KVKK

Politikalar

Doğanay Gıda Tarım ve Hayvancılık San. ve Tic. A.Ş. (Şirket) olarak internet sitemiz içerisinde yer alan bazı alanlarda çerezler kullanmaktayız. Bu Çerez Politikası (Politika) Şirket tarafından yönetilen internet sitesi için geçerli olup, çerezler, bu siteyi ziyaretiniz sırasında işbu Politika’da açıklanan şekilde kullanılacaktır.

Çerez Nedir?

Çerezler bir internet sitesi tarafından cihazınızda oluşturulan ve isim-değer formatında veri barındıran küçük metin dosyalarıdır. Çerezler, ziyaret ettiğiniz internet sitesinin cihazınızda bilgi saklamasını ve bu bilgileri sonraki ziyaretleriniz sırasında kullanmasını mümkün kılmaktadır. Bir internet sitesi tarafından oluşturulan çerezler siteye erişim için kullandığınız internet tarayıcısı tarafından saklanmakta olup, bu çerezlerin içerdiği bilgilere sadece çerezi oluşturan alan adı (örn. www.doganaygida.com.tr) altında sunulan internet siteleri tarafından ve aynı tarayıcıyı kullandığınız takdirde uzaktan erişim mümkündür.

Çerezler, günümüzde, internet teknolojilerinin önemli bir parçası haline gelmiştir ve temel işlevleri ziyaretçinin ve tercihlerinin hatırlanması ve cihazın tanınmasıdır; neredeyse her internet sitesinde çerez kullanımı söz konusudur.

Çerezleri Kim, Nasıl Gönderir?

Çerezler, gezintiniz sırasında cihazınızda bulunan tarayıcı (Google Chrome, Safari vb. gibi) ile Şirket sunucuları arasında kurulan iletişim vasıtasıyla gönderilmektedir.

Çerez Çeşitleri Nelerdir?

Çerez Türü
Açıklama
Oturum Çerezleri
Oturum çerezleri, internet sitesini kullanımınız sırasında geçerli olan çerezler olup internet tarayıcısı kapatılıncaya kadar geçerliliklerini korurlar.
Kalıcı Çerezler
Bu çerezler tarayıcınızda saklanan ve tarafınızca silininceye dek veya son kullanım tarihine kadar geçerliliğini koruyan çerezlerdir.
Birinci Taraf Çerezleri
Şirket internet sitesi tarafından oluşturulan ve sadece bu internet sitesi tarafından okunabilen çerezlerdir. Bu çerezler oturum çerezleri veya kalıcı çerezler olabilirler.
Üçüncü Taraf Çerezleri
Şirket internet sitesinde sunulan bir içeriğin Şirket’e ait internet adresi dışında başka alan adları üzerinden de sağlanması halinde, (örneğin, bir video platformunda barındırılan içeriğin internet sitesi üzerinden görüntülenmesi); her bir üçüncü taraf alan adının kendine münhasır yarattığı çerezlerdir. Bu tür çerezler genel olarak kalıcı çerezlerden oluşmaktadır.

Çerezler Hangi Amaçla Kullanılmaktadır?

Kullanılması Zorunlu Olan Çerezler: Bu çerezler, İnternet sitesinin düzgün bir şekilde çalışabilmesi, sitenin özelliklerinden ve sunulan hizmetlerden yararlanabilmeniz için kullanımı mecburi olan çerezlerdir. Bu çerezler vasıtasıyla kişisel veriler saklanmamaktadır. Performans Çerezleri: Bu çerezler, internet sitemizin performansını ölçmek ve iyileştirmek için ziyaretleri ve trafik kaynaklarını tespit etmemize olanak sağlar. İnternet sitemiz içerisinde yer alan sayfaların ziyaretçi sayılarına ulaşmamıza ve ziyaretçilerimizin internet sitemizin içerisinde hangi sayfalarda zaman geçirdiklerini görmemize yardımcı olurlar. İlgili çerezlerin topladığı tüm bilgiler, toplu olarak/birlikte değerlendirildiğinden kişisel bilgiler içermez, anonimdir. Bu çerezler vasıtasıyla tamamen internet sitemizin daha verimli hale getirilmesi sağlanmaya çalışılmaktadır.

İşlevsellik Çerezleri: Bu çerezler, ziyaretçilerimizin internet sitemiz üzerinde dil veya bölge seçiminin hatırlanması gibi gelişmiş işlevsellik ve kişiselleştirme imkanları sağlamak amacıyla kullanılmaktadır. İlgili çerezlerin kullanımına izin vermemeniz halinde, internet sitemiz nezdindeki kişiselleştirilmiş ayarlarınızın kaydedilmesi mümkün olmayacaktır.

