Aydınlatma Metni
EDU OCTO
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ
İşbu Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni (“Aydınlatma Metni”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ilgili ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde, Edu Octo tarafından veri sorumlusu sıfatıyla yürütülen kişisel veri işleme faaliyetleri bakımından ilgili kişilerin bilgilendirilmesi amacıyla hazırlanmıştır.
Bu kapsamda kişisel verileriniz; kaydedilme, depolanma, muhafaza edilme, güncellenme, yeniden düzenlenme, açıklanma, aktarılma, devredilme, sınıflandırılma veya kullanılmasının engellenmesi gibi işlemlere tabi tutulabilmektedir.
Edu Octo; kurum/kuruluş yönetimi, öğretmenler/eğitmenler, veliler/yasal temsilciler, öğrenciler, kursiyerler, katılımcılar, danışanlar ve diğer yetkili kullanıcılar arasında dijital iletişim, duyuru, günlük akış, servis takibi, fotoğraf/video paylaşımı, içerik görüntüleme, raporlama, abonelik ve ödeme süreçlerini destekleyen bir platform hizmeti sunmaktadır. Bununla birlikte, platform üzerinde yürütülen tüm veri işleme faaliyetlerinde tek tip bir hukuki rol bulunmamaktadır.
Somut veri işleme faaliyetinin amacına ve niteliğine göre; bazı veri setlerinde Edu Octo veri sorumlusu olarak hareket ederken, bazı veri setlerinde kurum/kuruluş veri sorumlusu, Edu Octo ise veri işleyen olarak hareket edebilmektedir. Bu Aydınlatma Metni, esas olarak Edu Octo'nun veri sorumlusu olduğu süreçleri açıklamakta; kurum/kuruluşun veri sorumlusu olabileceği süreçler hakkında ise rol paylaşımını açıklayıcı bilgi vermektedir. Platformu kullanan kurum/kuruluşların, kendi veri sorumluluğu alanlarında ayrıca aydınlatma yükümlülüğü bulunabileceği dikkate alınmalıdır.
1. Veri Sorumlusunun Kimliği
Kişisel verileriniz, veri sorumlusu sıfatıyla aşağıda bilgileri yer alan ...... tarafından işlenmektedir.
Ticari Unvan | ...... |
MERSİS / Vergi No | ...... |
KEP Adresi | ...... |
Adres | ...... |
E-posta | info@eduocto.com / kvkk@eduocto.com |
Telefon | ...... |
2. İlgili Kişi Grupları ve Kapsam
İşbu Aydınlatma Metni aşağıdaki ilgili kişi gruplarını kapsar:
- internet sitesi ziyaretçileri ve çerez tercihlerini yöneten kullanıcılar,
- iletişim, teklif, demo, başvuru ve destek formlarını dolduran kişiler,
- İşbu metinde geçen “öğrenci” ibaresi, hizmetin niteliğine göre öğrenci, kursiyer, katılımcı, danışan, hizmet alan ve reşit kullanıcıları; “veli” ibaresi ise uygun olduğu ölçüde veli, vasi ve yasal temsilcileri; “sınıf/şube” ibaresi ise sınıf, grup, şube, program ve benzeri organizasyon birimlerini kapsayacak şekilde yorumlanır.
- üyelik oluşturan veya kuruluş kaydı yapan kurum/kuruluş yetkilileri,
- Edu Octo ile ödeme, fatura, tahsilat ve iade süreçlerinde muhatap olan kişiler,
- Edu Octo'ya destek, şikayet, başvuru veya hukuki talep ileten kişiler,
- ticari ileti ve bilgilendirme mesajlarını alan kişiler,
- platform üzerinde kurum/kuruluş tarafından yetkilendirilen kullanıcılar bakımından, Edu Octo'nun kendi güvenlik, destek ve operasyon süreçlerine konu olan kullanıcılar.
Çocuklara ait kişisel veriler bakımından; ayrıca reşit öğrenci, kursiyer, katılımcı, danışan ve benzeri ilgili kişiler bakımından Edu Octo; ölçülülük, veri minimizasyonu, rol bazlı yetkilendirme ve çocuğun üstün yararının gözetilmesi ilkelerini esas almayı amaçlar.
