VYGON MEDİKAL SANAYİ VE TİCARET A.Ş. KİŞİSEL VERİ
İŞLEME, SAKLAMA VE İMHA POLİTİKASI

  1. AMAÇ VE KAPSAM

1- Amaç:

İşbu Kişisel Veri Saklama ve İmha Politikası’nın amacı, İlgili Mevzuat uyarınca belirlenen ilkeler doğrultusunda veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama sürelerinin, saklama, silme, yok etme ve anonim hale getirme esaslarının Vygon Medikal Sanayi ve Ticaret A.Ş. (Şirket) tarafından, veri sorumlusu sıfatıyla, gerçekleştirilmesine ilişkin usul ve esasların belirlenmesidir. 

2- Kapsam:

Bu Politika’nın kapsamını, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, kişisel verileri otomatik veya otomatik olmayan yollarla işlenen gerçek kişi müşteriler, müşteri adayları, çalışan adayları, çalışanlar, şirket pay sahipleri, şirket yetkilileri, ziyaretçiler, iş ortakları, tedarikçiler, işbirliği içinde olunan kişi ve şirketlerin çalışanları, pay sahipleri, yetkilileri ve üçüncü kişiler oluşturur.

Politika, Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetleri kapsar

  1. İLGİLİ MEVZUAT VE YÜRÜRLÜK

1- İlgili Mevzuat:

İşbu Politika ile ilgili mevzuat, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik’tir.

2- Yürürlük:

İşbu Politika, Şirket tarafından düzenlenerek yürürlüğe girer ve talepleri halinde kişisel veri sahiplerinin erişimine sunulur.

III. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına,

İlgili Kişi/Veri Sahibi: Kişisel verisi işlenen gerçek kişi anlamına,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi(-ler) anlamına,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi anlamına,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına,

Kişisel Veri Saklama ve İmha Etme Politikası: Veri Sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılan politika anlamına, 

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi anlamına,

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi anlamına,

Kurul: Kişisel Verileri Koruma Kurulu anlamına,

Kanun: 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu anlamına,

Özel Nitelikteki Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına,

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Şirket: Vygon Medikal Sanayi ve Ticaret A.Ş.  anlamına,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi anlamına,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi anlamına,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorunlu olan gerçek veya tüzel kişi anlamına,

Yönetmelik: 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği anlamına gelir.

  1. KİŞİSEL VERİLERİN İŞLENMESİNE, SAKLANMASINA VE İMHASINA HAKİM OLAN İLKELER

1- Kişisel Verilerin İşlenmesine Hakim Olan İlkeler:

  1. a) Şirket elinde halihazırda mevcut olan veya sonradan edinilen kişisel veriler, KVKK md. 4 uyarınca, hukuka ve dürüstlük kurallarına uygun, doğru ve mümkün mertebe güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenir, işlendikleri amaçla sınırlı ve ölçülü olarak kullanılırlar.

Kişisel veriler, Şirket tarafından, kanun ve yönetmelikte öngörülen, işlendikleri amaç için gerekli olan ve işbu Politika’da belirlenen süre kadar muhafaza edilirler.

  1. b) Kural olarak kişisel veriler ilgili kişi’nin açık rızası olmaksızın işlenmez.

KVKK md.5/2 belirtilen ve aşağıda sayılan hallerde ise ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür;

            Kanunda açıkça öngörülmüş olması,

            – Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin yada bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

            – Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

            – Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin gerekli olması,

            – İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleri.

  1. c) İlgili kişiler, kişisel veri işleme sürecine ilişkin olarak, Şirket tarafından, KVKK md. 10 hükmüne uygun olarak, aydınlatılır.

Kişisel veri sahibinin talebi halinde gerekli bilgilendirme Şirket tarafından yapılır.

  1. d) Şirket, kişisel veri işlenmesi ve aktarılması konularında kanunda öngörülen ve kurul tarafından ortaya konulan düzenlemeleri takip ederek bunlara uygun davranır.

2- Kişisel Verilerin Saklanmasına ve İmhasına Hakim Olan İlkeler:

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkelere uygun olarak hareket edilir.

  1. a) Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde kanuna ve yönetmeliğe, kurul kararlarına ve işbu politikaya tamamen uygun hareket eder.
  2. b) Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
  3. c) Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Ancak, ilgili kişinin talebi halinde, uygun yöntem gerekçesi açıklanarak seçilecektir.
  4. d) Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu hususta ilgili kişi tarafından Şirket’e başvurulması halinde;

       – İletilen talepler, Şirkete ulaştıkları tarihten itibaren talebin niteliğine göre en kısa sürede ve en geç otuz gün (30) içinde ücretsiz olarak sonuçlandırır.

        Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması sağlanır.

  1. KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASINI GEREKTİREN SEBEPLER
  1. A) Kişisel Verilerin Kategorizasyonu, İşlenme Amaçları, Saklanması:

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenmekte ve saklanmaktadır. 

Kanun’un 10. maddesi uyarınca Şirket, kişisel veri sahiplerine veri sorumlusu olan Şirket’in ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında bildirir.    

  1. a) Kişisel Verinin İşlenme Amaçları:

Şirket, elde ettiği kişisel verileri aşağıdaki amaçlar ile işler;

            1) Şirket tarafından, Şirket’in üretim, satış ve pazarlama faaliyetleri başta olmak üzere gerçekleştirmiş olduğu ya da gerçekleştireceği tüm faaliyetlerin icrası,

            2) Şirket’in mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi, bu kanuni yükümlülükler sebebi ile Vergi Dairesi Başkanlığı, Sosyal Güvenlik Kurumu ve İŞKUR, Serbest Bölge Müdürlüğü, Merkezi Kayıt Kuruluşu, Sanayi ve Ticaret Odaları, Bakanlıklar gibi özel ve resmi kuruluşlara bilgi verilmesi,

            3) İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi,

            4) Şirket’in insan kaynakları politikaları doğrultusunda ve bu politikalara uygun olacak şekilde, açık pozisyonlara uygun personel temini, bu politikalara uygun şekilde insan kaynakları operasyonlarının yürütülmesi, çalışanlar adına bireysel emeklilik, özel sağlık sigortası süreçlerinin takibi de dahil olmak üzere gerekli bilgilendirmelerin yapılması ve ilgili kurum, kuruluş ve kişilerle bu çerçevede bilgi akışının sağlanması,

            5) İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu ve ilgili mevzuat çerçevesinde iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi çerçevesinde çalışan ve iş ortaklarımızın çalışanlarına ilişkin işe giriş ve işe devam süreçlerinde sağlık durumlarının takibi, ortak sağlık birimi ile bu çerçevede bilgi akışının sağlanması,

            6) Kurumsal yönetim faaliyetlerinin icrası, risk yönetimi, finansal raporlama işlemlerinin icrası ve takibi,

            7) Şirket faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,

            8) Kurumsal iletişim ve yönetim faaliyetlerinin icrası,

            9) Şirketin mevcut ve müstakbel çalışanları, yetkilileri, iş ortakları, iş ortaklarının yetkilileri, pay sahipleri, çalışanları ile hukuki ve ticari ilişkilerin yürütülmesi, bu çerçevede sözleşmelerin akdedilmesi ve akdedilen sözleşmelerin ifası, bu kişilerle Şirket süreçleri ve Şirket ile bağlantılı konuların değerlendirilmesi ve bilgi akışının sağlanması,

            10) Şirket tarafından yapılan üretim ve/veya sunulan hizmetin gerekli kalite standartlarını sağladığına ilişkin gereken denetim faaliyetlerinin sağlanması ve akreditasyonlar,

            11) Şirket faaliyet ve ihtiyaçları doğrultusunda satın alma ve tedarik ilişkilerinin oluşturulması ve takibi,

            12) Şirketler Hukuku’na ilişkin gereklerin yerine getirilmesi,

            13) Şirket içi iletişim ve iş birliğinin sağlanması,

            14) Şirket, pay sahipleri, çalışanlar yada yetkililerinin taraf olduğu Şirket ile ilişkili olan dava, icra takibi, idari ve cezai soruşturma ve benzeri süreçlerin takibi,

            15) Şirket pay sahibi, çalışan, ziyaretçi ya da iş ortaklarının çalışan, yetkili ya da pay sahiplerinin seyahatleri sebebi ile gerekli izin ve işlemlerin takibi,

            16) Ziyaretçi kayıtlarının oluşturulması ve takibi,

            17) Yatırımcı ilişkililerinin yönetilmesi,

            18) Veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, var ise Şirket internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirket’e talep ve şikayetlerini ileten gerçek kişiler ile iletişime geçilmesi,

            19) Şirket ve şirkete ait tesis güvenliğinin sağlanması ve çalışan ulaşımlarının sağlandığı araçlarda yine güvenlik amacıyla ve “kamera ile izlenmektedir” açıklama ya da işaretinin yer aldığı alanlarla sınırlı olmak üzere, çalışılanların, Şirket pay sahipleri ve yetkililerinin, ziyaretçilerin görüntülerinin kamera ile kayıt altına alınması suretiyle, çalışan ve ziyaretçi giriş çıkışlarının kayıt altına alınması, var ise internet sitesi ziyaretlerinde site içi hareketlerin kaydı amacıyla, KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir.

