DESİ ALARM VE GÜVENLİK SİSTEMLERİ SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİ SAKLAMA

 ve

İMHA POLİTİKASI

1.Amaç

  Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Desı̇ Alarm Ve Güvenlı̇k Sı̇stemlerı̇ Sanayı̇ Ve Tı̇caret A.Ş. (“Şirket”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. 

Şirketimiz; benimsemiş olduğu temel ilkeler doğrultusunda; Şirket çalışanları, çalışan adayları, eski çalışanları, müşterileri, potansiyel müşterileri, hizmet sağlayıcıları, tedarikçileri, bayileri, bayi adayları,  iş ortakları yetkilileri ve çalışanları, ziyaretçiler (fiziksel mekânlar ve internet siteleri dâhil) ve ilgili diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. 

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak yerine getirilir. Böylece Şirket, kişisel veri sahiplerini bilgilendirerek ve tüm haklarını ve bunların kullanımına dair başvuru usul ve yollarını göstermekle gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

1.1.Kapsam

Şirket çalışanları, çalışan adayları, eski çalışanları, müşterileri, potansiyel müşterileri, hizmet sağlayıcıları, tedarikçileri, şubeleri, bayileri,  iş ortakları yetkilileri ve çalışanları, ziyaretçiler ve Şirketimizle ilişki kuran diğer üçüncü kişilere ait otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamındadır. Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin ve özel nitelikli kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. 

KVKK ile bir takım kişisel verilere, hukuka aykırı olarak işlenmesi durumunda kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; aşağıda Kısaltmalar ve Tanımlar Tablosunda açıklanmış olan özel nitelikli kişisel verilerdir. 

Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 4.3; 4.5.2 ve 7.1 bölümlerinde yer verilmiştir.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın öncelikle uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

1.2.Kısaltmalar ve Tanımlar

 

Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan	Desı̇ Alarm Ve Güvenlı̇k Sı̇stemlerı̇ Sanayı̇ Ve Tı̇caret A.Ş. personeli.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı	Desı̇ Alarm Ve Güvenlı̇k Sı̇stemlerı̇ Sanayı̇ Ve Tı̇caret A.Ş. ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İlgili Çalışan	Veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul	Kişisel Verileri Koruma Kurulu
KVKK	6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika	Kişisel Verileri Koruma, Saklama ve İmha Politikası
Şirket	Desı̇ Alarm Ve Güvenlı̇k Sı̇stemlerı̇ Sanayı̇ Ve Tı̇caret A.Ş.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurulu tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2.SORUMLULUK VE GÖREV DAĞILIMLARI

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. 

Öte yandan Şirketimizce işlenen kişisel veriler ile ilgili, gerek veri sorumlusu sıfatıyla hareket eden veri sorumlusu temsilcisi ve çalışanları, gerekse de Şirketimiz adına veri işleyen kişiler, öğrendikleri kişisel verileri işbu Politika Metni ve KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

UNVAN	BİRİM	GÖREV
Şirket Kişisel Veri Sorumlusu Yetkilisi	Desı̇ Alarm Ve Güvenlı̇k Sı̇stemlerı̇ Sanayı̇ Ve Tı̇caret A.Ş.	Çalışanların politikaya uygun hareket etmesinden sorumludur.
Şirket Genel Müdürü	Genel Müdür	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Şirket Veri Sorumlusu İrtibat Kişisi	İdari ve Mali Müdürlüğü	Politika’nın uygulanmasında ihtiyaç duyulan idari, fiziki ve teknik çözümlerin sunulmasından ve takibinden sorumludur.
İnsan Kaynakları ve Mali İşler M.D., Satınalma M.D., Satış ve Pazarlama M.D., İmalat M.D., Arge ve Kalite M.D.	Diğer Birimler	Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

3.KAYIT ORTAMLARI

Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

- - Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) - Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) - Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) - Kişisel bilgisayarlar (Masaüstü, dizüstü) - Mobil cihazlar (telefon, tablet vb.) - Optik diskler (CD, DVD vb.) - Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

- Kâğıt - Manuel veri kayıt sistemleri (anket   formları,fiziki klasörler) - Yazılı, basılı, görsel ortamlar

4.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
4.1.Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
4.1.1.Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir. 

4.1.2.Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli çalışmaları yapmaktadır.

4.1.3.Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir. 

4.1.4.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir. 

4.1.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilmektedir. 

