Open menu

Kişisel Verilerin Korunması ve İşlenmesi Politikası

İçindekiler

1. Amaç

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Boss Yönetişim Hizmetleri A.Ş.’nin ve CottGroup® üyesi şirketler ağı ("CottGroup®") bünyesinde yer alan ve birbirinden bağımsız, ayrı tüzel kişiliğe sahip şirketlerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”), ilgili ikincil düzenlemeler ile Kişisel Verileri Koruma Kurumu (“Kurum”) karar ve rehberleri çerçevesinde yürütmekte oldukları kişisel veri işleme faaliyetlerinin usul ve esaslarını belirlemek amacıyla hazırlanmıştır.

Politika; şirketin yürürlükteki Kişisel Veri Saklama ve İmha Politikası, Data Purge Politikası, Kişisel Veri Envanteri ve Yurt Dışına Aktarım Prosedürleri ile bütünleşik ve uyumlu olarak uygulanmakta olup, uluslararası müşterilerle kurulan iş ilişkilerinde hizmet sağlayıcıya özgü gizlilik, güvenlik ve yasal gerekliliklerine tam uyumu hedefler.

Yukarı

2. Kapsam

CottGroup®, hem ulusal hem de uluslararası düzeyde veri işleme faaliyetlerinde şeffaflık, denetlenebilirlik ve hesap verebilirliği garanti altına almayı taahhüt eder. Politika hükümleri, ilgili tüm CottGroup® üye şirketleri için geçerli olup, şirket internet sitesi üzerinden erişilen tüm sayfalar bu kapsamda değerlendirilir.

Yukarı

3. Politika

Şirket, belirli iş faaliyetleri ve fonksiyonlar ile ilgili olarak kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasını ele alan farklı politikalara da sahiptir. Bu Politika, ek şartlar içermedikçe veya kişisel verilerin korunması için daha yüksek standart talep etmedikçe, Şirket’in işbu farklı politikalarındaki veri koruma şartlarını geçersiz kılmaz.

Kişisel verileri işlenmesi ve korunması hakkında yürürlükteki ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacak; ilgili mevzuat ile işbu Politikanın hükümleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak geçerli olacaktır.

İşbu Politika, kişisel verilerin korunması için KVKK ve ilgili sair mevzuat hükümlerinde öngörülen kural ve prosedürlere göre oluşturulmuştur. Bu anlamda, Veri Sorumlusu da KVKK uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesi ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile muhafazasını sağlamakla yükümlü olduğundan gerekli her türlü teknik ve idari tedbiri almak zorundadır.

Yukarı

4. Kişisel Veriler İşlenirken Uyulacak İlkeler

Şirketimiz tüm Kişisel Veri İşleme faaliyetleri kapsamında aşağıda açıklanan genel ilkelere uygun şekilde hareket eder:

  • Kişisel verilerin, hukuka ve dürüstlük kuralına uygun ve şeffaf şekilde işlenmesi,
  • Kişisel verilerin sadece belirli, açık ve meşru amaçlarla toplanması,
  • Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  • Kişisel verilerin doğru ve gerektiğinde güncel olması, gecikme yaşanmadan silinmesi veya düzeltilmesi,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
  • Kişisel verilerin uygun güvenliğin sağlanmasına yönelik şekilde işlenmesi.

Yukarı

5. Toplanan Kişisel Veriler

Şirketimiz tarafından toplanan Kişisel Verileriniz Şirketimiz ile olan ilişkinin niteliği ve kanuni yükümlülüklere göre değişmektedir. Toplanan Kişisel Verileriniz şu şekilde sıralanabilecektir:

Kimlik Ad soyadı, T.C. kimlik numarası, doğum tarihi ve yeri, cinsiyet, uyruk, nüfus cüzdanı ve benzeri belgelerde yer alan bilgiler.
İletişim E-posta adresi, telefon numarası, açık adres, KEP adresi, iletişim kanallarına ait diğer bilgiler.
Özlük İşe giriş belgeleri, özgeçmiş, bordro ve ücret bilgileri, performans kayıtları vb.
Hukuki İşlem Adli ve idari mercilerle yapılan yazışmalar, dava dosyası verileri, noter bildirimi, resmi bildirim kayıtları vb.
Müşteri İşlem Çağrı merkezi ses kayıtları, sipariş bilgileri, müşteri talepleri, müşteriyle yapılan yazışmalar, hizmet geliştirme kayıtları, ihtilaflı konulara ilişkin yazışma ve belgeler vb.
Fiziksel Mekan Güvenliği Ziyaretçi kayıtları, kartlı geçiş verileri, güvenlik kameraları vb.
İşlem Güvenliği IP adresi, log verisi, kullanıcı adı/şifre, sistem giriş çıkış saatleri vb.
Finans Banka hesap bilgileri, ödeme belgeleri, harcama formları, finansal raporlar vb.
Mesleki Deneyim Diploma, sertifika, eğitim ve seminer katılım bilgileri, transkript.
Sağlık Bilgileri (Özel Nitelikli Kişisel Veri) Engellilik durumu bilgisi, sağlık raporları, iş sağlığı ve güvenliği kapsamında talep edilen sağlık durumu raporları vb.
Ceza Mahkumiyeti ve Güvenlik Tedbirleri (Özel Nitelikli Kişisel Veri) Adli sicil kaydı.
İmza Belgeler üzerinde yahut imza sirküleri gibi resmi evraklar üzerinden elde edilen imza örneği.
Pazarlama Çerez kayıtları.
Görsel ve İşitsel Kayıtlar Fotoğraf ve video kayıtları, sesli görüşme kayıtları.
Risk Yönetimi İhtilaflı konulara dair yazışma, belge, denetim raporları vb.

