Sub header

Kişisel Verilerin Korunması

  • Anasayfa
  • Kişisel Verilerin Korunması

CHECKLAS OTOMOTİV KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

Kişisel verileriniz, veri sorumlusu sıfatıyla CHECKLAS OTOMOTİV ANONİM ŞİRKETİ (Bundan sonra şirket olarak tanımlanacaktır) tarafından aşağıda açıklanan kapsamda işlenebilecektir. Veri sorumlusu kavramından anlaşılması gereken; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.

Veri sorumlusuyla irtibata geçmek için aşağıdaki kanalları kullanabilirsiniz

Adres : Huzur Mh. Azerbaycan Cd. Skyland D1 blok -6 Kat Otoparkı Sarıyer/İstanbul

Telefon : 0850 433 66 44

E-posta : checklas@hs02.kep.tr

İnternet sitesi : www.checklas.com.tr

1.GİRİŞ

1.1 AMAÇ

İş bu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), CHECKLAS OTOMOTİV ANONİM ŞİRKETİ ( şirket olarak tanımlanacaktır ) şirket tarafından kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda ki esasları belirlemek için hazırlanmıştır.

Şirket, Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verileri resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hâle getirir.

Şirket ilgili kanunlara ve diğer mevzuata ve kurul kararlarına uygun olarak bu politikayı hazırlamıştır. Şirket içinde ki tüm veri işleme faaliyetleri iş bu politikaya göre yürütülmektedir.

1.2 KAPSAM

İş bu politikanın kapsadığı ilgili kişi ve kişiler:

Çalışanlar

Hizmet sağlayıcılar,

Tedarikçi yetkilileri,

Tedarikçi, çalışanları,

Ürün veya hizmet alan kişi

Potansiyel ürün veya hizmet alıcıları,

Ziyaretçiler

Çevrimiçi ziyaretçilere ait kişisel veriler bu Politika kapsamındadır.

Şirketin yürüttüğü tüm kişisel veri işleme faaliyetleri bu politikaya göre yürütülmektedir.

1.3 KISALTMALAR VE TANIMLAR

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2.SORUMLULUK VE GÖREV DAĞILIMLARI

Şirket, kişisel verilerin işlenmesi sürecini yürütmek ve kontrol etmek amacıyla kişisel veri komitesi kurmuştur.

Komite, kişisel verilerin elde edilmesinden, yok edilmesi ve imhasına kadar geçecek olan süreci kanun ve ilgili mevzuat dâhilinde kontrol eder ve yürütür.

Kişisel verilerin yok edilmesinden sonra ki süreçte de alınması gereken tedbirleri tutulması gereken belgeleri tutarak, şirket içerisinde etkin bir faaliyet yürütür.

KİŞİSEL VERİ KOMİTESİ GÖREV DAĞILIMI

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur.

Kişisel Veri Komitesinde yer alan şirket çalışanları ve görevleri aşağıda ki gibidir.

KİŞİSEL VERİ KOMİTESİ BAŞKANI

EREN KAYA

Politikanın hazırlanması, yürütülmesi, güncellenmesinden, kişisel verilerin işlenmesi sürecinde yapılması gereken tüm işlemlerden sorumludur.

KİŞİSEL VERİ KOMİTESİ ÜYESİ (TEKNİK ÜYE VE İDARİ ÜYE )I

Kişisel veri komitesinin aldığı kararların teknik ve idari yönden yerine getirilmesinden ve kişisel verilerin işlenmeye başlamasından saklama ve imha süreçlerinin yürütülmesine kadar olan tüm süreçten sorumludur.

3.KAYIT ORTAMLARI

Kişisel veriler, şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

KİŞİSEL VERİ SAKLAMA ORTAMLARI

ELEKTRONİK ORTAMLAR

Sunucular

Server

Yazılımlar

Bilgi güvenliği cihazları

Kişisel bilgisayarlar

Mobil cihazlar

Optik diskler

Çıkartılabilir bellekler

Yazıcı, tarayıcı, fotokopi makinesi

ELEKTRONİK OLMAYAN ORTAMLAR

Kağıt

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

Yazılı, basılı, görsel ortamlar

Birim dolapları ( Kilitli ve sınırlı erişimli )

Arşiv ( Özel korumalı )

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından; Çalışanlar, Hizmet sağlayıcılar, Tedarikçi yetkilileri, Tedarikçi, çalışanları, Ürün veya hizmet alan kişi, Potansiyel ürün veya hizmet alıcıları, Ziyaretçiler, Çevrimiçi ziyaretçilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

4.1 SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kanunun 3.maddesine göre tanımı yapılan kişisel veriler, kanunun 4.maddesin deki hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine göre ve kanunun 5 ve 6. Maddelerine uygun olarak işlenmektedir.