3. Rol Paylaşımı ve Aydınlatma Metninin Kapsamı
Veri sorumlusu/veri işleyen ayrımı, somut veri işleme faaliyetinde işleme amaç ve vasıtalarını kimin belirlediğine göre yapılmaktadır.
3.1. Edu Octo'nun veri sorumlusu olduğu süreçler
- internet sitesi ziyaretleri, zorunlu teknik çerezler ve çerez tercih yönetimi,
- iletişim, demo, teklif, başvuru ve satış öncesi bilgilendirme süreçleri,
- kurumsal üyelik başvuruları, kurum hesabı açılışı ve müşteri ilişkileri yönetimi,
- faturalama, tahsilat, iade, muhasebe ve finansal kayıt süreçleri,
- destek talepleri, hizmet kalite kayıtları, uyuşmazlık ve hukuki talep süreçleri,
- log kayıtları, bilgi güvenliği, kötüye kullanımın önlenmesi, sistem bütünlüğü ve çerez tercihleri gibi Edu Octo'nun kendi operasyonel ve hukuki amaçları için tutulan kayıtlar.
3.2. Kurum/Kuruluş’un veri sorumlusu olabileceği süreçler
Aşağıdaki veri setlerinde, işleme amaç ve vasıtalarının kurum/kuruluş tarafından belirlenmesi halinde ilgili kurum/kuruluş veri sorumlusu, Edu Octo ise veri işleyen olarak hareket edebilir:
- öğrenci, kursiyer, katılımcı, danışan, veli/yasal temsilci ve öğretmen/eğitmen profilleri ile sınıf/grup/şube/program bazlı operasyon verileri,
- günlük akış, yoklama/devam takibi, gelişim/gözlem notları, duyuru ve mesajlaşma içerikleri,
- öğretmenler veya kurum/kuruluş personeli tarafından yüklenen fotoğraf, video ve diğer içerikler,
- kurum/kuruluş operasyonuna bağlı servis takibi, rota, durak, biniş-iniş ve konum verileri; özellikle servis şoförünün kullandığı mobil uygulamada konum servislerinin etkinleştirilmesi suretiyle elde edilen anlık araç konumu ve sefer süresince oluşan konum kayıtları,
- ilgili kişinin güvenliği ile bakım, destek ve hizmet süreçleri kapsamında işlenen alerji, sağlık durumu, ilaç kullanımı ve özel beslenme verileri.
3.3. Konum Verilerine İlişkin İlave Bilgilendirme
Servis takibi özelliğinin kullanılması halinde, servis şoförünün kullandığı mobil cihazda konum servislerinin/GPS özelliğinin açılması suretiyle anlık veya sefer süresince konum verisi işlenebilir. Bu kapsamda, servis aracının mevcut konumu, hareket yönü, rota üzerindeki ilerleyişi, durak yaklaşımı, tahmini varış zamanı ve ilgili sefer ile ilişkilendirilebilen konum kayıtları teknik olarak işlenebilir.
Bu veriler; ilgili servisin harita üzerinde gösterilmesi, serviste bulunan öğrencilerin velileri tarafından servis hareketinin takip edilebilmesi, rota ve durak bilgilerinin doğrulanması, biniş-iniş süreçlerinin desteklenmesi, ilgili kişinin güvenliğinin sağlanması, olası uyuşmazlık veya olay incelemelerinin yapılması, destek ve teknik hata giderme süreçlerinin yürütülmesi amacıyla kullanılabilir.
Bu süreçte velinin kendi cihazından konum verisi paylaşması zorunlu değildir; izleme işlevi, kural olarak servis şoförünün cihazından alınan konum verisinin ilgili servis seferi ve yetkili kullanıcı hesapları ile ilişkilendirilmesi suretiyle çalışır. Erişim, kural olarak ilgili kurum/kuruluş, ilgili servis sürücüsü, yetkili okul kullanıcıları, serviste bulunan öğrencilerin velileri ve teknik ihtiyaç halinde sınırlı Edu Octo destek personeli ile sınırlandırılır.
