İmha Politikası

4.KAYIT ORTAMLARI

Şirket, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:
 
4.1. Elektronik Ortamlar

• Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.),
• Yazılımlar (ofis yazılımları, kamera kayıt görüntüleme,VERBİS vb.),
• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.),
• Kişisel bilgisayarlar (masaüstü, dizüstü),
• Mobil cihazlar (telefon, tablet vb.),
• Optik diskler (CD, DVD, hard disk vb.),
• Çıkartılabilir bellekler (USB, hafıza kartı vb.),
• Yazıcı, tarayıcı, fotokopi makinesi,
 
4.2. Elektronik Olmayan Ortamlar

• Kağıt,
• Manuel veri kayıt sistemleri (anket formları,müşteri memnuniyeti formları  ziyaretçi giriş defteri, vb.)
• Yazılı –basılı görsel ortam
• Birim dolapları
• Klasörler
• Arşiv

5.KİŞİSEL VERİLERİN SAKLANMASI
 
Şirket tarafından ; müşteriler, ziyaretçiler, çalışanlar, çalışan adayları, tedarikçiler, taşeronlar, iş ortakları, hissedarlar  kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirket faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.
 
6.KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ  SEBEPLER ve İŞLEME AMAÇLARI 
 
6.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki  Sebepler

Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatlarda öngörülen sebepler ve süreler dahilinde muhafaza eder;
 
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 6102 Sayılı Türk Ticaret Kanunu,
• 6502 Sayılı Tüketicinin Korunması Hakkında Kanun,
• 4734 sayılı Kamu İhale Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen   Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 5018 sayılı Kamu Mali Yönetimi Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• 5746 sayılı Araştırma ve Geliştirme Faaliyetlerinin Desteklenmesi Hakkında Kanun
• 4691 sayılı Teknoloji Geliştirme Bölgeleri Kanunu
• 6111 sayılı Bazı Alacakların Yeniden Yapılandırılması ile Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
 
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

6.2. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır;

6.2.1.  Şirket İnsan Kaynakları Prosedür, Politika Ve Süreçlerini Planlanması Ve/Veya Uygulanması Amacıyla;
 
• Çalışanların işe başlama ve/veya özlük süreçlerinin planlanması ve/veya yürütülmesi
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi
• Çalışan Adayı / Stajyer / Çırak Yerleştirme  Süreçlerinin Yürütülmesi
• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yönetilmesi
• Çalışanlar için iş akdi ve yasal mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
• Faaliyetlerin mevzuata uygun yönetilmesi
• Görevlendirme süreçlerinin yürütülmesi
• Personel atama/terfi süreçlerinin planlanması ve/veya icrası
• Yetenek/kariyer gelişimi faaliyetlerinin planlanması ve/veya icrası
• İş sağlığı ve/veya güvenliği çerçevesinde gerçekleştirilmesi gereken faaliyetlerin planlanması ve/veya icrası
• Şirket içi/dışı eğitim faaliyetlerinin planlanması ve/veya icrası
• Çalışanların iş faaliyetlerinin takibi ve/veya denetimi
• Çalışanlara yönelik yan haklar ve/veya menfaatlerin planlanması ve/veya icrası
• Çalışanların yurt içi / yurt dışı seyahatlerinin (etkinlik, organizasyon, fuar ve benzeri) planlanması ve/veya icrası
• Çalışanların ücretli/ücretsiz izin planlamasının yapılması ve/veya takibi
• Çalışanların ücretlerinin planlanması ve/veya icrası
• Çalışanların çıkış işlemlerinin planlanması ve/veya icrası
• Disiplin/etik süreçleri ile ilgili gerekli operasyonel faaliyetlerin planlanması ve/veya icrası
• Denetim ve Etik Falliyetlerin Yürütülmesi
• Çalışanların görevlendirme süreçleri, ürün teslimi veya hizmet ilişkisinin yürütülmesi
• İşe giriş, atama, terfi, özel günler ve/veya çıkış hallerinde Şirket içi bilgilendirme duyurularının yapılması
• Çalışanlar için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
• Yabancı  personel çalışma ve oturma izni çalışmaları
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
• Çalışan memnuniyeti ve/veya bağlılığı süreçlerinin planlanması ve/veya icrası
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Çalışanların bordrolama süreçlerinin planlanması ve/veya icrası
• İlgili mevzuatlar kapsamında yararlanabileceğimiz teşviklerin tespit edilmesi ve hesaplanması

6.2.2. Şirketimizin Ve/Veya Şirketimizle İş İlişkisi İçerisinde Olan Üçüncü Kişilerin Hem Hukuki Hem Teknik Anlamda Güvenliğinin Sağlanması Faaliyetlerinin Planlanması Ve /Veya Uygulanması Amacıyla;
 
• Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve/veya icrası ve güvenliği ile faaliyetlerin mevzuata uygun yürütülmesi 
• Şirketimizin iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası
• Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini
• Hukuk işlerinin, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması
• Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin planlanması ve/veya icrası
• Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası
• Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini
• Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi
• Erişim yetkilerinin yürütülmesi
• Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi
• Verilerin doğru ve/veya güncel olmasının sağlanması
• Fiziksel mekân güvenliğinin temini
• Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
• Şirket operasyonlarının güvenliğinin temini
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Bilgi güvenliği süreçlerinin planlanması, denetimi ve/veya icrası
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• Faaliyetlerin mevzuata uygun yürütülmesi
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
• Alt işveren çalışanlarının kayıtlarının oluşturulması, denetimi ve/veya takibi faaliyetlerinin planlanması ve/veya icrası

6.2.3. Şirket Tarafından Ve/Veya Şirket Nam Ve Hesabına Sunulan Ürün Ve/Veya Hizmetlerden İlgili Kişileri Faydalandırmak Ve Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi İçin Gerekli Çalışmaların Gerçekleştirilmesi Ve İlgili İş Süreçlerinin Devamlılığının Sağlanması Amacıyla;
 
• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi
• Dijital ve/veya diğer mecralar aracılığı ile toplanan müşteri talep ve/veya şikâyetlerinin değerlendirilmesi,
• Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım, ve/veya pazarlama aktivitelerinin tasarlanması ve/veya icrası,
• Şirket web sitesi de dahil olmak üzere yazılı ve görsel basın, sosyal medya veya afiş/katalog/bülten gibi şirketin haberlerinin ve reklamlarının geçtiği tüm belge ve mecralarda yayınlanması/paylaşılması,
• Kurumsal iletişim ve bu kapsamda sair etkinlik, fuar, kampanya ve davetlerin düzenlenmesi ve bunlar hakkında bilgilendirme yapılması
• Pazar araştırma çalışmalarının yürütülmesi
• Satış ve pazarlama analiz çalışmaları ile ürün/hizmetlerin pazarlama süreçlerinin yönetilmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi
• Stratejik planlama faaliyetlerinin yürütülmesi
• Pazarlama analiz çalışmalarının yürütülmesi
• Ücret politikasının yürütülmesi
• Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi
• Talep / şikayetlerin takibi
 
6.2.4. Şirket Tarafından Yürütülen Ticari Ve/Veya Operasyonel Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması Ve Buna Bağlı İş Süreçlerinin Yürütülmesi Amacıyla,
 
• Mal/hizmet satın alma süreçlerinin planlanması ve yürütülmesi,
• Montaj ve Kurulum Hizmetlerinin yürütülmesi,
• Mal/Hizmet Üretim ve Opreasyon Süreçlerinin Yönetilmesi
• Mal/hizmet satış süreçlerinin yürütülme, malhizmet satış sonrası destek hizmetlerin yürütülmesi,
• Finans ve/veya muhasebe işlerinin takibi,
• İş faaliyetlerinin verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası,
• Kurumsal yönetim faaliyetlerinin planlanması ve/veya icrası,
• Şirketimiz ürünlerinin stok ve/veya sevkiyat işlemlerinin planlanması ve/veya icrası,
• Lojistik Faaliyetlerin Yürütülmesi
• Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi,
• Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya uygulanması ,
• Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası” alt amaçları ile birlikte
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
                                                                                   
6.2.5. Şirket Ticari Hayatının ve İş Geliştirme Stratejilerinin Planlanması, Düzenlenmesi ve Uygulanması Amacıyla,
 
• Şirketin finansal risk süreçlerinin planlanması ve/veya icrası,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Yatırım süreçlerinin yönetilmesi,
• Yönetim Faaliyetlerinin Yürütülmesi
• İş ortakları /tedarikçi ve taşeronlarla olan ilişkilerin yönetimi,
• İş Faaliyetlerinin Yürütülmesi ve Denetimi
• Hissedarlar ile olan organik bağ süreçlerinin getirdiği faaliyetlerin düzenlenmesi ve süreçlerin yönetimi,
• Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
• Hissedarları, bağlı ortaklıkları ve iştiraklari ile olan organik bağ süreçlerinin getirdiği faaliyetlerin düzenlenmesi ve süreçlerin yönetimi
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

7.KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
 
Şirket, KVK Kanunu’nun 12’inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda Şirket, bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
 