Sayılan Kişisel Veri tipleri işlenen tüm verileriniz kapsamamakta olup Şirketimiz tarafından sayılan verilere benzer tipte Kişisel Veriler işlenebilmektedir.

Yukarı

6. Kişisel Verileri İşleme Amaçları

Şirketimiz, kişisel verileri KVKK ve ilgili sair mevzuat hükümlerine uygun olarak işlemekte ve kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu bağlamda Şirket tarafından ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplama yöntemi ve kişisel veri toplamanın hukuki sebebi hakkında aydınlatma/bilgilendirme yapılır.

Kişisel veri işleme amacı, şirket ile kişisel veri sahibinin ilişkisi ve işin hukuki niteliğine göre değişmektedir.

Şirket tarafından işlenen kişisel verileri işleme amaçları şu şekildedir:

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Risk Yönetimi Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Talep / Şikayetlerin Takibi
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  • Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme

Yukarı

7. Kişisel Verilerin İşlenme Yöntemleri ve Hukuki Sebep

Kişisel veriler kişisel veri sahibinden veya kişisel veri sahibinin açık rızasını bildirdiği üçüncü kişilerden elde edilebilir. Elde edilen bu kişisel veriler toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama, değiştirme, kullanma, aktarma, silme, yok etme, anonimleştirme yöntemleri ile işlenebilir.

Kişisel veriler KVKK md.5’te sayılan meşru sebeplerden birinin varlığı halinde veri sahibinin açık rızası aranmaksızın yukarıdaki yöntemlerden biri veya birkaçı ile işlenebilirler:

  • Kanunlarda ve ilgili herhangi mevzuatta açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel veriler ise KVKK md. 6’da sayılan meşru sebeplerden birinin varlığı halinde veri sahibinin açık rızası aranmaksızın yukarıdaki yöntemlerden biri veya birkaçı ile işlenebilir:

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Yukarı

8. Kişisel Verilerin Saklanması ve İmhası

  1. Şirketimiz, kişisel verilerin saklanma sürelerini belirlerken yürürlükte bulunan mevzuatı ve sürece konu olan verilerin işlenme amaçlarını göz önünde tutarak tespit yapmaktadır. Bu kapsamda, Kişisel Veri İşleme faaliyetine ilişkin yasal yükümlülükler ile zamanaşımı süreleri söz konusuysa mutlaka dikkate alınmaktadır. Kişisel Verilerin Korunması Kanunu’nun 7. maddesi ve ilgili diğer mevzuat hükümleri gereğince, işlenen kişisel verilerin işleme sebeplerinin ortadan kalkması halinde Şirket’in kararı, periyodik kontrolü ve/veya ilgili kişinin talebi üzerine kişisel veriler silinir, imha edilir veya anonim hale getirilir.
  2. Tarafımıza herhangi bir yolla hatalı olarak iletilen veya ilgili kişinin iradesinin, açık rıza vermeye yönelmediği anlaşılan durumlarda aktarılan kişisel veriler, Şirketimiz tarafından Kanun'a uygun yöntemler ile derhal imha edilir.
  3. Şirketimiz, verinin toplanma sebebi ile bağlantılı olarak, kişisel veriyi veri sahibinin kimliğinin saptanmasına olanak verecek süreyle sınırlı olarak saklar; bu sürelerin aşılması halinde veriler silinir, yok edilir veya anonimleştirilir.
  4. Şirketimiz, kişisel veriyi, veri sahibinin hak ve özgürlüklerini koruma ve veri güvenliğini sağlama amacıyla uygun teknik ve organizasyonel tedbirleri alarak sadece kamu yararı, bilimsel veya tarihsel araştırma veya istatistik amaçlarıyla daha uzun süre saklayabilir.
  5. Kişisel verinin her bir kategorisi için saklama süresi ve Şirket’in veriyi saklamak zorunda olduğu yasal yükümlülükler de dahil olmak üzere bu sürenin belirlenmesinde kullanılan kriterler, Şirketimizin Kişisel Verileri Saklama ve İmha Politikası ve Data Purge Politikası’nda açıkça belirtilmiştir ve tüm durumlarda uygulanacaktır. Ayrıca uluslararası iş ortaklarımızla yürütülen süreçlerde, sözleşmeler ve/veya tarafımıza tebliğ edilen politika ve prosedürler ile belirlenen özel saklama ve imha sürelerine de ilgili süreç ve hizmetler özelinde uyum sağlanır.

