KZY  OTO KİRALAMA TURİZM İNŞAAT İÇ VE DIŞ TİCARET  A.Ş.

 

KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

VERİ SORUMLUSU

Kişisel verileriniz, veri sorumlusu sıfatıyla KUZEY OTOMOTİV VE DIŞ TİCARET LİMİTED  ŞİRKETİ (Bundan sonra şirket olarak tanımlanacaktır.) tarafından aşağıda açıklanan kapsamda işlenebilecektir. Veri sorumlusu kavramından anlaşılması gereken; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.

 

Veri sorumlusuyla irtibata geçmek için aşağıdaki kanalları kullanabilirsiniz:

 

 

VERİ SORUMLUSU          :KZY  OTO KİRALAMA TURİZM İNŞAAT İÇ VE DIŞ TİCARET  A.Ş.

 

MERSİS                           : 0607081586700001

 

İLETİŞİM                         : ÇOBANÇEŞME MH.KALENDER SK. NISSAN BLOK NO:27/2 BAHÇELİEVLER / İSTANBUL

 

E-posta                            : info@renttrendy.com

 

İnternet sitesi                              : www.renttrendy.com

 

 

 

1.GİRİŞ

1.1 AMAÇ :

İş bu Kişisel Verileri Saklama ve İmha Politikası (“Politika KZY  OTO KİRALAMA TURİZM İNŞAAT İÇ VE DIŞ TİCARET  A.Ş. ( şirket olarak tanımlanacaktır ) şirket  tarafından kişisel verilerin  saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda ki esasları belirlemek için hazırlanmıştır.

Şirket , Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verileri resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hâle getirir.

Şirket ilgili kanunlara ve diğer mevzuata ve kurul kararlarına uygun olarak bu politikayı hazırlamıştır. Şirket içinde ki tüm veri işleme faaliyetleri iş bu politikaya göre yürütülmektedir.

 

1.2 KAPSAM

İş bu politikanın kapsadığı ilgili kişi ve kişiler :

Çalışanlar,

Çalışan Adayları,

Hizmet sağlayıcılar,

Tedarikçi yetkilileri ,

Tedarikçi, çalışanları ,

Ürün veya hizmet alan kişi ,

Potansiyel ürün veya hizmet alıcıları ,

Ziyaretçiler ,

Çevrimiçi ziyaretçilere ait kişisel veriler bu Politika kapsamındadır.

Şirketin yürüttüğü tüm kişisel veri işleme faaliyetleri bu politikaya göre yürütülmektedir.

 

1.3 KISALTMALAR VE TANIMLAR :

Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan : Şirket  personeli.

Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı : Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi : Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul : Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika : Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS : Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2.SORUMLULUK VE GÖREV DAĞILIMLARI :

Şirket , kişisel verilerin işlenmesi sürecini yürütmek ve kontrol etmek amacıyla kişisel veri komitesi kurmuştur.

Komite , kişisel verilerin elde edilmesinden , yok edilmesi ve imhasına kadar geçecek olan süreci kanun ve ilgili mevzuat dahilinde kontrol eder ve yürütür.

Kişisel verilerin yok edilmesinden sonra ki süreçte de alınması gereken tedbirleri tutulması gereken belgeleri tutarak , şirket içerisinde etkin bir faaliyet yürütür.

KİŞİSEL VERİ KOMİTESİ GÖREV DAĞILIMI :

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur.

Kişisel Veri Komitesinde yer alan şirket çalışanları ve görevleri aşağıda ki gibidir.