4.2.Kişisel Verilerin İşlenme Şartları

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, ayrıca işbu Politika’nın 4.3; 4.5.2 ve 7.1 bölümlerinde yer alan şartlar uygulanacaktır. 

(a) Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Aşağıda yer alan kişisel veri işleme şartlarından herhangi birinin varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

(b) Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. 

(c) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. 

(d) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir. 

(e) Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. 

(f) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. 

(g) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. 

(h) Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. 

 4.3.Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

(a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır. 

(b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır. 

4.4.Kişisel Veri Sahibinin Aydınlatılması

Şirketimiz, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

4.5.Kişisel Verilerin Aktarılması

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmektedir.

4.5.1.Kişisel Verilerin Aktarılması

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması. 

Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin/onayının bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

4.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirketimiz tarafından, Kanun’un 9. Maddesi ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere; işbu Politika’da belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

(a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

(b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkeye yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda, Kurul’un da onayı üzerine, Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke’lere aktarılabilecektir.

5.ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME/PAYLAŞILMA AMAÇLARI

Şirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. 

Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmektedir:

Tablo 3: Kişisel veri kategorileri

KİŞİSEL VERİ KATEGORİLERİ	AÇIKLAMA
Kimlik Bilgisi	Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, medeni durum, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.
İletişim Bilgisi	İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası, internet tabanlı iletişim bilgileri gibi kişisel veriler.
Lokasyon Verisi	Şirket araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri vb.
Aile Bireyleri ve Yakın Bilgisi	Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler.
Fiziksel Mekan Güvenlik Bilgisi	Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
İşlem Güvenliği Bilgisi	Şirketin ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler.
Risk Yönetimi Bilgisi	Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler.
Finansal Bilgi	Şirket ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler.
Çalışan Adayı Bilgisi	Şirket çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirket’imizin insan kaynakları ihtiyaçları doğrultusunda Çalışan Adayı olarak değerlendirilmiş veya Şirket’imizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler.
Hukuki İşlem ve Uyum Bilgisi	Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler.
Denetim ve Teftiş Bilgisi	Şirketin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler.
Özel Nitelikli Kişisel Veri	Kanunu’nun 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, biyometrik veriler, adli sicil kaydı bilgisi gibi).
Talep/Şikayet Yönetimi Bilgisi	Şirkete yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin ses kaydı dahil diğer kişisel veriler.
İtibar Yönetimi Bilgisi	Kişiyle ilişkilendirilen ve Şirketin ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Şirket ile ilgili yapılan paylaşımlar).
Olay Yönetimi Bilgisi	Kişisel veri sahibiyle ilişkilendirilen ve Şirket çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler (örneğin; kamuoyunun doğru yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi).

Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri işleme amaçları aşağıdaki tabloda gösterilmiştir:

Tablo 4: Kişisel veri işleme amaçları

ANA AMAÇLAR	İKİNCİL AMAÇLAR
Şirketimizin ticari politikalarının tespiti, planlanması ve uygulanması	1. Şirket içi veya dışı eğitim faaliyetlerinin planlanması ve icrası 2. Bayiler, müşteriler, potansiyel müşteriler, iş ortakları ve tedarikçilerle olan ilişkilerin yönetimi
Şirketin İnsan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi	1. Çalışan temin süreçlerinin yürütülmesi 2. Stajyer ve öğrenci temin, yerleştirmesi ve operasyon süreçlerinin planlanması ve icrası 3. İnsan kaynakları süreçlerinin planlanması 4. Şirket çalışanları için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi 5. Çalışanların iş faaliyetlerinin takibi ve denetimi 6. Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası 7. Çalışan çıkış işlemlerinin planlanması ve icrası 8. Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi 9. Şirket içi eğitim faaliyetlerinin planlanması ve icrası 10. İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi 11. Ücret yönetimi 12. Şirket içi oryantasyon aktivitelerinin planlanması ve icrası
Şirketin Yürüttüğü Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi İçin Şirket Bünyesindeki İş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve bu Doğrultuda Faaliyetlerin Yürütülmesi	1. Finans ve muhasebe işlerinin takibi 2. Yatırımcı ilişkilerinin yürütülmesi 3. Kurumsal iletişim faaliyetlerinin planlanması ve icrası 4. İş faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleştirilmesi planlanması ve icrası 5. Etkinlik yönetimi 6. Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi 7. Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası 8. İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası 9. İş ortakları, bayiler, müşteriler, potansiyel müşteriler ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası
Şirketin insan kaynakları faaliyetlerinin tasarlanmasına, planlanmasına ve icrasına destek olunması	1. Şirketin insan kaynakları stratejilerinin planlanması konusunda destek olunması 2. Şirket çalışanlarının transfer, geçici görevlendirme, terfi ve işten ayrılmalarının takibi ve duyurulması 3. Şirket çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması 4. Şirket çalışan temin süreçlerine destek olunması
Şirketin ticari itibarının ve oluşturduğu güvenin korunması	1. Talep ve şikayet yönetimi 2. Şirket değerlerinin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi

Şirketimiz Kanun’da yer alan ilkelere ve özellikle, Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika kapsamı dâhilinde olan kişisel verileri aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilir:

Tablo 5: Kişisel veri aktarımında bulunulan taraf kategorileri ve aktarım amaçları

VERİ AKTARIMI YAPILABİLECEK KİŞİLER	TANIMI	VERİ AKTARIM AMACI
İş Ortağı	Şirketin, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Tedarikçi veya Hizmet Sağlayıcıları	Şirketin ticari faaliyetlerinin yürütülmesi kapsamında, şirketin talimatlarına uygun ve sözleşme temelli olarak Şirkete hizmet sunan taraflar	Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak
Bayiler	Şirketin ticari nitelikli ürün ve hizmetlerini kendi ad ve hesabına faaliyet alanı içerisinde satan ve pazarlayan gerçek kişi tacir ve ya özel hukuk tüzel kişisi	Şirket’in bayilerle olan ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Hukuken Yetkili Özel Hukuk Kişileri	İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri	İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

6.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından; çalışanlar, çalışan adayları, bayileri, bayi adayları, müşterileri, potansiyel müşterileri, hizmet sağlayıcıları, tedarikçileri, iş ortakları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanları ve yetkililerine ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

6.1.Saklamaya ve Korumaya İlişkin Açıklamalar

6698 sayılı Kanun’un 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. 

Buna göre, Şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

6698 sayılı Kanun’un 12. Maddesi gereğince, Şirketimiz kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır. 

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle 6698 sayılı Kanun kapsamında özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. 

Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. 

Özel nitelikli kişisel verilerin korunması ve işlenmesi/aktarılması ile ilgili ayrıntılı bilgiye bu Politika’nın 4.3.; 4.5.2. ve 7.1. bölümlerinde ayrıca yer verilmiştir

6.1.1.Saklamayı Gerektiren Hukuki Sebepler

Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; 

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 6102 sayılı Türk Ticaret Kanunu,
• 4734 sayılı Kamu İhale Kanunu, 
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu, 
• 5434 sayılı Emekli Sağlığı Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,
• İlgili diğer mevzuat hükümleri,

Çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

6.1.2.Saklamayı Gerektiren İşleme Amaçları

• Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. 
• İnsan kaynakları süreçlerini yürütmek.
• Kurumsal iletişimi sağlamak.
• Şirket güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• VERBİS kayıtlarını oluşturmak ve güncellemek.
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
• Yasal sınırlar içinde analiz ve raporlamalar yapmak.
• Çağrı merkezi süreçlerini yönetmek.
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü. 

6.2.İmhayı Gerektiren Sebepler

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmakta ve belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilmektedir.

Kişisel veriler; 

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
• Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

Durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7.TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

7.1.Teknik Tedbirler 

Şirket tarafından, işlediği kişisel ve özel nitelikli kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır: 

Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. 

Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

·   Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

·       Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

·       Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

·       Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

·       Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

·       Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

·       Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

·       Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.

·       Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

·       Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

·       Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

·       Özel nitelikli kişisel verilerin güvenliğine yönelik bu metin içinde ayrı politika belirlenmiştir.

·      Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

·       Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

·       Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

·      Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

7.2.İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır: 

·Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, İş Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir. 

·Kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması yönünde tedbirler alınmaktadır.

·Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

·Güvenlik ve Gizlilik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

·Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

·Kişisel veri işleme envanteri hazırlanmıştır ve söz konusu envantere işlenmesi gereken yeni bir kişisel veri kategorisi bulunacak olması halinde bunlar 3 aylık dönemlerde eklenecektir. 

·Şirket içi periyodik ve rastgele denetimler yapılmaktadır.

·Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

· Kişisel veri ihlallerine ilişkin Veri İhlal Bildirim Prosedürü hazırlanmıştır. 

 

8. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

8.1.Kişisel Verilerin Silinmesi

Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.