Servis ve konum verilerinin işlenmesine ilişkin esas amaç, görünürlük, yetki ve saklama kararları somut sürece göre kurum/kuruluş tarafından belirleniyorsa, ilgili veri setinde kurum/kuruluş veri sorumlusu; Edu Octo ise veri işleyen olarak hareket edebilir. Bu süreçlere ilişkin esas aydınlatmanın ilgili kurum/kuruluş tarafından ayrıca yapılması beklenir.
Bu tür süreçlere ilişkin esas aydınlatmanın ilgili kurum/kuruluş tarafından ayrıca yapılması; görünürlük, açık rıza (gerektiği hallerde), yetki kurgusu, saklama ve imha kararlarının kurum/kuruluş tarafından belirlenmesi beklenir.
Edu Octo, kurum/kuruluş adına veri işleyen sıfatıyla hareket ettiği süreçlerde, taraflar arasındaki hizmet ilişkisi ve veri işleme talimatları çerçevesinde işlem yapar.
Kişisel Veri Kategorisi | İşlenme Amaçları | Rol / Açıklama |
Konum, rota, durak, biniş-iniş bilgileri ile servis şoförü cihazından elde edilen anlık ve sefer süresince oluşan konum kayıtları | Servis hareketinin harita üzerinde gösterilmesi, velilerin ilgili servisi takip edebilmesi, rota ve durak doğrulaması, tahmini varışın gösterilmesi, ilgili kişinin güvenliğinin desteklenmesi, olay inceleme ve teknik destek süreçlerinin yürütülmesi | Somut sürece göre kurum/kuruluş veri sorumlusu, Edu Octo veri işleyen olarak hareket edebilir. Görünürlük, yetki ve saklama kararları kurum/kuruluş tarafından belirlenir. |
4. Edu Octo'nun Veri Sorumlusu Olduğu Süreçlerde Kişisel Verilerin Hangi Amaçlarla ve Hangi Hukuki Sebeplere Dayanılarak İşlendiği
Edu Octo tarafından veri sorumlusu sıfatıyla yürütülen başlıca kişisel veri işleme faaliyetleri aşağıda, ilgili süreç bazında kategorize edilerek; işlenen veri kategorileri, işleme amaçları ve hukuki sebepleri ile birlikte açıklanmıştır.
Bu metinde yer verilen veri kategorileri, örnek olarak şu tür verileri ifade edebilir: Kimlik verisi (ad-soyad, unvan), iletişim verisi (telefon numarası, e-posta adresi), işlem güvenliği verisi (IP adresi, oturum kayıtları, log kayıtları), finans verisi (ödeme bilgileri, fatura bilgileri, tahsilat kayıtları), müşteri işlem verisi (abonelik bilgileri, talep ve işlem kayıtları), hukuki işlem verisi (başvuru, uyuşmazlık ve ispat süreçlerine ilişkin kayıt ve belgeler). Somut süreçte işlenen veri türleri, kullanılan modül, hizmet ve kullanıcı rolüne göre değişiklik gösterebilir.
4.1. İnternet Sitesi Ziyaretçileri, Çerez Yönetimi ve Dijital Erişim Süreçleri
İnternet sitesi ve web tabanlı kullanıcı panellerinde kullanılan çerezler ve benzeri teknolojiler bakımından detaylı bilgiye ayrıca yayımlanan Çerez Politikası üzerinden ulaşılabilir. Zorunlu olmayan çerezler, yalnızca ilgili kişinin açık rızası bulunması halinde devreye alınır; çerez tercihleri internet sitesi üzerinde yer alan tercih paneli üzerinden yönetilebilir.