KİŞİSEL VERİ KOMİTESİ BAŞKAN VEKİLİ :

MEHMET TİMUÇİN ÖNGÖREN

Politika’nın hazırlanması,yürütülmesi,  güncellenmesinden , kişisel verilerin işlenmesi sürecinde yapılması  gereken tüm işlemlerden sorumludur

KİŞİSEL VERİ KOMİTESİ ÜYESİ  (TEKNİK ÜYE VE İDARİ ÜYE ) :

İDARİ ÜYE :

MUHİTTİN BÜYÜKKIZMAZ

TEKNİK ÜYE :

FURKAN YİĞİT

Kişisel veri komitesinin aldığı kararların teknik ve idari yönden yerine getirilmesinden ve kişisel verilerin işlenmeye başlamasından saklama ve imha süreçlerinin yürütülmesine kadar olan tüm süreçten  sorumludur

3.KAYIT ORTAMLARI :

Kişisel veriler, şirket tarafından aşağıda  listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

KİŞİSEL VERİ SAKLAMA ORTAMLARI

ELEKTRONİK ORTAMLAR

Sunucular  

Server

Yazılımlar

Bilgi güvenliği cihazları   

Kişisel bilgisayarlar

Mobil cihazlar 

Optik diskler

Çıkartılabilir bellekler

Yazıcı, tarayıcı, fotokopi makinesi

ELEKTRONİK OLMAYAN ORTAMLAR

Kağıt 

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) ü

Yazılı, basılı, görsel ortamlar

Birim dolapları ( Kilitli ve sınırlı erişimli )

Arşiv ( Özel korumalı )

 

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından; Çalışanlar, çalışan adayları, Hizmet sağlayıcılar,Tedarikçi yetkilileri ,Tedarikçi, çalışanları ,Ürün veya hizmet alan kişi ,Potansiyel ürün veya hizmet alıcıları, Ziyaretçiler ,Çevrimiçi ziyaretçilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

4.1 SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kanunun 3.maddesine göre tanımı yapılan kişisel veriler, kanunun 4.maddesin deki hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma,belirli, açık ve meşru amaçlar için işlenme,işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine göre ve kanunun 5 ve 6. Maddelerine uygun olarak  işlenmektedir.

Kişisel veriler mevzuata ve şirket  menfaatlerine uygun süre kadar saklanır.

 

 

4.1.1 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER :

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

· 6698 sayılı Kişisel Verilerin Korunması Kanunu,

· 6098 sayılı Türk Borçlar Kanunu,

· 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

· 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

· 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

· 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

· 4857 sayılı İş Kanunu,

· 6102 Sayılı Türk Ticaret Kanunu

· 213 Sayılı Vergi Usul Kanunu

· Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

4.1.2 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Şirket  kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

1)    Acil Durum Yönetimi Süreçlerinin Yürütülmesi

2)    Bilgi Güvenliği Süreçlerinin Yürütülmesi

3)    Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

4)    Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

5)    Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

6)    Eğitim Faaliyetlerinin Yürütülmesi

7)    Erişim Yetkilerinin Yürütülmesi

8)    Finans Ve Muhasebe İşlerinin Yürütülmesi

9)    Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

10) Fiziksel Mekan Güvenliğinin Temini

11) Görevlendirme Süreçlerinin Yürütülmesi

12) Hukuk İşlerinin Takibi Ve Yürütülmesi

13) İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

14) İletişim Faaliyetlerinin Yürütülmesi

15) İnsan Kaynakları Süreçlerinin Planlanması

16) İnsan Kaynakları Süreçlerinin Planlanması

17) İş Faaliyetlerinin Yürütülmesi / Denetimi

18) İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

19) İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

20) İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

21) Lojistik Faaliyetlerinin Yürütülmesi

22) Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

23) Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

24) Mal / Hizmet Satış Süreçlerinin Yürütülmesi

25) Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

26) Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

27) Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

28) Pazarlama Analiz Çalışmalarının Yürütülmesi

29) Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

30) Sözleşme Süreçlerinin Yürütülmesi

31) Talep / Şikayetlerin Takibi

32) Ücret Politikasının Yürütülmesi

33) Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

34) Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

35) Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

36) Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

37) Mer’i yasalardan kaynaklanan işleme sorumluluğu

 

4.2 İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler;

· İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

· İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

· Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

· Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun  şirket tarafından kabul edilmesi,

· Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5.KİŞİSEL VERİLERİN AKTARILMASI

Şirket tarafından  işlenen ilişkin kişisel veriler, 6698 sayılı Kanun’un 8. Maddesinde  belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde,

Şirket tarafından;

Şirketin faaliyet konusu ile ilgili  ve sınırlı olmak üzere , iş süreçlerinin yürütülmesi , ticari faaliyetlerin sağlanması ,  müşteri memnuniyetinin sağlanması , şirket tarafından sunulan ürün ve hizmetin yaygınlaştırılması , çalışan memnuniyetinin sağlanması , kanuni zorunluluk gibi genel veri aktarımı amaçlarının yanında ,

 

1.       Ticari faaliyetlerin yürütülebilmesi amacıyla iştiraklerimize,

2.       Mali, hukuki ve teknik denetim yapılması için denetim firmalarına,

3.       Kanundan doğan yükümlülükleri yerine getirmek zorunluluğu nedeniyle Hukuk, mali ve vergi danışmanlarına,

4.       Ticari faaliyetlerin planlanması amacıyla hissedarlarımıza,

5.       Kanuni zorunluluk kapsamında kamu kurum ve kuruluşlarına,

6.       Ticari ve mali faaliyetlerin yürütülmesi için bankalara,

7.       Ticari faaliyetlerin yürütülmesi amacıyla üst işverene ve alt işverene.

8.       Kanun kapsamında ve veri işleyen sözleşme yapmak suretiyle ve sözleşme kapsamında veri işleyene,

9.       Ticari faaliyetlerin yürütülebilmesi amacıyla iş ortaklarına,

10.     Ticari faaliyetlerin yürütülmesi kapsamında çalışanların iş seyahatlerinin planlanması amacıyla seyahat acentelerine, Otellere, Havayolu Şirketlerine,

11.     Ürün ve hizmet alımı nedeniyle tedarikçilerimize ve tedarikçi çalışanlarına,

12.     Ticari ve mali faaliyetlerin yürütülmesi için sigorta şirketlerine,

13.     Ürün ve hizmet teslimi faaliyetinin yürütülmesi amacıyla müşteriye,

14.     Yasal yükümlülükler nedeniyle emniyet birimlerine

15.     Hasar süreçlerinde eksperlere, yetkili servis firmalarına

16.     Kredi derecelendirme kuruluşlarına

17.     özel hukuk tüzel kişilerine, sigorta şirketlerine aktarılabilecektir.

18.     Sunulan ürün ve hizmetlerden sizleri faydalandırmak ve hizmet kalitemizi artırmak için gerekli çalışmaların  yapılması amacıyla, amaçla sınırlı olmak kaydıyla topluluk şirketlerimize ,

19. Ticari faaliyetlerin yürütülebilmesi amacıyla  bayilere

20.     İletişim bilgilerinize reklam, promosyon, kampanya ve benzeri ticari elektronik ileti gönderilmesi amacıyla İYS sistemine aktarılabilecektir.

Açık rıza ve rıza ile sınırlı olmak üzere ya da 6698 sayılı kanunun 5 maddesinin 2 fıkrasına ve 6.maddesinin 3 fıkrasına göre kişisel veriler aktarılabilecektir

 

YURTDIŞINA AKTARIM

Şirket , tarafından kişisel verileriniz,

 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4.maddesinin 2.fıkrasında ki ilkelere göre açık rızanın varlığı halinde, yine kanunun 5.maddesinin 2.fıkrasında ve kanunun 6.maddesinin 3.fıkrasında yer alan şartların varlığı halinde açık rıza olmaksızın kanunun 9.maddesine  uygun olarak yurt dışına aktarılabilir

 

6.TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde şirket  tarafından teknik ve idari tedbirler alınır.

