Kişisel Verilerin Korunması Politikası

ANIA TURİZM YATIRIMLARI A.Ş.
KİŞİSEL VERİ KORUMA, İŞLEME, SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

1. Giriş
1. Amaç
2. Kapsam
3. Kısaltmalar ve tanımlar
2. ANIA Turizm Yatırımları A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Hakkında. Kabul Edilen İlkeler
3. Temel Kişisel Veri İşleme Verilerine Uygunluk
4. Kişisel Verilerin İşlenmesi Koşullarına Uygunluk
5. Özel Kişisel Veri İşleme Koşullarına Uygunluk
6. Sorumluluk ve görev dağılımı
7. Kayıt ortamı
8. Kişisel Verilerin Aktarımı
1. Kişisel Verilerin Yurtiçi Aktarımı
2. Kişisel Verilerin Yurtdışına Aktarılması
9. Depolama ve İmha Gerektiren Sebeplere İlişkin Açıklamalar
1. Saklama koşulları hakkında notlar
2. İmha gerektiren nedenler
10. Kişisel Veri Sahiplerinin Hakları ve Şirket Tarafından Taleplerinin Sonuçlandırılması
11. Teknik ve idari önlemler
1. Teknik önlemler
2. İdari önlemler
12. Kişisel verilerin imha teknikleri
1. Kişisel verilerin silinmesi
2. Kişisel verilerin imhası
3. Kişisel verilerin anonimleştirilmesi
13. Depolama ve imha süreleri
14. Periyodik yıkım süresi
15. Politikanın yayınlanması ve saklanması
16. Politika güncelleme dönemi

EK-1: Başvuru formu

1. GİRİİŞ
2. Amaç

Bu belgenin amacı, 28 Ekim 2017 tarihli Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ve Kanunun ikincil yönetmeliği uyarınca Kişisel Verilerin Saklanması ve İmhası Politikası (“Politika”) ve Kişisel Verilerin Silinmesi, İmhası veya Anonimleştirilmesi Hakkındaki Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini, kişisel verilerinin işlenme amacına uygun olarak gerekli azami saklama süresinin belirlenmesi ve silme, imha ve anonimleştirme süreçleri hakkında bilgilendirmektir. Balmy Hotels'in işletmecisi ANİA Turizm Yatırımları A.Ş. (bundan böyle “ANİA” veya “Şirket” olarak anılacaktır) tarafından veri sorumlusu sıfatıyla hazırlanmıştır.

1. Kapsam

Kurum çalışanlarına, çalışan adaylarına, hizmet sağlayıcılarına, ziyaretçilerine ve diğer üçüncü şahıslara ait kişisel veriler bu Politika kapsamındadır ve bu Politika, Kuruma ait veya Kurum tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işleme faaliyetleri için geçerlidir.

1. Kısaltmalar ve Tanımlar
     

2. Şirket tarafından kişisel verilerin işlenmesi ve korunmasına ilişkin olarak benimsenen ilkeler
3. Temel Kişisel Veri İşleme İlkelerine Uygunluk

Şirket, kişisel verilerin korunmasına ilişkin mevzuata uyma ve bu mevzuata uyumu sürdürme kapsamında aşağıdaki temel prensipleri benimsemiştir:

1. Kişisel verileri yasalara ve dürüstlük kurallarına uygun olarak işleyin.

Şirket, kişisel verilerin işlenmesi faaliyetlerini, yasalara ve dürüstlük ilkesine uygun olarak, özellikle Türkiye Cumhuriyeti Anayasası olmak üzere kişisel verilerin korunmasına ilişkin mevzuata uygun şekilde yürütmektedir.

2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini sağlamak.

Şirket tarafından kişisel verilerin işlenmesi sırasında, teknik olanaklar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamak için gerekli tüm idari ve teknik önlemler alınmaktadır.

3. Kişisel verilerin belirli, açık ve meşru amaçlar doğrultusunda işlenmesi.

Şirket tarafından kişisel verilerin işlenmesi, kişisel verilerin işlenmesine başlamadan önce belirlenmiş açık ve yasal amaçlar doğrultusunda gerçekleştirilir.

4. Kişisel verilerin, amaç doğrultusunda sınırlı ve ölçülü bir şekilde işlenmesi.

Şirket, kişisel verileri veri işleme koşullarıyla bağlantılı olarak ve bu hizmetlerin sağlanması için gerekli olduğu ölçüde işlemektedir. Bu bağlamda, kişisel verilerin işlenmesine başlamadan önce kişisel verilerin işlenmesinin amacı belirlenir ve verilerin gelecekte kullanılabileceği varsayımıyla işleme yapılmaz.

