I. AMAÇ
Kişisel verilerin T.C. Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuata uygun olarak işlenmesi ve korunması, QNB Kadıköy Terminal Gayrimenkul Hizmetleri Ticaret Anonim Şirketi (“Şirket”)’in öncelikleri arasındadır.
İşbu Kişisel Verileri Saklama ve İmha Politikası (bundan sonra “Politika” olarak anılacaktır.), Şirket tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek, kişisel verileri Şirket tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamak amacıyla hazırlanmıştır.
Politika, Şirket’in veri işleme faaliyetleri doğrultusunda düzenlenmiş olup asılları ve kopyaları dahil tüm fiziksel ve elektronik belgelere/ortamlara uygulanacaktır.
Politika, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5.maddesi çerçevesinde, Envanter’e ve Kurum’un kararlarına uygun olarak hazırlanmıştır.
| Tanımlar ve Kısaltmalar | |
|---|---|
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rızayı ifade eder. |
| Akfen | Akfen Holding Anonim Şirketi’ni ve uygun düştüğü ölçüde Akfen Holding Anonim Şirketi’nin doğrudan ve dolaylı bağlı ortaklıklarını ifade eder. |
| Aktif Kayıtlar | Şirket’in faaliyetleri kapsamında aktif olarak kullanılmakta olan verileri ifade eder. |
| Aktif Olmayan Kayıtlar | Aktif Kayıtlar kapsamına girmeyen doğrudan Şirket tarafından kullanılmayan ancak ihtiyaç duyulabilecek olan verileri ifade eder. |
| Anonim Hale Getirme | Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. |
| BT Departmanı | Bilgi Teknolojileri Departmanını ifade eder. |
| Envanter / Kişisel Veri İşleme Envanteri | Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerinin; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirlerin yer verildiği liste/tabloyu ifade etmektedir. |
| İkincil Mevzuat | Kişisel Verileri Koruma Kurulu tarafından çıkarılan Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik, Anonimleştirme Yönetmeliği, Sicil Yönetmeliğini, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği, ileride çıkarılabilecek tebliğ, idari veya yargısal karar ve ilkeleri ifade eder. |
| İlgili Kullanıcılar | Verilerin genel anlamda teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere; Şirket/Akfen organizasyonu içerisinde veya Şirket’ten aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi, birim ve departmanları ifade eder. |
| İmha | Silme, yok etme ve/veya anonim hale getirme işlemlerinden herhangi birini veya tamamını ifade eder. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
| Kayıtlar | Aktif ve aktif olmayan tüm kayıtları ifade eder. |
| Kişisel Veri(ler) | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
| Kurul | Kişisel Verileri Koruma Kurulu’nu ifade eder. |
| Kurum | Kişisel Verileri Koruma Kurulu’nu ifade eder. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, din, mezhep, dernek/vakıf/sindika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri, biyometrik ve genetik verileri ifade eder. |
| Politika | Kişisel Veri Saklama ve İmha Politikası’nı ifade eder. |
| Rehber | KVKK’nın 28-29 Kasım 2017 tarihli Silme-Yok Etme-Anonimleştirme Rehberi’ni ifade eder. |
| Silme | Verilerin ilgili kullanıcılar için erişilemez ve kullanılamaz hâle getirilmesi. işlemini ifade eder. |
| Veri İşleyen | Veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişiyi ifade eder. |
| Veri Koruma Komitesi | Politika ve mevzuat gerekliliklerini yerine getiren komiteyi ifade eder. |
| Veri Sahibi | Kişisel verisi işlenen gerçek kişiyi ifade eder. |
| Veri Sorumlusu | Veri işleme amaç ve yöntemlerini belirleyen, veri kayıt sistemini yöneten kişi/tüzel kişiyi ifade eder. |
| Yok Etme | Verilerin tamamen erişilemez ve geri getirilemez hâle getirilmesi. |
| Yönetmelik | 28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan ve 1 Ocak 2018 tarihinde yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. |
III. İLKELER
İşbu Politika, Kanun’da belirlenen aşağıdaki ilkeleri gözetmektedir. Kanun uyarınca kişisel verilerin işlenmesinin;
- Hukuka ve dürüstlük kuralına uygun olması,
- Doğru ve gerektiğinde güncel olması,
- Belirli, açık ve meşru amaçlar için işlenmesi,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi
gerekmektedir. Bu Politika, Şirket tarafından uygulanmakta ve Kişisel Veriler’e ilişkin kurumsal bir çerçeve teşkil etmektedir.