6.1 TEKNİK TEDBİRLER

  • Alınan teknik tedbirler aşağıda sayılmıştır:

  • İzinsiz erişimler Kayıt Altına Alınarak Uygunsuz Erişimler Kontrol Altında Tutulmakta,

  • Kişisel Verilerin İşlendiği Elektronik Ortamlarda Güçlü Parolalar Kullanılmaktadır.

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

  • Çalışanlar için yetki matrisi oluşturulmuştur.

  • Erişim logları düzenli olarak tutulmaktadır.

  • Güvenlik duvarları kullanılmaktadır.

  • Kişisel veri güvenliğinin takibi yapılmaktadır.

  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

  • Mevcut risk ve tehditler belirlenmiştir.

  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.

  • Sızma testi uygulanmaktadır.

  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır

  • Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

  • , sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.

  • Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

 

6.2 İDARİ TEDBİRLER

Alınan idari tedbirler aşağıda sayılmıştır:

  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

  • Çalışanlara eğitim ve farkındalık eğitimleri verilmektedir.,

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

  • İmzalanan sözleşmelerde veri güvenliği tedbirleri uygulanmaktadır,

  • Kişisel veriler mümkün olduğunca azaltılmaktadır,

  • Kişisel verilerin korunması konusunda saklama ve imha politikası hazırlanmış ve yürürlüğü sağlanmıştır.

  • Gizlilik taahhütnameleri uygulanmaktadır,

  • Hizmet sözleşmelerin de düzenleme yapılmaktadır,

  • İşten ayrılan  veya görev yeri değiştirilen çalışanların erişim yetkileri kaldırılmaktadır,

  • Aydınlatma metni hazırlanmakta ve açık rıza alınmaktadır.

  • Saklama Ve İmha Politikasına Uygun İmha Süreçleri Tanımlanmaktadır

 

6.3. ŞİRKET İÇİ DENETİM

Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikasının uygulanmasına ilişkin şirket içi belli zamanlar da veya belirli olmayan zamanlarda denetimler yapmaktadır.

Denetimler sonucunda politikaya ve kanuna aykırı durumların  tespiti halinde aykırı durumlar hemen giderilir.

Denetim sırasında kişisel veriler ile ilgili usulsüz erişim , kanuna aykırı olarak elde edilme vb. tespiti halinde hemen kurula ve ilgili kişilere  bildirilir.

 

7.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

7.1 KİŞİSEL VERİLERİN SİLİNMESİ

SUNUCULARDA YER ALAN KİŞİSEL VERİLER :

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

BULUT SİSTEMİNDE YER ALAN KİŞİSEL VERİLER :

İlgili veriler ile ilgili olarak silme komutu verilerek silme işlemi yapılır.

ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER :

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER :

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

TAŞINABİLİR MEDYADA BULUNAN KİŞİSEL VERİLER :

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2 KİŞİSEL VERİLERİN YOK EDİLMESİ :

KİŞİSEL VERİLER, AŞAĞIDA YAZILAN YÖNTEMLERLE YOK EDİLİR :

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER :

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

OPTİK / MANYETİK MEDYADA YER ALAN KİŞİSEL VERİLER :

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Yine manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

BULUT ORTAMDA TUTULAN KİŞİSEL VERİLER :

Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.

7.3 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ :

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

a)    DEĞİŞKENLERİ ÇIKARTMA :

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilir.

b)    KAYITLARI ÇIKARTMA :

Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır. Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, herhangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkartmak tercih edilebilir.

c)    BÖLGESEL GİZLEME :

Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

ç) GENELLEŞTİRME :

İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.

d) ALT VE ÜST SINIR KODLAMA :

Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir

e) GLOBAL KODLAMA :

Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.

f) Örnekleme :

Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

g) Mikro Birleştirme :

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

 h) Veri Değiş Tokuşu :

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiflerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

ı) Gürültü Ekleme :

Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

 

8. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından işlenen verilere ait saklama ve imha süreleri kanunlara ve şirketimiz meşru menfaatlerine uygun olarak belirlenmiştir.

