Gizlilik Politikası
EDU OCTO
GİZLİLİK POLİTİKASI
İşbu Gizlilik Politikası (“Politika”), Edu Octo tarafından internet sitesi, mobil uygulama ve bağlantılı platform hizmetleri kapsamında yürütülen veri toplama, kullanım, paylaşım, güvenlik ve saklama uygulamalarına ilişkin genel ilkeleri açıklamak amacıyla hazırlanmıştır. Bu Politika; Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni, Çerez Politikası, Kişisel Veri Saklama ve İmha Politikası ve ilgili kişi başvuru süreçleriyle birlikte okunmalıdır. |
1. Amaç ve Kapsam
Edu Octo; eğitim, öğretim, kurs, gelişim, danışmanlık, rehabilitasyon ve benzeri alanlarda faaliyet gösteren kurum ve kuruluşlarla çalışan; veliler/yasal temsilciler, öğrenciler, kursiyerler, katılımcılar, danışanlar, öğretmenler/eğitmenler, kurum/kuruluş yöneticileri ve diğer yetkili kullanıcılar arasında dijital iletişim, günlük akış, duyuru, raporlama, servis takibi, fotoğraf/video paylaşımı, bildirim, abonelik ve ödeme süreçlerini destekleyen bir platformdur.
Platform kapsamında, kurum/kuruluşun tercihine bağlı olarak, ilgili kişinin güvenliği ile bakım, destek ve hizmet süreçleriyle bağlantılı sağlık/alerji verileri ile servis şoförünün mobil cihazından elde edilen anlık veya sefer süresince oluşan konum verileri de işlenebilmektedir.
Bu Politika, platformu ziyaret eden veya kullanan kişilerin bilgilerinin hangi genel prensiplerle işlendiğini; hangi tür verilerin toplanabileceğini; bu verilerin nasıl korunduğunu, kimlerle paylaşılabileceğini ve kullanıcıların hangi seçimlere sahip olduğunu açıklamaktadır.
İşbu metinde geçen “öğrenci” ibaresi, hizmetin niteliğine göre öğrenci, kursiyer, katılımcı, danışan, hizmet alan ve reşit kullanıcıları; “veli” ibaresi ise uygun olduğu ölçüde veli, vasi ve yasal temsilcileri; “sınıf/şube” ibaresi ise sınıf, grup, şube, program ve benzeri organizasyon birimlerini kapsayacak şekilde yorumlanır.
Bu Politika bir aydınlatma metninin yerine geçmez. Kişisel verilerin hangi amaçlarla, hangi hukuki sebeplere dayanılarak işlendiğine, kimlere aktarıldığına ve ilgili kişi haklarına ilişkin ayrıntılı açıklamalar için ayrıca yayımlanan Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni incelenmelidir.
Platform müşterisi esasen kurum/kuruluş olmakla birlikte, platformun son kullanıcıları veliler/yasal temsilciler, öğretmenler/eğitmenler, kurum/kuruluş personeli, öğrenciler, kursiyerler, katılımcılar, danışanlar ve yetkilendirilmiş diğer kullanıcılardır. Bu nedenle Politika, hem kurumsal müşteri ilişkisini hem de son kullanıcı deneyimini kapsayacak şekilde hazırlanmıştır.
2. Temel Gizlilik Yaklaşımımız
- kişisel verileri belirli, açık ve meşru amaçlarla işlemek,
- işlenen verileri ihtiyaçla sınırlı ve ölçülü tutmak,
- rol bazlı erişim ve görünürlük kurguları uygulamak,
- çocuklara ait verilerde daha dikkatli ve sınırlı bir yaklaşım izlemek; reşit ilgili kişiler bakımından ise verinin niteliğine uygun ölçülülük ve yetki esaslarını gözetmek,
- zorunlu olmayan çerez ve benzeri teknolojiler bakımından kullanıcı tercihlerini esas almak,
- güvenlik, saklama ve imha süreçlerini ayrı politika ve iç prosedürlerle desteklemek,
- mevzuat, teknik mimari ve operasyonel ihtiyaçlar değiştikçe belgeleri güncel tutmak.
3. Toplayabileceğimiz Bilgiler
3.1. Doğrudan tarafımıza sağlanan bilgiler
- ad, soyad, iletişim bilgileri, unvan ve görev bilgileri,
- kurum/kuruluş bilgileri, şube ve fatura bilgileri,
- üyelik ve hesap açılışı sırasında sağlanan kullanıcı, yetki ve rol bilgileri,
- öğrenci, kursiyer, katılımcı, danışan, veli ve yasal temsilci ilişkisine ilişkin kayıtlar,
- destek, başvuru, teklif, iletişim ve şikâyet içerikleri,
- yüklenen fotoğraf, video, doküman ve diğer içerikler.