IV. VERİ KORUMA KOMİTESİ
Akfen yetkili organları tarafından oluşturulan Veri Koruma Komitesi’nin amacı, Akfen/Şirket içerisinde başta envanterlerin güncellenmesi, değiştirilmesi ve yönetilmesi, Kişisel Veriler’in saklanması ve imhası, Kişisel Veriler’e ilişkin dışarıdan gelecek taleplerin değerlendirilmesi ve yanıtlanması, Kişisel Veriler’e ilişkin olarak departmanlar arasındaki koordinasyonun sağlanması başta olmak üzere Akfen’in iligli mevzuat kapsamında yükümlülüklerini ve Politika’da kendisine verilen görevleri yerine getirmektir. Bu doğrultuda Veri Koruma Komitesi;
- Akfen içerisinde Kişisel Veri işleme, saklama ve anonimleştirme dahil her türlü Kişisel Veri aktivitesini izler, ilgili tavsiyeleri verir ve organizasyonlarını yapar.
- Kurum ve Kurul gibi Kişisel Veriler’e ilişkin yetkilendirilmiş kurumlar ile işbirliği yapar, Kişisel Veriler’e ilişkin iletişim ve temasları yürütür.
- Kişisel Veri işleme faaliyetleri ile ilgili olarak, Kurum ve Kurul gibi kişisel verilere ilişkin denetleme otoriteleri için irtibat ve iletişim noktası görevini üstlenir ve gerektiği takdirde kurum ve kuruluşlarla yazışmaları yapar.
- Görevini yerine getirirken, işleme faaliyetlerine ilişkin riskleri gözetir ve işleme faaliyetinin niteliğini, kapsamını, içeriğini ve amaçlarını dikkate alır.
- Tüm Akfen departmanları, çalışanları ve tedarikçileri Veri Koruma Komitesi ile uyumlu bir şekilde faaliyet göstermek zorundadır. Veri Koruma Komitesi ile birlikte her departman yöneticisi bu Politika’nın uygulanmasından sorumludur. Veri Koruma Komitesi’nin kurulması veya faaliyet göstermesi, departman yöneticilerinin sorumluluğunu ortadan kaldırmaz.
- Politika’nın uygulanması ile ilgili her türlü sorun, Veri Koruma Komitesi’ne iletilir.
V. SAKLAMA
Şirket tarafından; Çalışanların, Çalışan Adaylarının, Stajyerlerin, Stajyer Adaylarının, Çalışan Adaylarının Referans Gösterdiği Kişilerin, Çalışan Yakınlarının, Acil Durumda Başvurulacak Çalışan Yakınlarının, Hissedarların, Müşterilerin, Tedarikçi/Danışman Çalışanlarının, Tedarikçi/Danışman Yetkililerinin, Ziyaretçilerin, Pay Sahiplerinin, Şirket Yetkililerinin/Yöneticilerinin, Topluluk Çalışanlarının, Topluluk Yöneticilerinin kişisel verileri Kanun’a uygun olarak saklanır ve imha edilir.
Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süreler kadar saklanır.
A. Saklamayı Gerektiren Hukuki Sebepler
Şirket tarafından Kişisel Veriler, özel olarak belirtilen sebepler doğrultusunda işlenmektedir. Bu sebepler, Kanun’un 5. maddesi 2. fıkrasında da belirlenmiştir:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
Kanun’a ek olarak, Şirket faaliyetlerinin tabi olduğu mevzuattan doğan yükümlülüklerin yerine getirilmesi için Türk Ticaret Kanunu, İcra İflas Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Tüketicinin Korunması Hakkında Kanun, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve sair kanunlar ile yürürlükte bulunan diğer ikincil düzenlemeler ve Şirket’in faaliyetlerinin tabi olduğu diğer tüm ilgili mevzuat çerçevesinde öngörülen saklama süreleri uyarınca saklanmaktadır.
B. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
- İnsan kaynakları süreçlerinin yürütülmesi
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesinin sağlanması
- Şirket ile iş ilişkisinde bulunan gerçek ve/veya tüzel kişiler ile irtibatın sağlanması
- Yasal raporlamaların ve adli mercilere yapılacak bildirimlerin yapılabilmesi
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi
- Basın Yayın İşlerinin Planlanması ve Uygulanması
- Bilgi Güvenliği Süreçlerinin Planlanması, Uygulanması ve Denetimi
- Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi
- Etkinlik Yönetimi
- Finans ve/veya Muhasebe İşlerinin Takibi
- Hukuki Güvenliğin Temini
- İnternet Sitesi, Uygulama Yönetimi
- İş Faaliyetlerinin Planlanması ve İcrası
- İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası
- İşlem Güvenliğinin Sağlanması
- Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
- Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası
- Mekan Güvenliğinin Sağlanması
- Müşteri İlişkilerinin Yürütülmesi
- Müşteri İletişim Bilgilerinin Güncellenmesi
- Müşteri Şikayet Ve İhtiyaçlarının Değerlendirilmesi
- Mali Yükümlülüklerin Yerine Getirilmesi
- Operasyonların Güvenliğinin Temini
- Reklam ve Tanıtım Faaliyetlerinde Bulunulması
- Risk Yönetimi Yapılması
- Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası
- Sponsorluk, Bağış ve Yardım Süreçlerinin Planlanması ve Uygulanması
- Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi
- Tedarik Zinciri Yönetimi Süreçlerinin Planlanması ve İcrası
- Ticari Stratejilerin Belirlenmesi ve Uygulanması
- Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası
- Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası
- Ürün ve/veya Hizmetlerin Satış ve Pazarlama Süreçlerinin Planlanması ve İcrası
- Yetkili Kuruluşlara Bilgi Verilmesi
C. Fiziksel Kayıtların Saklanması
Fiziksel kayıtlar, kağıt üzerindeki kayıtlar, sözleşmeler, tutanaklar, faturalar gibi kağıt, mikrofiş ve benzeri ortamlarda bulunan kayıtlardan oluşur.
Aktif Kayıtlar ve günlük faaliyetler gereği, kolayca erişilmesi gereken Kayıtlar, Şirket’in aktif çalışma ortamlarında, güvenlik önlemlerinin alındığı ve dış risklere karşı korunan odalarda, belirli kişilerin erişimindeki kilitli dolaplarda saklanmaktadır.
Aktif Olmayan Kayıtlar, Şirket’in arşivine iletilir ve burada arşivlenir. Arşive gönderilen verilere, İlgili Kullanıcı’nın erişimi kesilir ve sadece arşiv yönetimince, arşivin korunması, düzenlenmesi ve bakımı amacıyla erişilir.
D. Elektronik Kayıtların Saklanması
Elektronik Kayıtlar; ses kayıtları, fotoğraflar, uygulamalar, videolar ve görsel ve işitsel ortamlar dahil birçok ortamda yer alan dijital kayıtlardan oluşmaktadır.
Kişisel Veriler’in yer aldığı Elektronik Kayıtlar, doğru, güncel ve kişisel verileri işlemesi gereken kişilerce erişilebilir olacak şekilde, yetkisiz üçüncü kişilerce erişimi ve işlemeyi engelleyecek düzeyde güvenli elektronik ortamlarda saklanmaktadır.
Elektronik Kayıtlar’ın kaybedilmeye, değiştirilmeye ve izinsiz yok edilmeye, saklanma süreçlerinde erişime karşı korunmalarını sağlamak ve eksiksiz, doğru ve okunaklı olmasını temin etmek için yeterli koruma önlemleri, BT Departmanı’nın önerisi ve Veri Koruma Komitesi’nin onayı ile alınmakta ve uygulanmaktadır.
E. Saklama Süreleri
Şirket tarafından kişisel veriler ilgili mevzuat kapsamında ve işbu Politika’da belirtilen gerekçeler ile amaçlar doğrultusunda işlenerek; saklama süresinin ilgili mevzuatlarda öngörülmesi durumunda bu mevzuatlarda belirtilen süre boyunca, ilgili mevzuatta bir süre öngörülmemişse uygulamalar ile ticari yaşamın teamülleri uyarınca kişisel verinin işlenmesini gerektiren süre kadar saklanmakta, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Saklama süreleri, ilgili süreç ve faaliyetlerin kendi içerisinde farklılık göstermesi sebebiyle Envanter’de özel olarak her bir veri işleme süreci bazında tespit edilmiştir. Bu sebeple saklama sürelerinin belirlenmesinde öncelikli olan Envanter’e başvurulur.