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, İşlem Güvenliği, Dijital İz Kayıtları | internet sitesinin görüntülenmesi, temel fonksiyonların çalıştırılması, oturum yönetimi, güvenlik kontrolleri, hata tespiti, performans izleme, log kayıtlarının tutulması ve hukuki/teknik denetim süreçlerinin yürütülmesi | kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması |
Pazarlama, Dijital Davranış Verisi, İşlem Güvenliği | zorunlu olmayan çerezler bakımından tercihlerin kaydedilmesi, rıza yönetiminin yürütülmesi, yalnızca açık rıza verilmiş olması halinde analitik ölçümleme ve kullanıcı deneyiminin geliştirilmesi | açık rızanın bulunması |
4.2. İletişim, Demo, Teklif, Başvuru ve Bilgi Talebi Süreçleri
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, Mesleki Deneyim, Talep/Şikâyet Bilgisi | iletişim taleplerinin alınması ve yanıtlanması, demo ve teklif süreçlerinin yürütülmesi, potansiyel müşteri görüşmelerinin organize edilmesi, satış öncesi bilgilendirme yapılması ve talep kayıtlarının saklanması | bir sözleşmenin kurulmasıyla doğrudan doğruya ilgili olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması |
4.3. Kurum / Okul Kaydı, Üyelik ve Hesap Açılış Süreçleri
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, Müşteri İşlem, Finans, Mesleki Deneyim, İşlem Güvenliği | kurum kaydının oluşturulması, yetkili kurum hesabının tanımlanması, sözleşme ve üyelik süreçlerinin yürütülmesi, hesap aktivasyonu, faturalama bilgilerinin alınması ve kayıtların doğrulanması | bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması; kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması |
İşlem Güvenliği, Kimlik, İletişim | sahte kayıtların, yetkisiz başvuruların, hesap suistimalinin ve güvenlik risklerinin önlenmesi | veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
4.4. Ödeme, Tahsilat, Fatura ve Muhasebe Süreçleri
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, Finans, Müşteri İşlem, Hukuki İşlem | abonelik ve paket ücretlerinin tahakkuku, fiyatlandırma ve ödeme planının oluşturulması, fatura bilgilerinin alınması, cari hesap kaydının açılması, tahsilat sürecinin başlatılması ve finansal kayıtların oluşturulması | bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması; kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması |
Kimlik, İletişim, Finans, Müşteri İşlem | ödemelerin doğrudan banka hesabına havale/EFT yoluyla alınması, ödeme yapan kişi/kurum ile ödemenin eşleştirilmesi, dekont kontrolü, tahsilat teyidi, cari hesap güncellemesi, gecikmiş veya eksik ödemelerin takibi | bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
Kimlik, İletişim, Finans, Müşteri İşlem, İşlem Güvenliği | ödemelerin ödeme kuruluşu / sanal POS altyapısı üzerinden alınması, ödeme işleminin doğrulanması, tahsilat sonucunun sisteme işlenmesi, işlem referans bilgilerinin kaydedilmesi, başarısız veya bekleyen işlemlerin yönetilmesi, iade ve iptal süreçlerinin yürütülmesi | bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması; kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
Kimlik, İletişim, Finans, Müşteri İşlem, Muhasebe Kayıtları, Hukuki İşlem | fatura düzenlenmesi, e-fatura/e-arşiv süreçlerinin yürütülmesi, muhasebeleştirme, mutabakat, iade, yasal raporlama, vergi ve denetim yükümlülüklerinin yerine getirilmesi, uyuşmazlık halinde delil niteliğindeki kayıtların saklanması | kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
4.5. Destek, Talep, Şikâyet, Denetim ve Hukuk Süreçleri
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, Talep/Şikâyet, Hukuki İşlem, İşlem Güvenliği | destek taleplerinin alınması ve sonuçlandırılması, hizmet kalite incelemelerinin yapılması, uyuşmazlık süreçlerinin yönetilmesi, hukuki taleplerin değerlendirilmesi, delil niteliğindeki kayıtların saklanması ve resmî kurum taleplerine cevap verilmesi | bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; kanunlarda açıkça öngörülmesi; hukuki yükümlülüğün yerine getirilmesi |
4.6. Ticari İletişim, Memnuniyet ve Pazarlama Süreçleri
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
Kimlik, İletişim, Pazarlama, Müşteri İşlem | ürün ve hizmetlere ilişkin genel bilgilendirme yapılması, memnuniyet çalışmaları yürütülmesi, kampanya, tanıtım, bülten ve promosyon içeriklerinin iletilmesi | hizmetin ifasıyla doğrudan bağlantılı bilgilendirmeler bakımından sözleşmenin ifası veya meşru menfaat; ticari elektronik ileti ve pazarlama faaliyetleri bakımından ilgili mevzuat uyarınca açık rıza / onay |
Hizmetin sunulmasına ilişkin zorunlu bilgilendirmeler ile tanıtım, kampanya ve pazarlama içerikli ticari elektronik iletiler birbirinden ayrı değerlendirilir.
