1. Amaç

Kişisel verileri saklama ve imha politikamız, 6698 sayılı Kişisel verilerin Korunması Kanunu uyarınca ve 30224 Sayılı Resmi Gazetede yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) kapsamında; Firmamız bünyesinde gerçekleştirilmekte olan saklama ve imha faaliyetlerinin işleyişi konusunda usul ve esasların belirlenmesi, taraflarımızca da bilinmesi amacıyla hazırlanmıştır. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Firmamız tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.

2. Kapsam

Kişisel verileri saklama ve imha politikamız, 6698 sayılı Kişisel verilerin Korunması Kanunu uyarınca ve 30224 Sayılı Resmi Gazetede yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) kapsamında; Firmamız bünyesinde gerçekleştirilmekte olan saklama ve imha faaliyetlerinin işleyişi konusunda usul ve esasların belirlenmesi, taraflarımızca da bilinmesi amacıyla hazırlanmıştır. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Firmamız tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.

3. Kısaltmalar ve Tanımlar

Firma: Firmamız

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kişisel Verilerin İşlenmesi Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Kişisel Veri Sahibi/İlgili Kişi Firma Yetkilileri, İş Ortağı/Tedarikçiler, Çalışan, Çalışan Adaylarımız, Ziyaretçilerimiz, Firma ve Grup Firma Müşterileri, Potansiyel Müşteriler Firmanın işbirliği içinde olduğu kurum/firmalar tarafından Firma ile paylaşılan ve/veya bu kurum/firmalar adına Firma tarafından elde edilen üçüncü kişiler ve Üçüncü Kişilerdir. Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder. Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Elektronik ortam: Çağrı sunucusu/IK yazılımı/Proje Yazılımları/bariyer sistemi sunucusu/Dosya paylaşım ortak alanı(NAS),Firmamız bilgisayar ve telefonları Elektronik olmayan ortam Numaralandırılarak tanımlanmış kilitli dosya dolapları/Arşiv

Hizmet sağlayıcı: İnternet Servis sağlayıcısı /Müşteri bazlı çağrı servisi hizmet sağlayıcısı Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder Yönetmelik 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi Çalışan Firmamız personeli İlgili Kişi Kişisel verisi işlenen gerçek kişi İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter Kurul Kişisel Verileri Koruma Kurulu Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi Politika Kişisel Verileri Saklama ve İmha Politikası Veri Sorumluları Sicil Bilgi Sistemi Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi VERBİS Veri Sorumluları Sicil Bilgi Sistemi

4. Kayıt Ortamları

Aşağıdaki tablo, FİRMAMIZ tarafından saklanan kişisel verilerin hangi ortamlarda kayıt altına alındığını göstermektedir. Firmamız tarafından saklanan kişisel veriler, niteliğine ve hukuki durumuna göre en uygun kayıt ortamında saklanır. Veri Kayıt Ortamı Açıklama Elektronik Ortamlar • Sunucular (Yedekleme, Dosya Paylaşımı, lokal server, yurtiçi bulut sistemi, vb.) • Firmamız Bilgisayarları (Masaüstü, Dizüstü, vb.) Elektronik Olmayan Ortamlar • Kağıt, Dosya, Klasör, Defter

5. Sorumluluk ve Görev Dağılımları

Yönetmeliğin 6. maddesinin f bendi uyarınca, kişisel verilerin saklanmasında ve imha süreçlerinde yer alan kişilerin unvanlarının, görevlerinin ve birimlerinin belirtilmesi gerektiği düzenleme altına alınmıştır. Bu kapsamda kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi, kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla veri güvenliği, saklama ve imha süreçlerinin yönetimi, teknik ve idari tedbirlerin alınması konularında Firmamız bünyesinde bulunan kişilere ait unvanlar, görev ve birimler belirtilmiştir. Her departman amiri, kendi departmanı kapsamında uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası ve düzenlenen diğer politika ve prosedürler uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamak ve cevaplamakla, saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden ve saklama ve imha politikalarının uygulanmasından sorumludur. Birden fazla departmanı ilgilendiren iş ve işlemler Bilgi İşlem departmanı tarafından koordine edilecektir. Kalite Yöneticisi ve Bilgi İşlem Departmanı Kişisel Veri Yöneticisidir.

