1. GDPR'ye Genel Bakış
Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de Avrupa Birliği ve Avrupa Ekonomik Alanı genelinde yürürlüğe giren kapsamlı bir veri koruma yasasıdır. Kuruluşların AB vatandaşlarının kişisel verilerini nasıl topladığı, işlediği, depoladığı ve koruduğu konusunda katı gereklilikler belirler.
Kişisel Veri Nedir?
GDPR kapsamında kişisel veri, belirlenmiş veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgidir. Bu şunları içerir:
- Temel kimlik: Ad, adres, e-posta adresi, telefon numarası
- İş bilgileri: Çalışan kimliği, iş unvanı, departman, maaş
- Teknik veriler: IP adresleri, cihaz kimlikleri, tarayıcı parmak izleri
- Konum verileri: Akıllı kilitlerden coğrafi konum
- Biyometrik veriler: Akıllı kilit kimlik doğrulaması için kullanılan parmak izleri
- Davranışsal veriler: Çalışma saatleri, devam desenleri, zaman kayıtları
Temel GDPR İlkeleri
WorkTime One, yedi GDPR ilkesinin tamamına uyar:
1. Yasallık, Adalet ve Şeffaflık
Veriler yasal, adil ve şeffaf bir şekilde net gizlilik bildirimleriyle işlenir
2. Amaç Sınırlaması
Veriler yalnızca belirli, meşru amaçlar için toplanır
3. Veri Minimizasyonu
Yalnızca belirtilen amaç için gerekli verileri toplayın
4. Doğruluk
Kişisel verileri doğru ve güncel tutun
5. Depolama Sınırlaması
Verileri yalnızca gerekli olduğu kadar saklayın
6. Bütünlük ve Gizlilik
Verileri uygun güvenlik önlemleriyle koruyun
7. Hesap Verebilirlik
Dokümantasyon ve politikalar aracılığıyla uyumluluğu gösterin
2. GDPR Kapsamındaki Rolümüz
Veri Sorumlusu ve Veri İşleyici
WorkTime One, bağlama göre farklı sıfatlarla hareket eder:
Veri Sorumlusu Olarak WorkTime One
Kuruluşunuzun hesap verileri (şirket adı, fatura bilgileri, yönetici kullanıcılar) için veri sorumlususuyuz. Bu verilerin nasıl ve neden işlendiğini biz belirleriz.
Örnekler: Hesap kaydı, faturalandırma, müşteri desteği, hizmet iletişimi
Veri İşleyici Olarak WorkTime One
Yüklediğiniz ve yönettiğiniz çalışan zaman takip verileri için veri işleyiciyiz. Siz (müşteri) veri sorumlusususunuz ve işlemenin amaçlarını ve yöntemlerini belirlersiniz.
Örnekler: Çalışan adları, çalışma saatleri, devam kayıtları, biyometrik veriler, konum verileri
Veri Sorumlusu Olarak Sorumluluklarınız
Çalışan zamanını takip etmek için WorkTime One kullanırken, veri sorumlusususunuz ve şunlardan sorumlusunuz:
- Çalışan verilerini işlemek için yasal dayanak elde etme (örneğin, rıza, sözleşme, meşru menfaat)
- Çalışanlara veri toplama ve kullanımını açıklayan gizlilik bildirimleri sağlama
- Biyometrik veri toplama (parmak izleri) için açık rıza alma
- Çalışan veri sahibi hakları taleplerine yanıt verme
- Uygun teknik ve organizasyonel önlemler uygulama
- Yerel iş hukuku ve çalışan izleme düzenlemelerine uyma
- Gerektiğinde Veri Koruma Etki Değerlendirmeleri (DPIA) yapma
3. İşleme İçin Yasal Dayanak
GDPR, kişisel verilerin işlenmesi için yasal bir dayanak gerektirir. WorkTime One aşağıdaki yasal dayanaklara dayanır:
Sözleşme (Madde 6(1)(b))
Hizmet Şartlarımız kapsamında hizmetlerimizi sağlamak için gerekli işleme. Bu, hesap yönetimi, faturalandırma ve temel hizmet işlevselliği için geçerlidir.
Meşru Menfaat (Madde 6(1)(f))
Güvenlik, dolandırıcılık önleme ve hizmet iyileştirme için işleme. Menfaatlerimizi haklarınız ve özgürlüklerinize karşı dengeleriz.