Yukarı

9. Kişisel Verilerin Aktarılması

a. Yurt İçi Aktarım

Kişisel verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar saklı kalmak üzere, Şirket tarafından ilgili kişilere ait kişisel veriler ilgili kişinin açık rızası olmaksızın başka kişilere aktarılmamaktadır fakat KVKK’nın 5 ve/veya 6. maddesinde sayılı hususların söz konusu olduğu durumlarda hukuka uygunluk sebebi varlığından dolayı açık rıza aranmaksızın kişisel verileriniz yasal çerçevede ilgili kurum ve kuruluşlara aktarılacaktır.

Şirketimiz işbu aktarım ile ilgili de Veri Sahibini aydınlatma yükümlülüğünü yerine getirmektedir. Buna göre aktarım yapılabilecek kurum, kuruluş ve/veya kişiler aşağıda sayılmıştır.

b. Yurt Dışı Aktarım

Şirketimiz, kişisel verilerin yurtdışına aktarımında KVKK’nın 9. maddesi ve "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" hükümlerine uygun olarak hareket eder. Veri aktarımı, aşağıda belirtilen şartlara bağlı olarak gerçekleştirilir:

  • İlgili kişinin açık rızası alınarak,
  • Yeterli korumaya sahip ülkeler listesinde yer alan bir ülkeye aktarım yapılması,
  • Yeterli korumanın sağlanmaması durumunda, Kurul tarafından onaylanan standart sözleşmelerin imzalanması veya bağlayıcı şirket kuralları (BCR) uygulanması,
  • Kurul izni alınarak yeterli korumanın taahhüt edilmesi.

c. Veri Aktarım İlkeleri

Tüm veri aktarım faaliyetleri aşağıdaki temel ilkeler doğrultusunda yürütülmektedir:

  • Hukuka ve dürüstlük kurallarına uygunluk: Aktarımlar, ilgili mevzuata ve sözleşmesel yükümlülüklere uygun şekilde gerçekleştirilir.
  • Amaçla bağlantılılık ve sınırlılık: Kişisel veriler yalnızca belirlenen aktarım amaçlarıyla sınırlı olarak paylaşılır.
  • Veri minimizasyonu: Aktarılan veriler, işleme amacıyla bağlantılı, sınırlı ve ölçülüdür.
  • Şeffaflık: İlgili kişilere veri aktarım faaliyetleri hakkında açık bilgilendirme yapılır.
  • Güncellik: Aktarılan verilerin doğru ve gerektiğinde güncel olması sağlanır.

Tüm veri aktarım faaliyetleri, Şirketimizin Kişisel Veri Envanteri, Kişisel Veri Saklama ve İmha Politikası ile Data Purge Politikası’na uygun şekilde kayıt altına alınmakta; şeffaflık ilkesi doğrultusunda ilgili kişilerin talepleri üzerine gerekli bilgilendirmeler sağlanmaktadır. Ayrıca, uluslararası iş ortaklarımızın gizlilik ve veri güvenliği politikalarına uyum gözetilmektedir.

10. Veri Güvenliğini Sağlamaya Yönelik Tedbirler

Şirketimiz, kişisel verilerin güvenliğini sağlamaya yönelik veri ihlallerini engelleyecek teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirketimiz;

Bu kapsamda uygulanan idari tedbirler aşağıdaki gibidir;

  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Şifreleme yapılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Yoğun bir şekilde kişisel veri aktarımı yapan departmanlarda Four-Eyes Principle (4 Göz Prensibi) uygulanmaktadır.

Veriyi sınıflandırma ve saklama sürelerini belirlemeye yönelik etiketleme sistemi kullanılmaktadır. İlgili teknik tedbirler ise şu şekildedir;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Şirket nezdinde tutulan verilerin kurumsal e-posta adresleri dışındaki adreslere gönderilmeleri engellenmektedir.
  • Yazıcı logları tutulmaktadır.
  • Kullanıcı bilgisayarlarının USB girişleri taşınabilir bir belleğe veri aktarımı sağlamaya kapalıdır.
  • Veriyi sınıflandırma ve saklama sürelerini belirlemeye yönelik etiketleme sistemi kullanılmaktadır.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

Yukarı

11. Veri İhlal Yönetimi

Şirketimiz, kişisel verilerin hukuka aykırı işlenmesini veya yetkisiz erişimini önlemeye yönelik her türlü teknik ve idari tedbiri almaktadır. Buna rağmen meydana gelebilecek olası veri ihlallerinin yönetimi ve bildirim süreçleri; KVKK, ilgili mevzuat, ISO 27001 ve ISO 27701 standartları, Kişisel Veri Saklama ve İmha Politikası, Veri İhlali Müdahale Prosedürü ve diğer şirket içi politika ve prosedürler çerçevesinde yürütülmektedir.