6. Kişisel Verilerin İşlenmesi

Firmamız, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Firmamız kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir. a) Hukuka ve dürüstlük kurallarına uygun olarak, b) Doğru ve gerektiğinde güncel tutularak, c) Belirli, açık ve meşru amaçlar için işlenmek üzere, ç) İşlendikleri amaçla bağlantılı, ihtiyaç oldukları halde sınırlı ve ölçülü olarak d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek.

7. Kişisel Verilerin İşlenme Şartları Kişisel

veriler ilgili kişinin açık rızası olmaksızın işlenmez. Ancak kanunun belirtiği aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Şöyle ki; a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

8. Özel Nitelikli Kişisel Verilerin İşlenme Şartları 

Teknoloji sektöründe faaliyet gösteren bir Firmamız olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Firmamız, Özel nitelikli kişisel verileri, ilgilinin açık rızası olmaksızın işlememektedir. Kişinin rızası var ise yahut sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu durumlarda, Özel nitelikli kişisel verilerin işlenirken, ayrıca KVK Kurulumuz tarafından belirlenen yeterli önlemlerin alınması şarttır.

9. Kişisel Verilerin Aktarılması / Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak 5. ve 6. maddelerinde belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. Aktarılma işlemlerinde gerekli gizlilik koşulları ve güvenlik önlemleri veri sorumlusu tarafından alınarak üçüncü kişilere aktarılabilir. Firmamız tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği, Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Firmamızın meşru menfaatleri için kişisel veri aktarımı zorunlu ise yabancı ülkelere aktarılabilir. Kişinin rızası var ise yahut sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu durumlarda, Özel nitelikli kişisel verilerin işlenirken, ayrıca KVK Kurulumuz tarafından belirlenen yeterli önlemlerin alınması şarttır. 

10. Saklamayı Gerektiren Hukuki Sebepler 

Firmamız faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; 4857 sayılı İş Kanunu. 6102 sayılı Türk Ticaret Kanunu. 6098 sayılı Türk Borçlar Kanunu. 6502 sayılı Tüketicinin Korunması Hakkında Kanunu. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu. 213 sayılı Vergi Usul Kanunu. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve diğer ilgili mevzuat hükümleri kapsamında muhafaza edilir. Kişinin rızası var ise yahut sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu durumlarda, Özel nitelikli kişisel verilerin işlenirken, ayrıca KVK Kurulumuz tarafından belirlenen yeterli önlemlerin alınması şarttır.

11. Saklamayı Gerektiren İşleme Amaçları

Firmamız, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri belirli amaçlar doğrultusunda saklamaktadır. Bu kapsamda amaçlar aşağıda sayılmıştır: İnsan kaynakları süreçlerini yürütmek. Kurumsal iletişimi sağlamak. Kurum güvenliğini sağlamak, İstatistiksel çalışmalar yapabilmek. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek. VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak. Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak. Çağrı merkezi süreçlerini yönetmek. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü Acil Durum Yönetimi Süreçlerinin Yürütülmesi Bilgi Güvenliği Süreçlerinin Yürütülmesi Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi Eğitim Faaliyetlerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi Finans Ve Muhasebe İşlerinin Yürütülmesi Fiziksel Mekan Güvenliğinin Temini Görevlendirme Süreçlerinin Yürütülmesi Hukuk İşlerinin Takibi Ve Yürütülmesi İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması İş Faaliyetlerinin Yürütülmesi / Denetimi İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi Mal / Hizmet Satış Süreçlerinin Yürütülmesi Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi Performans Değerlendirme Süreçlerinin Yürütülmesi Risk Yönetimi Süreçlerinin Yürütülmesi Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ücret Politikasının Yürütülmesi Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

12. İmhayı Gerektiren Sebepler

Kişisel veriler; İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Firmamız tarafından kabul edilmesi, Firmamızın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurumuna şikâyette bulunması ve bu talebin Kurum tarafından uygun bulunması, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, İlgili mevzuatlarda yer alan saklama sürelerinin sona ermesi, durumlarında, Firmamız tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