Rıza (Madde 6(1)(a))
Pazarlama iletişimleri ve isteğe bağlı özellikler açık rızanızı gerektirir. Rızanızı istediğiniz zaman geri çekebilirsiniz.
Yasal Yükümlülük (Madde 6(1)(c))
Vergi kayıtları, mali uyumluluk ve yasal taleplere yanıt verme gibi yasal olarak gerekli işleme.
Özel Kategori Veriler (Biyometri)
Biyometrik veriler (parmak izleri), GDPR Madde 9 kapsamında "özel kategori" veri olarak kabul edilir ve ek koruma gerektirir. İşleme şu durumlarda yasaldır:
- Açık Rıza (Madde 9(2)(a)): Parmak izi toplama için çalışanlardan açık, bilinçli rıza almalısınız
- İstihdam Bağlamı (Madde 9(2)(b)): İşleme, ulusal hukuk kapsamında istihdam yükümlülükleri için gerekli olabilir
- Güvenlik Önlemleri: Biyometrik veriler hash'lenir, şifrelenir ve diğer kişisel verilerden ayrı olarak saklanır
- Geri Çekme Hakkı: Çalışanlar rızalarını geri çekebilir ve biyometrik verilerin silinmesini isteyebilir
4. Veri Sahibi Haklarınız
GDPR kapsamında, kişisel verilerinizle ilgili kapsamlı haklara sahipsiniz:
Erişim Hakkı (Madde 15)
Kişisel verilerinizi işleyip işlemediğimizi teyit etme ve bu verilere erişme hakkına sahipsiniz.
Nasıl Kullanılır:
- Hesabınıza giriş yapın ve Ayarlar → Veri Dışa Aktarma'ya gidin
- Verilerinizi CSV, JSON veya Excel formatında dışa aktarın
- Kapsamlı veri erişim talepleri için [email protected] adresine e-posta gönderin
- 30 gün içinde yanıt vereceğiz (ücretsiz)
Düzeltme Hakkı (Madde 16)
Yanlış kişisel verilerin düzeltilmesi veya tamamlanması hakkına sahipsiniz.
Nasıl Kullanılır:
- Hesap bilgilerinizi doğrudan Ayarlar'da güncelleyin
- Yöneticiler, Çalışan Yönetimi bölümünde çalışan bilgilerini güncelleyebilir
- Yardımımızı gerektiren düzeltmeler için [email protected] ile iletişime geçin
- Hataları 30 gün içinde düzelteceğiz
Silme Hakkı / Unutulma Hakkı (Madde 17)
Belirli durumlarda kişisel verilerinizin silinmesini talep etme hakkına sahipsiniz.
Nasıl Kullanılır:
- Hesabınızı Ayarlar → Hesap → Hesabı Sil yoluyla kapatın
- Çalışanlar, işverenlerine (veri sorumlusu) başvurarak silme talebinde bulunabilir
- Silme talepleri için [email protected] adresine e-posta gönderin
- Veriler 30 gün içinde silinir (yasal saklama gereklilikleri hariç)
- Yedeklemeler 90 gün içinde temizlenir
Not: Yasal olarak gerekli olduğu durumlarda (örneğin, 7 yıllık vergi kayıtları) belirli verileri saklayabiliriz
İşlemenin Kısıtlanması Hakkı (Madde 18)
Belirli durumlarda verilerinizi nasıl işlediğimizi sınırlandırmamızı talep edebilirsiniz.
Ne Zaman Kullanılabilir:
- Verilerin doğruluğuna itiraz edersiniz (doğrulama sırasında)
- İşleme hukuka aykırıdır ancak silme istemiyorsunuz
- Artık verilere ihtiyacımız yoktur ancak yasal talepler için size gereklidir
- İşlemeye itiraz ettiniz (meşru gerekçelerin doğrulanması beklemede)
Veri Taşınabilirliği Hakkı (Madde 20)
Kişisel verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta alma ve başka bir sorumluya iletme hakkına sahipsiniz.
Desteklenen Formatlar:
- CSV (Virgülle Ayrılmış Değerler)
- JSON (JavaScript Object Notation)
- Excel (.xlsx)
- Başka bir hizmete doğrudan API transferi (yardım için bize ulaşın)
İtiraz Hakkı (Madde 21)
Meşru menfaatlere dayalı veya doğrudan pazarlama için işlemeye itiraz etme hakkına sahipsiniz.