Veri ihlali durumunda;

  • Şirket, ihlali öğrendiği andan itibaren azami 72 saat içinde Kişisel Verileri Koruma Kurumu’na ve etkilenmiş ilgili kişilere bildirimde bulunur.
  • Bildirimlerde Kişisel Veri İhlal Bildirim Formu kullanılır ve süreçler kayıt altına alınır.
  • Kurul’a bildirimin haklı bir gerekçeyle 72 saat içinde yapılamaması halinde gecikmenin sebepleri açıklanır.
  • İlgili kişiler mümkün olan en kısa sürede doğrudan ya da uygun iletişim yolları kullanılarak bilgilendirilir.
  • Ayrıca, uluslararası partnerler ve iş ortaklarıyla yürütülen süreçlerde, iş ilişkisi kapsamındaki sözleşmesel yükümlülükler ve partnerlerin veri ihlali yönetimi politikaları da dikkate alınmakta; söz konusu partnerlerin denetim ve uyum gerekliliklerine tam uyum sağlanmaktadır.

Tüm bildirim süreçleri ve alınan önlemler düzenli olarak gözden geçirilmekte ve kayıt altına alınmaktadır.

Yukarı

12. İrtibat Kişisi

Şirketimiz nezdinde, kişisel veri işleme faaliyetleri ve ilgili mevzuata uyum süreçlerinde, Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri uyarınca İrtibat Kişisi atanmıştır.

İrtibat Kişisi, Şirket Yönetim Kurulu kararı ile resmi olarak atanmış olup; KVKK Kurumu nezdindeki kayıt işlemleri tamamlanmış ve VERBİS sistemine bildirilmiştir.

İrtibat Kişisi'nin sorumlulukları şunlardır:

  • Kişisel verilerin işlenmesi süreçlerinde ilgili mevzuat ve Kurul kararlarına uyumu sağlamak,
  • İlgili kişi başvurularını almak, değerlendirmek ve yasal süresi içinde sonuçlandırmak,
  • Kurum ile şirket arasındaki iletişimi yürütmek ve resmi bildirimleri gerçekleştirmek,
  • VERBİS kaydının güncel tutulmasını sağlamak,
  • Şirket çalışanlarına ve iş ortaklarına veri koruma uyumluluğu hakkında rehberlik etmek,
  • Denetimler ve yasal talepler kapsamında Kurum'a gerekli bilgi ve belgeleri sunmak.
  • İrtibat Kişisi aynı zamanda Şirket’in Kişisel Verileri Koruma Komitesi ve Bilgi Güvenliği Komitesi ile koordineli çalışarak, kişisel verilerin korunması ve bilgi güvenliği süreçlerinin etkili bir şekilde yürütülmesini temin etmektedir.

Şirketimiz nezdinde, GDPR kapsamında öngörülen Veri Koruma Görevlisi (Data Protection Officer - DPO) pozisyonu için yasal bir atama yükümlülüğü bulunmamakta olup, bu kapsamda resmi bir DPO atanması gerçekleştirilmemiştir. Ancak, kişisel verilerin korunması ve gizlilik uyumluluğu süreçleri, KVKK ve GDPR hükümleri ile uluslararası standartlara uygun olarak, İrtibat Kişisi ile Kişisel Verileri Koruma Komitesi ve Bilgi Güvenliği Komitesi tarafından koordine edilmektedir. Bu sayede, DPO’nun görev ve sorumluluklarına denk gelen işlevler etkin bir şekilde yerine getirilmekte ve ulusal mevzuat ile uluslararası iş ortaklarının denetim ve uyum gereklilikleri gözetilmektedir.

Yukarı

13. Veri Envanteri

Şirketimiz, KVKK ve GDPR uyumluluk süreci boyunca riskleri ve fırsatları tespit etmek için yaklaşımının bir parçası olarak bir veri envanteri oluşturmuştur. Şirket’in veri envanteri şunları belirler:

  • Kişisel veriyi kullanan iş süreçleri,
  • İşlenen kişisel veri,
  • İşlenen özel nitelikli kişisel veri,
  • Kişisel veri sahibi,
  • Kişisel verileri toplama yöntemi-kişisel verinin kaynağı;
  • Kişisel veri işleme amacı,
  • Kişisel veri işlemenin hukuki sebebi,
  • Kişisel veri saklama süresi,
  • Kişisel verilerin işlendiği ortamlar,
  • Kişisel veriyi imha yöntemi,
  • Her türlü veri aktarımı,
  • Veri aktarılan alıcı/alıcı grubu,
  • Aktarım yöntemi ve amacı,
  • Teknik ve idari tedbirler.