13. Teknik Tedbirler

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. Anahtar yönetimi uygulanmaktadır. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Erişim logları düzenli olarak tutulmaktadır. Gerektiğinde veri maskeleme önlemi uygulanmaktadır. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. Güncel anti-virüs sistemleri kullanılmaktadır. Güvenlik duvarları kullanılmaktadır. Kişisel veriler mümkün olduğunca azaltılmaktadır. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. Mevcut risk ve tehditler belirlenmiştir. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. Saldırı tespit ve önleme sistemleri kullanılmaktadır. Şifreleme yapılmaktadır. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır. Gerçekleşen kişisel veri işleme faaliyetleri kurulan teknik sistemler ile periyodik olarak test edilmekte ve denetlenmektedir. Test ve denetim sonuçları yine periyodik olarak ilgilisine ve Risk kuruluna raporlanmaktadır. Teknik kontrollerin sağlanması yetkin personel istihdamı ile yapılmaktadır. Teknolojik gelişmelere uygun teknik önlemler alınarak, periyodik olarak güncellenmektedir. Kullanıcılara ihtiyaç duyulan asgari yetki verilir. Birimlerimiz bazında hukuksal gereklilikler çerçevesinde erişim ve yetkilendirme teknik çözümleri uygulanmaktadır. Erişim yetkileri sınırlandırılır ve düzenli olarak gözden geçirilir. Kişisel verilerin bulunduğu veri depolama alanlarına erişim loglanarak uygunsuz erişimler veya erişim denemeleri tespit edilip, üst yönetime raporlanmaktadır. Virüs koruma ve güvenlik duvarları sistemleri içeren yazılımlar ve donanımlar kullanılır. Kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini veya değiştirilmesini önlemek için teknolojik imkanlar ve uygulamalar maliyetine göre teknik ve idari tedbirler alınır. Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine ve üst yönetime raporlanmaktadır. Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

14. İdari Tedbirler

Çalışanlarımıza periyodik olarak bilgilendirme ve farkındalık eğitimi verilmektedir. Firmamızda yürütülen tüm kişisel veri faaliyetleri işleyen birim ve etkileşen diğer birimlerin özelinde analiz edilerek işleme faaliyetleri ortaya konulur. Bu faaliyetlerde kanunun aradığı şartları işleyen ve etkileşen birimler tarafından göz önünde bulundurularak faaliyetler belirlenir. Hukuksal uyum gerekliliklerin sağlanması için birimler tarafından farkındalık yaratılmakta, uygulama kuralları belirlenmekte ve bu hususların denetimi sağlanmak üzere politika, prosedür, talimatlar, tablolar vb. dokümanlar ve eğitimler yoluyla hayata geçirilmektedir. Çalışanlarımız ve müşterilerimiz ile hukuki ilişkiyi yönetmek üzere sözleşme/ler ve onaylı talimatlar uygulamaya alınmaktadır.

15. Kişisel Verilerin Korunması Faaliyetlerinin Denetimi

İç tetkikler ile Kanunun 12. Maddesine uygun olarak, kişisel veri işleme, saklama, depolama ve imha gibi uygulama süreçleri kontrol edilerek, üst yönetime raporlanarak risk içeren unsurlara ivedilikle gerekli teknolojik ve idari çözümler alınır. İyileştirmeler tespit edilerek uzun vadede yatırımları planlanır.

16. Kişisel Veri Sahiplerinin Yasal Haklarının Korunması ve Kişisel Verilerin İfşası Durumunda Alınacak Tedbirler

Bu politika ve faaliyetlerimiz, kanun uygulaması ile kişisel veri sahiplerinin tüm verileri özellikle Özel nitelikli veriler için tüm yasal hakları gözeterek hakların korunması için gerekli önlemlerimizi almaktayız. Kanunun 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütülmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

17. Kişisel Verilerin Sınıflandırılması Kimlik Bilgisi

Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb. İletişim Bilgisi Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb Özel Nitelikli Kişisel Veri Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gib her türlü sağlık verisi ile din, üye olunan dernek verisi, vb Fiziksel Mekân Güvenlik Bilgisi Firmamız’e ait veya kiracısı olduğu fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler: kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb. Finansal Bilgi Tedarikçiler, İş Ortakları ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finasal profil, malvarlığı verisi, gelir bilgisi verileri vb Talep/Şikayet Yönetimi Bilgisi Firmamız’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler. İşlem Güvenliği Bilgisi Firmamız’in ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Firmamız’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler Hukuki İşlem Uyum Bilgisi Firmamıza hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve Firmamız politikalarına uyum kapsamında işlenen kişisel veriler.