Hedefleme Çerezleri: Bu çerezler, internet sitemizi ve üçüncü taraflara ait alan adlarını ziyaretiniz sırasında oluşturulan birincil ve üçüncü taraf çerezlerdir. Bu çerezler oluşturuldukları alan adlarındaki tıklama ve ziyaret geçmişinizin takibini ve farklı alan adları arasında bu kayıtların eşlenmesini mümkün kılmaktadır. Bu tür çerezler kullanıcıların tanınması ve profillenmesi, reklam ve pazarlama faaliyetlerinin hedeflenmesi ve içeriğin özelleştirilmesi amacı ile kullanılmaktadır.

İnternet Sitemizde Kullanılan Çerezlere İlişkin Bilgiler
Çerez İsmi
Çerez Tanımı
Çerez Tipi
Çerez Süresi
_ga
Kullanıcıların site üzerinde geçirdiği vakit, nereden geldiği, ziyaret sayısı ve zamanını tanımak için oluşturulan Google Analytics çerezidir.
Performans Çerezi
2 yıl
_gat
Herhangi bir bilgi tutmaz, bazı sitelerden gelen yoğun tıklanma taleplerini filtrelemek için oluşturulan Google Analytics çerezidir.
Performans Çerezi
1 dakika
_gat
Kullanıcıları birbirinden ayırmak için oluşturulan Google Analytics çerezidir.
Performans Çerezi
24 saat
ASP.NET_SessionId
Web sitesinde gezinti sırasında sınırlı bir oturum süresi içerisinde aynı tarayıcıdan gelen talepleri tanımlamak için gereklidir.
Kullanılması Zorunlu Olan Çerezler
Oturum (tarayıcınızı kapatana kadar)

Çerezler bu Politika’da belirtilen amaçlar dışında kullanılmamakta olup tüm ilgili işlemler veri koruma mevzuatına uygun olarak yürütülmektedir.

Çerezlerin Yönetimi

Tarayıcılar genellikle çerezleri otomatik olarak kabul etmektedir. İnternet sitemizi kullanabilmek için çerez kullanımı zorunlu değildir, fakat tarayıcınızı çerezleri kabul etmemeye ayarlamanız halinde kullanıcı deneyiminizin kalitesi düşebilir ve sitelerimizin çeşitli işlevleri bozulabilir.

Tarayıcınızı; çerezleri tüm siteler veya belirli siteler için engelleyecek şekilde, çerez oluşturulduğunda uyarı verecek şekilde, üçüncü taraf çerezleri engelleyecek şekilde veya tüm çerezleri oturum çerezi gibi sayacak şekilde yapılandırabilirsiniz. Ek olarak, tarayıcınız üzerinden çerezleri silebilir veya tarayıcınızda saklanan çerezlerin listesini ve değerlerini görebilirsiniz. Tarayıcınızın çerez yönetimi işlevleri hakkında detaylı bilgi için lütfen aşağıdaki ilgili linke tıklayarak tarayıcınızın web sitesinden bilgi alınız.

Çerezler ile ilgili daha detaylı bilgi almak isteyen ziyaretçilerimizin https://www.aboutcookies.org (İngilizce) adresini ziyaret etmeleri önerilir.

GİRİŞ

1.1. Amaç

Doğanay Gıda Tarım ve Hayvancılık San. ve Tic. A.Ş. (“Doğanay” veya “Şirket”) olarak; çalışanlar, stajyerler, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, taşeron yetkilileri, taşeron çalışanları, hissedarlar/ortaklar, yönetim kurulu üyeleri, bayii yetkilileri, müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.

Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri Saklama ve İmha Politikamıza (Politika) göre belirlemekte ve gerçekleştirmekteyiz.

Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Doğanay olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.

İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.

1.2. Kapsam

İşbu Politika; çalışanlar, stajyerler, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, taşeron yetkilileri, taşeron çalışanları, hissedarlar/ortaklar, yönetim kurulu üyeleri, bayii yetkilileri, müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin Doğanay tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.