V. İMHA
Kişisel Veriler’in İmha edilmesine ilişkin haller aşağıda belirtilmektedir. İmha’nın nasıl gerçekleştirileceğine yönelik aksiyonlar, somut olayın koşullarına ve Kanun, Yönetmelik ve İkincil Mevzuat hükümlerine göre Veri Koruma Komitesi tarafından belirlenir. Bu doğrultuda Kişisel Veriler;
- Veri Sahibi Kişisel Veri’nin imhasını talep ettiğinde,
- Açık rızaya dayanan Kişisel Veri işleme ve saklama süreçlerinde Veri Sahibi’nin açık rızasını geri alması halinde,
- Kurul’un usulüne uygun olarak Kişisel Veri’nin imhasını talep etmesi halinde,
- Kişisel Veriler’in işleme şartlarının tamamının veya Kişisel Veriler’in işlenmesine ilişkin amaçların ve kanuni/sözleşmesel gerekliliklerin ortadan kalkması halinde,
- Belirlenmiş olan Kişisel Veri saklama süresinin sona ermesi halinde
imha edilecektir.
Veri Sahibinin İmha Talebi
Veri Sahibi’nin Kişisel Veriler’inin İmhası’nı talep ettiğinde; Şirket tarafından öncelikle işleme amaçları ve veri işleme şartlarının tamamının ortadan kalkıp kalkmadığı değerlendirilir. Amaç ve şartların devam ettiği yönünde sonuca varılırsa Veri Sahibi’nin talebi ve gerekçesi belirtilerek yazılı olarak reddedilebilir. Yazılı karar, 30 (otuz) gün içerisinde talepte bulunan Veri Sahibi’ne gönderilir. Amaç ve şartların devam etmediği sonucuna varılırsa aşağıda yer alan İmha işlemleri uygulanır ve yine 30 (otuz) gün içerisinde talepte bulunan Veri Sahibi’ne yazılı olarak bilgi verilir.
Veri Sahibinin Açık Rızasını Geri Alması
Veri Sahibi’nin Kişisel Verileri’nin imhasından farklı olarak açık rızasını geri aldığını iletmesi halinde; Şirket tarafından öncelikle ilgili Kişisel Veriler’in sadece açık rızaya dayanılarak işlenip işlenmediği değerlendirilir. Bu noktada işleme sürecinin amacı tespit edilir ayrıca herhangi bir ek veya değişik amaç olup olmadığı teyit edilir. İşleme faaliyetinin açık rızaya dayanmadığı veya açık rıza yanında başkaca amaçların olduğu sonucuna varılırsa, Veri Sahibi’nin talebi, gerekçesi belirtilerek yazılı olarak reddedilebilir. Yazılı karar, 30 (otuz) gün içerisinde talepte bulunan Veri Sahibi’ne gönderilir. Veri işleme faaliyetinin sadece açık rızaya dayandığı sonucuna varılırsa aşağıda yer alan İmha işlemleri uygulanır ve yine 30 (otuz) gün içerisinde talepte bulunan Veri Sahibi’ne yazılı olarak bilgi verilir.
Periyodik Gözden Geçirme ve İmha
İmha sebeplerinden Kişisel Veriler’in işleme şartlarının tamamının veya amaçların veya kanuni/sözleşmesel gerekliliklerin ortadan kalkıp kalmadığını ve belirlenmiş olan Kişisel Veri saklama sürelerinin sona erip ermediğini tespit etmek amacıyla Şirket içerisinde 1 (bir) yılda bir periyodik olarak gözden geçirme işlemi uygulanır.
Gözden geçirme işlemi, her bir Şirket departmanı tarafından kendi iç süreçlerine ilişkin olarak yürütülür. Departman içinde hangi türde Aktif Kayıtlar’ın bulunduğu, hangi Kayıtlar’ın arşivleneceği ve hangi Kayıtlar’ın imha edileceği belirlenir.
