MEGABİZ ARGE ENDÜSTRİYEL SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİLERİ İŞLEME VE KİŞİSEL VERİLERİ SAKLAMA VE İMHA  POLİTİKASI

BİRİNCİ BÖLÜM 

AMAÇ, KAPSAM, KISALTMALAR VE TANIMLAR

1.1 Amaç 

Kişisel Verileri işleme ve Kişisel Verileri Saklama ve İmha Politikası (“Politika”),  MEGABİZ ARGE ENDÜSTRİYEL SANAYİ VE TİCARET A.Ş. (“ŞİRKET”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul  ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket ortakları, çalışanlar, çalışan adayları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin  Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili  kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel Verilerin İşlenmesi ve Kişisel verilerin saklanması ve imhasına ilişkin iş ve  işlemler, ŞİRKET tarafından bu doğrultuda hazırlanmış olan bu Politika’ya uygun olarak  gerçekleştirilir. 

1.2 Kapsam 

ŞİRKET ortakları, ŞİRKET organlarında görev yapan üyeler, çalışanlar, çalışan  adayları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamındadır.  ŞİRKET’ in 3. gerçek veya tüzel kişiler ile yaptığı sözleşmelerde işlenen kişisel verilerin  saklanması ve imhası için ilgili 3. Kişilerle yapılan karşılıklı sözleşme esaslarına göre hareket  edilir. 

1.3 Kısaltmalar ve Tanımlar 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel  kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle  açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir  surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale  getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,  okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı,  basılı, görsel vb. diğer ortamlar.  

Hizmet Sağlayıcı: Kişisel verilerin alınması, işlenmesi, saklanması, korunması  ve imhası faaliyetlerinin herhangi birisini içerecek şekilde ŞİRKET ile belirli bir  sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve  yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu  organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat  doğrultusunda kişisel verileri işleyen kişiler.

İrtibat kişisi: İlgili kişilerin ŞİRKET’e ileteceği taleplerin cevaplandırılması  konusunda görev yapan ve ilgili kişilerle iletişimi sağlayan personeli,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri  kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel  verilerin bulunduğu her türlü ortam.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü  bilgiyi (Bu talimat kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel  Nitelikli Kişisel Verileri de kapsar.)

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak  gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme  amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla  ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan  azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine  ilişkin alınan tedbirleri açıklayarak detaylandırdıkları döküm.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan  ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla  elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden  düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,  sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen  her türlü işlem.

Komisyon: ŞİRKET bünyesinde kişisel verileri koruma mevzuatı kapsamında  görev yapmak üzere kurulan 3 kişiden oluşan kişisel verileri koruma komisyonu

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel  verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin

Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik  uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı

KVKK / KVK-Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi  inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika  üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile  biyometrik ve genetik verileri kapsamakta olup şirketimizde özel nitelikli kişisel veri  işlenilmemektedir. 

ŞİRKET: MEGABİZ ARGE ENDÜSTRİYEL SANAYİ VE TİCARET A.Ş.’i

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının  ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve  tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme  işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için  yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve  Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları  Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri  sorumlusuna yapılacak başvurulara ilişkin başvuru formu.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına  kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği  kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri  kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile  ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık  tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetim Kurulu: Anakent Planlama Yatırm A.Ş.i Yönetim Kurulu’nu

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin  Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Ziyaretçi: ŞİRKET’nın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş  olan veya ŞİRKET’nın internet sitelerini ziyaret eden gerçek kişileri, ifade eder.

İKİNCİ BÖLÜM

SORUMLULUK VE GÖREV DAĞILIMLARI

Kişisel verileri alma, işleme, koruma ve bu politika doğrultusunda saklama ve imha  süreçlerinde Kişisel Verileri Koruma Kurumu nezdinde ŞİRKET’i temsil etmek üzere üst  yönetici sıfatıyla Şirket Genel Müdürü görevlendirilmiştir. Şirket Genel Müdürü’ne bağlı  olarak KVKK konusunda irtibat kişisi olarak da ŞİRKET personeli içerisinden belirleme

yapılmıştır. ŞİRKET içerisinde KVKK konusunda iş ve işlemleri yürütmek üzere 3 kişiden  oluşan “Kişisel Verileri Koruma Komitesi” kurulur.

