Veri Saklama ve İmha Politikası

BEŞLER YEM VE UN SANAYİ TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASI POLİTİKASI

Yürürlük Tarihi:

28.01.2021

İÇİNDEKİLER

BÖLÜM – I

AMAÇ, KAPSAM VE TANIMLAR

• POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
• TANIMLAR VE KISALTMALAR
  
  
  

BÖLÜM – II

SORUMLULUK VE KAYIT ORTAMINA İLİŞKİN HUSUSLAR

• SORUMLULUK VE GÖREV DAĞILIMLARI
  
• KİŞİSEL VERİLERİN KAYIT ORTAMLARI
  
  
  

BÖLÜM – III

KİŞİSEL VERİLERİN SAKLANMASI, KORUNMASI VE İMHASI

1. KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN HUSUSLAR
   • Kişisel Verileri Saklama
   • Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
   • Kişisel Verileri İşleme Amaçları
2. Kişisel verilerin korunması
   • İdari Tedbirler
   • Teknik Tedbirler

3. KİŞİSEL VERİLERİN İMHASI
   • Kişisel Verilerin Silinmesi
   • Kişisel Verilerin Anonim Hale Getirilmesi
   • Kişisel Verilerin İmha Süreleri
   • Kişisel Verilerin Periyodik İmha Süresi

Kişisel Verileri Saklama ve İmha Politikasının Yürürlüğü ve Güncellenmesi



--------------------------------------------------------------------------------------------------------------------------

VERİ SORUMLUSU ÜNVANI	Beşler Yem ve Un Sanayi Ticaret A.Ş.
VERİ SORUMLUSU ADRESİ	Organize Sanayi Bölgesi 1.Cad. 4.Sok No:5, 25700 Aziziye/Erzurum
VERİ SORUMLUSU MERSİS NUMARASI	0167000078700017

--------------------------------------------------------------------------------------------------------------------------



BÖLÜM - I

AMAÇ, KAPSAM VE TANIMLAR

1. Politikanın Hazırlanma Amacı ve Kapsamı

Kişisel Verileri İşleme, Saklama ve İmha Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu olan Beşler Yem ve Un Sanayi Ticaret A.Ş. (Beşler Yem ve Un A.Ş. veya Şirket)’nin gerçekleştirmekte olduğu kişisel veri işleme, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasları belirlemek amacıyla hazırlanmıştır.

Beşler Yem ve Un A.Ş. veri sorumlusu sıfatıyla, temel ilkeler doğrultusunda şirket çalışanları, iş başvuru adayları, iş ortakları/alt yükleniciler, müşteriler, tedarikçiler, ziyaretçiler ve Şirkete ait http://www.beslerunyem.com.tr/ adresli internet adresini ziyaret eden kişilere ait kişisel verilerini, T.C. Anayasası, Uluslararası Sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarının etkin bir şekilde kullanılmasının sağlanmasını ilke olarak belirlemiştir.

Beşler Yem ve Un A.Ş. çalışanları görevlerini yerine getirirken iş bu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür.

İş bu Politika doğrultusunda Şirket faaliyetleri içerisinde kişisel verilerin işlenmesi ve korunması için, kişisel veri farkındalığının yükseltilmesi için gereken eğitimler yapılmaktadır. Şirket, hissedarları, yetkilileri ve çalışanları ile ticari iş ortaklarının KVKK’ya uyum için gerekli tüm idari ve teknik tedbirler alınarak periyodik denetim süreçleri işletilecektir.

Kişisel verilerin işlenmesi, saklanması ve imhasına ilişkin iş ve işlemler Beşler Yem ve Un A.Ş. tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında hazırlanmış olan işbu KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI’na göre gerçekleşecektir.

2. Tanımlar ve Kısaltmalar

KISALTMA	TANIM
ALICI GRUBU	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
AÇIK RIZA	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
ANONİM HALE GETİRME	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
ÇALIŞAN	Kişisel Verileri Koruma Kurumu personeli
EBYS	Elektronik Belge Yönetim Sistemi
ELEKTRONİK ORTAM	Kişisel verileri elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirebildiği ve yazılabildiği ortamlar
ELEKTRONİK OLMAYAN ORTAM	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
HİZMET SAĞLAYICI	Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İLGİLİ KİŞİ	Kişisel verisi işlenen gerçek kişi
İLGİLİ KULLANICI	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İMHA	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
KANUN/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu
KAYIT ORTAMI	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
KİŞİSEL VERİ	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
KİŞİSEL VERİ İŞLEME ENVANTERİ	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
KİŞİSEL VERNİN İŞLENMESİ	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
KURUL	Kişisel Verileri Koruma Kurulu
ÖZEL NİTELİKLİ KİŞSEL VERİ	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
PERYODİK İMHA	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
POLİTİKA	Kişisel Verileri Saklama ve İmha Politikası
VERİ İŞLEYEN	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir
VERİ KAYIT SİSTEMİ	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
VERİ SORUMLUSU	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi
YÖNETMELİK	28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

