İKAI HR Gizlilik Politikası

Bu Gizlilik Politikası, İKAI markası altında sunulan insan kaynakları yazılımı, çalışan yönetimi, aday takibi, onboarding, bordro süreçlerine hazırlık, belge yönetimi, yapay zeka destekli özellikler, entegrasyon yüzeyleri ve bunlarla bağlantılı web, mobil, API ve destek süreçlerinde işlenen kişisel verilere ilişkin genel çerçeveyi açıklar.

İKAI, çoğu kurumsal kullanım senaryosunda müşterinin sisteme girdiği veriler bakımından teknik hizmet sağlayıcı ve veri işleyen niteliğinde hareket eder. Müşteri; kendi çalışanları, adayları, tedarikçileri, kullanıcıları ve sisteme aktardığı diğer veri grupları bakımından veri sorumlusu olarak hareket etmeye devam eder.

Bu politika, Kullanım Şartları ile birlikte yorumlanır. Veri işleme süreçlerine ilişkin daha özel bir sözleşme, kurumsal teklif eki veya veri işleme sözleşmesi imzalanmışsa o belgeler bu genel çerçeveyi tamamlar.

Platform kapsamında hesap ve kimlik bilgileri, iletişim bilgileri, organizasyon ve ekip bilgileri, çalışan özlük verileri, aday verileri, görev ve onay kayıtları, kullanım logları, cihaz ve oturum bilgileri, güvenlik kayıtları, entegrasyon tokenları, belge ve dosya içerikleri ile müşteri tarafından platforma aktarılan diğer operasyon verileri işlenebilir.

İşlenen veri kategorileri, müşterinin aktive ettiği modüllere, entegrasyonlara, kullanıcı rollerine ve kullanım senaryolarına göre değişebilir. Her modül veya entegrasyon her müşteri için aktif olmayabilir.

İKAI, hizmeti sunmak için gerekli olmayan özel nitelikli kişisel verilerin platforma yüklenmesini teşvik etmez. Böyle verilerin yüklenmesi halinde ilgili hukuki yükümlülüklerin yerine getirilmesinden müşteri sorumludur.

Kişisel veriler; hizmetin sunulması, kullanıcı hesabı oluşturulması, kimlik doğrulama, yetkilendirme, güvenlik, loglama, hata inceleme, destek, raporlama, yedekleme, entegrasyon, bildirim gönderimi, plan ve lisans yönetimi, sözleşme ifası, hukuki yükümlülüklerin yerine getirilmesi ve hizmet kalitesinin ölçülmesi amacıyla işlenebilir.

Müşterinin platforma aktardığı veriler bakımından hukuki sebebin belirlenmesi, aydınlatma yükümlülüğünün yerine getirilmesi, açık rıza veya diğer işleme şartlarının sağlanması ve veri minimizasyonunun uygulanması müşterinin sorumluluğundadır.

İKAI, kendi hesap sahipleriyle ilişkili sınırlı veriler bakımından veri sorumlusu olarak hareket ettiği hallerde; sözleşmenin kurulması ve ifası, meşru menfaat, açık rıza, hukuki yükümlülük ve bilgi güvenliği amaçlarına dayanabilir.

Müşteri; platforma aktardığı verilerin doğru, güncel, hukuka uygun ve işleme amacıyla sınırlı olduğunu; ilgili kişilere gerekli bildirimlerin yapıldığını; gerektiğinde açık rıza, saklama politikası ve erişim yetkilendirmesi süreçlerinin tamamlandığını kabul eder.

Bir organizasyon yöneticisi, İK uzmanı veya yetkili kullanıcı tarafından sisteme girilen veri nedeniyle doğabilecek mevzuat, çalışan ilişkileri, aday süreçleri, bordro, işe alım veya üçüncü kişi taleplerinden öncelikle ilgili müşteri sorumludur.

Müşteri, platformun teknik hizmet sağlayıcı niteliğini aşan insan kaynakları, bordro, hukuk veya uyum kararları bakımından nihai değerlendirmeyi kendi uzman ekipleriyle yapmakla yükümlüdür.

İKAI, hizmetin sunulması için bulut altyapısı, e-posta iletimi, loglama, hata izleme, dosya depolama, güvenlik, analitik ve benzeri teknik hizmet sağlayıcılarla çalışabilir. Bu aktarımlar, hizmetin çalıştırılması için gerekli olduğu ölçüde yapılır.

Google, Microsoft veya benzeri entegrasyonlar müşterinin etkinleştirmesi ile çalışır. Entegrasyon kullanıldığında ilgili sağlayıcının sistemi üzerinden veri iletimi gerçekleşebilir. Bu tür entegrasyonların aktif edilmesi ve yetkili hesaplarla bağlanması müşterinin kontrolündedir.

Resmî makam talebi, mahkeme kararı, idari talep, hukuki savunma ihtiyacı, güvenlik olayı veya üçüncü kişilerin haklarını koruma gerekliliği halinde ilgili mevzuatın izin verdiği ölçüde veri paylaşımı yapılabilir.

