Arama yapmak için "Enter" tuşuna basın

Kullanım ve Gizlilik

OTOMARKT ANONİM ŞİRKETİ (www.motomarkt.com.tr ) 

 

KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI 

VERİ SORUMLUSU

Kişisel verileriniz, veri sorumlusu sıfatıyla OTOMARKT OTOMOTİV ANONİM ŞİRKETİ (Bundan sonra şirket olarak tanımlanacaktır.) tarafından aşağıda açıklanan kapsamda işlenebilecektir. Veri sorumlusu kavramından anlaşılması gereken; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.

Veri sorumlusuyla irtibata geçmek için aşağıdaki kanalları kullanabilirsiniz:

Adres : Güngören Mahallesi, Diyar Sk. No:1 Kat:3 D:7 Çekmeköy/İSTANBUL

Telefon : +90(850)3075156

E-posta : bilgilendirme@motomarkt.com.tr

İnternet sitesi : www.motomarkt.com.tr

 

1.GİRİŞ 

1.1 AMAÇ:

İş bu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), OTOMARKT OTOMOTİV ANONİM ŞİRKETİ ( şirket olarak tanımlanacaktır ) şirket tarafından kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda ki esasları belirlemek için hazırlanmıştır.

Şirket, Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verileri resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hâle getirir.

Şirket ilgili kanunlara ve diğer mevzuata ve kurul kararlarına uygun olarak bu politikayı hazırlamıştır. Şirket içinde ki tüm veri işleme faaliyetleri iş bu politikaya göre yürütülmektedir.

1.2 KAPSAM

İş bu politikanın kapsadığı ilgili kişi ve kişiler: 

Çalışanlar,

Hizmet sağlayıcılar,

Tedarikçi yetkilileri,

Tedarikçi, çalışanları,

Ürün veya hizmet alan kişi,

Potansiyel ürün veya hizmet alıcıları,

Ziyaretçiler,

Çevrimiçi ziyaretçilere ait kişisel veriler bu Politika kapsamındadır.

Şirketin yürüttüğü tüm kişisel veri işleme faaliyetleri bu politikaya göre yürütülmektedir.

 

1.3 KISALTMALAR VE TANIMLAR:

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. 

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. 

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. 

İlgili Kişi: Kişisel verisi işlenen gerçek kişi. 

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. 

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. 

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu. 

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. 

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Kurul: Kişisel Verileri Koruma Kurulu 

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. 

Politika: Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. 

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. 

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. 

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. 

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi 

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. 



2.SORUMLULUK VE GÖREV DAĞILIMLARI: 

Şirket, kişisel verilerin işlenmesi sürecini yürütmek ve kontrol etmek amacıyla kişisel veri komitesi kurmuştur.

Komite, kişisel verilerin elde edilmesinden, yok edilmesi ve imhasına kadar geçecek olan süreci kanun ve ilgili mevzuat dâhilinde kontrol eder ve yürütür.

Kişisel verilerin yok edilmesinden sonra ki süreçte de alınması gereken tedbirleri tutulması gereken belgeleri tutarak, şirket içerisinde etkin bir faaliyet yürütür.

 

KİŞİSEL VERİ KOMİTESİ GÖREV DAĞILIMI: 

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur.

Kişisel Veri Komitesinde yer alan şirket çalışanları ve görevleri aşağıda ki gibidir.

KİŞİSEL VERİ KOMİTESİ BAŞKANI: 

Politika’nın hazırlanması, yürütülmesi, güncellenmesinden, kişisel verilerin işlenmesi sürecinde yapılması gereken tüm işlemlerden sorumludur

KİŞİSEL VERİ KOMİTESİ ÜYESİ (TEKNİK ÜYE VE İDARİ ÜYE ) : 

Kişisel veri komitesinin aldığı kararların teknik ve idari yönden yerine getirilmesinden ve kişisel verilerin işlenmeye başlamasından saklama ve imha süreçlerinin yürütülmesine kadar olan tüm süreçten sorumludur.

3.KAYIT ORTAMLARI:

Kişisel veriler, şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır. 

KİŞİSEL VERİ SAKLAMA ORTAMLARI 

ELEKTRONİK ORTAMLAR 

Sunucular

Server 

Yazılımlar 

Bilgi güvenliği cihazları

Kişisel bilgisayarlar 

Mobil cihazlar

Optik diskler 

Çıkartılabilir bellekler 

Yazıcı, tarayıcı, fotokopi makinesi 

ELEKTRONİK OLMAYAN ORTAMLAR 

Kağıt

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) ⎫ 

Yazılı, basılı, görsel ortamlar 

Birim dolapları ( Kilitli ve sınırlı erişimli ) 

Arşiv ( Özel korumalı ) 

 

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 

Şirket tarafından; Çalışanlar, Hizmet sağlayıcılar, Tedarikçi yetkilileri, Tedarikçi, çalışanları, Ürün veya hizmet alan kişi, Potansiyel ürün veya hizmet alıcıları, Ziyaretçiler, Çevrimiçi ziyaretçilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. 