BÖLÜM - II

SORUMLULUK VE KAYIT ORTAMINA İLİŞKİN HUSUSLAR

1. Sorumluluk ve Görev Dağılımı

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki Tabloda gösterilmiştir.

UNVAN	BİRİMİ	GÖREVLERİ
Kurum KVKK Sorumlu Başkanı	Kurucu Temsilcisi	Çalışanların politikalara uygun hareket etmesinden sorumludur.
Veri Yönetimi Sorumlusu	Kurucu Temsilcisi	Politikaların hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Veri Güvenliği Sorumlusu	Bilgi İşlem	Politikaların uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
Veri İşleme, Saklama, Silme Sorumluları	Bilgi İşlem	Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur.
	İnsan Kaynakları	Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur.
	Mali İşler	Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur.

2. Kişisel Verilerin Kayıt Ortamları

Kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e posta, veri tabanı, web, dosya paylaşım, vb.)	Kâğıt
Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)	Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )	Yazılı, basılı, görsel ortamlar
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
Yazıcı, tarayıcı, fotokopi makinesi

BÖLÜM - III

KİŞİSEL VERİLERİN SAKLANMASI, KORUNMASI VE İMHASI

1. Kişisel Verilerin Saklanmasına İlişkin Hususlar

Elde ettiğimiz kişisel veriler, Şirket faaliyetlerinin yerine getirilebilmesi amacıyla, uygun süre zarfıyla fiziksel veya elektronik ortamda güvenli olarak saklanmaktadır. Şirket elde ettiği kişisel verileri KVKK başta olmak üzere ilgili tüm mevzuattaki yükümlülüklere uygun hareket etmektedir. Kişisel verilerin işlenmesi amaçları veya saklama süresinin sona ermesi durumunda resen Şirket tarafından en geç 6 (altı) ayda bir yapılan periyodik imhalarda veya ilgililerin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

Kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak imha edilir.

Veri sorumlusu Şirketin meşru menfaatinin olduğu durumlarda, işlenme amacı ve ilgili kanunlarda belirtilen sürelerin sona ermesine rağmen ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyecek şekilde kişisel veriler, Borçlar Kanunu, Ticaret Kanunu, İş Kanunu, Tüketici Kanunu ve ilgili sair mevzuatta yer alan zamanaşımı süreleri dolana kadar saklayıp bahsi geçen zamanaşımı süresinin sona ermesi sonrasında kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir.

• Kişisel Verileri Saklama

KVKK 4. Maddesinde uyarınca kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar kayıt altında tutulmaktadır.

• Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler

Şirket tarafından kayıt altına alınan kişisel veriler aşağıda sayılan mevzuatlar ve sayılanlarla sınırlı olmamak üzere yayınlanan ve yayınlanacak olan mevzuat hükümleri gereğince saklanmaktadır.

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 6102 sayılı Türk Ticaret Kanunu
• 4857 sayılı İş Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
• 213 sayılı Vergi Usul Kanunu
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun
• 5237 sayılı Türk Ceza Kanunu
• 5237 sayılı Terörle Mücadele Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
  
  
  
• Kişisel Verileri İşleme Amaçları

Şirket tarafından, kişisel veriler özellikle çalışan süreçlerinin planlanması ve yönetilmesi, ticari faaliyetlerin sürdürülmesi, hukuki ihtilafların yönetilmesi, müşteri pazarlama tekniklerinin geliştirilmesi, internet sitesinin geliştirilmesi amacıyla fiziki veya elektronik ortamlarda güvenli bir şekilde KVKK ve diğer sair mevzuat kapsamında saklanmaktadır. Ayrıntılarıyla aşağıda sayılmaktadır.