5. Kişisel verilerin, ilgili mevzuatta öngörülen süre boyunca veya işlenme amacına uygun olarak gerekli olduğu süre boyunca saklanması.

Şirket, kişisel verileri ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği sınırlı bir süre boyunca saklar. Buna göre, mevzuatta öngörülen süre sona erdiğinde veya kişisel verilerin işlenmesini gerektiren nedenler ortadan kalktığında, kişisel veriler Şirket tarafından derhal silinir.

2. Kişisel Verilerin İşlenmesi Koşullarına Uygunluk

Şirket, kişisel verilerin işlenmesi faaliyetlerini Kişisel Verilerin Korunması Kanunu'nun 5. maddesinde belirtilen veri işleme koşullarına uygun olarak yürütmektedir. Bu bağlamda, kişisel verilerin işlenmesi faaliyetleri aşağıda listelenen kişisel veri işleme koşullarının mevcut olması halinde gerçekleştirilmektedir:

1. Kişisel Veri Sahibinin Açık Rızasının Varlığı
2. Kişisel Veri İşleme Faaliyeti Kanunlarda Açıkça Belirlenmiştir
3. Veri sahibinin açık rızası, fiili imkansızlık nedeniyle alınamamakta ve kişisel verilerin işlenmesi zorunludur.
4. Kişisel Veri İşleme Faaliyeti Doğrudan Bir Sözleşmenin Kurulması veya Yerine Getirilmesiyle İlgilidir
5. Şirketin yasal yükümlülüklerini yerine getirebilmesi için kişisel verilerin işlenmesi faaliyetlerinin yürütülmesi zorunludur.
6. Veri İşleme, Bir Hakkın Tesis Edilmesi, Kullanılması veya Korunması İçin Gereklidir
7. Veri Sahibinin Kişisel Verileri Kamuoyuna Açıklaması
8. Kişisel verilerin işlenmesi, veri sahibinin temel hak ve özgürlüklerine zarar vermediği sürece, şirketin meşru menfaatleri için gereklidir.
9. Özel Kişisel Veri İşleme Koşullarına Uygunluk

       Şirket tarafından belirlenen uygun önlemlerin alınması koşuluyla, özel kategorideki kişisel veriler aşağıdaki durumlarda işlenebilir:

• İlgili kişinin açık rızası gereklidir.
• Bu durum kanunda açıkça belirtilmiştir,
• Bu, fiili imkansızlık nedeniyle rızasını ifade edemeyen veya rızası hukuken geçerli sayılmayan kişinin veya başkasının hayatının veya fiziksel bütünlüğünün korunması için gereklidir.
• İlgili kişinin kamuya açık hale getirdiği kişisel veriler ve bu verilerin kamuya açık hale getirilmesine ilişkin iradesine uygun olarak,
• Bir hakkın tesis edilmesi, kullanılması veya korunması için zorunludur,
• Kamu sağlığının korunması, koruyucu tıp hizmetlerinin yürütülmesi, tıbbi teşhis, tedavi ve bakım hizmetlerinin sağlanması ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı için gizlilik yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilmesi gereklidir.
• İş, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarında yasal yükümlülüklerin yerine getirilmesi zorunludur.

3. SORUMLULUK VE GÖREV DAĞILIMI

4. KAYIT ORTAMI

Kişisel veriler, aşağıda listelenen ortamlarda yasalara uygun olarak güvenli bir şekilde saklanmaktadır.

