Veri Saklama ve İmha Politikası

1. BÖLÜM

1.1 GİRİŞ

Kişisel verilerin korunması, Dr. Fatma Menteş (“Şirket”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile Şirketimizce işlenen kişisel verilerin teknik ve idari açıdan korunması, kişisel verilerin işlenme şartlarının ortadan kalkması halinde Kişisel Verilerin Korunması Kanunu (“Kanun”) ile ilgili diğer yasal düzenlemelerde yer alan hükümlere uygun olarak imhası sağlanmaktadır.

1.2. AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Şirketimizce hazırlanmıştır.

1.3. KAPSAM

Şirket çalışanları, çalışan adayları, şirketin tüm departmanları, müdürlükleri, her türlü hizmeti veren firma çalışanları, stajyer ve sözleşmeli personeli, hizmet sağlayıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup şirketin sahip olduğu ya da şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde uygulanır.

2. BÖLÜM

2.1. TANIMLAR VE KISALTMALAR

Adı:	Dr. Fatma Menteş
AÇIK RIZA:	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
ANONİM HALE GETİRME:	Kişisel verinin, kişisel veri niteliği kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
KİŞİSEL VERİ:	Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örn: ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb.
ELEKTRONİK ORTAM:	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
ELEKTRONİK OLMAYAN ORTAM:	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
ÖZEL NİTELİKLİ KİŞİSEL VERİ:	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
KİŞİSEL VERİLERİN İŞLENMESİ:	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
VERİ SORUMLUSU:	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişiyi ifade eder
VERİ SAHİBİ BAŞVURU FORMU:	İlgili Kişinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
ANAYASA:	9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan;7 Kasım 1982 tarihli 2709 sayılı Türkiye Cumhuriyeti Anayasası
KVK KANUNU:	7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
POLİTİKA:	Şirket Kişisel Veri Saklama ve İmha Politikası
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ:	10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI:	Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika
İMHA:	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İLGİLİ KULLANICI:	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İLGİLİ KİŞİ:	Kişisel verisi işlenen gerçek kişi.
KAYIT ORTAMI:	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
PERİYODİK İMHA:	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
KAYITLI ELEKTRONİK POSTA (KEP):	Her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ:	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
YÖNETMELİK:	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2.2. YETKİ VE SORUMLULUKLAR

Şirket içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette şirket nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.

Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.

Kişisel Verileri Koruma Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu “Veri Sorumlusu İrtibat Kişisindedir.

2.3. KİŞİSEL VERİLERİN BULUNDUĞU ORTAMALAR

Kişisel veriler, Şirketimiz tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) • Yazıcı, tarayıcı, fotokopi makinesi	Kağıt Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar Birim dolapları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza Kart vb.) • Yazıcı, tarayıcı, fotokopi makinesi

Kağıt
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
Yazılı, basılı, görsel ortamlar
Birim dolapları

3. BÖLÜM

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirketimiz tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

3.1. SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

3.1.1. Saklamayı Gerektiren Hukuki Sebepler

Şirketimiz faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

6698 Sayılı Kişisel Verilerin Korunması Kanunu,
5201 Sayılı Harp Araç ve Gereçleri ile Silâh, Mühimmat ve Patlayıcı Madde Üreten Sanayi Kuruluşlarının Denetimi Hakkında Kanun,
5202 Sayılı Savunma Sanayii Güvenliği Kanunu Kanun,
6098 Sayılı Türk Borçlar Kanunu,
6502 Sayılı Tüketicinin Korunması Hakkında Kanun,
5411 Sayılı Bankacılık Kanunu,
Özürlü, Eski Hükümlü ve Terör Mağduru İstihdamı Hakkında Yönetmelik,
6102 sayılı Türk Ticaret Kanunu,
213 Sayılı Vergi Usul Kanunu,
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik,
2004 Sayılı İcra ve İflas Kanunu,
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu,
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
4857 Sayılı İş Kanunu,
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
6735 Sayılı Uluslararası İşgücü Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik, Bu Kanunlar Uyarınca Yürürlükte Olan Diğer Düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