Asıl Amaçlar	Alt Amaçlar
İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi	Çalışanların işe giriş–işten çıkış süreçlerinin yürütülmesi, çalışanlar için özlük dosyası oluşturulması
	Çalışanlar için yan haklar ve menfaatler süreçlerinin yürütülmesi
	Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
	Çalışan performans değerlendireme süreçlerinin yürütülmesi
	Yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi
	Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi
	Stajyer kabul ve eğitim süreçlerinin yürütülmesi
	Çalışan adaylarının başvuru, seçme ve yerleştirme süreçlerinin yürütülmesi
	Görevlendirme süreçlerinin yürütülmesi
	Yabancı personel çalışma ve oturma izni işlemleri
Şirket’in Ticari Devamlılığının Sağlanması ve İş Faaliyetlerinin Yürütülmesi ve Denetlenmesi	Şirket’in iş ilişkisinde olduğu kişilerle sözleşme süreçlerini yürütmesi
	Şirket’in iş ilişkisinde olduğu kişilerle iletişim faaliyetlerini yürütmesi
	Finans ve muhasebe işlerinin yürütülmesi
	İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
	Ücret politikasının oluşturulma süreçlerinin yürütülmesi
	Mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi
	Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi
	Pazarlama analiz çalışmalarının yürütülmesi
	Mal/hizmet satın alım süreçlerinin yürütülmesi
	Mal/hizmet satış süreçlerinin yürütülmesi
	Mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi
	Müşteri ilişkileri yönetim süreçlerinin yürütülmesi
	Müşteri memnuniyetine yönelik faaliyetlerin yürütülmesi
	Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi
	Lojistik faaliyetlerinin yürütülmesi
	Organizasyon ve etkinlik yönetim süreçlerinin yürütülmesi
	Yatırım süreçlerinin yürütülmesi
	Tedarik zinciri yönetim süreçlerinin yürütülmesi
	Reklam/kampanya ve promosyon süreçlerinin yürütülmesi
Şirket’in Fiziki, İşlemsel ve Hukuki Güvenliği Temine Yönelik Faaliyetlerini Yürütmesi	Bilgi güvenliği süreçlerinin yürütülmesi
	Acil durum yönetim süreçlerinin yürütülmesi
	Risk yönetim süreçlerinin yürütülmesi
	İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
	İş süreçlerinin iyileştirilmesine yönelik tedbir ve önerilerin alınması ve değerlendirilmesine yönelik faaliyetlerinin yürütülmesi
	Fiziksel mekân güvenliğinin temini faaliyetlerinin yürütülmesi
	Ziyaretçi kayıtlarının oluşturulması ve takibi
	Taşınır mal ve kaynakların güvenliğini temin faaliyetlerinin yürütülmesi
	Veri sorumlusunun operasyonlarının güvenliğinin teminine yönelik faaliyetlerin yürütülmesi
Şirket’in İdari Görev ve Yetkilerini Kullanmasına İlişkin Faaliyetlerin Yürütülmesi	Denetim/etik faaliyetlerinin yürütülmesi
	Erişim yetkilerinin kullanılması/yürütülmesi
	İç denetim/soruşturma ve istihbarat faaliyetlerinin yürütülmesi
	Stratejik planlama faaliyetlerinin yürütülmesi
	Saklama ve arşiv faaliyetlerinin yürütülmesi
	Talep ve şikayetlerin takibi
Şirket’in Hukuk İşlerinin Yürütülmesi	Hukuk işlerinin takibi ve yürütülmesi
	Faaliyetlerin mevzuata uygun yürütülmesi
	Yasal uyumluluk faaliyetlerinin yürütülmesi
	Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
Diğer	Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi
	Sponsorluk faaliyetlerinin yürütülmesi
	Diğer

2. KİŞİSEL VERİLERİN KORUNMASI

Şirket işlemekte olduğu kişisel verileri hukuka aykırı olarak işlenmesini, hukuka aykırı olarak erişilmesini önlemek ve verilerin güvenle muhafazasını sağlamak için gerekli olan teknik ve idari tedbirleri almakla birlikte gerekli denetimleri yapıp, yaptırmaktadır.

Alınan tüm teknik ve idari tedbirlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda şirket en kısa sürede ilgili birim ve kurumlara haber verir.