3.2. Platform kullanımı sırasında oluşan bilgiler
- oturum, işlem güvenliği ve log kayıtları,
- cihaz, tarayıcı, uygulama sürümü ve teknik erişim bilgileri,
- duyuru görüntüleme, mesajlaşma, kayıt oluşturma ve işlem geçmişi,
- servis takibi, durak, rota, biniş-iniş ve tahmini varış bilgileri,
- servis takibi özelliğinin kullanılması halinde, servis şoförünün kullandığı mobil cihazda konum servislerinin etkinleştirilmesi suretiyle elde edilen anlık araç konumu, hareket yönü, rota üzerindeki ilerleyişi ve sefer süresince oluşan konum kayıtları da platform kullanımı sırasında oluşan bilgiler arasında yer alabilir.
- günlük akış, yoklama/devam takibi, gelişim/gözlem notları, etkinlik/oturum ve benzeri operasyonel kayıtlar.
3.3. Hassasiyet taşıyabilecek bilgiler
- öğrencilere, kursiyerlere, katılımcılara veya danışanlara ilişkin alerji, sağlık durumu, ilaç kullanımı ve özel beslenme bilgileri,
- çocuklara ait fotoğraf ve video içerikleri,
- servis takibine bağlı konum ve ulaşım verileri.
4. Verileri Hangi Kaynaklardan Toplarız
Kişisel veriler; internet sitesi, kayıt ve üyelik ekranları, mobil uygulama, kurum/kuruluş tarafından platforma yapılan veri girişleri, kullanıcı tarafından yüklenen içerikler, destek ve iletişim kanalları, bildirim ve mesajlaşma modülleri, servis takip araçları, banka havalesi/EFT kayıtları, ödeme kuruluşu altyapıları, log sistemleri, çerezler ve benzeri teknolojiler aracılığıyla toplanabilir.
Bu kapsamda, servis şoförü tarafından kullanılan mobil uygulamada cihaz konum servislerinin etkinleştirilmesi suretiyle oluşan konum verileri de, ilgili servis seferinin yürütülmesi ve velilerin servis hareketini takip edebilmesi amacıyla teknik olarak işlenebilir.
Bazı veriler doğrudan ilgili kişi tarafından, bazı veriler kurum/kuruluş yetkilileri veya veli/yasal temsilci tarafından, bazı veriler ise sistem kullanımı sırasında otomatik olarak oluşabilir.
5. Bilgileri Nasıl Kullanıyoruz
- platformun kurulması, işletilmesi ve kullanıcı hesaplarının yönetilmesi,
- okul, veli, öğretmen ve diğer yetkili kullanıcılar arasında iletişimin sağlanması,
- duyuru, bildirim, günlük akış, içerik yönetimi ve raporlama süreçlerinin yürütülmesi,
- servis takibi ve güvenli ulaşım bilgilendirmelerinin sunulması,
- fotoğraf/video ve diğer içeriklerin yetkilendirme kurallarına uygun gösterilmesi,
- abonelik, faturalama, tahsilat, iade ve muhasebe süreçlerinin yürütülmesi,
- sistem güvenliğinin sağlanması, kötüye kullanım ve yetkisiz erişimin önlenmesi,
- destek, denetim, hukuk, uyuşmazlık ve resmi kurum taleplerinin yönetilmesi,
- kullanıcı deneyiminin, ürün performansının ve hizmet kalitesinin geliştirilmesi,
- açık rıza veya ilgili mevzuat çerçevesinde bilgilendirme ve ticari ileti süreçlerinin yürütülmesi.
6. Okullar, Veliler ve Diğer Kullanıcılar Arasındaki Rol Yapısı
Edu Octo, ağırlıklı olarak kurum/kuruluşlara sunulan bir hizmettir. Bu nedenle platform üzerinde oluşturulan birçok veri seti, kurum/kuruluş ile son kullanıcılar arasındaki ilişki çerçevesinde şekillenir. Okulların kendi öğrenci, veli, öğretmen ve personel verileri bakımından ayrıca aydınlatma, açık rıza, saklama, imha ve erişim yönetimi yükümlülükleri bulunabilir.
