1. İŞLENEN KİŞİSEL VERİLERİNİZ

Şirketimiz tarafından işlenen kişisel veriler, aşağıdaki şekilde kategorize edilmiştir:

• Kimlik Bilgileri (Nüfus cüzdanı, ehliyet, pasaport üzerinde yer alan bilgiler gibi)
• İletişim Bilgileri (Adres, e-posta adresi, telefon numarası, KEP adresi vb.)
• Konum Bilgileri
• Çalışan Özlük Bilgileri (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme bilgileri, izin bilgileri vb.)
• Hukuki İşlem Bilgileri (Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.)
• Müşteri İşlem Bilgileri (Ürün ve hizmet sunumuna yönelik kayıtlar, talepler, talimatlar vb.)
• Fiziksel Mekan Güvenlik Bilgileri (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları vb.)
• İşlem Güvenliği (IP adresi, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri vb.)
• Risk Yönetimi (yetki belgesi, imza örneği, ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler)
• Finansal Bilgiler (bilanço, finansal performans, banka hesap bilgileri vb.)
• Mesleki Deneyim Bilgileri (diploma bilgileri, gidilen kurslar, meslek içi eğitimler, sertifikalar vb.)
• Pazarlama Bilgileri (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
• Görsel/İşitsel Bilgiler
• Özel Nitelikli Kişisel Veri (Sabıka kaydı; sağlık bilgileri; dini aidiyet; ceza mahkûmiyeti bilgileri; Irk Verisi)
• Diğer Bilgiler (şirkete ait araçların kullanımına ilişkin bilgiler, araç takip sistemi verileri; trafik cezaları, kaza tutanakları, iş kazası bildirimleri, araç zimmet belgeleri, vb)

1. İŞLENEN KİŞİSEL VERİLERİNİZ

Kanun’un 4. 5. ve 6. Maddeleri uyarınca kişisel verileriniz;

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

ilkelerine uygun olarak aşağıda sayılan amaçlar dahilinde işlenecektir:

• Şirketimizin idaresi ile faaliyetlerin mevzuata, şirket politika ve prosedürlerine uygun olarak yerine getirilmesi;
• Sözleşme, ürün ve hizmet koşullarının ifası ile üstlenilen yükümlülüklerin eksiksiz ve doğru bir şekilde yerine getirilebilmesi;
• Hukuki yükümlülüklere uyum sağlanması;
• Şirketimiz tarafından sunulan ürün ve hizmetlerin satışa sunulması;
• Tedarikçi, iş ortakları, dış hizmet sağlayıcıları ve müşteriler arasında iletişimin sağlanması;
• İnsan kaynakları politikalarının ve süreçlerinin yürütülmesi;
• Bilgi güvenliği ve iş sürekliliği süreçlerinin planlanması ve uygulanması;
• Şirket’in, personelin, müşterilerin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini;
• Pazarlama analiz çalışmalarının yürütülmesi;
• İletişim ve pazarlama faaliyetlerinin yürütülmesi;
• Çalışan ve müşteri memnuniyeti yönetimi;
• Finans, muhasebe ve operasyon süreçlerinin yürütülmesi;
• Organizasyon ve etkinlik yönetimi;
• Denetim ve risk yönetimi faaliyetlerinin icrası ile kalite kontrol sürecinin yürütülmesi;
• Şirket içi/dışı eğitim faaliyetlerinin planlanması ve icrası;
• Şirket faaliyetlerinin şirket prosedürü ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası;
• Ziyaretçi kayıtlarının oluşturulması ve takibi ile şirket yerleşkesi ve tesislerinin güvenliğinin sağlanması;
• Hukuki süreçlerin takibi;
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi.

Şirketimiz, kişisel bilgilerinizi, bu amaçlar, kapsam ve faaliyetleri dışında hiçbir amaçla kullanmamakta ve satmamaktadır. Kişisel verilerinizin hukuka aykırı olarak işlenmesinin ve verilerinize hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerinizin güvenli bir şekilde muhafaza edilmesi amacıyla her türlü gerekli teknik ve idari tedbir tarafımızdan alınmaktadır.