  1. b) Kişisel Verilerin Kategorizasyonu:

            – Kimlik Bilgisi: Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, medeni durum, kan grubu, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, fotoğraf vb. bilgiler.

            – Aile Bireyleri ve Yakın Bilgisi: Eş veya çocukların isim, soy ismi ve bu kişilerin iletişim bilgileri.

            – İletişim Bilgisi: Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler.

            – Müşteri Bilgisi: Ticari faaliyetler ve bu çerçevede iş birimlerinin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler.

            – Fiziksel Mekân Güvenlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, çalışanların ulaşımının sağlandığı şirket servis araçlarında, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera ve ses kayıtlıları ile sair kayıtlar ve belgeler.

            – İşlem Güvenliği Bilgisi: Ticari faaliyetler yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen kişisel veriler.

            – Finansal Bilgi: Şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.

            – Özlük Bilgisi: Çalışanların veya Şirketin çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

            – Çalışan Adayı Bilgisi: Şirketin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirketin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirket’le çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler.

            – Denetim ve Teftiş Bilgisi: Şirketin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler.

            – Özel Nitelikteki Kişisel Veri: 6698 Sayılı Kanun md. 6’da belirtilen veriler.

            – Talep/Şikayet Yönetimi Bilgisi: Şirkete yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.

            – Diğer Kişisel Verileri: Çalışanlara ya da taşeron çalışanlarına ait beden ve ayakkabı ölçüleri, askerlik durumu, motivasyon faaliyetleri kapsamında edinilen veriler.

  1. c) Kişisel Veri Sahibi Esas Alınarak Yapılan Kategorizasyon:

            – Müşteri: Şirket’le herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler.

            – Potansiyel Müşteri: Ürün ve hizmetleri kullanma talebinde veya ilgisinde bulunmuş veya Şirket tarafından, bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilen gerçek kişiler.

            – Ziyaretçiler: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.

            – Çalışan: Şirket bünyesinde, akdedilmiş iş sözleşmesi çerçevesinde bir bağımlılık ilişkisi uyarınca, çalışan gerçek kişiler.

            – Çalışan Adayı: Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketin incelemesine açmış olan gerçek kişiler.

            – Şirket, Grup Şirketleri, İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı: Şirketin mensubu olduğu şirketler grubunu, bu gruba dair diğer şirketleri, Şirketin işbirliği içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, pay sahipleri ve yetkilileri dahil olmak üzere, tüm gerçek kişiler.

            – Şirket Pay Sahibi: Şirket’te pay sahibi olan gerçek kişiler

            – Şirket Yetkilisi: Yönetim kurulu üyeleri ile şirketi temsil ve ilzama yetkili kılınan diğer kişiler.

            – Üçüncü Kişi:  İşbu Politika kapsamına girmeyen ve bu Politika’da herhangi bir Kişisel Veri Sahibi kategorisine girmeyen diğer kişiler.

Kişisel veri sahibi kategorileri ne göre, bu kategoriler içerisinde yer alan kişilerin hangi tip kişisel verilerinin işlendiği aşağıda sıralanmıştır;

            – Kimlik Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

            – İletişim Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

            – Müşteri Bilgisi: Müşteri, Potansiyel Müşteri

            – Aile Bireyleri ve Yakın Bilgisi: Çalışan, Çalışan Adayı, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları

            – Fiziksel Mekân Güvenlik Bilgisi: Ziyaretçi, Çalışan, Çalışan Adayı, Şirket Yetkilileri, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

            – İşlem Güvenliği Bilgisi: Müşteri, Çalışan, Ziyaretçi, Üçüncü Kişi, Şirket Yetkilileri, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

            – Finansal Bilgi: Müşteri, Çalışan, Şirket Pay Sahibi, Şirket Yetkilisi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

            – Özlük Bilgisi: Çalışan, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

            – Çalışan Adayı Bilgisi: Çalışan Adayı, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları

            – Denetim ve Teftiş Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

            – Özel Nitelikteki Kişisel Veri: Çalışan, Çalışan Adayı, Şirket Pay Sahipleri, Şirket Yetkilisi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları ve Yetkilileri