4.1 SAKLAMAYA İLİŞKİN AÇIKLAMALAR 

Kanunun 3.maddesine göre tanımı yapılan kişisel veriler, kanunun 4.maddesin deki hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine göre ve kanunun 5 ve 6. Maddelerine uygun olarak işlenmektedir.

Kişisel veriler mevzuata ve şirket menfaatlerine uygun süre kadar saklanır.

4.1.1 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER:

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; 

∙ 6698 sayılı Kişisel Verilerin Korunması Kanunu, 

∙ 6098 sayılı Türk Borçlar Kanunu,

∙ 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 

∙ 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 

∙ 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 

∙ 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 

∙ 4857 sayılı İş Kanunu, 

∙ 6102 Sayılı Türk Ticaret Kanunu 

∙ 213 Sayılı Vergi Usul Kanunu 

∙ Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. 

 

4.1.2 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI 

Şirket kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. 

 

  1. Müşteri ilişkileri süreçlerini yürütmek,

  2. Şirket güvenliğini sağlamak,

  3. İstatistiksel çalışmalar yapabilmek,

  4. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,

  5. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,

  6. Yasal raporlamalar yapmak,

  7. Çağrı merkezi süreçlerini yönetmek,

  8. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek,

  9. Şirket hukuk işlerinin icrası/takibini yapmak,

  10. Veri işleme faaliyetlerinin yürütülmesi, 

  11. Arge faaliyetlerinin yürütülmesi, 

  12. Ürün veya hizmet satışı sebebiyle fatura kesilmesi,

  13. Sadakat programı çerçevesinde akdedilen üyelik sözleşmeleri,

  14. Vergi kanunları uyarınca kayıtların saklanması,

  15. Özel hizmet sunumu sağlamak,

  16. Dijital ortamda müşteriden alınan rıza ve izinlerin, ispat varakası olarak dijital iz ve kayıtlarının tutulması,

  17. Satış sonrası hizmetlerin sunulması, 

  18. Arşiv faaliyetlerinin yürütülmesi,

  19. Mal alım, lojistik ve depolama işlerinin yürütülmesi,

  20. Mali işlemlerin yürütülmesi, 

  21. Ticari faaliyetleri yürütmek,

  22. İletişimi sağlamak, 

  23. Hizmet şartlarında ki yenilikleri bildirmek,

  24. Hizmet kalitesinin yükseltmek,

  25. Şikâyetleri sonuçlandırmak,

  26. Mali veya ticari kayıtlar üzerinden suç işlenmesini engellemek,

  27. Anket çalışması yapmak,

  28. Pazar araştırması yapmak,

  29. Promosyon, sponsorluk ve aktivite süreçlerini yürütmek, 

  30. Sosyal medya etkinlileri yürütmek,

  31. Bilgi Güvenliği Süreçlerinin Yürütülmesi,

  32. İç ve dış denetim Faaliyetlerinin Yürütülmesi,

  33. Finans ve Muhasebe İşlerinin Yürütülmesi,

  34. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi,

  35. Görevlendirme Süreçlerinin Yürütülmesi,

  36. Mer’i yasalardan kaynaklanan işleme sorumluluğu,

 

4.2 İMHAYI GEREKTİREN SEBEPLER 

Kişisel veriler; 

∙ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 

∙ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 

∙ Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, 

∙ Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi, 

∙ Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, 

∙ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir. 

5.KİŞİSEL VERİLERİN AKTARILMASI 

Şirket tarafından işlenen ilişkin kişisel veriler, 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, 

Şirket tarafından;

Şirketin faaliyet konusu ile ilgili ve sınırlı olmak üzere, iş süreçlerinin yürütülmesi, ticari faaliyetlerin sağlanması, müşteri memnuniyetinin sağlanması, şirket tarafından sunulan ürün ve hizmetin yaygınlaştırılması, çalışan memnuniyetinin sağlanması, kanuni zorunluluk gibi genel veri aktarımı amaçlarının yanında, 