Kişisel veriler mevzuata ve şirket menfaatlerine uygun süre kadar saklanır.

4.1.1 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 6102 Sayılı Türk Ticaret Kanunu
  • 213 Sayılı Vergi Usul Kanunu
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.1 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Şirket kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Şirket kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

1. Müşteri ilişkileri süreçlerini yürütmek

2. Şirket güvenliğini sağlamak

3. İstatistiksel çalışmalar yapabilmek

4. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek

5. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak

6. Yasal raporlamalar yapmak

7. Çağrı merkezi süreçlerini yönetmek

8. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek

9. Şirket hukuk işlerinin icrası/takibini yapmak

10. Veri işleme faaliyetlerinin yürütülmesi

11. ARGE faaliyetlerinin yürütülmesi

12. Ürün veya hizmet satışı sebebiyle fatura kesilmesi

13. Sadakat programı çerçevesinde akdedilen üyelik sözleşmeleri

14. Vergi kanunları uyarınca kayıtların saklanması

15. Özel hizmet sunumu sağlamak,

16. Dijital ortamda müşteriden alınan rıza ve izinlerin, ispat varakası olarak dijital iz ve kayıtlarının tutulması

17. Satış sonrası hizmetlerin sunulması

18. Arşiv faaliyetlerinin yürütülmesi

19. Mal alım, lojistik ve depolama işlerinin yürütülmesi,

20. Mali işlemlerin yürütülmesi

21. Ticari faaliyetleri yürütmek

22. İletişimi sağlamak.

23. Hizmet şartlarında ki yenilikleri bildirmek.

24. Hizmet kalitesinin yükseltmek,

25. Şikayetleri sonuçlandırmak,

26. Mali veya ticari kayıtlar üzerinden suç işlenmesini engellemek,

27. Anket çalışması yapmak,

28. Pazar araştırması yapmak,

29. Promosyon, sponsorluk ve aktivite süreçlerini yürütmek

30. Sosyal medya etkinlileri yürütmek,

31. Bilgi Güvenliği Süreçlerinin Yürütülmesi

32. İç ve dış denetim Faaliyetlerinin Yürütülmesi

33. Finans ve Muhasebe İşlerinin Yürütülmesi

34. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

35. Görevlendirme Süreçlerinin Yürütülmesi

36. Mer’i yasalardan kaynaklanan işleme sorumluluğu

4.2 İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi,
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5.KİŞİSEL VERİLERİN AKTARILMASI

Şirket tarafından işlenen ilişkin kişisel veriler, 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde,

Şirket tarafından;

Şirketin faaliyet konusu ile ilgili ve sınırlı olmak üzere, iş süreçlerinin yürütülmesi, ticari faaliyetlerin sağlanması, müşteri memnuniyetinin sağlanması, şirket tarafından sunulan ürün ve hizmetin yaygınlaştırılması, çalışan memnuniyetinin sağlanması, kanuni zorunluluk gibi genel veri aktarımı amaçlarının yanında,

1. Ticari faaliyetlerin yürütülebilmesi amacıyla bayilere

2. Ticari faaliyetlerin yürütülebilmesi amacıyla iştiraklerimize,

3. Mali, hukuki ve teknik denetim yapılması için denetim firmalarına,

4. Kanundan doğan yükümlülükleri yerine getirmek zorunluluğu nedeniyle Hukuk, mali ve vergi danışmanlarına,

5. Ticari faaliyetlerin planlanması amacıyla hissedarlarımıza,

6. Kanuni zorunluluk kapsamında kamu kurum ve kuruluşlarına,

7. Ticari ve mali faaliyetlerin yürütülmesi için bankalara,

8. Ticari faaliyetlerin yürütülmesi amacıyla üst işveren ve alt işverenlere,

9. Kanun kapsamında ve veri işleyen sözleşme yapmak suretiyle ve sözleşme kapsamında veri işleyene,

10. Ticari faaliyetlerin yürütülebilmesi amacıyla iş ortaklarına,

11. Ticari faaliyetlerin yürütülmesi kapsamında çalışanların iş seyahatlerinin planlanması amacıyla seyahat acentelerine, Otellere, Havayolu Şirketlerine,

12. Ürün ve hizmet alımı nedeniyle tedarikçilerimize ve tedarikçi çalışanlarına,

13. Ticari ve mali faaliyetlerin yürütülmesi için sigorta şirketlerine,

14. Ürün ve hizmet teslimi faaliyetinin yürütülmesi amacıyla müşteriye,

Açık rıza ve rıza ile sınırlı olmak üzere ya da 6698 sayılı kanunun 5 maddesinin 2 fıkrasına ve 6.maddesinin 3 fıkrasına göre kişisel veriler aktarılabilecektir.

