitimleri,
- Coğrafi olarak ayrık, şifreli günlük yedekleme (ayrıntılar: Güvenlik Beyanı).
10. Ek-1: Alt Yüklenici Listesi
| Alt Yüklenici | Amaç | Konum | Mekanizma |
|---|---|---|---|
| OnySoft Veri Merkezi | Barındırma (tüm veriler) | İzmir / TR | — |
| İyzico | Ödeme işleme | İstanbul / TR | Yurt içi |
| Postmark | İşlemsel e-posta | ABD | SCC |
| Twilio | SMS gönderimi | ABD | SCC |
| Cloudflare | CDN ve DDoS koruması | Global | SCC |
Güncel ve ayrıntılı liste için: Alt Yüklenici Listesi →