18. Veri Sorumlusunun Aydınlatma Yükümlülüğü

Firmamız, ilgili taraflarımızın kişisel veri sahiplerini “Kişisel verilerin korunması uyarınca aydınlatma metni (TA.KY.02)” ile bilgilendirilmektedir. Bu metin, Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermektedir. Kişisel veri sahibi tarafından Firmamıza yapılan başvurunun Firmamız tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.

19. Değişikliklerin Güncellemesi ve Uygulaması

Firmamız, Kanunda yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda bu politikamız ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. Oluşan yasal güncellemelerde ivedilikle değişiklikler revize edilmek üzere aksiyonlar başlatılır.

20. İşlem Güvenliği

FİRMAMIZ tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Firmamız içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.

21. Kişisel Verileri İmha Teknikleri

Kişisel Veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birine veya birkaçına dayalı olarak saklanmakta ve bu kapsamda, kişisel verilerin işlenmesi için belirtilen şartların geçerliliği süresince kişisel veriler saklanmakta, söz konusu işleme şartları sona erdiğinde veya ilgili kişinin Firmamıza başvurusu üzerine, (Firmamızın riayet etmesi gereken diğer hukuki yükümlülükleri kontrol edildikten sonra) talep üzerine saklanmakta olan kişisel veriler silinmekte, imha edilmekte veya anonim hale getirilmektedir. Kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır. a.Silme Yöntemleri Aşağıda yer alan tabloda verilen yöntemlerle kişisel veriler silinir. Fiziksel Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri Karartma Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep, kullanılarak görünemez hale getirilmesi şeklinde yapılır. Bulut ve Yerel Dijital Ortamda/ Yazılımlarda Tutulan Kişisel Veriler İçin Silme Yöntemleri Yazılımdan güvenli olarak silme Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler saklanması gerektiren sürenin sona ermesiyle veri tabanı yöneticisi hariç diğer ilgili çalışanların hiçbir şekilde erişemeyeceği şekilde dijital komutla silinir ve tekrar kullanılamaz hale getirilir. Sunucularda Yer Alan Kişisel Veriler Erişim yetkisini kaldırarak silme Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılır ve silme işlemi yapılır. b.Yok Etme/imha Yöntemleri Aşağıda yer alan tabloda verilen yöntemlerle kişisel veriler yok edilir. Fiziksel/Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri Fiziksel yok etme Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. Makine yok ise elde yırtılıp, ıslatılarak tekrar bir araya getirilmeyecek şekilde hamur haline getirilir. Yerel Dijital Ortamda ve Sunucularda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri Fiziksel yok etme Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. De-manyetize etme (degauss) Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. Üzerine yazma Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir. Erişim yetkisini kaldırarak yok etme Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılır ve bir daha ulaşılamayacak şekilde yok etme işlemi yapılır Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri Yazılımdan güvenli olarak silme Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. c.Anonimleştirme Yöntemleri FİRMAMIZ, kişisel verileri, uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirir. Aşağıda yer alan tabloda verilen yöntemlerle kişisel veriler anonim hale getirir. Fiziksel/Matbu Ortamda Tutulan Kişisel Veriler İçin Anonim Hale Getirme Yöntemleri Değişkenleri çıkarma İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir Bölgesel gizleme Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. Genelleştirme Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. Alt ve üst sınır kodlama / Global kodlama Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. Mikro birleştirilme Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. Veri karma ve bozma Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır. Dijital Ortamda/Sunucularda/Bulut Ortamın Tutulan Kişisel Veriler İçin Anonim Hale Getirme Yöntemleri Maskeleme (Şifreleme, simge kullanma, bulanıklaştırma, karıştırma, geçersizleştirme) Veri maskeleme kişisel verilere yetkisiz kişiler tarafından erişilmesini engellemek amacıyla anlaşılmaz hale getirilmesidir. Bu yöntem kurumda bulunan gizli ve hassas bilgilerin kurum içerisine ve kurum dışarısına sızmasını, kötü niyetli kişilerce ele geçirilmesini engellemek amacıyla kullanılmaktadır. Veri maskelemede veri formatı değiştirilmez sadece değerler değiştirilir ancak bu değişim herhangi bir şekilde tespit edilmeyecek ve geri döndürülmeyecek şekilde yapılmaktadır. Ayrıca kimlerin hangi verilere ulaşabileceği belirlenerek sadece yetkisi olan kişilerin görmesi gereken bilgileri görmesi ve diğer bilgilerin maskelenmesi sağlanır.