İKAI; erişim kontrolü, yetkilendirme, oturum yönetimi, loglama, şifreleme, yedekleme, güvenlik güncellemeleri, çok kiracılı yapı izolasyonu, hata izleme ve operasyonel güvenlik süreçleri gibi makul teknik ve idari tedbirler uygular.

Bununla birlikte hiçbir dijital sistem mutlak güvenlik garantisi vermez. İnternet altyapısı, üçüncü taraf sağlayıcılar, yanlış yapılandırılmış müşteri erişimleri, kullanıcı kaynaklı parola paylaşımı veya uç cihaz güvenliği sorunları nedeniyle risk tamamen ortadan kaldırılamaz.

Müşteri; kullanıcı rollerinin doğru tanımlanması, güçlü parola kullanımı, cihaz güvenliği, erişim iptali, iç yetkilendirme ve kendi iç uyum süreçlerini işletmekten sorumludur.

Platformda yer alan yapay zeka destekli özetleme, sınıflandırma, skor üretimi, metin önerisi, aday değerlendirmesi ve benzeri özellikler karar desteği amacıyla sunulur. Bu çıktılar tek başına nihai insan kaynakları, işe alım, performans, fesih veya bordro kararı yerine kullanılmamalıdır.

AI özelliklerinin kullanılması halinde ilgili veri, ilgili özelliğin üretilmesi için teknik olarak işlenebilir. Müşteri, bu özelliklerin kullanılmasının organizasyon içi politika ve mevzuat bakımından uygunluğunu değerlendirmekle yükümlüdür.

İKAI, AI çıktılarının eksiksiz, hatasız veya belirli bir sonuca uygun olduğunu garanti etmez; bu çıktılara dayanılarak verilen kararların sorumluluğu müşteriye aittir.

Kişisel veriler, işleme amacı, sözleşmesel ilişki, güvenlik kayıtları, yedekleme politikaları ve yasal yükümlülüklerin gerektirdiği süre boyunca saklanabilir.

Müşteri hesabının kapanması veya sözleşmenin sona ermesi halinde tüm veriler aynı anda anında yok edilmeyebilir. Yedekler, loglar, denetim kayıtları, hukuki savunma kayıtları ve mevzuattan kaynaklanan saklama yükümlülükleri ayrı değerlendirilir.

Silme, anonimleştirme, erişim kapatma veya dışa aktarma talepleri teknik uygulanabilirlik, yasal yükümlülükler, sözleşmesel haklar ve güvenlik gereklilikleri çerçevesinde değerlendirilir.

Platform; oturum yönetimi, güvenlik, tercih saklama, performans ölçümü, hata tespiti ve ürün deneyimini iyileştirme amacıyla çerezler ve benzeri teknolojiler kullanabilir.

Güvenlik, denetim ve operasyon amacıyla erişim logları, hata kayıtları, IP, cihaz ve oturum verileri işlenebilir. Bu kayıtlar, hizmetin güvenli yürütülmesi ve suistimalin önlenmesi için gereklidir.

Tarayıcı ayarlarından bazı çerezler sınırlandırılabilir; ancak bu durumda platformun belirli bölümleri beklenen şekilde çalışmayabilir.

KVKK kapsamındaki başvurular, veri sahibi ile İKAI arasındaki hukuki role göre değerlendirilir. Verinin asıl veri sorumlusunun müşteri olduğu durumlarda, ilgili kişilerin taleplerinin öncelikle ilgili işveren, müşteri veya organizasyon yöneticisine yöneltilmesi gerekebilir.

İKAI’ye doğrudan iletilen talepler, kimlik doğrulama, yetki kontrolü, teknik uygulanabilirlik ve mevzuat çerçevesinde ele alınır. İKAI, veri işleyen sıfatıyla hareket ettiği kayıtlarda talebi ilgili veri sorumlusuna yönlendirebilir.

Kötüye kullanımı önlemek için ek doğrulama ve ek bilgi talep edilebilir. Teknik olarak orantısız, başkasının haklarını etkileyen veya hukuken saklanması gereken veriler bakımından talep kısmen ya da tamamen reddedilebilir.

Kullanılan altyapı, entegrasyon ve alt işleyenlere bağlı olarak belirli veri işleme faaliyetleri sınır ötesi hizmet sağlayıcılarla ilişki kurabilir. Böyle durumlarda teknik ve sözleşmesel koruma tedbirleri uygulanır; ancak müşterinin kendi mevzuat ve iç politika yükümlülüklerini ayrıca değerlendirmesi gerekir.

Müşteri, etkinleştirdiği entegrasyonların ve seçtiği kullanım senaryolarının kendi çalışanları, adayları ve ilgili kişiler bakımından doğuracağı aktarım sonuçlarını değerlendirmekten sorumludur.

İKAI, ürün, mevzuat, güvenlik, altyapı veya operasyonel ihtiyaçlar nedeniyle bu Gizlilik Politikası’nı güncelleyebilir.

Önemli değişiklikler makul ölçüde platform içi bildirim, kayıtlı e-posta adresi veya kurumsal iletişim kanalları üzerinden duyurulur. Güncel metin yayımlandıktan sonra platformun kullanılmaya devam edilmesi, ilgili güncellemelerin anlaşılması beklentisiyle değerlendirilir.