Tablo 6: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

8.2.Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Şirket tarafından Tablo-4’te verilen yöntemlerle yok edilir. 

Tablo 7: Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

8.3.Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

9.SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

·       Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

·       Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

·       Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında 

Yer alır. 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Şirketimiz Genel Müdürlüğünce güncellemeler yapılır. 

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Şirketimiz Genel Müdürlüğü ve Şirket İlgili Çalışanı olan Kişisel Veri Sorumlusu İrtibat Kişisi tarafından yerine getirilir.

Tablo 8: Süreç bazında saklama ve imha süreleri tablos

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
İş Kanunu kapsamında saklanılan çalışanlara ilişkin veriler	İş ilişkisinin sona ermesinden sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
İş sağlığı ve güvenliği mevzuatı kapsamında çalışanlara ait  toplanan veriler	İş ilişkisinin sona ermesinden sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
SGK mevzuatı kapsamında tutulan çalışan verileri	İş ilişkisinin sona ermesinden sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar	İş ilişkisinin sona ermesinden sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası	İş ilişkisinin sona ermesinden sonra  10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Tedarikçi ve iş ortaklarına ilişkin kişisel veriler	Hukuki ilişki sona erdikten sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Çevrimici ziyaretçilere ilişikin veriler	Ziyaret tarihinden itibaren 5651 sayılı kanun uyarınca 2 yıl	Saklama süresini takiben 180 gün içinde
Sair ilgili mevzuat gereği toplanan veriler	İlgili mevzuatta öngörülen süre kadar	Saklama süresinin bitimini takiben 180 gün içerisinde
Ödeme işlemleri	İş ilişkisinin sona ermesini müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Personel Finansman Süreçleri	İş ilişkisinin sona ermesini müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Log/Kayıt/Takip Sistemleri	2 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Çevrimiçi Ziyaretçilere İlişkin Trafik Bilgileri ve Çerezler	5651 sayılı kanun uyarınca 2 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Çalışanlara araç tahsis edilmesi	10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Üçüncü kişilerle imzalanan sözleşmeler	10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması	Dava zaman aşımı müddetince	Saklama süresinin bitimini takiben 180 gün içerisinde
Müşteri verileri	Hukuki ilişki sona erdikten sonra 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Her türlü doküman dosyalanması	10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Güvenlik kamera kayıtları	Kayıttan itibaren 6 ay	Saklama süresinin bitimini takiben 180 gün içerisinde

10.  PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. 

11.  KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

11.1.Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri Kanun’un 11. Maddesine göre aşağıda yer alan haklara sahiptirler:

a) Kişisel verilerinizin işlenip işlenmediğini öğrenme,

b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK’nun 7 nci maddesinde öngörülen şartlar çerçevesinde, yasal şekilde işlenmiş bulunan kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

11.2. Haklarınız Kapsamında Şirketimize Başvuru Yolları

Yukarıda belirtilen haklarınızın kullanılması kapsamındaki taleplerinizi www.desi.com.tr sayfasından ulaşacağınız “Kişisel Veri Sahibi Başvuru Formu”nu doldurarak Şirketimizin Topkapı Maltepe Caddesi Anadolu Sokak No: 1 Bayrampaşa, İstanbul adresine kimliğinizi tevsik edici belgeler ile yazılı olarak veya kayıtlı elektronik posta (KEP) yolu ile [email protected] adresine, güvenli elektronik imza, mobil imza yada üyeliğinizin teyit edildiği elektronik posta üzerinden [email protected] adresine e-posta olarak iletebilirsiniz.

Talebinizin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

12.  POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket İlgili Çalışanı olan Kişisel Veri Sorumlusu İrtibat Kişisi tarafınca tutulacak dosyasında saklanır.

13.  POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

14.  POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Şirketimiz tarafından düzenlenen bu Politika 26/01/2023 tarihlidir. Politika, Şirketimizin www.desi.com.tr internet sitesinde yayınlanmasının ardından yürürlüğe girmiş ve kişisel veri sahiplerinin erişimine açık hale gelmiş kabul edilir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda yürürlük tarihi güncellenecektir. 

Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, ıslak imzalı eski nüshaları Şirket Veri Sorumlusu Yetkilisi Kararı ile Şirket Genel Müdürlüğü tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Şirket İlgili Çalışanı olan Kişisel Veri Sorumlusu İrtibat Kişisi tarafınca tutulacak dosyasında saklanır.