Kişisel verilerinizin Şirket’imiz tarafından işlenme amaçları konusunda detaylı bilgilere, https://theixion.com  internet adresinde yer verilen “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda yer verilmiştir.

3. KİŞİSEL VERİLERİNİZİN AKTARIMI

Kişisel verileriniz, yukarıda belirtilen süreç̧ ve amaçların gerçekleştirilebilmesi amacıyla açık rızanıza istinaden veya Kişisel Verilerin Korunması Kanunu’ nun 5 inci maddenin ikinci fıkrasında yazılı hallerde ( a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.) ve yeterli önlemler alınmak kaydıyla 6 ncı maddenin üçüncü fıkrasında belirtilen sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rızanız aranmaksızın aşağıda yer alan amaçlarla; iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, şirket yetkililerine, Grup Şirketlerine/ hissedarlarına/ yetkililerine, işlenme amacının gerektirdiği ve faaliyetlerimiz gereği anlaşmalı olduğumuz ve hizmet sunduğumuz 3.kişilere/kuruluşlara,  kanunen yetkili kamu kurumlarına ve özel hukuk tüzel kişilerine aktarılabilmektedir:

• Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi- belge talebinin karşılanması;
• Şirketler hukuku, ticari faaliyetler, etkinlik yönetimi ve kurumsal iletişim süreçlerinin yürütülmesi;
• Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, uygulanması ve yönetimi; izleme, risk yönetimi ve denetim faaliyetlerinin yürütülmesi;
• Ticari faaliyetlerin ve müşteri şikayet/dava süreçlerinin yürütülmesi;
• Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek, denetim ve danışmanlık hizmeti alınması;
• İş ortaklığının kurulma amaçlarının ve müşteri hizmetlerinin yerine getirilmesi.

Kişisel verilerinizin Şirket’imiz tarafından aktarılmasına ilişkin detaylı bilgilere, https://theixion.com internet adresinde yer verilen “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda yer verilmiştir.

4. KİŞİSEL VERİLERİNİZİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEPLERİ

Kişisel verileriniz, otomatik ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle, iş ortaklarımız, işlenme amacının gerektirdiği ve faaliyetlerimiz gereği anlaşmalı olduğumuz ve hizmet sunduğumuz 3.kişilere/kuruluşlar tarafından veya tarafınızdan iletilen bilgi ve belgeler ve benzeri kanallarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.

4.1 Kişisel verileriniz, Kanun’un 5(1) maddesi doğrultusunda açık rızanıza istinaden; 5(2) maddesinde belirtilen ve aşağıda yer verilen durumların varlığı halinde açık rızanız aranmaksızın işlenebilmektedir.

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.2 Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileriniz Kanun’un 6(2) maddesi doğrultusunda açık rızanıza istinaden veya 6(3) maddesine uygun olarak Kanunlarda öngörülen hallerde işlenebilmektedir.

4.3 Sağlık ve cinsel hayata ilişkin kişisel verileriniz Kanun’un 6(2) maddesi doğrultusunda açık rızanıza istinaden işlenebilmektedir. Açık rızanız bulunmaması halinde, sağlık ve cinsel hayata ilişkin kişisel verileriniz ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

5. KANUN KAPSAMINDAKİ HAKLARINIZ

Kanun’un 11. Maddesi kapsamında dilediğiniz zaman Şirketimize başvurarak kişisel verilerinizin;

• İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanıp kullanılmadığı öğrenebilir ve işlenmiş ise bu konuda bilgi talep edebilir;
• Kanun’a uygun olarak yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir;
• Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteyebilir;
• Kanun’da öngörülen şartlar çerçevesinde silinmesini ya da yok edilmesini talep edebilir;
• Düzeltilmesi, silinmesi ya da yok edilmesi taleplerinizin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir;
• Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir;
• Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep edebilirsiniz.