Edu Octo, kendi operasyonel amaçları bakımından veri sorumlusu olarak hareket ettiği alanlarda kişisel verileri kendi belgeleri ve süreçleri çerçevesinde yönetir; kurum/kuruluş adına veya onların talimatıyla yürütülen süreçlerde ise tarafların rolü somut veri işleme faaliyetinin niteliğine göre ayrıca değerlendirilir.
Bu Politika, platformun genel çalışma prensiplerini açıklamakta olup, kurum/kuruluşların kendi iç mevzuat ve süreç belgelerinin yerini almaz.
7. Verileri Kimlerle Paylaşabiliriz
Kişisel veriler, hizmetin güvenli ve işlevsel şekilde sunulabilmesi amacıyla ve ilgili mevzuata uygun olarak, ihtiyaç kadar ve amaçla sınırlı şekilde aşağıdaki taraflarla paylaşılabilir:
- kurum/kuruluş yetkilileri, öğretmenler, idari kullanıcılar ve yetkilendirilmiş personel,
- veliler, vasiler ve yasal temsilciler, yalnızca ilgili öğrenci ve yetki ilişkisi çerçevesinde,
- ödeme kuruluşları, bankalar, sanal POS ve finansal hizmet sağlayıcıları,
- muhasebe, mali müşavirlik, denetim, hukuk ve danışmanlık hizmeti alınan kişi/kuruluşlar,
- barındırma, veri depolama, içerik sunumu, harita/konum, bildirim, e-posta/SMS, güvenlik ve hata izleme hizmet sağlayıcıları,
- yetkili kamu kurum ve kuruluşları, mahkemeler, icra mercileri ve kolluk birimleri.
Fiilen kullanılan yurt içi ve yurt dışı servis sağlayıcılar, teknik envanter ve veri işleme mimarisi doğrultusunda güncel tutulur. Sağlayıcı listeleri, kategori bazlı olarak ilgili politika ve aydınlatma metinlerinde veya destekleyici envanter belgelerinde ayrıca gösterilebilir.
8. Çocuklara Ait Veriler, Fotoğraf/Video ve Özel Nitelikli Veriler
Platformun doğası gereği, çocuklara ait kişisel veriler işlenebilmektedir. Edu Octo, çocukların üstün yararının gözetilmesi, veri minimizasyonu, sınırlı erişim ve amaçla bağlılık ilkelerini benimsemeyi hedefler.
Fotoğraf ve video içerikleri üçüncü kişilere açık değildir. Bu içerikler, kural olarak yalnızca ilgili öğrencinin bulunduğu sınıfla bağlantılı veli kullanıcıları ile ilgili öğretmenler tarafından görüntülenebilir. İçeriklerin görüntülenmesi, indirilmesi ve paylaşılması; sistem kurgusu, kullanıcı rolü, kurum/kuruluş politikası ve sözleşmesel düzenlemeler çerçevesinde sınırlandırılır.
Toplu sınıf veya etkinlik fotoğrafları bakımından, içerikte yer alan öğrencilerin bulunduğu aynı sınıfa/gruba/programa bağlı veli kullanıcılarının görüntüleme yetkisi tanımlanabilir; bu görünürlük kuralı üçüncü kişilere açık paylaşım anlamına gelmez ve kurum/kuruluşun yetki kurgusu ile sözleşmesel düzenlemeler çerçevesinde sınırlandırılır.
Alerji, sağlık durumu, ilaç kullanımı, özel beslenme ihtiyacı ve benzeri hassas bilgiler, yalnızca gerekli olduğu ölçüde ve uygun güvenlik tedbirleriyle işlenmelidir. Bu veri kategorilerinin görüntülenmesi, güncellenmesi ve kayıt altına alınması bakımından rol bazlı erişim ve loglama esas alınır.
Sağlık ve benzeri özel nitelikli veriler bakımından, kural olarak veriyi sisteme giren yetkili kullanıcı, ilgili öğretmen(ler), görev alanı gereği yetkilendirilmiş kurum/şube yönetimi ve teknik destek ihtiyacı bulunduğu ölçüde sınırlı Edu Octo operasyon/destek personeli erişim sahibi olabilir; servis kullanıcılarına bu verilere erişim tanımlanmaması esastır.