Yukarı

14. Veri Sahibinin Hakları

KVKK md.11 kapsamında veri sahibinin aşağıda sayılan hakları bulunmaktadır ve dilediği taktirde veri sorumlusuna onun belirlediği yöntemlerle ulaşarak haklarını kullanabilir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse bu bilginin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve bu yönde yapılan işlemin üçüncü kişilere bildirilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bunun üçüncü kişilere bildirilmesini isteme,
  • İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Yukarı

15. Veri Sahibinin Haklarını Kullanması

KVKK düzenlemeleri gereğince; aşağıda belirtilen haklarınızı kullanmak ile ilgili talebinizi, Veri Sahibi Başvuru Formu'nu doldurarak Astoria Towers Kempinski Residences Büyükdere Caddesi No:127 B Kule Kat:8 34394 Şişliİstanbul/ Türkiye adresine kimliğinizi tespit edici belgeler ile bizzat elden ya da posta ile imzalı olarak veya This email address is being protected from spambots. You need JavaScript enabled to view it. adresine elektronik posta göndererek iletmeniz durumunda talebiniz en geç 30 gün içinde sonuçlandırılacaktır.

İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.

CottGroup® ortak internet sitesinin adresi: https://www.cottgroup.com

Politikamız, KVKK ve ISO 27001/27701 standartları doğrultusunda, veri sorumluluğunun tüzel kişilik bazında tanımlanması esasına göre hazırlanmıştır. Bu kapsamda Boss Yönetişim Hizmetleri A.Ş., internet sitesinde yayımlanan politika metinlerinde açıkça veri sorumlusu olarak belirtilmiştir. Böylece ilgili kişilerin haklarını kullanırken muhatabın açık şekilde belirlenmesi ve şeffaflığın sağlanması amaçlanmıştır.

Yukarı

Kişisel Veri Saklama ve İmha Politikası

İşbu Kişisel Veri Saklama ve İmha Politikası (bundan böyle “ Politika ” olarak anılacaktır.) 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “ KVKK ” ve/veya “ Kanun ” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümleri karşısında Boss Yönetişim Hizmetleri Anonim Şirketi’nin (bundan böyle “ Şirket ” olarak anılacaktır.) mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuki ve idari tedbirler kapsamında yapılması gerekenleri (bundan böyle “ Saklama ve İmha Süreçleri ” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır.

BU POLİTİKA METNİNDE YER ALAN TÜM İÇERİKLERİN, BİREYSEL KULLANIM DIŞINDA KISMEN YA DA TAMAMEN KOPYALANMASI, ÇOĞALTILMASI, KULLANILMASI, YAYIMLANMASI VE DAĞITILMASI YASAKTIR. BU YASAĞA UYMAYANLAR HAKKINDA 5846 SAYILI FİKİR VE SANAT ESERLERİ KANUNU UYARINCA YASAL İŞLEM YAPILACAKTIR.

1. GİRİŞ

1.1. Amaç

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “ KVKK ” ve/veya “ Kanun ” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca, Şirket; tabi olduğu ilgili düzenlemeler, Kanun ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verilerin usulüne uygun saklanmasına ve gerektiği takdirde uygun yöntemler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre sonunda imha edilmesine azami hassasiyet göstermektedir.

Nitekim bu hassasiyet doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikası (“ Politika ”) hazırlanarak Şirket tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin süreç yönetimlerinin usul ile esasları belirlenmiştir.

Şirket faaliyetleri sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlenen yöntemler hakkında aşağıda açıklamalar yer almakta olup kişisel verilerin saklanması ve imhasına ilişkin süreç baştan sona işbu Politika uyarıca yürütülmektedir.

1.2. Kapsam

Şirket tarafından işlenen otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin elektronik ve/veya basılı her türlü ortamda saklanmasına ve imhasına ilişkin olarak hazırlanan işbu Politika KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenlemeler ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

Şirket çalışanları, çalışan adayları, müşterileri, hizmet sağlayıcıları, tedarikçileri, iş ortakları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirket tarafından sahip olunan ve/veya Şirket tarafından yönetilen tüm kişisel veri kayıt ortamları ile kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3. Kısaltmalar ve Tanımlar

Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan Boss Yönetişim Hizmetleri Anonim Şirketi çalışanları
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
Elektronik Olmayan Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır.
Hizmet Sağlayıcı Şirket ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak Şirket’e hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.
İlgili Kişi / Kişisel Veri Sahibi Kişisel verisi işlenen gerçek kişilerdir. Bu kişi “ilgili kişi” olarak tanımlanmaktadır.
İlgili Kullanıcı Veri sorumlusu organizasyonu içerisinde kişisel verileri işleyen kişileri ifade eder.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı Kişisel verilerin bulunduğu her türlü ortam anlamına gelir.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Veri İşleme Envanteri Kişisel verileri işleme faaliyetlerinin detaylandırıldığı envanter anlamına gelir.
Kişisel Verilerin İşlenmesi Kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel Verilerin Silinmesi Kişisel verilerin erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kurul Kişisel Verileri Koruma Kurulu.
Kurum Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri Hassas nitelikteki kişisel verilerdir; sağlık, biyometrik, ceza mahkûmiyeti gibi.
Periyodik İmha Silme, yok etme veya anonim hale getirme işleminin belirli aralıklarla yapılmasıdır.
Politika Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen kişi veya kurumlardır.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği sistemdir.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişidir.
Veri Sorumluları Sicil Bilgi Sistemi / VERBİS Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Yönetmelik 28.10.2017 tarihli Resmî Gazete’de yayımlanan yönetmeliktir.