Kanun’un uygulanması ile ilgili haklarınızı kullanmak için Şirketimize https://theixion.com  adresinde yer alan “Veri Sahibi Başvuru Formu”nu doldurarak başvurabilir ve söz konusu başvuruyu aşagıda belirtilen yöntemlerle gönderebilirsiniz. Kişisel Verileri Koruma Kurulu tarafından yeni başvuru yöntemleri belirlenmesi halinde, bu yöntemler tarafımızdan duyurulacaktır.

• Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “Kültür Mah. Suna Sokak No:8 Beşiktaş/İstanbul” adresine iletilmesi.
• Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun info@theixion.com  adresine kayıtlı elektronik posta ile gönderilmesi.

Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular şu an için ücretsizdir. Ancak Kişisel Verileri Koruma Kurulu’nun ücret tarifesi belirlemesi durumunda, bu tarifeye uygun olarak ücretlendirme yapılabilecektir.

Başvuruların içeriğinde aşağıdaki bilgilerin bulunması mevzuat gereği zorunlu olup herhangi bir eksiklik halinde başvurunuz işleme alınamayacaktır. Buna göre başvurularda talebe ilişkin bilgi ve belgelerle birlikte;

• Ad, soyad ve başvuru yazılı ise imzanız,
• Türkiye Cumhuriyeti vatandaşlar için TC Kimlik Numarası Yabancılar için uyruğu pasaport numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş adresi,
• Bildirime esas elektronik posta adresi, telefon veya faks numarası,
• Talep Konusu’ nun açıkça belirtilmesi gereklidir.

Bilgilerinize saygılarımızla sunarız.

1. AMAÇ

Bu politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında veri sorumlusu sıfatıyla IXİON TEKNOLOJİ (Şirket) tarafından, ilgili kişilerin Kanun’un uygulanmasıyla ilgili başvurularının yönetilmesi, yerine getirilmesi ve kaydedilmesine ilişkin işleyişi ve tesis edilen iletişim kanallarını açıklamaktır.

2. KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen gerçek kişiler hakkında uygulanır.

3. SORUMLULUK

İşbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirketİin ilgili Yönetim Kurulu üyesi sorumludur.

İrtibat Kişisi

• İlgili kişilerin Şirket’e yönelteceği taleplerin cevaplandırılması konusunda iletişimin sağlanmasından;
• İlgili departmanlar tarafından iletilen cevaplar doğrultusunda, ilgili kişilerin başvurularının en geç 30 gün içinde cevaplanmasının sağlanmasından;
• Kurul ile Şirket arasındaki iletişimin sağlanmasından ve Kurul taleplerinin yerine getirilmesinden;

Görevli Yönetim Kurulu Üyesi

• Kendilerine ulaşan ilgili kişi başvurularının en geç 1 hafta içinde incelenerek cevaplanmasını sağlamaktan

sorumludur.

4. TANIMLAR

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimligi belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Başvuru: Kanunun 13. maddesi kapsamında yapılan başvuru

Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza

İlgili kişi: Kişisel verisi işlenen gerçek kişi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şekli

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Mobil imza: Mobil bir cihaz kullanılarak oluşturulan elektronik imza

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

5. BAŞVURU HAKKI

Kanun’un 11. Maddesi uyarınca, ilgili kişi, Şirketimize başvurarak kendisiyle ilgili;

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadıgını ögrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• d ve e bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişi, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

Kanun hükümlerinin uygulanmadığı aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aydınlatma yükümlülüğü ve zararın giderilmesini talep etme hakkı hariç, aşağıdaki hallerin varlığı halinde, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

6. BAŞVURU USÜLLERİ

İlgili kişi, Kanun’un uygulanmasıyla ilgili taleplerini, kimliğini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle https://theixion.com adresinde yer verilen “Veri Sahibi Başvuru Formu” nu doldurarak Şirket’e iletebilir.