ŞİRKET’in ortakları, organları, birimleri ve çalışanları, Politika kapsamında  alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve  farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı  olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin  önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel  veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin  alınması konularında sorumlu Kişisel Verileri Koruma Komisyonuna ve görevlilere aktif  olarak destek verir.

Kişisel Verileri Koruma Komisyonu üylerinin ve kişisel verilerin korunması  kapsamında verecekleri talimatlara tüm çalışanların harfiyen uymaları gerekli olduğunu  tüm personele gerekli açıklamlar yapılmıştır.  

ÜÇÜNCÜ BÖLÜM

KAYIT ORTAMLARI

Kişisel veriler, ŞİRKET tarafından aşağıda listelenen ortamlarda hukuka uygun  olarak güvenli bir şekilde saklanır. Burada yazan hususlar kişisel verilerin muhafaza  edileceği ortamları ifade etmektedir. Hangi kişisel verinin hangi yöntemle toplanacağı  ve hangi ortamda saklanacağına dair ayrıntılı bilgiler Kişisel Veri Envanteri’nde güncel  olarak bulundurulacaktır.

a. Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya  paylaşım, vb.) Yazılımlar (Ofis yazılımları)

b. Bilgi güvenliği cihazları (günlük kayıt (log) dosyası)

c. Kişisel bilgisayarlar (Masaüstü, dizüstü), Mobil cihazlar (telefon, tablet  vb.)

d. Optik diskler (CD, DVD vb.) ve çıkartılabilir bellekler (USB Bellek, Hafıza  Kart vb.)

e. Yazıcı, tarayıcı, fotokopi makinesi

f. Kâğıt

g. Manuel veri kayıt sistemleri (formlar, ziyaretçi giriş defteri)

h. Yazılı, basılı, görsel ortamlar

DÖRDÜNCÜ BÖLÜM

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

ŞİRKET ortakları ile ŞİRKET organlarında görev yapan üyeler, çalışanlar, çalışan  adayları, ziyaretçiler, hizmet sağlayıcı olarak ilişkide bulunulan kurum veya  kuruluşların çalışanları ile diğer 3. kişilere ait kişisel veriler Kanun’a ve ikincil  mevzuata uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer  verilmiştir.

4.1 Saklamaya İlişkin Açıklamalar

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4  üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü  olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar  muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin  işleme şartları sayılmıştır.

ŞİRKET’ imiz faaliyetleri çerçevesinde özel nitelikli kişisel veri işlememektedir.  Ancak çalışanların, sadece TC nüfus cüzdanlarında mevcut bulunan “dini” bilgisi ile  sağlık bilgilerinden “kan grubu” bilgisi ve ŞİRKET çalışanlarına ait bu bilgiler  çalışanların özlük dosyasında tutulmaktadır. Kişisel veriler, ilgili mevzuatta öngörülen  veya işleme amaçlarımıza uygun süre kadar saklanmaktadır. İşleme sürelerinin neler  olduğu toplanan her bir verinin toplanması konusunda hukuki sebebini teşkil eden  mevzuat hükümlerinin öngördüğü süreler kadar olacaktır. Bu nedenle, standart bir imha  süresi belirlemek mümkün değildir.