4.7. Edu Octo'nun Kendi Güvenlik ve Operasyon Kayıtları
Kişisel Veri Kategorisi | İşlenme Amaçları | Hukuki Sebep |
|---|---|---|
İşlem Güvenliği, Log Kayıtları, Cihaz ve Erişim Bilgileri | platform güvenliğinin sağlanması, erişim kayıtlarının tutulması, hata ve olay yönetiminin yürütülmesi, iç denetim, bilgi güvenliği, kötüye kullanımın önlenmesi ve hukuki savunma süreçlerinin yönetilmesi | kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; veri sorumlusunun meşru menfaati |
Okul/kurum adına teknik olarak işlenen veri setlerinde ise veriler, kurum/kuruluş tarafından platforma yapılan veri girişleri, veli/yasal temsilci tarafından sisteme girilen bilgiler, kamera/fotoğraf/video yükleme alanları, servis takip modülleri, servis şoförü tarafından kullanılan mobil uygulamada cihaz konum servislerinin etkinleştirilmesi suretiyle oluşan konum verileri ve platform kullanımı sırasında oluşan teknik kayıtlar aracılığıyla işlenebilir.
Kurum/Kuruluş Adına Teknik Olarak İşlenebilecek Veri Setlerine İlişkin Bilgilendirme
Öğrenciye ilişkin günlük akış, fotoğraf/video, servis takibi ve kurum/kuruluş güvenliği amacıyla tutulan sağlık/alerji verileri gibi bazı veri setleri, somut sürece göre kurum/kuruluş adına teknik olarak işlenebilir. Bu veri setleri bakımından esas aydınlatma yükümlülüğü ilgili kurum/kuruluşda olup, Edu Octo bu verileri sözleşme ve talimat çerçevesinde işleyen taraf olarak hareket edebilir.
5. Kişisel Verilerin Toplanma Yöntemleri
Edu Octo'nun veri sorumlusu olduğu süreçlerde kişisel verileriniz; internet sitesi, mobil uygulama, kullanıcı paneli, üyelik/kayıt ekranları, iletişim ve destek formları, sözleşmeler, e-posta ve telefon görüşmeleri, çerezler ve benzeri teknolojiler, log sistemleri, ödeme ve faturalama süreçleri, banka havalesi/EFT kayıtları ile ödeme kuruluşu altyapıları dahil olmak üzere otomatik, yarı otomatik veya otomatik olmayan yollarla sözlü, yazılı veya elektronik ortamda toplanabilmektedir.
Okul/kurum adına teknik olarak işlenen veri setlerinde ise veriler, kurum/kuruluş tarafından platforma yapılan veri girişleri, veli/yasal temsilci tarafından sisteme girilen bilgiler, kamera/fotoğraf/video yükleme alanları, servis takip modülleri ve platform kullanımı sırasında oluşan teknik kayıtlar aracılığıyla işlenebilir.
Platform üzerinden kurum/kuruluş adına işlenen öğrenci, fotoğraf/video, günlük akış, servis ve benzeri veri setleri bakımından görünürlük ve aktarım kararları, kural olarak ilgili kurum/kuruluşun veri sorumluluğu çerçevesinde değerlendirilir. Servis şoförü cihazından elde edilen konum verileri, ilgili servis seferinin yürütülmesi ve velilerin servis hareketini takip edebilmesi amacıyla, yetki matrisi kapsamında ilgili kurum/kuruluş, yetkili okul kullanıcıları ve ilgili öğrencilerin velileri ile paylaşılabilir/görüntülenebilir.