Nasıl Kullanılır:
- Pazarlamaya itiraz: E-postalardaki abonelikten çıkma bağlantısı veya Ayarlar → Bildirimler
- Profillemeye itiraz: [email protected] ile iletişime geçin
- Meşru menfaat işlemesine itiraz: Zorlayıcı meşru gerekçeler göstermedikçe duracağız
Otomatik Karar Vermeyle İlgili Haklar (Madde 22)
Sizi önemli ölçüde etkileyen yalnızca otomatik işlemeye dayalı kararlara tabi olmama hakkına sahipsiniz.
WorkTime One Pozisyonu: Yasal etkiler doğuran veya benzer şekilde sizi önemli ölçüde etkileyen otomatik kararlar almıyoruz. Bordro hesaplamaları ve ceza değerlendirmeleri, sizin (işveren) tarafından tanımlanan şeffaf kurallara dayanır ve manuel olarak gözden geçirilebilir ve ayarlanabilir.
5. Veri Koruma Önlemleri
Uygun güvenliği sağlamak için kapsamlı teknik ve organizasyonel önlemler uyguluyoruz:
Teknik Önlemler
- Şifreleme: Bekleyen veriler için AES-256 şifreleme, aktarımdaki veriler için TLS 1.3
- Takma Adlandırma: Mümkün olduğunda, gizlilik risklerini azaltmak için verileri takma adlandırıyoruz
- Erişim Kontrolleri: En az ayrıcalık ilkesiyle rol tabanlı erişim kontrolü (RBAC)
- İki Faktörlü Kimlik Doğrulama: Tüm kullanıcılar için zorunlu 2FA mevcut
- Otomatik Yedeklemeler: Coğrafi yedeklilik ile düzenli şifreli yedeklemeler
- Saldırı Tespit: Güvenlik tehditleri için 7/24 izleme
- Güvenlik Açığı Yönetimi: Düzenli güvenlik testleri ve yama yönetimi
Organizasyonel Önlemler
- Veri Koruma Politikaları: Kapsamlı iç politikalar ve prosedürler
- Çalışan Eğitimi: Tüm personel için düzenli gizlilik ve güvenlik eğitimi
- Gizlilik Anlaşmaları: Tüm çalışanlar NDA ve gizlilik anlaşmaları imzalar
- Erişim İncelemeleri: Çalışan erişim izinlerinin üç aylık incelemeleri
- Olay Müdahale Planı: Veri ihlali müdahalesi için belgelenmiş prosedürler
- Veri Koruma Etki Değerlendirmeleri: Yüksek riskli işlemeler için DPIA'lar yapılır
- Tedarikçi Yönetimi: Tüm alt işleyiciler üzerinde durum tespiti
Tasarımda ve Varsayılandan Gizlilik
- Gizlilik değerlendirmeleri baştan ürün geliştirmeye entegre edilir
- Varsayılan ayarlar gizlilik korumasına öncelik verir
- Sistem tasarımına veri minimizasyonu yerleştirilir
- Ürün yaşam döngüsü boyunca düzenli gizlilik incelemeleri
6. Uluslararası Veri Aktarımları
WorkTime One, kişisel verilerinizi Avrupa Ekonomik Alanı (AEA) dışına aktarabilir. Uygun güvencelerin yerinde olduğundan emin oluruz:
Veri Depolama Konumları
- Birincil Depolama: Google Cloud Platform aracılığıyla AB merkezli veri merkezleri (Almanya, Belçika, Hollanda)
- Yedeklemeler: Birden fazla AB bölgesinde çoğaltılır
- Yalnızca AB Depolaması Seçeneği: Kurumsal müşteriler yalnızca AB'de veri ikamet talebinde bulunabilir
Aktarım Mekanizmaları
Standart Sözleşme Maddeleri (SCC'ler)
Yeterlilik kararı olmayan ülkelere veri aktarımları için AB onaylı Standart Sözleşme Maddelerini (SCC'ler) kullanıyoruz. SCC'lerimiz Schrems II kararından gelen gereklilikleri içerir.
Yeterlilik Kararları
Mümkün olduğunda, AB yeterlilik kararları olan ülkelere veri aktarıyoruz (örneğin, İngiltere, İsviçre, belirli koşullar altında Kanada).