Özel nitelikli verilere erişim bakımından; veli yalnızca kendi çocuğuna ait kayıtları görüntüleyebilir, öğretmen yalnızca sorumlu olduğu öğrenci/sınıf verilerine erişebilir, okul yönetimi görev alanı kapsamında daha geniş erişime sahip olabilir, Edu Octo operasyon ve destek ekipleri ise yalnızca destek ihtiyacı kadar sınırlı erişimle işlem yapar. Finans/muhasebe kullanıcılarının sağlık verisine erişimi bulunmaz; geliştirici ekip canlı ortamdaki bu verilere doğrudan erişmemeli veya çok sınırlı, maskeli veri setleriyle çalışmalıdır.
9. Konum ve Servis Takibi
Servis takibi özelliği kullanıldığında; rota, durak, biniş-iniş, tahmini varış ve konum verileri işlenebilir. Bu veriler, ilgili kişinin güvenliğinin desteklenmesi, veli bilgilendirmesi ve operasyonel koordinasyon amacıyla kullanılır.
Servis hizmetinin kurum/kuruluş tarafından üçüncü taraf bir taşımacılık veya servis şirketinden temin edilmesi halinde de, servis takibi amacıyla işlenen konum verilerinin görünürlüğü ve yetkilendirilmesi, kural olarak ilgili kurum/kuruluşun belirlediği erişim kuralları ve hizmet ilişkisi çerçevesinde yürütülür.
Konum verilerine erişim, yalnızca ilgili servis, öğrenci ve yetki ilişkisi çerçevesinde tanımlanmalı; gereksiz görünürlük veya sınırsız paylaşım önlenmelidir.
10. Ödeme ve Faturalandırma
Edu Octo'da ödeme süreçleri, doğrudan banka hesabına ödeme ve/veya ödeme kuruluşu/sanal POS altyapısı üzerinden elektronik ödeme yöntemleri kullanılarak yürütülebilir.
Banka havalesi/EFT süreçlerinde ödeme yapan kişi/kurum bilgisi, dekont, ödeme tarihi, tutar ve cari eşleştirme bilgileri işlenebilir. Elektronik ödeme altyapısı kullanıldığında ise ödeme kuruluşu tarafından ödeme güvenliğine ilişkin veriler işlenebilir; Edu Octo kendi sistemlerinde kural olarak ödeme sonucuna, tahsilat durumuna, işlem referansına, iade bilgisine ve muhasebeleştirme süreçlerine ilişkin sınırlı finansal kayıtları tutar.
Platform kapsamında kurum/kuruluşlara sunulan CRM, ön muhasebe veya benzeri operasyonel modüllerde kurum/kuruluş tarafından girilen cari, tahsilat, işlem ve ilişki yönetimi verileri bakımından, somut sürece göre kurum/kuruluş veri sorumlusu, Edu Octo ise teknik altyapı sağlayan veri işleyen olarak hareket edebilir; Edu Octo'nun kendi abonelik, faturalama ve tahsilat süreçleri ise ayrıca kendi veri sorumluluğu kapsamında yürütülür.
Ödeme güvenliği, dolandırıcılık önleme ve işlem doğrulama amacıyla ödeme sağlayıcıları tarafından zorunlu teknik çerezler veya benzeri teknolojiler kullanılabilir. Bu konuya ilişkin ayrıntılar ayrıca Çerez Politikası’nda yer alır.
*okullara crm ve ön muhasebe modülü geldi buradaki rolümüz nedir?
11. Çerezler ve Benzeri Teknolojiler
İnternet sitesinde ve web tabanlı kullanıcı alanlarında; oturum yönetimi, güvenlik, tercihlerin hatırlanması, performans ölçümü ve açık rıza verilmişse analitik iyileştirme amaçlarıyla çerezler ve benzeri teknolojiler kullanılabilir.
Zorunlu çerezler, hizmetin güvenli ve doğru çalışması için gereklidir. Analitik ve performans amaçlı zorunlu olmayan çerezler ise varsayılan olarak kapalı tutulmalı ve yalnızca kullanıcının açık tercihi ile etkinleştirilmelidir.
Çerez kategorileri, tercih paneli, kullanılan teknolojiler, üçüncü taraf çerezler ve çerezlerin nasıl yönetileceğine ilişkin ayrıntılar ayrıca yayımlanan Çerez Politikası’nda açıklanır.
12. Üçüncü Taraf Teknolojiler ve Yurt Dışı Unsurlar
Platform mimarisinde kullanılan bazı hizmetler; bulut barındırma, veri depolama, içerik sunumu, harita/konum, push bildirim, e-posta/SMS, hata izleme, güvenlik ve ödeme altyapısı gibi üçüncü taraf sağlayıcıları içerebilir.