22. Kişisel Verileri Saklama ve İmha Süreleri

FİRMAMIZ tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Kimlik Verileri; iş sözleşmeleri kapsamında işlenen veriler iş sağlığı ve güvenliğine ilişkin olması halinde iş sözleşmesinin bitiminden itibaren 15 yıl, aksi halde iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır. İletişim Verileri; İş sözleşmeleri kapsamında işlenen veriler iş sağlığı ve güvenliğine ilişkin olması halinde iş sözleşmesinin bitiminden itibaren 15 yıl, aksi halde iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır.

Lokasyon Verileri : 5 yıl süreyle saklanmaktadır Özlük Verileri : iş sözleşmeleri kapsamında işlenen veriler iş sağlığı ve güvenliğine ilişkin olması halinde iş sözleşmesinin bitiminden itibaren 15 yıl, aksi halde iş sözleşmesinin bitiminden itibaren 15 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır.

Hukuki İşlem Verileri : iş sözleşmeleri kapsamında işlenen veriler iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır.

Fiziksel Mekan Güvenliği Verileri: Kamera kayıtları 20 gün süre ile saklanmaktadır. Ancak; adli-idari mercilere teslimi gereken kayıtlar ile disiplin işlemine esas kayıtlar ilgili işçinin iş sözleşmesinin bitiminden itibaren 10 yıl süreyle saklanmaktadır.

Finans Verileri : iş sözleşmeleri kapsamında işlenen veriler iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır.

Mesleki Deneyim Verileri: 10 yıl süre ile muhafaza edilmektedir. Ancak iş sözleşmeleri kapsamında işlenen veriler iş sağlığı ve güvenliğine ilişkin olması halinde iş sözleşmesinin bitiminden itibaren 15 yıl, aksi halde iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır.

Görsel ve İşitsel Kayıtlar : iş sözleşmeleri kapsamında işlenen veriler iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır.

Sağlık Bilgileri : İş sözleşmesinin sona erdiği tarihten itibaren 15 yıl süre ile saklanmaktadır.

Ceza Mahkumiyeti Verileri : İş sözleşmesinin sona erdiği tarihten itibaren 10 yıl süre ile saklanmaktadır. Dijital İz Verisi: 10 yıl süre ile saklanmaktadır. Eğitim Verisi, Askerlik Verisi : İş sözleşmeleri kapsamında işlenen veriler iş sağlığı ve güvenliğine ilişkin olması halinde iş sözleşmesinin bitiminden itibaren 15 yıl, aksi halde iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. İşe kabul edilmeyen işçi adaylarının verileri 1 yıl süre ile saklanmaktadır.

Hizmet-Ürün Bilgisi: 10 yıl boyunca saklanır. Eser sözleşmesinden kaynaklanması halinde 20 yıl süreyle saklanır.

Ticari Bilgiler : Oda kayıt ve fatura bilgileri 10 yıl boyunca saklanır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır.

Araç Bilgisi : 10 yıl süre ile muhafaza edilmektedir. Ancak iş sözleşmeleri kapsamında işlenen veriler iş sözleşmesinin bitiminden itibaren 10 yıl süre ile saklanmaktadır. Ayrıca; eser sözleşmesinden kaynaklanan veriler-sözleşmeler 20 yıl süre ile saklanmaktadır.

Taşınmaz Bilgisi : 20 YIL SÜRE İLE SAKLANMAKTADIR. Yukarıda saklama süreleri belirtilen veriler, süre bitimini takip eden ilk imha döneminde imha edilir.

23. Periyodik İmha Süresi

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; FİRMAMIZ, işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.