Ek Önlemler
AB dışına aktarılan verileri korumak için ek teknik önlemler (şifreleme, takma adlandırma) uyguluyoruz.
Alt İşleyiciler
AB kişisel verilerini işleyebilecek aşağıdaki alt işleyicileri kullanıyoruz:
| Alt İşleyici |
Amaç |
Konum |
Güvenceler |
| Google Cloud Platform |
Barındırma, Veritabanı |
AB (birincil) |
SCC'ler, ISO 27001 |
| Firebase (Google) |
Kimlik Doğrulama, Veritabanı |
AB (birincil) |
SCC'ler, ISO 27001 |
| SendGrid |
E-posta Teslimatı |
ABD |
SCC'ler, PCI DSS |
| TTLock API |
Akıllı Kilit Entegrasyonu |
Çin |
SCC'ler, Şifreleme |
7. Veri İşleme Sözleşmesi (DPA)
GDPR Madde 28 gereğince, çalışan verilerini işlemek için WorkTime One kullanan tüm müşterilere Veri İşleme Sözleşmesi sağlıyoruz.
DPA Nedir?
Veri İşleme Sözleşmesi (DPA), veri sorumlusu (siz) ile veri işleyici (biz) arasında kişisel verilerin nasıl işlendiğini düzenleyen yasal olarak bağlayıcı bir sözleşmedir. Verilerinizi işlerken GDPR'ye uyduğumuzu garanti eder.
DPA'mız Şunları İçerir
- Konu ve Süre: Aboneliğinizin süresi boyunca zaman takibi ve devam yönetimi
- Nitelik ve Amaç: Hizmetlerimizi sağlamak için çalışan zaman takip verilerinin işlenmesi
- Kişisel Veri Türleri: Adlar, çalışan kimlikleri, çalışma saatleri, biyometrik veriler, konum verileri
- Veri Sahiplerinin Kategorileri: Çalışanlarınız ve yüklenicileriniz
- Yükümlülükleriniz: Veri sorumlusu olarak sorumluluklarınız
- Yükümlülüklerimiz: Veri işleyici olarak sorumluluklarımız
- Güvenlik Önlemleri: Uyguladığımız teknik ve organizasyonel önlemler
- Alt İşleme: Yetkili alt işleyicilerin listesi
- Veri Sahibi Hakları: Veri sahibi taleplerine yardımımız
- Denetimler ve Teftişler: Uyumluluğumuzu denetleme hakkınız
- Veri İhlali Bildirimi: İhlalleri size bildirme yükümlülüğümüz
- Uluslararası Aktarımlar: SCC'ler ve aktarım mekanizmaları
- Silme ve İade: Sözleşme sona erdikten sonra veri işleme
Nasıl Erişilir: Standart DPA'mız Hizmet Şartlarımıza dahildir. Kurumsal müşteriler, [email protected] ile iletişime geçerek özelleştirilmiş bir DPA talep edebilir
8. Veri İhlali Bildirimi
GDPR Madde 33 ve 34 kapsamında, veri ihlali bildirimiyle ilgili katı yükümlülüklerimiz vardır:
Yükümlülüklerimiz
- Denetim Otoritesi Bildirimi: AB sakinlerini etkileyen bir ihlalden haberdar olduktan sonra 72 saat içinde ilgili denetim otoritesini bilgilendiririz
- Müşteri Bildirimi: Etkilenen müşterileri (veri sorumlularını) gereksiz gecikme olmaksızın, tipik olarak 24-48 saat içinde bilgilendiririz
- Veri Sahibi Bildirimi: İhlal bireylere yüksek risk oluşturuyorsa, etkilenen bireyleri bilgilendirmenizde size yardımcı oluruz
- İhlal Belgelendirmesi: Gerçekler, etkiler ve iyileştirici eylemler dahil olmak üzere tüm ihlallerin kayıtlarını tutarız
Size Ne Söyleyeceğiz
- İhlalin niteliği (ne oldu)
- Etkilenen bireylerin ve kayıtların kategorileri ve yaklaşık sayısı
- İhlalin olası sonuçları
- İhlali ele almak için aldığımız veya almayı önerdiğimiz önlemler
- Olası olumsuz etkileri azaltmak için önlemler
- Daha fazla soru için iletişim bilgileri
Veri Sorumlusu Olarak Yükümlülükleriniz
Çalışanlarınızın verilerini etkileyen bir ihlali size bildirirsek, şunları yapmanız gerekebilir:
- İhlalin çalışanlarınıza yüksek risk oluşturup oluşturmadığını değerlendirin
- Ulusal denetim otoritenizi bilgilendirin (gerekirse)
- Etkilenen çalışanları bilgilendirin (ihlal onların hak ve özgürlüklerine yüksek risk oluşturuyorsa)
- İhlal müdahalenizi ve kararlarınızı belgeleyin
9. Veri Koruma Görevlisi (DPO)
GDPR Madde 37 kapsamında, veri koruma stratejimizi denetlemek ve uyumluluğu sağlamak için bir Veri Koruma Görevlisi atadık.