Kişisel verilerin ne kadar süre ile saklanacağı ve hangi durum ve şartlarda imha  edileceği Veri Envanteri ile aydınlatma metinlerinde teferruatlı olarak belirtilecektir.  Belirlenen bu süre, durum ve şartlar aydınlatma metinleri vasıtasıyla ilgili kişilere veri  toplama sırasında ayrıntılı olarak bildirilecektir. Ancak, genel olarak kişisel verisi  işlenen ilgili kişinin kişisel verisinin kendisi tarafından değiştirilmesini veya imha  edilmesini talep etmesine veya meslekten ayrılma, emeklilik veya ihraç gibi nedenlerle  mesleği bırakması durumlarında kişisel verisinin işleme sebebinin halen daha bulunup  bulunmadığı Ekip tarafından tekrar değerlendirilecektir.

Yurt içinde üçüncü kişilere aktarılan kişisel verilerin saklanması ile ilgili koşullar  bu kişilerle yapılan sözleşmelerde belirlenecektir. Aktarılan bu verilerin saklanması ile  ilgili olarak, veri alıcılarının da birer veri sorumlusu veya veri işleyen sıfatını haiz  gerçek veya tüzel kişi olduğu, bu nedenle KVK ile ilgili tüm mevzuatın  uygulanmasından sorumlu oldukları gerçeğinden hareketle, veri ihlali durumunda  Şirketimiz herhangi bir hukuki sorumluluk yüklenmeyecektir. Şirket’in sorumluluğu  sadece verilerin transferi sırasında bu verilerin akidin karşı tarafının hâkimiyet alanına  intikaline kadar olan sürede meydana gelen ihlaller sebebiyle olacaktır.

Yurtdışına kişisel veri aktarılmayacak ve yurtdışında veri saklanmayacaktır.  Ancak, ŞİRKET web sitesinin yönetimi, elektronik sistemler üzerinden yapılan eğitim  faaliyetleri gibi teknik işler sırasında verilerin yurtdışında kurulu veri tabanı, sunucu  vb. ortamlarda muhafazası gündeme gelebilmektedir. KVK Kurumu, yurtdışına veri  aktarılması ve verilerin bu ortamlarda saklanabilmesi ile ilgili gerekli esasları  belirleyene kadar asgari düzeyde veri azami güvenlik tedbiri ile işlenmeye devam  edilecektir. Bu konuda hizmet sağlayan alt yükleniciler ile yapılan sözleşmelere hüküm  konulacaktır.

4.1.1 Kişisel Verileri İşlemeyi ve Saklamayı Gerektiren Hukuki Sebepler

ŞİRKET faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen  süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

6698 sayılı Kişisel Verilerin Korunması Kanunu,

6102 sayılı Türk Ticaret Kanunu

193 sayılı Gelir Vergisi Kanunu

5520 sayılı Kurumlar Vergisi Kanunu

213 sayılı Vergi Usul Kanunu

3065 sayılı Katma Değer Vergisi Kanunu

488 sayılı Damga Vergisi Kanunu

492 sayılı Harçlar Kanunu

6098 sayılı Türk Borçlar Kanunu,

5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu  Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

6361 sayılı İş Sağlığı ve Güvenliği Kanunu,

4982 Sayılı Bilgi Edinme Kanunu,

3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

4857 sayılı İş Kanunu,

v.b. gibi kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler gereği olarak  mevzuatta öngörülen saklama süreleri kadar saklanmaktadır.

Mevzuatta saklanma süresi belirlenmemiş durumlarda kişisel verilerin hangi  sürelerde saklanacağı gereklilik ve ölçülülük ilkelerine uygun olarak, Kişisel Veri  Envanterinde yazılı esaslar dahilinde ŞİRKET Kişisel Verileri Koruma Komisyonu tarafından belirlenmektedir.

4.1.2 Saklamayı Gerektiren İşleme Amaçları

ŞİRKET faaliyetleri çerçevesinde işlenmekte olan kişisel veriler, Kişisel Veri  Envanterinde belirtilen amaçlar doğrultusunda saklanacaktır.