Tarafımıza iletilen kişisel verilerin doğru ve güncel olması ilgili kişinin sorumluluğundadır. Yanlış veya eksik veri paylaşımından doğabilecek sonuçlardan Edu Octo sorumlu tutulamaz.
6. Kişisel Verilerin Kimlere ve Hangi Amaçlarla Aktarılabileceği
Edu Octo'nun veri sorumlusu olduğu süreçlerde kişisel verileriniz, yukarıda açıklanan amaçların yerine getirilebilmesi için KVKK’nın 8. ve 9. maddeleri ile ilgili diğer mevzuat hükümlerine uygun olarak aşağıda belirtilen alıcı gruplarına aktarılabilir.
Alıcı Grubu | Aktarım Amaçları | Aktarımın Dayanağı |
|---|---|---|
Ödeme kuruluşları, bankalar, sanal POS hizmet sağlayıcıları ve finansal hizmet sağlayıcıları | doğrudan banka hesabına ödeme süreçlerinin yürütülmesi, elektronik ödeme işlemlerinin gerçekleştirilmesi, tahsilat teyidi, işlem güvenliği, iade, mutabakat, muhasebe kayıtlarının oluşturulması ve finansal yükümlülüklerin yerine getirilmesi | bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması; kanunlarda açıkça öngörülmesi; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması |
Muhasebe, mali müşavirlik, denetim, hukuk ve danışmanlık hizmeti alınan kişi/kuruluşlar | mali, vergisel, hukuki ve denetsel yükümlülüklerin yerine getirilmesi | kanunlarda açıkça öngörülmesi; hukuki yükümlülük; bir hakkın tesisi, kullanılması veya korunması |
Barındırma, veri depolama, içerik dağıtımı, bildirim, güvenlik, harita/konum, SMS/e-posta ve benzeri teknik hizmet sağlayıcılar | platformun teknik olarak işletilmesi, bakım, güvenlik, hata izleme, yedekleme, bildirim ve ilgili servislerin sağlanması | sözleşmenin ifası; meşru menfaat; gerekli olduğu hallerde açık rıza |
Yetkili kamu kurum ve kuruluşları, mahkemeler, icra mercileri ve kolluk birimleri | yasal bildirim, resmî taleplerin karşılanması, hak ve yükümlülüklerin yerine getirilmesi, uyuşmazlıkların çözümü | kanunlarda açıkça öngörülmesi; hukuki yükümlülük; bir hakkın tesisi, kullanılması veya korunması |
Platform üzerinden kurum/kuruluş adına işlenen öğrenci, fotoğraf/video, günlük akış, servis ve benzeri veri setleri bakımından görünürlük ve aktarım kararları, kural olarak ilgili kurum/kuruluşun veri sorumluluğu çerçevesinde değerlendirilir.
6.1. Yurt Dışına Aktarım
Edu Octo tarafından kullanılan teknik altyapının niteliğine bağlı olarak; veri depolama, içerik sunumu, harita/konum, push bildirim, e-posta/SMS gönderimi, hata izleme, güvenlik ve benzeri destek hizmetleri kapsamında kişisel verilerinizin bir kısmı yurt dışında yerleşik hizmet sağlayıcılarla paylaşılabilir.
Fiilen kullanılan üçüncü taraf servis sağlayıcılar ve aktarım yapılan veri türleri, hizmet mimarisine göre değişebilmekte olup ilgili alanlar ayrıca envanter bazında güncellenecektir.
Yurt dışı veri aktarımı, KVKK’nın 9. maddesi ile ilgili ikincil düzenlemelerde öngörülen yeterlilik kararı, uygun güvence, standart sözleşme, bağlayıcı şirket kuralları veya gerektiği hallerde açık rıza dahil uygun hukuki mekanizmalara dayanılarak yürütülür.
Okul/kurumun veri sorumlusu olduğu veri setleri bakımından yurt dışı aktarım içeren süreçlerde ilgili kurum/kuruluşun kendi yükümlülüklerini ayrıca yerine getirmesi gerekebilir.