5.KİŞİSEL VERİLERİN AKTARILMASI

Şirket tarafından işlenen ilişkin kişisel veriler, 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde,

Şirket tarafından;

Şirketin faaliyet konusu ile ilgili ve sınırlı olmak üzere, iş süreçlerinin yürütülmesi, ticari faaliyetlerin sağlanması, müşteri memnuniyetinin sağlanması, şirket tarafından sunulan ürün ve hizmetin yaygınlaştırılması, çalışan memnuniyetinin sağlanması, kanuni zorunluluk gibi genel veri aktarımı amaçlarının yanında,

1. Ticari faaliyetlerin yürütülebilmesi amacıyla bayilere

2. Ticari faaliyetlerin yürütülebilmesi amacıyla iştiraklerimize,

3. Mali, hukuki ve teknik denetim yapılması için denetim firmalarına,

4. Kanundan doğan yükümlülükleri yerine getirmek zorunluluğu nedeniyle Hukuk, mali ve vergi danışmanlarına,

5. Ticari faaliyetlerin planlanması amacıyla hissedarlarımıza,

6. Kanuni zorunluluk kapsamında kamu kurum ve kuruluşlarına,

7. Ticari ve mali faaliyetlerin yürütülmesi için bankalara,

8. Ticari faaliyetlerin yürütülmesi amacıyla üst işveren ve alt işverenlere,

9. Kanun kapsamında ve veri işleyen sözleşme yapmak suretiyle ve sözleşme kapsamında veri işleyene,

10. Ticari faaliyetlerin yürütülebilmesi amacıyla iş ortaklarına,

11. Ticari faaliyetlerin yürütülmesi kapsamında çalışanların iş seyahatlerinin planlanması amacıyla seyahat acentelerine, Otellere, Havayolu Şirketlerine,

12. Ürün ve hizmet alımı nedeniyle tedarikçilerimize ve tedarikçi çalışanlarına,

13. Ticari ve mali faaliyetlerin yürütülmesi için sigorta şirketlerine,

14. Ürün ve hizmet teslimi faaliyetinin yürütülmesi amacıyla müşteriye,

Açık rıza ve rıza ile sınırlı olmak üzere ya da 6698 sayılı kanunun 5 maddesinin 2 fıkrasına ve 6.maddesinin 3 fıkrasına göre kişisel veriler aktarılabilecektir.

6.TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde şirket tarafından teknik ve idari tedbirler alınır.

6.1 TEKNİK TEDBİRLER

Alınan teknik tedbirler aşağıda sayılmıştır

  • Sızma (Penetrasyon) testleri ile ŞİRKET bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
  • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
  • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • >Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

6.2 İDARİ TEDBİRLER

Alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, kanunlar ve ilgili mevzuat hakkında eğitimler verilmektedir.
  • Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
  • Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

6.3. ŞİRKET İÇİ DENETİM

Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikasının uygulanmasına ilişkin şirket içi belli zamanlar da veya belirli olmayan zamanlarda denetimler yapmaktadır.

Denetimler sonucunda politikaya ve kanuna aykırı durumların tespiti halinde aykırı durumlar hemen giderilir.

Denetim sırasında kişisel veriler ile ilgili usulsüz erişim, kanuna aykırı olarak elde edilme vb. tespiti halinde hemen kurula ve ilgili kişilere bildirilir.

7.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

7.1 KİŞİSEL VERİLERİN SİLİNMESİ

SUNUCULARDA YER ALAN KİŞİSEL VERİLER

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

BULUT SİSTEMİNDE YER ALAN KİŞİSEL VERİLER

İlgili veriler ile ilgili olarak silme komutu verilerek silme işlemi yapılır.

ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

TAŞINABİLİR MEDYADA BULUNAN KİŞİSEL VERİLER

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2 KİŞİSEL VERİLERİN YOK EDİLMESİ

KİŞİSEL VERİLER, AŞAĞIDA YAZILAN YÖNTEMLERLE YOK EDİLİR

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

OPTİK / MANYETİK MEDYADA YER ALAN KİŞİSEL VERİLER

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Yine manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

BULUT ORTAMDA TUTULAN KİŞİSEL VERİLER

Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.