• Veri Sahibi Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılıgı ile zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılarak “Kültür Mah. …. Sok. No:8 Beşiktaş/İstanbul” adresine iletilmesi.
• Veri Sahibi Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra kayıtlı elektronik posta ile konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılarak info@theixion.com adresine gönderilmesi.

Yazılı başvurularda, Şirket’e evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemle yapılan başvurularda; başvurunun Şirket’e ulaştığı tarih, başvuru tarihidir.

7. BAŞVURUNUN KAYIT ALTINA ALINMASI

Başvuru Formunun elden ibraz edilmesi halinde ilgili kişinin kimliği, kimlik belgesi (Adı-Soyadı, Kimlik No) kontrol edilmek suretiyle tespit edilir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunabilmesi için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir. Vekâletnamenin bir kopyası başvuru ekinde muhafaza edilir.

18 yaşın altındaki kişilerin kişisel verilerine ilişkin başvuru, yasal temsilcisi tarafından yapılabilir. Bu durumda yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilir ve bir örneği başvuru ekinde saklanır.

Güvenli elektronik imza ile yapılan başvurularda e-imzaya dayalı nitelikli elektronik sertifika ile başvuru yapanın kimliği hukuken tespit edilebilmektedir.

İlgili kişi tarafından şahsen veya noter aracılığı ile yazılı olarak yapılan başvurular, Muhaberat tarafından Evrak Kayıt Defterine kaydedilerek imza karşılığı İrtibat Kişisi ’ne teslim edilir.

Kayıtlı elektronik posta adresine yapılan başvurular yetkili kişi tarafından İrtibat Kişisi’ne e-posta ile ulaştırılır.

İrtibat Kişisi başvurunun işbu Politikada belirtilen usullere uygun olup olmadığını ve başvuru formunda yer alması gereken bilgi ve belgelerin eksiksiz olup olmadığını kontrol eder. Usulüne uygun olmayan başvurular için, gerekli bilgilerin temin edilmesi amacıyla ilgili kişi ile iletişime geçer. Buna rağmen usulüne uygun olmayan, eksik bilgi/belgeli başvurular gerekçesiyle ilgili kişiye yazılı olarak bildirilerek reddedilir.

Usulüne uygun olarak alınan başvurular, İrtibat Kişisi tarafından, başvuru sahibi kişi kategorisine göre ilgili departman yöneticisine iletilir.

8. BAŞVURUNUN DEĞERLENDİRİLMESİ

8.1. KİŞİSEL VERİ TESPİTİ

İlgili kişilerden gelen taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin kişisel verilerinin, Şirket nezdinde işlenip işlenmediği ilgili departman tarafından tespit edilmelidir.

Bu amaçla öncelikle Başvuru Formunda yer alan bilgilerden hareketle Kişisel Veri Envanterindeki ilgili süreç, veri kategorisi, kayıt ortamı ve saklama yeri tespit edilir. Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan veri sahibi bilgileri, Şirket veri tabanları üzerinde aratılarak kontrol edilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa, İrtibat Kişisi ‘ne e-posta ile bilgi verilir.

İlgili süreçlerde ve gerçekleştirilen sistemsel testte ilgili kişinin başvuru formunda belirttiği kişisel verilere rastlanıyorsa, kişisel veri sahibinin talebine uygun olarak aşağıdaki adımlardan biri uygulanarak talebin gereği yerine getirilir.

8.2. İŞLENEN KİŞİSEL VERİYE İLİŞKİN BİLGİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde yer alan işlenen kişisel veriler, veri işleme amacı, aktarılan taraf ve aktarma amacı bilgilerinden talebe uygun olanları, İrtibat Kişisi’ne e-posta ile iletilir.