4.2 İmhayı Gerektiren Sebepler

Kişisel veriler, Kişisel Veri Envanterinde belirtilen süre sonunda ve yine Envanter  ’de belirlenen işleme sebeplerinin ortadan kalkması durumunda imha edilecektir.  Kişisel Veri Envanterinde bulunan özel şartlara ilave olarak aşağıda belirtilen genel  şartlar gerçekleştiğinde imha işlemi yapılacaktır.

a. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi  veya kaldırılması,

b. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği  hallerde, ilgili kişinin açık rızasını geri alması,

d. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel  verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun ŞİRKET tarafından  kabul edilmesi,

e. ŞİRKET’ in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi  veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi veya  İlgili kişinin, ŞİRKET’ in verdiği cevabı yetersiz bulması veya ŞİRKET’ in Kanunda  öngörülen süre içinde cevap vermemesi hallerinde; İlgili kişinin Kurula şikâyette  bulunması ve bu talebin Kurul tarafından uygun bulunması,

f. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve  kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut  olmaması, durumlarında, ŞİRKET tarafından ilgili kişinin talebi ya da re’sen silinir,  yok edilir veya anonim hale getirilir.

BEŞİNCİ BÖLÜM

TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı  olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak  imha edilmesi için Kanunun 12 nci maddesiyle, Kanunun 6 ncı maddesi dördüncü  fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen  yeterli önlemler çerçevesinde ŞİRKET tarafından teknik ve idari tedbirler alınır.

5.1 Teknik Tedbirler

ŞİRKET tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler  aşağıda sayılmıştır:

a. Sızma (Penetrasyon) testleri ile ŞİRKET’ imiz bilişim sistemlerine yönelik  risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

b. Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler  sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli  olarak izlenmektedir.

c. Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve  yetki matrisi ile aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

d. ŞİRKET’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel  güvenliği için gerekli önlemler alınmaktadır.

e. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için,  donanımsal (sorvir odası sadece yetkili personelin girişini sağlayan erişim kontrol  sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların  fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.)  ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı  yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

f. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler  belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan  tedbirlere yönelik teknik kontroller yapılmaktadır.

g. ŞİRKET içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim  ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

h. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına  alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

i. ŞİRKET, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar  kullanılamaz olması için gerekli tedbirleri almaktadır.

j. Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi  halinde bu durumu ilgili kişiye ve Kurula bildirmek için ŞİRKET tarafından buna  uygun bir sistem ve altyapı oluşturulmuştur.

k. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve  bilgi sistemleri güncel halde tutulmaktadır.

l. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar  kullanılmaktadır.

m. Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma  (loglama) sistemleri kullanılmaktadır.

n. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme  programları kullanılmaktadır.

o. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim,  erişim prensiplerine göre sınırlandırılmaktadır.

p. ŞİRKET internet sayfasına erişimde güvenli protokol (HTTPS)  kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

5.2 İdari Tedbirler

ŞİRKET tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler  aşağıda sayılmıştır:

a. Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka  aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin  önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi  beceri, 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.

b. ŞİRKET tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik  sözleşmeleri imzalatılmaktadır.

c. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik  uygulanacak disiplin prosedürü mevcuttur.

d. Kişisel veri işlemeye başlamadan önce ŞİRKET tarafından, ilgili kişileri  aydınlatma yükümlülüğü yerine getirilmektedir.

e. Kişisel veri işleme envanteri hazırlanmıştır.

f. ŞİRKET içi periyodik ve rastgele denetimler yapılmaktadır.  

g. Çalışanlara yönelik kişisel veri bilgi güvenliği eğitimleri verilmektedir.

h. Kişisel veri içeren belgelere erişim ile ilgili yetki ve sorumluluklar  belirlenmiştir.

i. Kişisel verilerin korunmasına ilişkin fiziki güvenlik tedbirleri alınmıştır.

ALTINCI BÖLÜM

KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama  süresinin sonunda kişisel veriler, ŞİRKET tarafından re’sen veya ilgili kişinin  başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen  tekniklerle imha edilir.