Periyodik gözden geçirme dönemi haricinde işleme şartları ve amaçlarının ortadan kalktığı tespit edilen Kayıtlar, takip eden ilk periyodik İmha esnasında İmha edilir.
İmha Yöntemleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
2. Yok Etme İşlemleri
Kişisel veriler, aşağıda gösterilen yöntemler ile yok edilir:
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel veriler; elektronik kaydın bulunduğu fiziksel cismin yok edilmesi, üzerine yazma, de-manyetize etme, flash tabanlı sabit disklerin silme komutlarını kullanma/bulunmuyorsa üretici tarafından önerilen yöntemleri kullanma, verilerin kayıt edildiği birim/parça/bölüm/ortamın çıkarılması yoluyla, bulut sistemlerinde saklanan veriler ise kriptografik yöntemlerle şifrelenmesi ve bu şifre ve anahtarların yok edilmesi yoluyla imha edilir. |
3. Anonim Hale Getirme
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
VI. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanun’un 6/4. maddesi gereği, özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde, Şirket tarafından teknik ve idari tedbirler alınır.
A. Teknik Tedbirler
Şirket tarafından işlenen Kişisel Veriler ile ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Sızma testleri ile Şirket’in bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup, takibi yapılmaktadır.
- Log kayıtları, kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup, uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen verilerin de güvenliği sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- Ağ güvenliği ve uygulama güvenliği uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri uygulanmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlamıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Güncel anti virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları mevcuttur.
- Yedeklenen kasetler için şifreleme yapılmaktadır.
- USB girişi sadece belirli kişilerin cihazlarında aktif olarak tutulmaktadır.
B. İdari Tedbirler
Şirket tarafından, işlenen kişisel veriler ile ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Mevcut risk ve tehditler ile kişisel veri politika ve prosedürleri belirlenmiştir.
- Kişisel veriler mümkün olduğunda azaltılmaktadır.
- Yürütülen faaliyetlere ilişkin gizlilik taahhütnameleri imzalatılmaktadır.
- Faaliyetler uyarınca imzalanan sözleşmelerde veri güvenliğine ilişkin hükümler yer almaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü bulunmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş ve çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Fiziki olarak veri güvenliği bölgeleri belirlenmiş durumdadır.
- Kişisel Veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
VI. POLİTİKA’NIN İHLALİ
Şirket çalışanlarının, Kişisel Veriler’i yetkisiz olarak paylaşmaları veya Politika’yı ihlal etmeleri halinde; bu durum, bir disiplin cezası gerektirebilir ve/veya duruma göre çalışanın İş Kanunu’nun 25. maddesi uyarınca iş akdinin haklı sebeple feshine neden olabilir. Şirket tedarikçilerinin Kişisel Veriler’i yetkisiz olarak paylaşmaları veya işbu Politika’yı ihlal etmeleri halinde; bu durum, tedarikçiler aleyhine yaptırım uygulanmasına ve/veya tedarik sözleşmesinin feshine neden olabilir. Politika’nın ihlal edilmesi halinde Yönetim Kurulu, ihlali gerçekleştiren Şirket çalışanı veya başkaca kişilere ilişkin inceleme yapma yetkisine sahiptir. Yönetim Kurulu gerekli gördüğü takdirde, ihlalden kaynaklanan riski azaltmak için uygun düzenleyici önlemleri alır. İhlalin ciddiyeti dikkate alınarak, çalışan, tedarikçi veya üçüncü kişiler hakkında yaptırım kararı alabilir ancak alınan kararın niteliğine bağlı olarak (Örn: çalışanın işten çıkarılması veya tedarikçinin sözleşmesinin feshedilmesi) kararın uygulanması Şirket yönetiminin onayına tabi olabilir.
VII. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜTÜLMESİ
İşbu Politika, Veri Sahibi’nin çalışanların erişimine yazılı olarak sunulacaktır. Politika’nın uygulanması ve yürütülmesi ile Politika’ya uyumun sağlanmasından Yönetim Kurulu sorumludur.
Politika’da her zaman değişiklik yapılabilir. Önemli değişikliklerin bildirimi, tüm kişi gruplarına Yönetim Kurulu tarafından seçilecek uygun bir mekanizma aracılığı ile iletilecektir.