5. KİŞİSEL VERİLERİN AKTARIMI

      Şirketimiz tarafından sunulan hizmetlerin sağlanması amacıyla, turizm, otelcilik yönetimi, seyahat acentesi, tur operatörü gibi hizmetler sağlayan iş ve çözüm ortaklarımızla, ayrıca şirketimizin iştirakleri, sosyal medya, reklam ve analiz iş ortaklarımızla kişisel verilerinizi paylaşabiliriz. İş ortaklarımız bu bilgileri, onlara sağladığınız veya hizmetlerini kullanırken topladıkları diğer bilgilerle birleştirebilirler.
      Şirket, ulusal ve uluslararası mevzuat hükümleri, özellikle de KVKK (Kişisel Verileri Koruma Kanunu) çerçevesinde, işlediği kişisel verileri yurt içinde veya yurt dışında aktarabilir. Bu aktarım işlemleri sırasında, KVKK Kanunu'nun 8. ve 9. maddeleri, 95/46/EC sayılı Direktif ve bu direktifi yürürlükten kaldıran GDPR (Genel Veri Koruma Yönetmeliği) hükümleri dikkate alınır. Şirket, kişisel verilerin yurt içinde ve yurt dışında aktarılmasına ilişkin yukarıda belirtilen kanun ve direktiflerde öngörülen şartları yerine getirmiştir.
Şirket, Kişisel Verilerin Korunması Kanunu'nun 8. ve 9. maddeleri ile bu politika çerçevesinde verilen yetki kapsamında, ilgili kişinin açık rızasını alarak işlediği verileri üçüncü taraflara aktarabilir. Aşağıda listelenen temel ilkeler, Şirket tarafından kişisel verilerin korunması mevzuatına uyum ve uyumun sürdürülmesi kapsamında bu Politikanın 2. Bölümünde açıklanmıştır.
Şirket tarafından usulüne uygun olarak toplanan, saklanan ve işlenen veriler, teknik destek hizmeti almak ve veri güvenliğini sağlamak gibi amaçlarla aşağıdaki yerel üçüncü taraflarla paylaşılır ve açık rıza kapsamında işlenir.
Google LLC,
Meta Inc,
Microsoft Corporation, Inc.,
Yandex LLC
ve ayrıca Dijital Pazarlama faaliyetleri kapsamında
Cyber ​​Media Information Technologies. Tic. Ltd. Ltd.

Diğer kanunlardaki hükümler, kişisel verilerin yurt içi transferine ayrılmıştır.
Bu Veri Politikası kapsamında herhangi bir Veri İşleyicisi varsa, Veri İşleyicisi ile Şirket arasındaki kişisel veri aktarımlarına Kişisel Veri Koruma Kanunu'nun 8. maddesi hükümleri uygulanır. Veri sorumlusu unvanına sahip şirketin tüzel kişiliğinde ve tüzel kişiliğin farklı departmanlarında çalışan personel arasındaki veri aktarımı, Kişisel Veri Koruma Kanunu'nun 8. maddesi çerçevesinde bir aktarım olarak kabul edilmez. Bununla birlikte, şirketle iş birliği veya çözüm ortağı olarak faaliyet gösteren ayrı tüzel kişiliklere sahip kişilerle yapılan veri aktarımları, Kişisel Veri Koruma Kanunu'nun 8. ve 9. maddeleri ve bu Kişisel Veri Koruma Politikası kapsamında veri aktarımı olarak kabul edilir.

2. Kişisel Verilerin Yurtdışına Aktarılması

Şirket tarafından kişisel veriler, KVKK'nın 9. maddesi uyarınca belirlenen kişisel veri işleme koşullarına uygun olarak işlenmektedir;
(1) Yeterli korumanın varlığı (Yeterli korumaya sahip ülkeler Kurum tarafından belirlenir ve ilan edilir.)
(2) Yeterli koruma sağlanmadığı takdirde, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumluları, yeterli korumayı yazılı olarak taahhüt etmeli ve Kurumun iznini almalıdır.
(3) Kurum tarafından duyurulan standart sözleşme, şirket ve paylaşılacak üçüncü taraf ile imzalanmalıdır.
veya

• Bir sözleşmenin yerine getirilmesi veya sözleşme öncesi önlemlerin uygulanması,
• İlgili kişinin menfaatine veya üstün bir kamu yararına yönelik bir sözleşmenin kurulması veya yürütülmesi,
• Bir hakkın tesis edilmesi, kullanılması veya korunması,
• Bu, rızasını fiilen ifade edememe veya rızasının hukuken geçerliliğinin bulunmaması nedeniyle, kişinin veya başkasının can güvenliğinin veya fiziksel bütünlüğünün korunması için gereklidir.
• Halka açık veya meşru menfaat sahibi kişilere açık bir sicilden transfer.

Bu gibi durumlarda yurt dışına transfer edilebilir.

6. DEPOLAMA VE İMHA GEREKTİREN NEDENLERE İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, özellikle ticari faaliyetlerin sürdürülmesi, yasal yükümlülüklerin yerine getirilmesi, çalışan hak ve menfaatlerinin planlanması ve yerine getirilmesi ve müşteri ilişkilerinin yönetilmesi amacıyla, KVKK ve diğer ilgili mevzuatın belirlediği sınırlar dahilinde, Şirket tarafından yukarıda belirtilen fiziksel veya elektronik ortamlarda güvenli bir şekilde saklanmaktadır.