  1. Ticari faaliyetlerin yürütülebilmesi amacıyla bayilere,

  2. Ticari faaliyetlerin yürütülebilmesi amacıyla iştiraklerimize,

  3. Mali, hukuki ve teknik denetim yapılması için denetim firmalarına,

  4. Kanundan doğan yükümlülükleri yerine getirmek zorunluluğu nedeniyle Hukuk, mali ve vergi danışmanlarına,

  5. Ticari faaliyetlerin planlanması amacıyla hissedarlarımıza,

  6. Kanuni zorunluluk kapsamında kamu kurum ve kuruluşlarına,

  7. Ticari ve mali faaliyetlerin yürütülmesi için bankalara,

  8. Ticari faaliyetlerin yürütülmesi amacıyla üst işveren ve alt işverenlere,

  9. Kanun kapsamında ve veri işleyen sözleşme yapmak suretiyle, ve sözleşme kapsamında veri işleyene,

  10. Ticari faaliyetlerin yürütülebilmesi amacıyla iş ortaklarına,

 

  1. Ticari faaliyetlerin yürütülmesi kapsamında çalışanların iş seyahatlerinin planlanması amacıyla seyahat acentelerine, Otellere, Havayolu Şirketlerine,

  2. Ürün ve hizmet alımı nedeniyle tedarikçilerimize ve tedarikçi çalışanlarına,

  3. Ticari ve mali faaliyetlerin yürütülmesi için sigorta şirketlerine,

  4. Ürün ve hizmet teslimi faaliyetinin yürütülmesi amacıyla müşteriye, 

Açık rıza ve rıza ile sınırlı olmak üzere yada 6698 sayılı kanunun 5 maddesinin 2 fıkrasına ve 6.maddesinin 3 fıkrasına göre kişisel veriler aktarılabilecektir.

 

6.TEKNİK VE İDARİ TEDBİRLER 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde şirket tarafından teknik ve idari tedbirler alınır. 

6.1 TEKNİK TEDBİRLER 

Alınan teknik tedbirler aşağıda sayılmıştır:

∙ Sızma (Penetrasyon) testleri ile ŞİRKET bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. 

∙ Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. 

∙ Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. 

∙ Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. 

∙ Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. 

∙ Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. 

∙ Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. 

∙ Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. 

∙ Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. 

∙ Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur. 

∙ Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. 

∙ Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. 

∙ Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. 

∙ Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

∙ Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır. 

∙ Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir. ( sizde nasıl bir güvenlik işlemi var ise onun yazılması gerekmektedir.) 

∙ Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. 

∙ Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. 

∙ Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, 

∙ Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. 

∙ Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir. 

 

6.2 İDARİ TEDBİRLER 

Alınan idari tedbirler aşağıda sayılmıştır: 

∙ Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, kanunlar ve ilgili mevzuat hakkında eğitimler verilmektedir. 

∙ Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır. 

∙ Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır. 

∙ Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. 

∙ Kişisel veri işleme envanteri hazırlanmıştır. 

∙ Şirket içi periyodik ve rastgele denetimler yapılmaktadır. 

∙ Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir. 

 

6.3. ŞİRKET İÇİ DENETİM

Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikasının uygulanmasına ilişkin şirket içi belli zamanlar da veya belirli olmayan zamanlarda denetimler yapmaktadır.

Denetimler sonucunda politikaya ve kanuna aykırı durumların tespiti halinde aykırı durumlar hemen giderilir.

Denetim sırasında kişisel veriler ile ilgili usulsüz erişim, kanuna aykırı olarak elde edilme vb. tespiti halinde hemen kurula ve ilgili kişilere bildirilir.

 

7.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. 

 

7.1 KİŞİSEL VERİLERİN SİLİNMESİ 

SUNUCULARDA YER ALAN KİŞİSEL VERİLER:

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. 

BULUT SİSTEMİNDE YER ALAN KİŞİSEL VERİLER:

İlgili veriler ile ilgili olarak silme komutu verilerek silme işlemi yapılır.

ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER:

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. 

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER:

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. 

TAŞINABİLİR MEDYADA BULUNAN KİŞİSEL VERİLER:

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. 

7.2 KİŞİSEL VERİLERİN YOK EDİLMESİ:

KİŞİSEL VERİLER, AŞAĞIDA YAZILAN YÖNTEMLERLE YOK EDİLİR: 

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER:

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. 

OPTİK / MANYETİK MEDYADA YER ALAN KİŞİSEL VERİLER:

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. 

Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. 

Yine manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

BULUT ORTAMDA TUTULAN KİŞİSEL VERİLER:

Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. 

7.3 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ: 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. 

 

  1. DEĞİŞKENLERİ ÇIKARTMA:

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilir.

  1. KAYITLARI ÇIKARTMA:

Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır. Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, herhangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkartmak tercih edilebilir.