Yasalarda  değişiklik olması halinde saklama ve imha süreleri güncellenecektir.

Kişisel verilerin maskelenmesi, silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır.

Sözleşmenin sona ermesini takiben 10 yıl

Şirket  İletişim Faaliyetlerinin İcrası Faaliyetin sona ermesini takiben 10 yıl

İnsan Kaynakları Süreçlerinin Yürütülmesi Faaliyetin sona ermesini takiben 10 yıl

Çalışanlara ait sağlık verileri , işin sona ermesini takiben 10

Log Kayıt Takip Sistemleri 2 yıl

Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 Yıl

Ziyaretçi ve Toplantı Katılımcılarının Kaydı  Etkinliğin sona ermesini takiben 2 Yıl

Kamera Kayıtları 1 AY.

Personel ile ilgili mahkeme / icra bilgi taleplerinin cevaplanması İş ilişkisi bitimi sonrası 10 yıl

Üçüncü kişilerle imzalanan sözleşmeler , sözleşmenin sonra ermesinden itibaren 10 yıl

Personel özlük dosyası İş ilişkisi bitimi sonrası 10 yıl

Olumsuz sonuçlanan iş başvuruları Başvurunun olumsuz sonuçlanmasından itibaren 2 yıl

Ücret ve maaşa ilişkin tüm dökümanlar İş ilişkisi bitim sonrası 10 yıl

Personel özel sağlık ve ferdi kaza sigorta poliçeleri İş ilişkisi bitim sonrası 10 yıl

Taşıt plaka bilgileri (üçüncü kişiler) Kaydedildiği tarihten itibaren 5 yıl

İş sağlığı ve güvenliği uygulamaları için saklanan kişisel veriler  İş ilişkisi bitimi sonrası 15 yıl

Ödeme işlemleri , ödemenin yapılmasından itibaren 10 yıl

Personel Finansman Süreçleri İş ilişkisi bitimi sonrası 10 yıl

Sözleşme sürecinin kişisel verilerle ilgili bölümü ve sözleşmenin muhafazası İş ilişkisi bitim sonrası 10 yıl

İnternet ve wifi aracılığı ile elde edilen bilgiler misafirler açısından kayıt tarihinden itibaren 2 yıl ,

İnternet ve wifi aracılığı ile elde edilen bilgiler çalışanlar  açısından kayıt tarihinden itibaren 2  yıl ,

Talep / Şikayet Bilgileri Kaydın alınmasından itibaren 5 yıl

Her türlü doküman dosyalanması 10 yıl

Eğitim kayıtlarının dosyalanması 10 yıl

Müşterilere  ait veriler , işlemin  sona ermesinden itibaren 10 yıl

Bütün kişisel veriler ilgili veri için belirlenen saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilecektir.

Kişisel verinin TCK veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda TCK’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı müddetince

9. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresi 6 ay olarak belirlemiştir. Şirkette  her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

10. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI :

Politika, fiziki  ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Şirketin  internet sayfasında açıklanır.

Basılı kâğıt nüshası da şirketin KVKK uyum  dosyasında muhafaza edilir.

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI :

Politika, 24,11,2022  Tarihinde yürürlüğe girmiştir.

Yürürlükten kaldırılmasına karar verilmesi halinde, eski nüshası şirketin KVKK uyum dosyasında en az 5 yıl süre ile saklanır.

12.POLİTİKA’NIN GÜNCELLENME PERİYODU :

İş bu politika , mevzuat değişikliğinde , sektörde ki gelişmeler dahilinde ve teknik gelişmelerde ihtiyaç duyulması halinde gözden geçirilir ve güncellenir.

İş bu politikada güncelleme yapıldığında , güncellenen kısımda ki değişiklik hemen metne işlenir ve değişiklik yapılmasına dair açıklama beyan edilir.

13.GÜNCELLEME TABLOSU

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

GÜNCELLEME TARİHİ                                                      DEĞİŞİKLİKLER