2. SORUMLULUK ve GÖREV DAĞILIMLARI

Tüm Şirket çalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması, periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir:

Unvan Departman Görev Tanımı
Komite Başkanı
Avukat		 Hukuk Departmanı Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından ve Şirket Yönetimi’ne Komite kararlarını bildirmekten sorumludur.
Komite Üyesi
Üst Yönetim		 Yönetim Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından ve uyum sürecinin sağlanması ve uygulanmasından sorumludur.
Komite Üyesi
Kurumsal Standartlar		 Kurumsal Standartlar ve Gelişim İlgili mevzuata uyum çalışmalarının sağlanmasından sorumludur.
Komite Üyesi
Entegre Yönetim Sistemi Ekibi (EYSE)		 İş Geliştirme & Pazarlama Çalışanların politikaya uygun hareket etmesinden, denetiminden ve genel koordinasyonundan sorumludur.
İrtibat Kişisi VERBİS’e Bildirilen İrtibat Kişisi Kurum ile gerekli irtibatın kurulması, ilgili kişi başvurularının yönetilmesi, VERBİS kaydının güncel tutulmasından sorumludur.

3. KAYIT ORTAMLARI

Şirket tabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır:

Kayıt Ortamları

Elektronik Kayıt Ortamları

  • Çevresel ve Yerel Sistemler
    • Veri Tabanları
    • Merkezi Sunucular
  • Felaket Kurtarma Sistemi
    • Taşınabilir Cihazlar

Elektronik Olmayan Kayıt Ortamları

  • Kağıt Ortamlar
  • Klasörler
  • Evrak Dolapları

4. KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından çalışanlarına, çalışan adaylarına, müşterilere, hizmet sağlayıcılara, tedarikçilerine, iş ortaklarına, ziyaretçilere ve diğer üçüncü kişilere ait kişisel veriler Kanun ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında Şirket tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır.

Şirket, şirket politikası olarak işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimizasyonu amaçlamakta ise de veri sorumlusu olarak Şirket veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar. Ancak kamu menfaati ve istatistiki amaçlar ile başkaca sebepler için yapılmış olan daha uzun süreli arşivleme çalışmaları söz konusu olduğunda bu sebepleri açıkça açıklamak suretiyle mümkün olan teknik ve idari her türlü yeterli ve gerekli uygun tedbiri alır. Bu durumda olay özelinde alınacak diğer tedbirlere ilişkin bilgilendirme bir protokol ile yapılacak olup ek düzenlemeler içeren bu protokol işbu politikanın ayrılmaz bir parçası olarak değerlendirilecektir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:

4.1 Saklamaya İlişkin Açıklamalar

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işleme faaliyetinin işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

4.1.1. Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 6331 sayılı İşçi Sağlığı ve İş Güvenliği Kanunu
  • 4857 sayılı İş Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • Yukarıda sayılı yasal düzenlemeler uyarınca yürürlükte olan diğer ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere diğer mevzuat hükümlerinde açıkça öngörülmesi
  • Şirket tarafından, taraf olduğu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla
  • Şirket için hukuki yükümlülüğünü yerine getirebilmesi bakımından zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket meşru menfaatleri için veri işlenmesinin zorunlu olması

4.1.2. Saklamayı Gerektiren İşleme Amaçları

Yukarıda detayı açıklanan Şirket faaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir:

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Risk Yönetimi Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Talep / Şikayetlerin Takibi
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  • Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme

4.2. İmhayı Gerektiren Sebepler

Kişisel veriler:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • İşlenen verinin güncelliğini kaybetmesi, doğruluğunu yitirmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanun’un 11.maddesi gereği, ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddedilmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

Durumlarında Şirket tarafından ilgili kişisel veriler ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen ve/veya ilgili kişinin Şirket bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.

4.3 Kişisel Verilerin İmha Yöntemleri

4.3.1. Kişisel Verilerin Silinmesi

Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:

Veri Kayıt Ortamı Açıklama
a. Elektronik Kayıt Ortamları Elektronik kayıt ortamlarında yer alan kişisel veriler, saklama süresi sona erdiğinde veya işleme amacı ortadan kalktığında, silinerek, veri imha politikalarına uygun biçimde ortadan kaldırılır.
Bu kapsamda:
  • Veri silme, şifreleme, kriptografik yok etme, ağ üzerinden silme komutları gibi teknik yöntemler kullanılır.