            – Talep/Şikayet Yönetimi Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi 

  1. B) ELDE EDİLEN VE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER:

            Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

            Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

            Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

            Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

            Kişisel verilerin saklanmasının mevzuat tarafından açıkça zorunlu kılınmış olması,

            Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunduğunun ortaya konulabilmesi

  1. C) VERİ SAHİPLERİNE AİT KİŞİSEL VERİLERİN, YÖNETMELİK UYARINCA, ŞİRKET TARAFINDAN RESEN YAHUT TALEP ÜZERİNE SİLİNME, YOK EDİLME VEYA ANONİM HALE GETİRİLME SEBEPLERİ:

            Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin yürürlükten kalkması veya değiştirilmesi,

            Kişisel verilerin işlenmesini ve/veya saklanmasını gerektiren amacın ortadan kalkması,

            Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

            Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleşebileceği hallerde, ilgili kişinin rızasını sarih olarak geri alması,

            – Veri sahibinin, Kanun’un 11. maddesindeki hakları çerçevesinde, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin talepte bulunması ve bu talebin veri sorumlusu tarafından kabul edilmesi,

            Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

            Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

  1. KİŞİSEL VERİLERİN AKTARILMASI

Verimli Sorumlusu tarafından toplanan, işlenen ve saklanan kişisel veriler hiçbir halde yurtdışına aktarılmaz.

Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın yurtiçinde aktarılamaz. KVKK md.5/2 belirtilen ve aşağıda sayılan hallerde ise ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılması mümkündür;

  1. Kanunda açıkça öngörülmüş olması,
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin yada bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin gerekli olması,
  6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleri.

VII. ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE AKTARILMASI

Kanun’un 6.maddesi gereği, özel nitelikteki kişisel verinin, ilgilinin açık rıza olmaksızın, işlenmesi yasaktır.

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel veriler, Kanun 8.maddesi uyarınca açık rıza ile veya Kanun 8.madde atfıyla Kanunun 6.maddesinde sayılan ve yukarıda zikredilen durumlarda aktarılabilir.

Şirket çalışanlarının, Şirket pay sahipleri ve yetkilileri ile İş Ortaklarının çalışanlarının özel nitelikteki verileri, iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla işlenmekte, ilgili veri sahipleri tarafından, hizmet alınan ortak sağlık birimi ya da sır saklama yükümlülüğü altında olan kişiler kanalıyla Şirkete aktarılan bu verilerin işlenmesi, aktarılması ve muhafazasına ilişkin olarak Şirket aşağıdaki kuralları takip eder ve önlemleri alır;

            Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışan, ortak sağlık birimi ve sır saklama yükümlülüğü altında bulunan sağlık yetkililerine yönelik, Kanun ve Yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir, bu kişilerle gizlilik sözleşmeleri yapılır,

            Verilere erişim yetkisine sahip kullanıcıların yetkilerinin kapsamı ve yetki süreleri net olarak tanımlanır,

            Periyodik olarak yetki kontrolleri gerçekleştirilir,

            Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır,

            Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise; veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur, veriler üzerinde gerçekleştirilen tüm hareketler işlem kayıtları güvenli olarak loglanır, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır, erişime ilişkin kullanıcı yetkilendirmeleri yapılır ve kayıtları tutulur.

            Fiziksel ortamda tutulan özel nitelikli kişisel verilere ilişkin, bulundukları ortamın niteliğine göre yeterli güvenlik önlemleri alınır ve düzenli olarak kontrol edilir, bu ortamların fiziksel güvenliğinin sağlanarak giriş çıkışlarda yetki sorgulaması yapılır.

            Verimli Sorumlusu tarafından toplanan, işlenen ve saklanan özel nitelikli kişisel veriler, hiçbir halde yurtdışına aktarılmaz.

VIII. KİŞİSEL VERİLERİN SAKLANACAĞI ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerine uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları, genel itibariyle, aşağıda sayılmıştır;

  1. a) Matbu Ortamlar: Verilerin kağıt yada mikrofilmler üzerine basılarak tutulduğu ortamlar.
  2. b) Yerel Dijital Ortamlar: Şirket bünyesindeki sunucu(-lar), sabit yada taşınabilir diskler, optik diskler ve sair dijital ortamlardır.
  3. c) Bulut Ortamlar: Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır

Bir kısım kişisel veriler, sahip oldukları özel nitelikler ya da Şirketin hukuki yükümlülükleri nedeniyle, burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket, her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Yönetmeliğe ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işler ve korur.