1.  
1. Depolama Hakkında Bilgiler

Kanun ve bu Politika uyarınca işlenen kişisel veriler aşağıdaki koşullar altında saklanabilir.

• Kişisel verilerin saklanması, sözleşmelerin kurulması ve yürütülmesiyle doğrudan ilgili olduğu için gereklidir.
• Kişisel verilerin bir hakkın tesis edilmesi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin saklanması, şirketin meşru menfaatleri doğrultusunda zorunludur; ancak bu durum bireylerin temel hak ve özgürlüklerine zarar vermediği sürece geçerlidir.
• Şirketin yasal yükümlülüklerini yerine getirmek amacıyla kişisel verilerin saklanması,
• Kişisel verilerin saklanması mevzuatta açıkça belirtilmiştir.
• Veri sahiplerinin açık rızasını gerektiren depolama faaliyetleri için veri sahiplerinin açık rızası gereklidir.
2. İmha Gerektiren Sebepler

 Yönetmeliğe uygun olarak, aşağıda belirtilen durumlarda, veri sahiplerinin kişisel verileri Şirket tarafından resen veya talep üzerine silinir, imha edilir veya anonimleştirilir.

• Kişisel verilerin işlenmesi veya saklanmasına temel teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yerine getirilmesi,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kaldırılması,
• Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenmesini gerektiren şartların kaldırılması,
• Kişisel verilerin işlenmesinin yalnızca açık rıza temelinde gerçekleştirildiği durumlarda, ilgili kişinin rızasını geri çekmek için,
• Veri sorumlusu, ilgili kişinin Kanun'un 11. maddesinin 2 (e) ve (f) bentlerinde yer alan hakları çerçevesinde kişisel verilerinin silinmesi, imha edilmesi veya anonimleştirilmesi için yaptığı başvuruyu kabul eder.
• Veri sorumlusunun, ilgili kişinin kişisel verilerinin silinmesi, imha edilmesi veya anonimleştirilmesi talebine ilişkin başvurusunu reddetmesi, yanıtının yetersiz bulunması veya Kanunda öngörülen süre içinde yanıt vermemesi durumlarında; Kuruma şikayette bulunulması ve bu talebin Kurum tarafından onaylanması halinde,
• Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olsa da, kişisel verilerin daha uzun süre saklanmasını haklı kılan bazı durumlar mevcuttur.

Şirket, kişisel verileri, işleme amacına uygun olarak gerekli süre boyunca ve ilgili yasal mevzuatta öngörülen minimum süre boyunca saklar. Bu bağlamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini belirler ve bir süre öngörülmüşse, bu süreye uygun hareket eder. Yasal bir süre öngörülmemişse, kişisel veriler, işleme amacına uygun olarak yukarıdaki tabloda gösterilen süre boyunca saklanır. Belirtilen saklama sürelerinin sonunda, kişisel veriler, periyodik imha sürelerine veya veri sahibinin talebine ve belirtilen imha yöntemlerine (silme ve/veya imha ve/veya anonimleştirme) uygun olarak imha edilir.

7. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE ŞİRKET TARAFINDAN TALEPLERİNİN SONUÇLANDIRILMASI

     Veri sahipleri, kişisel verilerine ilişkin taleplerini Şirkete yazılı olarak veya KVK Yetkilisi tarafından belirlenen diğer yöntemlerle iletirlerse, Şirket, veri sorumlusu sıfatıyla, talebin niteliğine bağlı olarak, KVK Kanunu'nun 13. Maddesi uyarınca, talebin en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamakla yükümlüdür. Veri sahipleri, kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usulü ve Esasları Hakkındaki Tebliğ'e uygun olarak iletmelidirler.
      Veri güvenliğinin sağlanması kapsamında, şirket, başvuru sahibinin başvuruya konu kişisel verilerin sahibi olup olmadığını belirlemek için bilgi talep edebilir. Şirketimiz ayrıca, kişisel veri sahibinin başvurusunun talebe uygun olarak sonuçlandırıldığından emin olmak amacıyla, kişisel veri sahibine başvurusuyla ilgili sorular sorabilir.
      Veri sahibinin başvurusu; diğer kişilerin hak ve özgürlüklerinin kısıtlanması olasılığı bulunan, orantısız bir çaba gerektiren veya bilgilerin kamuya açık olduğu durumlarda, Şirket gerekçesini açıklayarak talebi reddedebilir.
Kişisel Veri Sahiplerinin Hakları KVK Kanunu'nun 11. maddesi uyarınca, Şirketimize başvurarak aşağıdaki konularda talepte bulunabilirsiniz:

1. Kişisel verilerinizin işlenip işlenmediğini öğrenmek için,
2. Kişisel verilerinizin işlenip işlenmediği hakkında bilgi talep etmek için,
3. Kişisel verilerinizin işlenme amacını ve bu verilerin amacına uygun olarak kullanılıp kullanılmadığını öğrenmek için,
4. Kişisel verilerinizin yurt içinde veya yurt dışında hangi üçüncü taraflara aktarıldığını öğrenmek için,
5. Kişisel verilerinizin eksik veya yanlış işlenmesi durumunda düzeltilmesini talep etmek ve bu bağlamda alınan önlemlerin, kişisel verilerinizin aktarıldığı üçüncü taraflara bildirilmesini talep etmek için,
6. Kişisel verilerinizin işlenmesini gerektiren nedenlerin ortadan kalkması durumunda, verilerinizin Kişisel Verilerin Korunması Kanunu (PDPL) ve diğer ilgili kanunlar uyarınca işlenmiş olmasına rağmen, verilerinizin silinmesini, imha edilmesini veya anonimleştirilmesini talep etmek ve bu bağlamda alınan önlemlerin, kişisel verilerinizin aktarıldığı üçüncü taraflara bildirilmesini talep etmek hakkına sahipsiniz.
7. Verilerinizin yalnızca otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhinize bir sonuç çıkmasına itiraz etmek,
8. Kişisel verilerinizin hukuka aykırı işlenmesi nedeniyle zarar görmeniz durumunda tazminat talep etmek için.

8. TEKNİK VE İDARİ TEDBİRLER

Şirket, Kişisel Verilerin Korunması Kanunu'nun 12. maddesi ve 6. maddesinin dördüncü fıkrası uyarınca, Kurum tarafından belirlenen ve duyurulan uygun tedbirler çerçevesinde, kişisel verilerin güvenli bir şekilde saklanması, kişisel verilerin hukuka aykırı işlenmesinin ve bunlara erişimin önlenmesi ve kişisel verilerin kanuna uygun olarak imha edilmesi amacıyla teknik ve idari tedbirler almaktadır.

1. Teknik Önlemler

• Sızma testleri ile şirketimizin bilgi sistemlerine ilişkin riskler, tehditler, güvenlik açıkları ve olası zafiyetler ortaya çıkarılır ve gerekli önlemler alınır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı analiz sonucunda, bilgi sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilgi sistemlerine erişim ve kullanıcı yetkilendirmesi, kurumsal aktif dizin üzerinden erişim ve yetkilendirme matrisi ve güvenlik politikaları aracılığıyla yapılır.
• Şirketimizin bilgi sistemleri ekipmanlarının, yazılımlarının ve verilerinin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Bilgi sistemlerinin çevresel tehditlere karşı güvenliğini sağlamak amacıyla donanım (sistem odasına yalnızca yetkili personelin girmesine izin veren erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan uç anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, klima sistemi vb.) ve yazılım önlemleri (güvenlik duvarları, saldırı önleme sistemleri, ağ erişim kontrolü, kötü amaçlı yazılım engelleme sistemleri vb.) alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemek için riskler belirlenir, bu risklere uygun teknik önlemler alınır ve alınan önlemler için teknik kontroller yapılır.
• Şirket içinde erişim prosedürleri oluşturulmuş olup, kişisel verilere erişimle ilgili raporlama ve analiz çalışmaları yürütülmektedir.
• Kişisel verileri içeren depolama alanlarına erişim kaydedilir ve yetkisiz erişim veya erişim girişimleri kontrol altında tutulur.
• Şirket, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve kullanılamaz olmasını sağlamak için gerekli önlemleri almaktadır.
• Kişisel verilerin başkaları tarafından hukuka aykırı olarak elde edilmesi durumunda, Şirket tarafından ilgili kişiyi ve kurumu [email protected] adresine e-posta göndererek bilgilendirmek için uygun bir sistem ve altyapı oluşturulmuştur .
• Güvenlik açıkları izlenmekte, uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü şifreler kullanılır.
• Güvenli kayıt tutma (günlükleme) sistemleri, kişisel verilerin işlendiği elektronik ortamlarda kullanılır.
• Veri yedekleme programları, kişisel verilerin güvenli bir şekilde saklanmasını sağlamak için kullanılır.
• Elektronik veya elektronik olmayan ortamlarda saklanan kişisel verilere erişim, erişim ilkelerine göre sınırlandırılmıştır.
• Şirket, hiçbir koşulda kişisel verileri flash bellek, USB sürücü, veri bankası ve benzeri taşınabilir sistemlerde saklamaz ve mevcut kişisel verilerin bu tür taşınabilir sistemlere aktarılmasına izin verilmez.
• Özel kişisel veri işleme süreçlerinde yer alan çalışanlara ait verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel kişisel verilerin işlendiği, saklandığı ve/veya erişildiği elektronik ortamlar, kriptografik yöntemlerle korunmaktadır; kriptografik anahtarlar güvenli ortamlarda saklanmaktadır; tüm işlem kayıtları tutulmaktadır; ortamların güvenlik güncellemeleri sürekli olarak izlenmektedir; gerekli güvenlik testleri düzenli olarak yapılmaktadır; test sonuçları kaydedilmektedir.
• Özel kişisel verilerin işlendiği, saklandığı ve/veya erişildiği fiziksel ortamlar için yeterli güvenlik önlemleri alınmakta ve fiziksel güvenlik sağlanarak yetkisiz giriş ve çıkışlar engellenmektedir.