• İdari Tedbirler

1. Çalışanlara Şirket Hukuk Müşaviri tarafından KVKK ve kişisel veri farkındalığı ve önemi eğitimi verilmektedir.
2. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
3. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
4. Şirket kişisel veri ile etkileşim halinde olan çalışanlarını deneyimli kişilerden istihdam eder ve bu kapsamda kişisel verilerin hukuka aykırı erişimini önleyen tedbirlerin eğitimi verir.
5. Gizlilik taahhütnameleri yapılmaktadır.
6. Şirket içerisinde kişisel veriye erişim sınırlandırılması yapılmış kişisel verilere erişim yetkili görevler dışında diğer çalışanların erişimine, şifreli yazılımlar kullanmak suretiyle kapatılmıştır.
7. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
8. Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
9. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
10. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
11. Kişisel veri güvenliğinin takibi yapılmaktadır.
12. Kişisel veriler mümkün olduğunca azaltılmaktadır.
13. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
14. Çalışanlar, Şirket arayıcılığıyla öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak açıklayamayacağı ve verileri işleme amacı dışında asla kullanamayacağı bu yükümlüğünün işten ayrılması sonrasında da devam edeceği konusu anlatılmakta ve bu konuda çalışanlarda gereken taahhütler alınmaktadır.
15. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmadır.
16. Üçüncü kişilerle yapılan sözleşmelerde KVKK kapsamında Kişisel verilerin aktarılamayacağı, aktarılması durumunda sözleşme tarafı üçüncü kişinin cezai yükümlülüğü olacağı, üçüncü kişinin kişisel veri aktarması sonucu Şirket e yükletilecek tazminat veya idari para cezasının üçüncü kişiye rücu edileceği hükmü yer almaktadır.
17. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
18. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
19. Şirket periyodik olarak KVKK hükümlerinin uygulanması amacıyla gerekli denetimleri yapar/yaptırır. Denetim sonucunda ortaya çıkan zafiyetleri giderir.
    
    
    

• Teknik Tedbirler

1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
2. Güncel anti-virüs sistemleri kullanılmaktadır.
3. Güvenlik duvarları kullanılmaktadır.
4. Erişim logları düzenli olarak tutulmaktadır.
5. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
6. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
7. Sızma testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
8. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan şifreli erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
9. Kişisel verilerin bulunduğu saklama alanlarına erişimler şifre ile açılan kilit ile korunmakta ve alanlar kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
10. Veri kaybı önleme yazılımları kullanılmaktadır.
11. Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için konunun uzamanı tarafından yok edilmesi sağlanmaktadır.
12. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
13. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
14. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
15. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
16. Sızma testi uygulanmaktadır.
17. Şifreleme yapılmaktadır.
18. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
19. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre yetkili kişiler harici erişime kapatılmıştır.
20. Özel nitelikli kişisel verilerin güvenliğine yönelik politika belirlenmiştir.
21. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
22. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
23. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
    
    
    
24. KİŞİSEL VERİLERİN İMHASI

Şirket tarafından işlenen veriler KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

• Kişisel Verilerin Silinmesi

1. Sunucularda Yer Alan Kişisel Veriler, teknik personel tarafından gereken silme işlemi yapılır.
2. Elektronik Ortamda Yer Alan Kişisel Veriler, teknik personel veya birim sorumlusu tarafından gereken silme işlemi yapılır.
3. Fiziksel Ortamda Yer Alan Kişisel Veriler, sorumlu tarafından tespit edilen kişisel veriler erişilmez hale getirilir, üzeri silinemeyecek şekilde çizilir veya karartılır.
4. Fiziki Ortamda Yer Alan Kişisel Veriler, sorumlu tarafından tespit edilen kişisel veriler kâğıt imha makinesi vasıtasıyla imha edilir.
5. Optik/Manyetik (Harddisk) Medyada Yer Alan Kişisel Veriler, teknik personel tarafından imha edilir.
   
   
   

• Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.

Şirket bünyesinde kişisel verilerin silinmesi uyarınca imhası politikası uygulanmakta; kişisel verilerin anonim hale getirilmesi yöntemi uygulanmamaktadır.

• Kişisel Verilerin Saklanması ve İmhası Süreleri

Şirket tarafından işlenmekte olan kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin işlenme amacı sona ermiş; KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri belirlenmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, en geç 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Kişisel veri bazında saklama ve imha süreleri aşağıdaki tabloda gösterilmiştir.

• Kişisel Verilerin Periyodik İmha Süresi

Şirket periyodik imha süresini KVKK kapsamında değerlendirerek 6 ay olarak belirlemiştir. Şirket kişisel verilerin imha sürecine önem vermektedir. Bu süreye göre Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilmektedir.

• Kişisel Verileri Saklama ve İmha Politikasının Yürürlüğü ve Güncellenmesi

En güncel hali yayınlanana kadar en son tarihli politika yürürlükte kabul edilir.

Politika şirket tarafından gerekli görülmesi halinde gerekli olan bölümler güncellenir.

İş bu politika 28.01.2021 tarihinde yürürlüğe girmiştir.