8.3. İŞLENEN KİŞİSEL VERİYE İLİŞKİN DÜZELTME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (d) bendinde belirtilen talebi doğrultusunda, veri sahibinin sağladığı kişisel veriler ve bunları tevsik eden belgeler ile Şirket kayıtlarında yer alan bilgiler karşılaştırılır. Şirket nezdinde hatalı ya da eksik olarak işlendiği belirlenen veriler, düzeltilmesi için tevsik edici belgelerle birlikte verinin kayıt altına alındığı ilgili birime iletilerek güncellenmesi sağlanır.

Güncellenen verilere ilişkin olarak bilgi, İrtibat Kişisi’ne e-posta ile iletilir.

8.4. İŞLENEN KİŞİSEL VERİYE İLİŞKİN SİLME/ YOK ETME TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (e) bendinde belirtilen talebi doğrultusunda, Kişisel Veri Envanterinde hangi süreçlerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.

Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise ilgili kişisel verilerin, Kişisel Veri Saklama ve İmha Politikasına uygun olarak silinmesi ve yok edilmesi sağlanır. Silme/yok etme işleminin tamamlanmasının ardından ilgili kişisel verilerin silindiği, yok edildiği bilgisi İrtibat Kişisi ile paylaşılır.

Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise, kişisel veri işlemeye temel olan yasal zorunluluğun ortadan kalkmaması nedeniyle talebinin gerçekleştirilemediği yönünde İrtibat Kişisi ‘ne bilgi verilir.

8.5. İŞLENEN KİŞİSEL VERİYE İLİŞKİN DÜZELTME/SİLME/ YOK ETME TALEPLERİNİN VERİ AKTARILAN TARAFLARA BİLDİRİMİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (f) bendinde belirtilen talebi doğrultuşunda,

Kişisel Veri Envanterinden veri aktarılan kişi kategorileri tespit edilir.

Eğer ilgili kişinin düzeltme/silme veya yok etme talebi yerine getirilmişse, veri aktarılan taraflardan da aynı işlemlerin gerçekleştirilmesi ve talebin yerine getirildiğinin yazılı olarak teyit edilmesi istenir.

İlgili kişinin düzeltme/silme veya yok etme talebinin, kişisel verilerin aktarıldığı üçüncü kişiler tarafından da yerine getirildiğine ilişkin bilgi İrtibat Kişisi ‘ne e-posta ile iletilir.

8.6. KİŞİNİN KENDİSİ ALEYHİNE BİR SONUCUN ORTAYA ÇIKMASINA İTİRAZ ETMESİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (g) bendinde belirtilen talebi doğrultusunda, veri sahibinin aleyhine sonuç doğurduğu iddia edilen süreç incelemeye alınır.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik ve hata olmadığı tespit edilirse İrtibat Kişisi’ne bu yönde bilgi verilir.

Yapılan incelemede süreçte veya süreç içerisinde işlenen kişisel verilerde aleyhe sonuç doğuracak herhangi bir eksiklik veya hata tespit edilirse, kişinin sağladığı bilgiler doğrultusunda düzeltme yapılarak yapılan değişikliğin kişi lehine sonuç yarattığı ve sistemlerin bu şekilde güncellendiği bilgisi İrtibat Kişisi’ne e-posta ile iletilir.

8.7. KİŞİSEL VERİLERİN KANUNA AYKIRI OLARAK İŞLENMESİ SEBEBİYLE ZARARA UGRAMASI HÂLİNDE ZARARIN GİDERİLMESİ TALEBİ

İlgili kişinin Kanun’un 11/1. ve bu Politikanın 5.maddesinin (g) bendinde belirtilen talebi doğrultusunda, zarar talebi Hukuk Danışmanı ve ilgili birimlerin katılımıyla incelemeye alınır. İnceleme sonucunda alınacak aksiyon ve başvuruya verilecek yanıt belirlenerek Hukuk Danışmanlığı vasıtasıyla işleme alınır.

Kişisel verilerin Kanuna aykırı olarak işlenmesi nedeniyle ilgili kişinin uğradığı zararın giderilmesi, Yönetim Kurulu onayıyla gerçekleştirilir.

9. BAŞVURUNUN CEVAPLANMASI

Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekir.