  1. BÖLGESEL GİZLEM:

Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

ç) GENELLEŞTİRME:

İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir. 

d) ALT VE ÜST SINIR KODLAMA:

Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir

e) GLOBAL KODLAMA:

Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.

f) Örnekleme:

Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

g) Mikro Birleştirme: 

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

 h) Veri Değiş Tokuşu:

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiflerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

ı) Gürültü Ekleme: 

Bu yöntem ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

 

8. SAKLAMA VE İMHA SÜRELERİ 

 

Şirket tarafından işlenen verilere ait saklama ve imha süreleri kanunlara ve şirketimiz meşru menfaatlerine uygun olarak belirlenmiştir.

Yasalarda değişiklik olması halinde saklama ve imha süreleri güncellenecektir.

Kişisel verilerin maskelenmesi, silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır. 

Sözleşmenin sona ermesini takiben 10 yıl 

Şirket İletişim Faaliyetlerinin İcrası Faaliyetin sona ermesini takiben 10 yıl 

İnsan Kaynakları Süreçlerinin Yürütülmesi Faaliyetin sona ermesini takiben 10 yıl 

Çalışanlara ait sağlık verileri, işin sona ermesini takiben 10 yıl 

Log Kayıt Takip Sistemleri 10 yıl 

Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 Yıl 

Ziyaretçi ve Toplantı Katılımcılarının Kaydı Etkinliğin sona ermesini takiben 2 Yıl 

Kamera Kayıtları 2 Yıl 

Personel ile ilgili mahkeme / icra bilgi taleplerinin cevaplanması İş ilişkisi bitimi sonrası 10 yıl 

Üçüncü kişilerle imzalanan sözleşmeler, sözleşmenin sonra ermesinden itibaren 10 yıl 

Personel özlük dosyası İş ilişkisi bitimi sonrası 10 yıl 

Olumsuz sonuçlanan iş başvuruları Başvurunun olumsuz sonuçlanmasından itibaren 2 yıl 

Ücret ve maaşa ilişkin tüm dokümanlar İş ilişkisi bitim sonrası 10 yıl 

Personel özel sağlık ve ferdi kaza sigorta poliçeleri İş ilişkisi bitim sonrası 10 yıl 

Taşıt plaka bilgileri (üçüncü kişiler) Kaydedildiği tarihten itibaren 5 yıl 

İş sağlığı ve güvenliği uygulamaları için saklanan kişisel veriler İş ilişkisi bitimi sonrası 15 yıl 

Ödeme işlemleri, ödemenin yapılmasından itibaren 10 yıl 

Personel Finansman Süreçleri İş ilişkisi bitimi sonrası 10 yıl 

Sözleşme sürecinin kişisel verilerle ilgili bölümü ve sözleşmenin muhafazası İş ilişkisi bitim sonrası 10 yıl 

İnternet ve wifi aracılığı ile elde edilen bilgiler misafirler açısından kayıt tarihinden itibaren 2 yıl, 

İnternet ve wifi aracılığı ile elde edilen bilgiler çalışanlar açısından kayıt tarihinden itibaren 10 yıl, 

Talep / Şikayet Bilgileri Kaydın alınmasından itibaren 5 yıl 

Her türlü doküman dosyalanması 10 yıl 

Eğitim kayıtlarının dosyalanması 10 yıl 

Üyelere ait veriler, üyeliğin sona ermesinden itibaren 5 yıl 

Müşterilere ait veriler, işlemin sona ermesinden itibaren 10 yıl 

Bütün kişisel veriler ilgili veri için belirlenen saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilecektir.

Kişisel verinin TCK veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda TCK’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı müddetince

9. PERİYODİK İMHA SÜRESİ 

Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresi 6 ay olarak belirlemiştir. Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. 

10. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI:

Politika, fiziki ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Şirketin internet sayfasında açıklanır. 

Basılı kâğıt nüshası da şirketin KVKK uyum dosyasında muhafaza edilir.

11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI: 

Politika, 18.02.2021 Tarihinde yürürlüğe girmiştir.

Yürürlükten kaldırılmasına karar verilmesi halinde, eski nüshası şirketin KVKK uyum dosyasında en az 5 yıl süre ile saklanır.

12.POLİTİKA’NIN GÜNCELLENME PERİYODU:

İş bu politika, mevzuat değişikliğinde, sektörde ki gelişmeler dahilinde ve teknik gelişmelerde ihtiyaç duyulması halinde gözden geçirilir ve güncellenir.

İş bu politikada güncelleme yapıldığında, güncellenen kısımda ki değişiklik hemen metne işlenir ve değişiklik yapılmasına dair açıklama beyan edilir.

13.GÜNCELLEME TABLOSU 

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır. 

GÜNCELLEME TARİHİ DEĞİŞİKLİKLER 

Adres

Kurumsal

Hizmetlerimiz

Kullanım ve Gizlilik

Eds
payment2024 Tüm Hakları Saklıdır.