Bu sağlayıcıların bir kısmı yurt dışında yerleşik olabilir veya verilerin bir kısmı yurt dışındaki altyapılarda işlenebilir. Fiilen kullanılan sağlayıcılar, veri kategorileri ve aktarım mekanizmaları teknik envanter ile mevzuat çerçevesinde ayrıca değerlendirilir ve güncellenir.
Kullanılan servis sağlayıcı listesi ve bunların fonksiyonları, uygun olduğu ölçüde ilgili politika, aydınlatma metni, çerez envanteri veya iç dokümanlarda kategori bazlı olarak gösterilir: ......
13. Bilgi Güvenliği ve Gizlilik Tedbirleri
- rol bazlı yetkilendirme ve görünürlük kısıtları,
- kimlik doğrulama, parola güvenliği, oturum kontrolleri ve güvenli veri iletimi,
- log kayıtları, olay yönetimi, yedekleme ve iş sürekliliği önlemleri,
- gizlilik yükümlülükleri, sözleşmesel tedbirler ve tedarikçi kontrolleri,
- veri azaltma, maskeleme ve ihtiyaç kadar erişim ilkeleri,
- eğitim, farkındalık ve iç politika/prosedür mekanizmaları.
Bununla birlikte, internet üzerinden veri iletiminin mutlak surette risksiz olduğu garanti edilemez. Kullanıcıların da güçlü parola kullanımı, cihaz güvenliği, hesap paylaşmama ve güncel uygulama/tarayıcı kullanımı gibi temel güvenlik tedbirlerini alması önemlidir.
14. Saklama ve İmha
Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen saklama süreleri çerçevesinde muhafaza edilir. İşleme amacının ortadan kalkması, saklama süresinin sona ermesi veya mevzuat uyarınca artık saklama gereği kalmaması hâlinde veriler silinir, yok edilir veya anonim hale getirilir.
Saklama süreleri, kayıt ortamları, periyodik imha süreçleri ve imha yöntemleri hakkında ayrıntılı açıklamalar için ayrıca hazırlanan Kişisel Veri Saklama ve İmha Politikası incelenmelidir. Bağlantı:
15. Haklarınız ve Başvuru Yolu
İlgili kişiler, yürürlükteki mevzuat kapsamında kişisel verileri hakkında bilgi talep etme, düzeltme, silme/yok etme şartlarının oluşması halinde talepte bulunma, itiraz etme ve zararın giderilmesini isteme gibi haklara sahip olabilir.
Hakların kapsamı ve başvuru usulüne ilişkin ayrıntılı açıklamalar, Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni ve İlgili Kişi Başvuru Formu’nda yer almaktadır. Başvurular, mevzuata uygun yöntemlerle aşağıdaki veya güncel olarak ilan edilen kanallardan iletilebilir:
- KVKK başvuru e-postası: kvkk@eduocto.com
- genel iletişim: info@eduocto.com
- yazılı başvuru adresi / KEP / diğer kanallar: ......
16. Üçüncü Taraf Bağlantılar ve Harici Ortamlar
İnternet sitesi, mobil uygulama veya platform alanlarında üçüncü taraf internet sitelerine, uygulamalara, ödeme sayfalarına veya entegrasyonlara bağlantı verilebilir. Bu harici ortamların içeriklerinden, gizlilik uygulamalarından ve veri işleme süreçlerinden Edu Octo doğrudan sorumlu değildir.
Kullanıcıların, yönlendirildikleri üçüncü taraf hizmetlerin kendi gizlilik ve kullanım koşullarını ayrıca incelemeleri önerilir.
17. Politika Değişiklikleri
Bu Politika; mevzuat değişiklikleri, kurumsal yapı, teknik altyapı, kullanılan hizmet sağlayıcılar, veri işleme envanteri veya operasyonel süreçlerdeki değişiklikler doğrultusunda güncellenebilir.
Güncel sürüm, internet sitesi ve/veya ilgili dijital kanallarda yayımlandığı tarihten itibaren geçerli olur. Önemli değişiklikler gerektiğinde ayrıca duyurulabilir.
18. İletişim
Veri Sorumlusu / Belge Sahibi | Beril Naz Şencan |
KVKK Başvuru E-postası | kvkk@eduocto.com |
Genel İletişim | info@eduocto.com |
Adres | ...... |
KEP / Telefon / Diğer | ...... |