1.  
2. İdari Tedbirler

Şirketin işlediği kişisel verilerle ilgili olarak aldığı idari önlemler aşağıda listelenmiştir:

• Çalışanların niteliklerini geliştirmek amacıyla, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı erişimin önlenmesi, kişisel verilerin korunmasının sağlanması, iletişim teknikleri, teknik bilgi ve beceriler, 657 sayılı Kanun ve diğer ilgili mevzuat konularında eğitim verilmektedir.
• Çalışanlara şirket tarafından yürütülen faaliyetlerle ilgili gizlilik sözleşmeleri imzalatılıyor.
• Güvenlik politikalarına ve prosedürlerine uymayan çalışanlar için bir disiplin prosedürü hazırlanmıştır.
• Şirket, kişisel verileri işlemeye başlamadan önce ilgili kişileri bilgilendirme yükümlülüğünü yerine getirir.
• Kişisel verilerin işlenmesine ilişkin bir envanter hazırlanmıştır.
• Şirket bünyesinde periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara bilgi güvenliği eğitimi verilmektedir.
• Hassas kişisel verilerin güvenliği için ayrı bir politika belirlenmiştir.
• Özel kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara özel kişisel veri güvenliği konusunda eğitim verilmekte ve özel kişisel veri güvenliği ile ilgili gizlilik sözleşmeleri imzalanmaktadır.

9. KİŞİSEL VERİ YOK ETME TEKNİKLERİ

İlgili mevzuatta öngörülen sürenin veya işlenme amacına uygun olarak gerekli saklama süresinin sonunda, kişisel veriler Şirket tarafından resen veya ilgili kişinin başvurusu üzerine, aşağıda belirtilen teknikler kullanılarak, ilgili mevzuata uygun olarak imha edilir.

1.  
1. Kişisel Verilerin Silinmesi

1.  
2. Kişisel Verilerin İmhası

10. SAKLAMA VE ATIK SÜRESİ

Şirketin faaliyetleri kapsamında işlediği kişisel verilerle ilgili olarak;

• Yürütülen faaliyetler kapsamındaki tüm kişisel veriler için, süreçlere bağlı olarak belirlenen kişisel veri tabanlı saklama süreleri Kişisel Veri İşleme Envanterinde yer almaktadır;
• Süreç bazlı saklama süreleri Kişisel Verilerin Saklanması ve İmhası Politikası'nda yer almaktadır.

gerçekleşir.
Saklama süresi dolmuş kişisel veriler için Şirket, resen bu verileri siler, imha eder veya anonimleştirir.

2. PERİYODİK YIKIM DÖNEMİ

Periyodik imha süreleri 3 ay olarak belirlenmiştir. Şirket bünyesinde imha işlemi, şirket tarafından belirlenen tarihte, her yıl 3 aylık dönemler halinde gerçekleştirilir.

3. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik olmak üzere iki farklı ortamda yayınlanmakta ve internet sitesinde kamuoyuna duyurulmaktadır. Basılı kağıt kopyası merkez ofiste saklanmaktadır.

4. POLİTİKANIN GÜNCELLENMİŞ DÖNEMİ

Bu veri politikası 21.03.2024 tarihinde güncellenmiştir ve gelişmelere paralel olarak gerekirse gözden geçirilecek ve gerekli bölümler güncellenecektir. Güncellemeler web sayfasında yayınlanmaktadır.