DPO Sorumlulukları
- GDPR ve diğer veri koruma yasalarına uyumluluğu izleme
- Veri Koruma Etki Değerlendirmeleri (DPIA'lar) konusunda danışmanlık
- Denetim otoriteleriyle işbirliği yapma
- Veri sahipleri ve denetim otoriteleri için iletişim noktası olarak hareket etme
- Personeli veri koruma yükümlülükleri konusunda eğitme
- İç denetimler ve değerlendirmeler yapma
DPO'muzla İletişime Geçin
GDPR ile ilgili herhangi bir soru veya endişe için Veri Koruma Görevlimizle doğrudan iletişime geçebilirsiniz:
E-posta: [email protected]
Posta: Veri Koruma Görevlisi, WorkTime One, Inc.
Yanıt Süresi: DPO sorgularına 5 iş günü içinde yanıt vereceğiz
10. Çalışan Gizlilik Hakları
WorkTime One aracılığıyla çalışan verilerini işlerken özel değerlendirmeler geçerlidir:
İşveren Yükümlülükleri
Önemli: İşveren (veri sorumlusu) olarak, çalışanlarınızın gizliliğiyle ilgili yasal yükümlülükleriniz vardır.
- Şeffaflık: Çalışanları zaman takibi, toplanan veriler ve nasıl kullanılacağı hakkında bilgilendirin
- Yasal Dayanak: Zaman takibi için yasal bir dayanağınız olduğundan emin olun (genellikle sözleşme veya meşru menfaat)
- Biyometrik Rıza: Parmak izleri veya diğer biyometrik verileri toplamadan önce açık rıza alın
- Veri Minimizasyonu: Yalnızca meşru iş amaçları için gerekli verileri takip edin
- Çalışan Hakları: Çalışan veri sahibi hakları taleplerine (erişim, silme vb.) kolaylık sağlayın
- İşçi Konseyi Danışması: Bazı AB ülkelerinde, çalışan izleme uygulamadan önce işçi konseyleriyle görüşün
- Ulusal Yasalar: Ulusal iş yasalarına ve çalışan izleme düzenlemelerine uyun
Çalışan Gizlilik Bildirimi Şablonu
Kuruluşunuz için özelleştirebileceğiniz bir şablon çalışan gizlilik bildirimi sağlıyoruz. Bu, GDPR şeffaflık gerekliliklerine uymanıza yardımcı olur.
İndir: Çalışan Gizlilik Bildirimi şablonumuzu [email protected] adresinden talep edin
11. Denetim Otoritesine Şikayetler
GDPR Madde 77 kapsamında, veri koruma haklarınızı ihlal ettiğimize inanıyorsanız denetim otoritesine şikayette bulunma hakkına sahipsiniz.
Şikayet Nasıl Yapılır
Şikayetinizi şu yerlerdeki denetim otoritesine yapabilirsiniz:
- Olağan ikamet ettiğiniz AB üye devleti
- Çalıştığınız AB üye devleti
- İddia edilen ihlalin gerçekleştiği AB üye devleti
AB Denetim Otoriteleri
Yerel veri koruma otoritenizi bulun:
AB Geneli Liste: Avrupa Veri Koruma Kurulu
İrlanda (AB kuruluşumuz): Veri Koruma Komisyonu (DPC)
E-posta: [email protected]
Web Sitesi: www.dataprotection.ie
Önce Bize Ulaşın
Veri işlememizle ilgili endişeleriniz varsa önce bize başvurmanızı öneririz. Sorunları doğrudan çözmeye kararlıyız ve endişelerinizi gidermek için sizinle birlikte çalışacağız.
GDPR Kaynakları
Veri koruma haklarınız ve uyumluluğumuz hakkında daha fazla bilgi edinin