7. Özel Nitelikli Kişisel Verilere İlişkin İlave Bilgilendirme
Platform kapsamında öğrencilere ilişkin alerji, sağlık durumu, ilaç kullanımı, özel beslenme ihtiyacı ve benzeri hassas veriler işlenebilmektedir. Bu veriler yalnızca belirli, açık ve meşru amaçlarla; öğrencinin güvenliğinin sağlanması, bakım ve günlük operasyonel süreçlerin yürütülmesi, acil durumların doğru yönetilmesi ve yetkili kişilerin doğru şekilde bilgilendirilmesi amacıyla işlenir.
Bu tür özel nitelikli veri setlerinde, somut sürece göre kurum/kuruluş veri sorumlusu; Edu Octo ise veri işleyen olarak hareket edebilir. Verinin sisteme hem okul yetkilisi hem de veli tarafından girilebilmesi, tek başına rol paylaşımını değiştirmez; işleme amacının okulun ilgili kişinin güvenliği ile bakım, destek ve hizmet süreçleri olması halinde ilgili veri seti bakımından kurum/kuruluş veri sorumluluğu devam edebilir.
Okul/kurumun veri sorumlusu olduğu özel nitelikli veri setlerinde, işleme şartı ve hukuki sebep somut sürece göre ilgili kurum/kuruluş tarafından ayrıca belirlenir.
Özel nitelikli kişisel verilere erişim, rol bazlı yetkilendirme prensibi çerçevesinde sınırlandırılır. Edu Octo, bu verilerin güvenliğine yönelik olarak erişim kontrolleri, kayıt altına alma, gizlilik yükümlülükleri, teknik güvenlik tedbirleri ve gerektiğinde sözleşmesel korumalar uygulamayı hedefler.
- Veli, yalnızca kendi çocuğuna ait kayıtları görüntüleyebilir.
- Öğretmen, yalnızca sorumlu olduğu öğrenciye, sınıfa veya görev alanına ilişkin verileri görüntüleyebilir.
- Okul yönetimi, kurumsal yetkisi ve görev alanı kapsamında daha geniş erişim yetkisine sahip olabilir.
- Edu Octo operasyon ve destek ekipleri, yalnızca destek ihtiyacının gerektirdiği ölçüde ve sınırlı erişimle işlem yapabilir.
- Teknik ekip, kural olarak veri azaltma, maskeleme ve ihtiyaç kadar erişim ilkeleri çerçevesinde çalışır.
- Finans, muhasebe ve faturalama süreçlerinde görevli kullanıcıların sağlık ve benzeri özel nitelikli kişisel verilere erişimi bulunmaz.
- Teknik destek personelinin büyük çoğunluğuna tam içerik erişimi tanımlanmaz; gerektiğinde yalnızca sorun çözümü için sınırlı ve kontrollü erişim sağlanır.
- Geliştirici ekip, canlı ortamdaki özel nitelikli verilere doğrudan erişmez; zorunlu teknik ihtiyaç bulunması halinde erişim çok kısıtlı, kayıt altına alınmış ve mümkün olduğunca maskelenmiş veri setleri üzerinden yürütülür.
8. Kişisel Verilerin Saklanma Süresi ve İmhası
Edu Octo, veri sorumlusu olduğu veri setlerini işlendikleri amaç için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen saklama süreleri çerçevesinde muhafaza eder. İşleme amacının ortadan kalkması, saklama süresinin sona ermesi veya ilgili mevzuat uyarınca verilerin artık muhafaza edilmesinin gerekmemesi hâlinde, kişisel veriler 6698 sayılı Kanun ve ilgili ikincil düzenlemelere uygun olarak silinir, yok edilir veya anonim hâle getirilir.
Okul/kurumun veri sorumlusu olduğu veri setlerinde saklama süresi, kural olarak ilgili kurum/kuruluş tarafından belirlenir; Edu Octo bu verileri sözleşme ve talimat çerçevesinde tutar. Edu Octo'nun veri sorumlusu olduğu veri setleri bakımından ise saklama, silme, yok etme ve anonimleştirme süreçleri kendi saklama ve imha politikası çerçevesinde yürütülür.