7.1. İdari Tedbirler
 
• Şirket, kişiselverilerin işlenmesi hakkındabilgili ve deneyimlipersonel istihdam etmekte ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri vermektedir.
• Şirket, erişim, bilgi güvenliği kullanım, saklama ve imha konularında kurumsal politikalar hazırlamış ve uygulamaktadır.
• Şirket, iş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlamakta ve uygulamaktadır.
• Şirket,  personeli ile arasındaki ilişkiyidüzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareketedilmesi gerektiği, kişiselverilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişiselverilere ilişkin gizlilikyükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup; personelin bu yükümlülüklere uymaması iş akdininfeshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
• Şirket, çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işleyebilmektedir. Bu amaçların neler olduğu konusunda da çalışanlar, uygun usullerle Şirket tarafından bilgilendirilmektedir.
• Şirket, çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı vermektedir.
• Çalışanlar,  öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• Şirket, çalışanların gerçekleştirileceği kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin etmektedir. Bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulmaktadır. Bu kapsamda Şirket, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerinin kaldırmakta veya sınırlamaktadır. Şirket, çalışanların kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri almaktadır.
• Şirket, işlenenkişisel verilerin hukukaaykırı yollarla başkaları tarafından elde edilmesihâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmektedir.
• Şirket, kendi tüzel kişiliğinezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıylagerekli denetimleri yapmakta ve yaptırmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.
• Şirket, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığını sağlamış olup; belli aralıklarla denetim yapmaktadır.
• Şirket’in, kişisel verileriaktardığı üçüncü şahısların da, işbu Politikave KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarakişleme ve muhafaza etme ve verilere hukuka uygun olarak erişmeyükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12’incimaddesi uyarınca sorumluluğu bulunmaktadır. Bu nedenleŞirket, üçüncü kişilereveri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetimyapma yetkisi verilmesini içeren taahhütler almaktadır. Yine Şirket tüm personelini kişiselverilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirilmektedir.
 
7.2. Teknik Tedbirler
 
• Çalışanlar, kişiselverilere hukuka aykırıerişimi engellemek içinalınacak teknik tedbirler konusunda eğitilmektedir.
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmek ve yenilenmektedir.
• Çalışan verilerinin güvenliğini sağlamak için gereken tüm makul önlemler alınmaktadır. Alınan önlemler, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanmaktadır. 
• Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınmaktadır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilmekte ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanmaktadır.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Şirket, gerektiğinde veri maskeleme önlemi uygulamaktadır.
• Erişim logları düzenli olarak tutulmaktadır. Erişim, bilgi güvenliği, kullanım,  saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır
• Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıklarının kapatılması sağlanmaktadır.
• Kişisel veriler yedeklenmekte, kişisel verilerin güvenliği sağlanmaktadır.
• Log kayıtları kullanıcı müdahalesi olmaksızın tutulmaktadır.
• Siber güvenlik önlemleri alınmış olup; uygulanması sürekli olarak takip edilmektedir.
• Taşınır bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Veri korunması ile ilgili şifreleme yapılmaktadır.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.
 
7.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
 
KVK Kanunu kapsamında, Şirket veri sorumlusu sıfatına haiz olacakolup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11’inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusuyükümlülükleri, ilgili mevzuathükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organKanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarakbir veya birden fazla kişiye görevlendirilebilir.”  şeklinde düzenleme yapılmıştır.
 
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.
 
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
 
• Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
• Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
• KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi hususlarıdır.
 
Şirket tarafından, KVK Kanunu ve Veri Koruma Kuruludüzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu asıl yetkili Mali ve İdari İşler Müdürü  olmak üzere;  İdari İşler Birimi Sorumlusu, Finans Birimi Sorumlusu, Finans Kontrol Müdürü yetkili kılınmıştır. Komite üyeleri,  departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ile Saklama ve İmha Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departmanların üst düzey yöneticileri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri, komite direktörüne raporlayacaktır. Komite Direktörü, tüm departmanların üst düzey yöneticilerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetime  sunacaktır. Karar alınmasını gerektiren durumlarda Komite Direktörü’nün de görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.

8 . KİŞİSEL VERİLERİN İMHASI:
 
Şirket elde ettiği kişisel verileri;
 
• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine siler, yok eder ya da re’sen silinir, yok edilir veya anonim hale getirilir.

9.KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN ALINAN TEDBİRLER
 
Şirket  ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır.
 
Şirket  tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
 
Şirket  kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
 
9.1. Kişisel Verilerin Silinmesi Yöntemleri

Hizmet olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmamaktadır.
 
Kâğıt Ortamında Bulunan Kişisel Veriler
Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.

Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
 
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
 
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
 
9.2. Kişisel Verilerin Yok Edilmesi Yöntemleri
 
Yerel Sistemler
 
Fiziksel Ortamda Yer Alan Kişisel Veriler; Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
 
Optik / Manyetik Medyada Yer Alan Kişisel Veriler; Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir
 
Çevresel Sistemler

– Ağ cihazları (switch, router vb.)
– Flash tabanlı ortamlar
– Mobil telefonlar
– Optik diskler
– Veri kayıt ortamı sabit olan yazıcı, kartlı sistem  kapı geçiş sistemi gibi çevre birimleri
– Kağıt ve mikrofiş ortamları
– Bulut ortamı
 
Verilerinin imhasına yönelik yöntemler kullanılmaktadır.

10.SAKLAMA VE PERİYODİK İMHA SÜRELERİ
 
Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
 
• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
• Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
• Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen imha edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler aşağıdaki tabloda belirtilen azami süre boyunca saklanacaktır. Bu süreler; şirketin  veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.