Politika, Şirket tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

1.3. Kısaltmalar ve Tanımlar

Elektronik ortam
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi.
İlgili Kişi
Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişi.
KVKK
6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Karartma
Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Kişisel Veri
Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgi.
Kurul
Kişisel Verileri Koruma Kurulu
Politika
Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kişisel verilerin anonim hale getirilmesi
Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi, bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla kullanılacaktır.
Kişisel verilerin silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından kamerehiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel verilerin yok edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi, otomatik yolla tutulanların geri getirilemeyecek şekilde silinmesi, otomatik olmayan yolla tutulanların yakılarak imha edilmesi yoluyla silinmesi işlemi
Periyodik imha
KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (silinme şartları gerçekleştikten sonraki 6 (altı) ayda bir) resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri işleyen
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik
28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. SORUMLULUK VE GÖREV DAĞILIMLARI

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda verilmiştir.

PERSONEL AD-SOYAD
BİRİM
GÖREV
SORUMLULUK
Şirket Müdürü
Müdürlük
Kişisel veri saklama ve imha politikası uygulama sorumlusu
Genel Müdür, işbu Politika’yı, kabul etmek ve uygulamaya almak; politikanın gerektiği durumlarda güncellenmesi için yönetsel kararı almak; kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.
Kişisel Veri Uyum Sorumlusu
Kişisel veri saklama ve imha politikası uygulama sorumlusu
İşbu Politika taslağının hazırlanması, geliştirilmesi ve güncellenmesi, Politika’nın takibinden ve hazırlanan dokümanın www.kvkk.gov.tr’de QDMS’de (CRMleriyle uyumlu, kurum içi kullanılan sair yazılımlarla ve Kurumun istediği formatta) yayınlanmasından, kurumla yapılacak yazışmalardan, şirket KEP adresinin takibi ve bu adrese gelen ilgili kişi başvurularıyla Kurumla yapılan yazışmalardan ve bu süreçlerin takibinden Kişisel Veri Uyum Sorumlusu sorumludur.
Avukat/Hukuk Departmanı- Sözleşmeli yada şirket içindeki yetkilendirilmiş avukat
Kişisel veri saklama ve imha politikası uygulama sorumlusu
Kendisine danışılması halinde, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha süreci hakkında şirketi bilgilendirilmesinden sorumludur.
Muhasebe Müdürü
Muhasebe /Finans Departmanı
Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

3. KAYIT ORTAMLARI

Şirketimiz tarafından, faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla aşağıda yer alan kayıt ortamlarını kullanmaktayız.

ELEKTRONİK ORTAMLAR
ELEKTRONİK OLMAYAN ORTAMLAR
Veri tabanları (e-posta veri tabanı, dosya paylaşım, web, yedekleme vb.)
Klasörler
Yazılımlar
Dosyalar
Taşınabilir cihazlar (hard disk, USB bellekler vs.)
Arşiv Odaları
Uygulama otomasyonları

4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirketimiz tarafından; çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, taşeron yetkilileri, taşeron çalışanları, hissedarlar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler, bayii yetkilileri olan gerçek kişilerin kişisel verileri KVKK’ya uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırayla yer verilmiştir.

4.1. Saklamaya İlişkin Açıklamalar

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta ve veri envanterinde öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda, verilerin silinmesine mevzuatta bir engel olmaması şartıyla, veriler veri envanterinde belirtilen usul ve yöntemler çerçevesinde silinir, yok edilir veya anonim hale getirilir.

4.1.1. Saklamayı Gerektiren Hukuki Sebepler

Doğanay’da, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • Kişisel Verilerin Korunması Kanunu
  • Türk Borçlar Kanunu
  • Türk Ticaret Kanunu
  • İş Kanunu
  • İş Sağlığı ve Güvenliği Kanunu
  • Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • Sermaye Piyasası Kanunu
  • İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • Sendikalar ve Toplu İş Sözleşmesi Kanunu
  • Vergi Usul Kanunu

Yukarıda sayılanlar başta olmak üzere yürürlükte olan ilgili tüm kanunlar, diğer ikincil düzenlemeler ve veri envanteri çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2. Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