3.1.2. Saklamayı Gerektiren İşleme Amaçları

Şirketimiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır:

Hukuki uyum süreçlerinin yürütülmesi,
Operasyonların yönetimi,
Mali ve finansal işlerin yerine getirilmesi,
Ticari ve iş stratejilerinin belirlenmesi ve yerine getirilmesi,
Hizmet sözleşmesine bağlı olarak; hizmet yükümlülüklerinin yerine getirilmesi,
İşveren sorumluluklarının yerine getirilmesi,
İş güvenliğinin temini, işin yönetimi, denetimi ve ifası,
İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
Hizmet şartlarımızda meydana gelebilecek değişiklikler hakkında bilgilendirme yapılması,
Elektronik (internet/mobil vs.) veya fiziki ortamda işleme dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verilebilmesi,
Yasal yükümlülüklerin yerine getirilebilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi,
Adli ve idari soruşturmalar kapsamında ilgili makamın talep etmesi ve cevap verilmesinin zorunlu olması halinde yasal yükümlülüğün yerine getirilebilmesi,
İş faaliyetlerinin yürütülmesi,
İç denetim faaliyetlerinin yürütülmesi,
Acil durum yönetimi süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
Muhasebe ve finans işlerinin yürütülmesi,
Organizasyon ve etkinlik yönetimi,
Bilgi güvenliği süreçlerinin yürütülmesi,
Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
Fiziksel mekan güvenliğinin temini,
Görevlendirme süreçlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
Hukuki yükümlülüklerin yerine getirilmesi,
İç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi,,
İletişim faaliyetlerinin yürütülmesi,
İnsan kaynakları süreçlerinin planlanması,
İş faaliyetlerinin yürütülmesi / denetimi,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
Lojistik faaliyetlerinin yürütülmesi,
Kalite standartlarının sağlanması,
Kurum binasına giriş ve çıkışların kontrol altında tutulması ve izinsiz girişlerin engellenmesi
Mal / hizmet satın alım süreçlerinin yürütülmesi,
Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
Mal / hizmet satış süreçlerinin yürütülmesi,
Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,,
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
Mal kaynaklarının güvenliğinin temini.
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi.
Müşteri nezdindeki güvenilirliğin arttırılması,
Organizasyon ve etkinlik yönetimi,
Pazarlama analiz çalışmalarının yürütülmesi,
Performans değerlendirme süreçlerinin yürütülmesi,
Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
Risk yönetimi süreçlerinin yürütülmesi,
Stratejik planlama faaliyetlerinin yürütülmesi,
Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi,
Talep / şikayetlerin takibi,
Taşınır mal ve kaynakların güvenliğinin temini,
Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
Tedarikçi ilişkiler yönetim süreçlerinin yürütülmesi,
Ücret politikasının yürütülmesi,
Ürün faturalarının düzenlenmesi,
Ürün politikasının yürütülmesi,
Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,
Yabancı personel çalışma ve oturma izni işlemleri,
Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi,
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Saklama ve arşiv faaliyetlerinin yürütülmesi.

3.2. İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Şirketimiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

4. BÖLÜM

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Şirketimiz bu durumu mümkün olan en kısa süre içerisinde ilgili kişi ve birimlere haber vermektedir.

4.1 Teknik Tedbirler

Şirketimizce teknik tedbirler kapsamında:

Veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam etmekte ve personeline gerekli kişisel verilerin korunmasına ilişkin eğitimleri vermektedir.
Kurulan sistemler kapsamında gerekli iç kontrolleri yapılmaktadır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
Erişim logları düzenli olarak tutulmaktadır.
Kişisel Verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, Kişisel Verilerin bulunduğu veri depolama alanlarına erişimlerin iz kayıtları tutularak uygunsuz erişimler veya erişim denemeleri ilgililere iletilmektedir.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

4.2 İdari Tedbirler

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda belirtildiği gibidir:

Aydınlatma Metinleri (Çalışan, Çalışan Adayı, Müşteri, Kamera Sistemleri vb.) ve Açık Rıza Metinleri Hazırlanmıştır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Erişim yetkileri düzenlenmiştir.
Birim bazında kişisel verileri korumaya yönelik eğitim verilmiştir.
Birim bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili birimin özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler hayata geçirilmektedir.
Gizlilik taahhütnameleri yapılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin yönetmeliği hazırlanmıştır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Katmanlı kamera aydınlatma metinleri kameraların bulunduğu bölgelere asılmıştır.
Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlar bilgilendirilerek farkındalık yaratılmıştır.
Şirketin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm birimlerin özelinde analiz edilerek, bu analiz neticesinde ilgili birimlerin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme envanteri hazırlanmıştır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Sözleşmeler KVKK ile uyumlu hale getirilmiştir.
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilmektedir.

5. BÖLÜM

KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirketimiz tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilmektedir.

5.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz kişisel verilerin silinmesi yöntemi olarak aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

5.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin aşağıdaki yöntemlerle hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz kişisel verilerin yok edilmesi yöntemi olarak aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

5.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Şirketimiz, kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

Yöntem	Açıklama
Maskeleme (Masking)	Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir
Bölgesel Gizleme	Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.
Kayıtları Çıkartma	Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
Global Kodlama	Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi;açık adres yerine ikamet edilen bölgenin belirtilmesi.
Gürültü Ekleme	Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.

Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

Şirketimiz kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmelik’in 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Şirketimiz serbesti içinde olacaktır.

6. BÖLÜM

SAKLAMA VE İMHA SÜRELERİ

Şirketimiz, kişisel verileri işlendikleri amaç için 6.1’de belirtilen süreler boyunca saklar. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler 6.1’deki tabloda yer alan kişisel verilerin tutulması için azami süre boyunca saklanacaktır.

Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda Şirketimiz, bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

6.1. Saklama Ve İmha Süreleri Tablosu

VERİSİ İŞLENEN KİŞİ GRUBU	VERİ KATEGORİSİ	VERİ SAKLAMA SÜRESİ
Çalışan Kimlik,	İletişim, Lokasyon, Özlük, Hukuki İşlem, Fiziksel Mekân Güvenliği, İşlem Güvenliği, Mesleki Deneyim, Görsel-İşitsel Kayıtlar, Görev ve Unvan Verisi, İnanç Bilgisi, Çalışan Yakını Bilgisi.	İş akdinin feshinden itibaren 10(on) yıl süre ile saklanır.
Çalışan	Sağlık	İş akdinin feshinden itibaren 15(on beş) yıl süre ile saklanır. (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği Md. 7)
Çalışan Adayı	Kimlik, İletişim, Hukuki İşlem, Mesleki Deneyim, Görsel- İşitsel Kayıtlar, Görev ve Unvan Verisi.	İşe başvuru tarihinden itibaren 6 ay, iş akdinin feshinden itibaren 10 yıl
E-Ticaret Bilgisi	E-Ticaret Üyelik Bilgileri	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca kaydın oluşturulmasından itibaren 1 yıl.
İnternet Sitesi Ziyaretçisi	İşlem Güvenliği	Kaydın oluşturulmasından itibaren 2 yıl.
Ürün/Hizmet Alan Kişi	Kimlik, İletişim, İşlem Güvenliği, Müşteri İşlem	Hizmet alan kişinin satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10(on) yıl süre ile saklanır.
Ürün/Hizmet Alan Kişi, Tedarikçi, Çalışan, Stajyer	Fiziksel Mekân Güvenliği	Olağan Zamanlarda Kayıt Tarihinden İtibaren 3 Ay, Adli Vakalarda Dava Zamanaşımı
Şirketin iş birliği içinde olduğu Kurum/Firmalar (Tedarikçi)	Kimlik, İletişim Bilgisi, Finansal Bilgiler	İş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

7. BÖLÜM

7.1. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Şirketimiz, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirketimizde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

7.2. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

7.3. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

İşbu Politika’nın yürürlük tarihi 31.12.2021’dir. Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, Şirket’in internet sayfasında kamuya açıklanır.

7.4. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.