Kişisel verilerin saklanmasına ve imhasına ilişkin usul ve esaslar, ayrıca hazırlanan ve yürürlüğe alınan Kişisel Veri Saklama ve İmha Politikası kapsamında belirlenir. Anılan politika kapsamında, veri kategorileri bazında saklama süreleri, kayıt ortamları, periyodik imha süreçleri, teknik ve idari tedbirler, sorumlu birimler ile silme, yok etme ve anonimleştirme yöntemleri ayrıca düzenlenir.
Kişisel verilerin saklanmasına ve imhasına ilişkin detaylı açıklamalar için Kişisel Veri Saklama ve İmha Politikası incelenmelidir. Bağlantı :
9. Kişisel Verilerin Güvenliğine Yönelik Tedbirler
Edu Octo, kendi sorumluluk alanındaki kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak ve güvenli bir dijital hizmet altyapısı sunmak amacıyla uygun teknik ve idari tedbirleri almaya çalışır. Edu Octo, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlarla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde yürütmeyi amaçlar. Bu kapsamda örneğin aşağıdaki tedbirler uygulanabilir:
- rol bazlı erişim yetkilendirmesi ve kullanıcı bazlı görünürlük kısıtları,
- şifreleme, güvenli veri iletimi, oturum ve kimlik doğrulama kontrolleri,
- log kayıtlarının tutulması, olay yönetimi ve güvenlik incelemeleri,
- yedekleme, iş sürekliliği ve felaket kurtarma önlemleri,
- gizlilik yükümlülükleri, sözleşmesel tedbirler ve yetki matrisleri,
- personel ve iş ortakları bakımından farkındalık ve politika süreçleri.
Okul/kurumun veri sorumlusu olduğu veri setlerinde, kurum/kuruluşun kendi kullanıcı ve operasyon süreçleri bakımından gerekli iç tedbirleri ayrıca alması gerekmektedir.
10. İlgili Kişinin Hakları
KVKK’nın 11. maddesi uyarınca veri sorumlusuna başvurarak aşağıdaki haklara sahipsiniz:
- kişisel verilerinizin işlenip işlenmediğini öğrenme,
- kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- KVKK’da öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
- düzeltme, silme veya yok etme işlemlerinin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.
Okul/kurumun veri sorumlusu olduğu veri setlerine ilişkin başvurularda, birincil muhatap ilgili kurum/kuruluş olabilir. Edu Octo'nun veri sorumlusu olduğu veri setlerine ilişkin başvurular ise aşağıda belirtilen kanallar üzerinden iletilebilir.
11. Başvuru Usulü
KVKK kapsamındaki taleplerinizi, KVKK’nın 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ çerçevesinde veri sorumlusuna iletebilirsiniz. Başvurular; yazılı olarak, KEP adresi üzerinden, güvenli elektronik imza veya mobil imza kullanılarak ya da sistemimizde kayıtlı elektronik posta adresiniz üzerinden gerçekleştirilebilir.
Yazılı Başvuru Adresi | ...... |
KEP Adresi | ...... |
KVKK Başvuru E-postası | kvkk@eduocto.com |
Diğer İletişim Kanalları | info@eduocto.com / ...... |
Başvurunuzda ad-soyad, başvuru konusu, talebinizin dayanağı, varsa ilgili belge ve kimlik doğrulamasına elverişli bilgilere yer verilmesi gerekmektedir. Edu Octo, kendi veri sorumluluğu alanındaki başvuruları mevzuatta öngörülen süreler içinde ve ilgili usule uygun olarak sonuçlandırır.
12. Güncelleme ve Yürürlük
İşbu Aydınlatma Metni; mevzuat değişiklikleri, iş süreçleri, teknik altyapı, kullanılan hizmet sağlayıcılar, veri işleme envanteri veya kurumsal yapıdaki değişiklikler doğrultusunda güncellenebilir.
Metnin güncel versiyonu internet sitesi ve/veya ilgili dijital kanallar üzerinden yayımlandığı tarihten itibaren geçerlilik kazanır.