ISO 27001 A.8.10.2, A.11.2.7 ve KVKK’nın 7. maddesi doğrultusunda hareket edilir.
Çevresel ve Yerel Sistemler
b. Elektronik Olmayan Kayıt Ortamları Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/silinerek karartma işlemi de uygulanır.
Ayrıca şifreleme yöntemiyle veri imhası uygulanır.
***Şirket yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir. Ayrıca müşterilerine özgü olarak belirlenmiş yöntemleri de kullanabilecektir.

4.3.2. Kişisel Verilerin Yok Edilmesi

Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:

Veri Kayıt Ortamı Açıklama
a. Elektronik Kayıt Ortamları Fiziksel Yok Etme Yöntemi
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
De – Manyetize Etme (Degauss)
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.
Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Çevresel ve Yerel Sistemler
b. Elektronik Olmayan Kâğıt Ortamları Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
***Şirket yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir. Ayrıca müşterilerine özgü olarak belirlenmiş yöntemleri de kullanabilecektir.

4.3.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kâğıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Anonimleştirme sürecinin geçerli sayılabilmesi için, söz konusu verilerin gerek veri sorumlusu gerekse üçüncü kişilerce uygun teknikler kullanılarak geri döndürülememesi ve kimlik tespiti yapılmasına imkân vermemesi gerekmektedir.

Şirket aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir:

Alt ve Üst Sınır Kodlama/Global Kodlama Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.
Bölgesel Gizleme Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Değişkenleri Çıkarma İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
Genelleştirme Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Mikro Birleştirme Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
Veri Karma ve Bozma Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

Ayrıca Şirket bu anonimleştirme yöntemlerini kullanırken aşağıdaki temel ilkeleri gözetir:

İlke Kodu İlke Açıklaması
[UN1] Anonimleştirme uygulamalarında kullanılan veri ortamları açıkça tanımlanır. Yalnızca aktif kullanılan ortamlar dikkate alınır; kullanılmayan veya kapsam dışı kalan ortamlar dokümantasyondan çıkarılır.
[UN2] Dolaylı tanımlayıcıların belirli kombinasyonlarla bir araya gelerek kişilerin yeniden tanımlanabilir hale gelme riski göz önünde bulundurulur. Bu riskin ortadan kaldırılması amacıyla, anonimleştirme süreçlerinde ileri düzey istatistiksel yöntemler uygulanır.
[UN3] K-Anonimlik yönteminin yetersiz kaldığı durumlarda, aynı tanımlayıcı kombinasyonlarına sahip gruplarda yer alan hassas nitelikli değişkenlerin çeşitliliği sağlanarak L-Çeşitlilik ilkesi gözetilir.
[UN4] Hassas veri içeriklerinin korunmasında çeşitlilik ilkesinin yeterli olmadığı durumlarda, hassas değerlerin veri kümesindeki dağılımlarının yakınlığı esas alınarak T-Yakınlık yöntemine başvurulur. Böylece, çıkarıma dayalı tanımlanabilirlik riski azaltılır.

Şirket, yukarıda belirtilen yöntemleri uygularken teknik yeterliliği sağlamak, geri döndürülemezlik garantisini korumak ve veri güvenliğini azami düzeyde sağlamak amacıyla sürekli izleme ve geliştirme faaliyetlerini yürütür.

5. SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ

Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla Şirket tarafından işlenen kişisel veriler bu politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla Şirket’in farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK-1 Saklama ve İmha Tablosu )

6. PERİYODİK İMHA SÜRESİ

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında Şirket, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) tekrar eder.

İşleme amacı ortadan kalkmış veriler işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Periyodik imha sürecinin takibi konusunda Şirket verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür.

7. TEKNİK ve İDARİ TEDBİRLER

Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde Şirket tarafından alınması esastır.

Bu kapsamda uygulanan idari tedbirler aşağıdaki gibidir;

  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Şifreleme yapılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Yoğun bir şekilde kişisel veri aktarımı yapan departmanlarda Four-Eyes Principle (4 Göz Prensibi) uygulanmaktadır.
  • Veriyi sınıflandırma ve saklama sürelerini belirlemeye yönelik etiketleme sistemi kullanılmaktadır.

İlgili teknik tedbirler ise şu şekildedir;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Şirket nezdinde tutulan verilerin kurumsal e-posta adresleri dışındaki adreslere gönderilmeleri engellenmektedir.
  • Yazıcı logları tutulmaktadır.
  • Kullanıcı bilgisayarlarının USB girişleri taşınabilir bir belleğe veri aktarımı sağlamaya kapalıdır.
  • Veriyi sınıflandırma ve saklama sürelerini belirlemeye yönelik etiketleme sistemi kullanılmaktadır.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

8. İLGİLİ KİŞİ BAŞVURULARI HAKKINDA

İlgili kişi, Kanunun 13. maddesine ve Yönetmelik’in 12. maddesine istinaden Veri Sorumlularına Başvuru Usul ve Esasları uyarınca bir başvuru dilekçesi ile Şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir.

  • a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. Şirket aşağıdaki gerekçelerle veri sorumlusuna ait kişisel verinin silinmesini reddedebilir:
  • i. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • ii. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • iii. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • iv. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • v. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • vi. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • vii. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • viii. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  • ix. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
  • x. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  • xi. Talep edilen bilginin kamuya açık bir bilgi olması.