  • Acil durum yönetimi süreçlerinin yürütülmesi.
  • Bilgi güvenliği süreçlerinin yürütülmesi.
  • Çalışan adayı / Stajyer yerleştirme süreçlerinin yürütülmesi.
  • Çalışan adayların başvuru süreçlerinin yürütülmesi.
  • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi.
  • Çalışanlar için iş akti ve mevzuatlardan kaynaklı yükümlülüklerin yerine getirilmesi.
  • Çalışanlar için iş akti ve mevzuatlardan kaynaklı yükümlülüklerin yerine getirilmesi.
  • Çalışanlar için yeni haklar ve menfaatleri süreçlerinin yürütülmesi.
  • Denetim / Etik faaliyetlerin yürütülmesi.
  • Eğitim faaliyetlerinin yürütülmesi.
  • Erişim yetkilerinin yürütülmesi.
  • Faaliyetlerin mevzuata uygun yürütülmesi.
  • Finans ve muhasebe işlerinin yürütülmesi.
  • Firma ürün / hizmetlerin bağlılık süreçlerinin yürütülmesi.
  • Fiziksel mekan güvenliği temini.
  • Görevlendirme süreçlerinin yürütülmesi.
  • Hukuk işlerinin takibi ve yürütülmesi.
  • İç denetim, soruşturma, istihbarat faaliyetlerinin yürütülmesi.
  • İletişim faaliyetlerinin yürütülmesi.
  • Mal, hizmet, üretim ve operasyon süreçlerinin yürütülmesi.
  • Müşteri ilişkileri yönetim süreçlerinin yönetilmesi.
  • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi.
  • Organizasyon ve etkinlik yönetimi.
  • Pazarlama ve analiz çalışmalarının yürütülmesi.
  • Performans değerlendirme süreçlerinin yürütülmesi.
  • Reklam kampanya promosyon süreçlerinin yürütülmesi.
  • Risk yönetimi süreçlerinin yürütülmesi.
  • Saklama ve arşiv faaliyetlerinin yürütülmesi.
  • Sözleşme süreçlerinin yürütülmesi.
  • Stratejik planlama faaliyetlerinin yürütülmesi.
  • Talep ve şikayetlerin takibi
  • Tedarik zinciri yönetim süreçlerinin yürütülmesi.
  • Ücret politikasının yürütülmesi.
  • Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi.
  • Veri sorumlusu operasyonlarının güvenliğinin temini.
  • Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi.
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi.
  • Yönetim faaliyetlerinin yürütülmesi.

4.2. İmhayı Gerektiren Sebepler

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması
  • KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi
  • Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması
  • İlgili kişinin talebi (mevzuatta ve veri envanterinde belirlenen şartların sağlanması koşuluyla)
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Şirket tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

5.1. ALINAN İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,

  • Şirketimiz kapsamında VERBİS sistemine uyumlu veri envanteri çıkarılmakta (Data Mapping), burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bu bilgilendirmeler sonrasında periyodik olarak (6 ayda bir) farkındalık eğitimleri yapılmaktadır.
  • Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
  • Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanunun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
  • Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve periyodik (6 ayda bir) denetimler yürütülmektedir.

Diğer yandan, şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir.
  • Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta ve gizlilik sözleşmeleri yapılmaktadır.
  • Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir. Yeni bir veri girişi olması halinde, bu durumun veri envanterine işlenecek ve gerekirse, VERBİS sisteminde bu düzenlemenin de en geç 7 (yedi) gün içerisinde yapılacaktır.
  • Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta, veri minimilazasyonu amacına uygun salt yeteri kadar veri alınacak, ihtiyaçtan fazla veri alınmamaktadır.
  • Veri İşleyenler ile İlişkilerin Yönetimi: Şirket bilgi işlem ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır.

Bu kapsamda, veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması, herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi sağlanmaktadır.

Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, Şirket tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmesi sağlanmaktadır.

Yine, Şirket kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptıracağı, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebileceği belirtilmektedir.

Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte yada yeni veri gizliliği sözleşmeleri yapılmaktadır.

  • Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli periyodik eğitimleri verir ve periyodik olarakta yenileme eğitimleri yapmaktadır.
  • Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
  • Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimiz ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
  • Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

5.2. Alınan Teknik Tedbirler

Şirketimizin, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için aldığı başlıca teknik tedbirler şu şekildedir;

Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır.

Güvenlik duvarı ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı oluşturulmaktadır.

Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Nitekim, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları olabileceği dikkate alınarak, kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilmektedir.

Yazılım güncellemeleri

Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.

Erişim Sınırlamaları

Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.

Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kompleks kombinasyonların (güçlü şifre) tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.

Şifreleme

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.

Anti Virus Yazılımları

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır.

Web Sitesi Güvenliği

Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

Kişisel Veri Güvenliğinin Takibi

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmektedir.
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmekte ve sızma testlerinin periyodik olarak 6 (altı) ayda bir yapılmaktadır.
  • Tüm kullanıcıların işlem hareketlerinin kaydı düzenli olarak tutulmaktadır (log kayıtları gibi).
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması yapılmaktadır.
  • Yine çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.
  • Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır.

Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır. Otomatik olmayan yolla tutulan kişisel verilerin bulunduğu ortamlar kilitli olarak tutulmakta, sınırlı kişiye erişim yetkisi verilmekte ve erişim yetkisi bulunan kişilerle gizlilik sözleşmeleri yapılmaktadır.

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.

Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilmektedir.

Aynı seviyedeki önlemler şirket yerleşkesi dışında yer alan ve şirkete ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır. Nitekim, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.

Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.

Kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.

Kişisel Verilerin Bulutta Depolanması

Şirketimiz kişisel verileri bulutta depolama yapmamaktadır. Bulutta depolama yapılması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmaktadır. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanması, Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları yok edilmesi ön görülmektedir.

Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Şirket tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
  • Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.

5.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıkların Arttırılması ve Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını, eğitimlerin verilmesini sağlamakta ve belirli periyodik aralıklarla (6 ayda bir) gerekli denetimleri yapmaktadır.

5.4. İş Ortakları, Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli bilgilendirmeler yapmaktadır.

5.5. Özel Nitelikli Kişisel Verilerin Korunmasına ilişkin alınan idari ve teknik tedbirler

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.

Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda;

  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır, Periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılır ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanır, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilir ve gerekli güvenlik testleri düzenli olarak yapılır ve veya yaptırılır, test sonuçları kayıt altına alınır.

Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığına emin olur, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.
  • Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografık yöntemlerle şifrelenir ve kriptografık anahtarın farklı ortamda tutulur, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.

  • Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınır.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine, şirketimizin hukuki yükümlülüğünün sona ermesi koşuluyla, kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

6.2. Kişisel Verilerin Silinmesi ve Yok Edilmesi

Şirketimiz, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Yöntemleri:

(i) Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Şirketimizdeki kişisel veriler bulut sisteminde saklanmamaktadır. Ancak ilerleyen dönemlerde herhangi bir Kurul tarafından onay verilen bulut sistemi olması ve şirketçe verilerin bulut sisteminde yedekleneceği yönünde kara alınacak olunur ise,

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

  • Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
  • Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

(ii) Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

(iii) Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yakma yoluyla yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Yukarıda belirtilen durumun gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

7. İMHAYA İLİŞKİN KAYITLARIN SAKLAMA SÜRESİ

Şirketimiz, imhaya ilişkin kayıtlar hem basılı olarak hem elektronik olarak 3 yıl boyunca saklamakta olup, imha kayıtlarının korunmasına ilişkin teknik ve idari tedbirler almaktadır.

8. SAKLAMA VE İMHA SÜRELERİ

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem tarafından yerine getirilir. Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir.

Bu çerçevede, ilgili verinin Doğanay nezdinde saklanmasının, KVKK’nın 5. ve 6. maddesinde kişisel verilere ve özel nitelikli kişisel verilere ilişkin olarak öngörülen hukuka uygunluk sebepleri kapsamında değerlendirilmesi halinde, bu hukuka uygunluk sebeplerine istinaden ilgili kişisel verilere ilişkin saklama süreleri tespit edilir.

Kişisel verilerin imha süreci, Doğanay tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, Doğanay tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir. Şirket politikası olarak yakma yoluyla imha etme yöntemi uygulanmasına karar verilmiştir.

Süreç
Saklama Süresi
İmha Süresi
Çalışan süreçlerinin yürütülmesi
Çalışanın işten ayrılmasından itibaren 20 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmesel ilişkilerin yürütülmesi (müşteri, tedarikçi vb.)
Sözleşmenin sona ermesini takiben 20 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera kayıtları
20 gün
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ses Kayıtları
2 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıt araç takip sistemleri
3 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İmha kayıtları
İmha tarihinden itibaren 3 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

9. PERİYODİK İMHA SÜRESİ

Yönetmelik’in 11. maddesi gereğince periyodik imha süresi, Şirket tarafından, silme şartları gerçekleştikten sonra 6 (altı) ay olarak belirlenmiştir.

10. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI

İşbu Politika, 6698 sayılı Kanun yürürlüğü ile yayınlanmış ve basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanmaktadır.

11. POLİTİKANIN GÜNCELLENME PERİYODU

İşbu Politika yılda bir kez gözden geçirilir ve ihtiyaç halinde esaslar dahilinde güncellenir.

12. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

İşbu Politika Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

Yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politikanın ıslak imzalı eski nüshaları Şirket Müdür’ünün yazılı onayı ile Kişisel Veri Sorumlusu tarafından iptal edilerek (iptal kaşesi vurulurak veya iptal yazılarak) imzalanır ve 5 yıl süre ile Kişisel Veri Sorumlusu tarafından saklanır.