7.3 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

a) DEĞİŞKENLERİ ÇIKARTMA

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilir.

b) KAYITLARI ÇIKARTMA

Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır. Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, herhangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkartmak tercih edilebilir.

c) BÖLGESEL GİZLEME

Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı birleşim çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

ç) GENELLEŞTİRME

İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.

d) ALT VE ÜST SINIR KODLAMA

Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir

e) GLOBAL KODLAMA

Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.

f) Örnekleme

Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

g) Mikro Birleştirme

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

h) Veri Değiş Tokuşu

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

ı) Gürültü Ekleme

Bu yöntem ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

8. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından işlenen verilere ait saklama ve imha süreleri kanunlara ve şirketimiz meşru menfaatlerine uygun olarak belirlenmiştir.

Yasalarda değişiklik olması halinde saklama ve imha süreleri güncellenecektir.

Kişisel verilerin maskelenmesi, silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır.

Sözleşmenin sona ermesini takiben 10 yıl

Şirket İletişim Faaliyetlerinin İcrası Faaliyetin sona ermesini takiben 10 yıl

İnsan Kaynakları Süreçlerinin Yürütülmesi Faaliyetin sona ermesini takiben 10 yıl

Çalışanlara ait sağlık verileri, işin sona ermesini takiben 10 yıl

Log Kayıt Takip Sistemleri 2 yıl

Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 Yıl

Ziyaretçi ve Toplantı Katılımcılarının Kaydı Etkinliğin sona ermesini takiben 2 Yıl

Kamera Kayıtları 3 ay.

Personel ile ilgili mahkeme / icra bilgi taleplerinin cevaplanması İş ilişkisi bitimi sonrası 10 yıl

Üçüncü kişilerle imzalanan sözleşmeler, sözleşmenin sonra ermesinden itibaren 10 yıl

Personel özlük dosyası İş ilişkisi bitimi sonrası 10 yıl

Olumsuz sonuçlanan iş başvuruları Başvurunun olumsuz sonuçlanmasından itibaren 3 ay

Ücret ve maaşa ilişkin tüm dokümanlar İş ilişkisi bitim sonrası 10 yıl

Taşıt plaka bilgileri (üçüncü kişiler) Kaydedildiği tarihten itibaren 5 yıl

İş sağlığı ve güvenliği uygulamaları için saklanan kişisel veriler İş ilişkisi bitimi sonrası 15 yıl

Ödeme işlemleri, ödemenin yapılmasından itibaren 10 yıl

Personel Finansman Süreçleri İş ilişkisi bitimi sonrası 10 yıl

Sözleşme sürecinin kişisel verilerle ilgili bölümü ve sözleşmenin muhafazası İş ilişkisi bitim sonrası 10 yıl

İnternet ve wifi aracılığı ile elde edilen bilgiler misafirler açısından kayıt tarihinden itibaren 2 yıl,

İnternet ve wifi aracılığı ile elde edilen bilgiler çalışanlar açısından kayıt tarihinden itibaren 10 yıl,

Talep / Şikayet Bilgileri Kaydın alınmasından itibaren 5 yıl

Her türlü doküman dosyalanması 10 yıl

Eğitim kayıtlarının dosyalanması 10 yıl

Müşterilere ait veriler, işlemin sona ermesinden itibaren 10 yıl

Bütün kişisel veriler ilgili veri için belirlenen saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilecektir.

Kişisel verinin TCK veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda TCK’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı müddetince

9. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresi 6 ay olarak belirlemiştir. Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

10. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, fiziki ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Şirketin internet sayfasında açıklanır.

Basılı kâğıt nüshası da şirketin KVKK uyum dosyasında muhafaza edilir.

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, ………………………………. Tarihinde yürürlüğe girmiştir.

Yürürlükten kaldırılmasına karar verilmesi halinde, eski nüshası şirketin KVKK uyum dosyasında en az 5 yıl süre ile saklanır.

12.POLİTİKA’NIN GÜNCELLENME PERİYODU

İş bu politika, mevzuat değişikliğinde, sektörde ki gelişmeler dahilinde ve teknik gelişmelerde ihtiyaç duyulması halinde gözden geçirilir ve güncellenir.

İş bu politikada güncelleme yapıldığında, güncellenen kısımda ki değişiklik hemen metne işlenir ve değişiklik yapılmasına dair açıklama beyan edilir.

12.POLİTİKA’NIN GÜNCELLENME PERİYODU

İşbu Politika ’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

GÜNCELLEME TARİHİ DEĞİŞİKLİKLER