9. YAYIN ve SAKLAMA

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem ve İnsan Kaynakları Departmanı dosyasında saklanır.

10. GÜNCELLEME PERİYODU

Politika ihtiyaç duyuldukça ve her 6 (altı) ayda 1 (bir) olmak üzere her yıl gözden geçirilerek gerekli olan bölümler güncellenir.

11. YÜRÜRLÜK

  • 11.1. Politika, 10.11.2024 tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Yönetim Kurulu Kararı ile iptal edilerek (kırmızı renkli iptal kaşesi vurularak veya iptal yazılarak) yeni hali imzalanır ve Şirket inisiyatifine bağlı olarak internet sitesinde yayınlanabilir. Yeni hali Yönetim Kurulu kararı üzerine yürürlüğe girer.
  • 11.2. İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
  • 11.3. Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
  • 11.4. Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
  • 11.5. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

12. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM

Şirket bünyesinde, 6698 sayılı Kanun'a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi ("Komite") kurulmuştur. Komite'nin başlıca görevleri aşağıda belirtilmektedir:

  1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
  2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak.
  3. Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
  4. Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak.
  5. Şirket kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak.
  6. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak.
  7. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek.
  8. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak.
  9. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
  10. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak.
  11. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek.
  12. Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
  13. Şirket'in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak.

EK 1 – SAKLAMA VE İMHA TABLOSU

Veri Kategorisi İşlenen Kişisel Veriler Veri Saklama Süresi
Kimlik Ad soyadı, T.C. kimlik numarası, doğum tarihi ve yeri, cinsiyet, uyruk, nüfus cüzdanı, ehliyet, pasaport ve benzeri belgelerde yer alan bilgiler 15 Yıl
İletişim E-posta adresi, telefon numarası, açık adres, KEP adresi, iletişim kanallarına ait diğer bilgiler. Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
Özlük İşe giriş belgeleri, özgeçmiş, bordro ve ücret bilgileri, performans kayıtları vb. Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla sözleşmesi feshedilen müşterilere sağlanan hizmetler özelinde hizmetin ifa edildiği canlı operasyon sistemlerinde yer alan veriler için ADP’nin talebini müteakip 13 ay
Hukuki İşlem Adli ve idari mercilerle yapılan yazışmalar, dava dosyası verileri, noter bildirimi, resmi bildirim kayıtları vb. Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla müşteri hesabının sonlandırılmasını müteakip 10 yıl
Müşteri İşlem Çağrı merkezi ses kayıtları, sipariş bilgileri, müşteri talepleri, müşteriyle yapılan yazışmalar, hizmet geliştirme kayıtları, ihtilaflı konulara ilişkin yazışma ve belgeler vb. Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla sözleşmesi feshedilen müşteriler için ADP’nin talebine binaen 13 ay
ADP ile yürütülen süreçlerde müşteriye dair KYC vb. formlar dahil müşteriye dair bilgiler için müşteri hesabının sonlandırılmasını müteakip 7 yıl
Fiziksel Mekan Güvenliği Ziyaretçi kayıtları, kartlı geçiş verileri, güvenlik kameraları vb. 2 Yıl
İşlem Güvenliği IP adresi, log verisi, log kayıtları, kullanıcı adı/şifre, sistem giriş çıkış saatleri vb. 2 Yıl
Finans Banka hesap bilgileri, ödeme belgeleri, harcama formları, finansal raporlar vb. 10 Yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla sözleşmesi feshedilen müşteriler için ADP’nin talebine binaen 13 ay
Mesleki Deneyimi Diploma, sertifika, eğitim ve seminer katılım bilgileri, transkript 10 Yıl
Pazarlama Çerez kayıtları 2 Yıl
Görsel Ve İşitsel Kayıtlar Fotoğraf ve video kayıtları, sesli görüşme kayıtları Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
Sağlık Bilgileri Engellilik durumu bilgisi, sağlık raporları, iş sağlığı ve güvenliği kapsamında talep edilen sağlık durumu raporları vb. 15 Yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla sözleşmesi feshedilen müşteriler için ADP’nin talebine binaen 13 ay
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Adli sicil kaydı Diğer
İş faaliyetinin bitiminden itibaren 10 yıl
Diğer Bilgiler-İmza Belgeler üzerinde yahut imza sirküleri gibi resmi evraklar üzerinden elde edilen imza örneği Diğer
İş faaliyetinin bitiminden itibaren 10 yı
Risk Yönetimi İhtilaflı konulara dair yazışma, belge, denetim raporları vb. üzerinden elde edilen bilgiler İş faaliyetinin bitiminden itibaren 10 yıl
ADP ile yürütülen hizmetler kapsamında ve yalnızca ADP ile kurulan iş ilişkisine özgü olmak kaydıyla müşteri hesabının sonlandırılmasını müteakip 10 yıl