6.1 Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda açıklanan yöntemlerle silinir.

Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden  saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili  kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan  kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç  diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz  hale getirilir.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama  ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem  yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek  şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel  verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu  birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar  kullanılamaz hale getirilir.

6.2 Kişisel Verilerin Yok Edilmesi

Kişisel veriler, ŞİRKET tarafından aşağıda açıklanan yöntemlerle yok edilir.

Fiziksel Ortamda Yer Alan Kişisel: Veriler Kâğıt ortamında yer alan kişisel  verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri  döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik  medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin  kırılması, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok  edilmesi işlemi uygulanır.

6.3 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse  dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle  ilişkilendirilemeyecek hale getirilmesidir.

İstatistik, tarihçe vb. sebeplerle yok edilmeyerek anonim hale getirilmesine Kişisel  Verileri Koruma Komisyonunca karar verilen Kişisel veriler, veri ilgilisi ile  ilişkilendirilemeyecek ve geri döndürülemeyecek derecede üzeri çizilmek, boyanmak,  silinmek suretiyle tahrif edilir. Elektronik ortamdaki veriler için geri döndürülmesi  ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı  açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir  bir gerçek kişiyle ilişkilendirilemez hale getirilir.

6.4 İmha Sonrası İşlemler

Fiziksel ve elektronik ortamda işlenen kişisel verilerin imhası için görevlendirilen  personel, evrakı imha işlemine tabi tutmadan önce imha edilen evrakın konusu, tarihi,  nereye gönderildiği veya nereden geldiği, kaç nüsha/sayfa olduğu gibi hususları içeren  evrakı tanıtıcı bilgileri bir tutanak haline getirecek ve Şirket Genel Müdürü’ne  verecektir.

YEDİNCİ BÖLÜM

SAKLAMA VE İMHA SÜRELERİ

ŞİRKET tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili  olarak;

a. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel  verilerle ilgili, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde

b. Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta

c. Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha  Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Verileri Koruma  Komisyonu’nca güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim  hale getirme işlemi Genel İdare Müdürlüğü tarafından yerine getirilir.

Süreç bazında saklama ve imha süreleri

ŞİRKET İşlemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha  süresinde Sözleşmeler: Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin  bitimini takip eden ilk periyodik imha süresinde

ŞİRKET İletişim Faaliyetlerini Kayıtları: Faaliyetin sona ermesini takiben 10 yıl  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İnsan Kaynakları Süreçlerine ilişkin kayıtlar: Faaliyetin sona ermesini takiben 10  yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Log Kayıtları: 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha  süresinde

Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 yıl Saklama süresinin  bitimini takip eden ilk periyodik imha süresinde

Ziyaretçi ve Toplantı Katılımcılarının Kaydı: Etkinliğin sona ermesini takiben 2  yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kamera Kayıtları: 30 gün Saklama süresinin bitimini takip eden ilk periyodik imha  süresinde otomatik silinmektedir.

 SEKİZİNCİ BÖLÜM

PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince ŞİRKET, periyodik imha süresini 6 ay  olarak belirlemiştir. Buna göre, ŞİRKET’ de her yıl Haziran ve Aralık aylarında  periyodik imha işlemi gerçekleştirilir.

DOKUZUNCU BÖLÜM

POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı  ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket Genel Müdürlüğü dosyasında saklanır.

ONUNCU BÖLÜM

POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, mevzuatta değişiklik olduğu her durumda ve ihtiyaç duyuldukça gözden  geçirilir ve gerekli olan bölümler güncellenir.

ONBİRİNCİ BÖLÜM

POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, Yönetim Kurulu Kararı ile ŞİRKET’ in internet sitesinde yayınlanmasının  ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi  halinde, Politika’nın ıslak imzalı eski nüshaları Şirket Genel Müdürü tarafından iptal  edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile  Şirket Genel Müdürlüğü tarafından saklanır.