  1. KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklanma ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır;

  1. a) Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki bent kapsamında işlem yapılır,

Saklamayı Gerektiren Hukuki Sebepler aşağıda belirtilmiştir;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • Kişisel Sağlık Verileri Hakkında Yönetmelik
  • 3359 sayılı Sağlık Hizmetleri Temel Kanunu
  • 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname
  • Özel Hastaneler Yönetmeliği
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
  1. b) Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya kişisel verinin saklanmasına ilişkin olarak mevzuatta herhangi bir süre öngörülmemiş ise sırasıyla;

                        1) Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, söz konusu kişisel verinin özel nitelikli kişisel verilerden olup olmadığı tespit edilir. Özel nitelikte olduğu tespit edilen tüm kişisel veriler, veri sahibinin açık rızası olmadığı sürece, imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.

                        2) Kişisel verinin saklanmasında, Kanun’un 4. maddesinde belirtilen ilkeler uyarınca, Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veya Şirket’in saklanmasında herhangi bir meşru amacı olmadığı tespit edilen kişisel veriler silinir, yok edilir ya da anonim hale getirilir.

                        3) Kişisel verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Şirket tarafından tespit edilen maksimum saklama, imha ve periyodik imha süreleri aşağıda sıralanmıştır;

  1. a) ÇALIŞAN:

                        – İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen, hizmet süresine ve ücrete dair bildirimlere esas özlük verileri; Hizmet akdinin devamı süresince ve sona ermesinden itibaren 10 (on) yıl boyunca,

                        İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen, hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri; Hizmet akdinin devamı süresince ve sona ermesinden itibaren 10 (on) yıl boyunca,

                        İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler ile iş sağlığı ve güvenliğine ilişkin kayıtlar; Hizmet akdinin devamı süresince ve sona ermesinden itibaren 15 (on beş) yıl boyunca,

  1. b) ÇALIŞAN ADAYI:

                        Çalışan Adayı’na ait özgeçmiş ve işe başvuru formunda yer alan bilgiler; Bilgilerin edinildiği tarihten itibaren en fazla altı (6) ay olmak üzere, özgeçmişin güncelliğini kaybedeceği süre kadar,

  1. c) STAJYER:

                        – Stajyer’e ait staj dosyasında yer alan bilgiler; Staj ilişkisinin devamı süresince ve sona ermesini takip 5 (beş) yıl boyunca,

  1. d) İŞ ORTAĞI/ÇÖZÜM ORTAĞI/DANIŞMAN:

                        – İş Ortağı/Çözüm Ortağı/Danışman ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri; İş Ortağı/Çözüm Ortağı/Danışmanın, Şirket’le olan iş/ticari ilişkisinin devamı süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca on (10) yıl boyunca,    

  1. e) ZİYARETÇİ:

                        Şirket’e ait fiziki mekana girişte alınan Ziyaretçi’ye ait ad, soyad, kimlik numarası, araç plakası ile  kamera kayıtları, telefon aramalarında alınan ses kayıtları; kayıtların alındıkları tarihlerden itibaren bir (1) yıl süre boyunca,

  1. f) İNTERNET SİTESİ ZİYARETÇİSİ (BULUNMASI HALİNDE):

                        – İnternet Sitesi Ziyaretçisi’ne ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri; kayıtların alındıkları tarihlerden itibaren bir (1) yıl süre boyunca,

  1. g) MÜŞTERİ:

                        – Müşteri’ye ait ad, soyad, kimlik numarası, iletişim bilgileri, ödeme bilgileri ve yöntemleri, telefon aramalarında alınan ses kayıtları, ürün/hizmet tercihleri, işlem geçmişi; Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca on (10) yıl boyunca,

                        Kamera görüntüleri, araç plaka bilgisi; kayıtların alındıkları tarihlerden itibaren bir (1) yıl süre boyunca,

  1. h) POTANSİYEL MÜŞTERİ:

                        Şirket ile Potansiyel Müşteri arasında ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları; kayıtların alındıkları tarihlerden itibaren bir (1) yıl süre boyunca,

            ı) ŞİRKET’İN İŞBİRLİĞİ İÇİNDE OLDUĞU KURUM/FİRMALAR  (TEDARİKÇİ, FASON ÜRETİCİ, BAYİ/FRANCHİSE, DİSTRİBÜTÖR):

                        Şirket ile işbirliği içinde olunan kurum/firmalar arasındaki ticari ilişkinin yürütülmesine dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, işbirliği içinde olunan kurum/firma çalışanı verileri; Şirket’in işbirliği içinde olduğu kurum/firmaların, Şirket’le olan iş/ticari ilişkisi in devamı süresince ve bu ilişkinin sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca on (10) yıl boyunca saklanır.

            Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

  1. PERİYODİK İMHA

            Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Politika’da yer alan imha süreleri ve usullerine uygun olarak, 6 (altı) aylık periyotlarla siler, yok eder veya anonim hale getirir.

  1. İMHA YÖNTEMLERİ

Şirket, Kanuna ve sair mevzuat ile işbu Politika’ya uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, ilgili kişinin talebi doğrultusunda ya da işbu Politika’da belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

Şirket tarafından kullanılabilecek bir takım silme, yok etme ve anonim hale getirme teknikleri, bunlarla sınırlı olmamak üzere, aşağıda sıralanmıştır;

  1. A) SİLME YÖNTEMLERİ:
  2. a) Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri:

                        – Karartma: Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

  1. b) Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri:

                        – Yazılımdan güvenli olarak silme: Bulut ortamında ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir.

  1. B) YOK ETME YÖNTEMLERİ:
  2. a) Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri:

                        – Fiziksel yok etme: Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.

  1. b) Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri:

                        – Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

                        – De-manyetize etme (degauss): Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

                        – Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

  1. c) Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri:

                        – Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

  1. C) ANONİMLEŞTİRME YÖNTEMLERİ:

                        – Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.

Bu yöntem, kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

                        – Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesidir.

                        – Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgilerin kaldırılarak istatistiki veri haline getirilmesi işlemidir.

                        – Alt ve üst sınır kodlama / Global kodlama: Belli bir değişken için o değişkene ait aralıkların tanımlanarak kategorilendirilmesidir.

Değişken sayısal bir değer içermiyorsa, değişken içindeki birbirine yakın veriler kategorilendirilir.

Aynı kategori içinde kalan değerler birleştirilir.

                        – Mikro birleştirilme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesinin önüne geçilir.

                        – Veri karma ve bozma: Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak veya bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir. Şirket, anonimleştirme işlemleri için çeşitli istatistiki yöntemleri kullanabilir. (K-Anonimlik [UN2] (K-Anonymity), L-Çeşitlilik (L-Diversity) [UN3] ve T-Yakınlık [UN4] (T-Closeness) istatistik yöntemleri)

XII. KİŞİSEL VERİLERİN İMHA İŞLEMİNİN DENETİMİ

Şirket, periyodik imha süreçlerinde re’sen ve talep üzerine gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata ve işbu Politika’ya uygun olarak yapar.

Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler alır.

  1. A) Teknik Tedbirler:

            Şirket idari tedbirler kapsamında;

            Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

            Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

            Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

            Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

            Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.

            Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.

            Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.

            Özel nitelikli kişisel veriler üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.

            Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

            Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda, bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

            Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.

Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

            – Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,

            – Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,

            – Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarım yapılmasını,

            – Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

  1. B) İDARİ TEDBİRLER

            – Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında bilinçlendirilmesi çalışmalarını yapar.

            Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.

            Şirket, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda, ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar ve söz konusu üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.

            Şirket, imha işlemlerinin hukuka ve işbu Politika’da belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler ve gereken eylemlerde bulunur.

            Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklar.

            Saklanan kişisel verilere Şirket içi erişim, iş tanımı gereği, bu bilgilere erişmesi gerekli personel ile sınırlandırılır. Erişimin sınırlandırılmasında, verinin özel nitelikli olup olmadığı ve önem derecesi dikkate alınır.

            İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

            Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

            Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

            Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

            Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

XIII. KİŞİSEL VERİ KOMİTESİ

Şirket, bünyesinde bir Kişisel Veri Komitesi kurar veya bu konuda sorumlu olacak kişi veya kişiler atar.

Kişisel Veri Komitesi veya bu konudaki sorumlu kişi, ilgili kişilerin verilerinin hukuka Kanun’a, Yönetmeliğe, ilgili mevzuata ve işbu Politika’ya uygun olarak saklanması, işlenmesi, korunması ve imha edilmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler aşağıda belirtilmiştir;

            Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun ve işbu Politika uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla 

            Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,

            Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,

            KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.

XIV: GÜNCELLEME VE UYUM

Şirket, Kanun’da yapılan değişiklikler nedeniyle, Kurum kararları uyarınca yada sektördeki veya bilişim alanındaki gelişmeler doğrultusunda işbu Politika’da değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.