İlgili departmanlara ulaştırılan başvuruların incelenmesi, teslim alındığı tarihten itibaren en geç 1 hafta içinde sonuçlandırılarak İrtibat Kişisi ‘ne bildirilmelidir.

İrtibat Kişisi, başvuruya ilişkin bilgi ve belgeleri, ilgili departmanlardan gelen cevaplar ve alınan aksiyonların hukuka ve Kanun’a uygunluğu açısından incelenmesi amacıyla Hukuk Danışmanı’na iletir.

Hukuk danışmanı tarafından iletilen hukuka uygunluk onayı ve başvuruya cevaben inceleme sonucuna göre hazırlanan yazı, İrtibat Kişisi tarafından, en geç otuz (30) gün içinde veri sahibine ulaştırılır. Cevap yazısının asgari olarak;

• Şirket veya temsilcisine ait bilgileri,
• Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
• Talep konusunu,
• Şirket’in başvuruya ilişkin açıklamalarını,

içermesi zorunludur.

Başvuruya verilecek yanıtlarda üçüncü kişilere ait kişisel veriler kesinlikle yer alamaz. Üçüncü kişilere ait kişisel verilere yer verilmeksizin başvurunun yanıtlanması mümkün olmayan durumlarda, üçüncü kişiye ait bilginin gizlenerek/anonimleştirilerek paylaşılması veya ilgili kişinin açık rızasının alınması yoluna gidilir.

Noter kanalıyla yapılan başvurulara verilen yanıtlar: Şirket antetli kâğıdına basılarak Şirket’in imza yetkilileri tarafından iki nüsha imzalanır. Cevap yazısı, Evrak Kayıt Defterine kaydedilerek posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.

Elektronik imza ile verilen yanıtlar: elektronik imzalı olarak Şirket’in imza yetkilileri tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.

İlgili başvuruya ilişkin oluşan tüm kayıtlar, inceleme sonuçları, sorgulamalar, yazışmalar, Hukuk görüşleri ve cevaplar İrtibat Kişisi tarafından oluşturulan elektronik dizinde, yazılı belgeler arşivde saklanır.

10. ÜCRET

Şirket başvuruda yer alan talepleri ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, üst yönetimin onayı ile Kurul tarafından belirlenen aşağıdaki tarife uygulanabilir:

• İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.
• Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Başvurunun, Şirket hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir.

İşbu Çerez (Cookie) Politikasının amacı; IXİON TEKNOLOJİ tarafından işletilmekte olan https://theixion.com/  internet sitesi ('Site') ile mobil uygulamasının (hepsi birlikte 'Platform' olarak anılacaktır) işletilmesi sırasında Platform kullanıcıları/üyeleri/ziyaretçileri ('Veri Sahibi') tarafından çerezlerin kullanımı sırasında elde edilen kişisel verilerin işlenmesine ilişkin olarak sizlere bilgi vermektir.

Bu politikada yer alan "kişisel veri" ifadesi aşağıda yer alan bilgileri kapsamaktadır:

• Müşteri Bilgisi
• Cihaz Bilgisi
• Davranışlar
• Demografik Bilgiler
• Pazarlama Bilgisi
• Davranışsal Reklamcılık

Platformu şahsi herhangi bir bilgi vermeden ziyaret edebilirsiniz. Ziyaretlerinizde, Platform kullanımına ilişkin bilgi toplamak, Platform'dan en verimli şekilde faydalanılabilmesini ve kullanıcı deneyiminin geliştirilmesini sağlamak amacıyla çerezler kullanılmaktadır.

Platformu ziyaret ederek, çerezlerin ve çerezler sayesinde toplanan bilgilerin https://theixion.com/ adresinde yer alan Kişisel Verilerin Korunması ve İşlenmesi Politikası ile uyumlu şekilde kullanılmasına onay vermiş olursunuz. Eğer çerezlerin bu şekilde kullanılmasını istemiyorsanız, tarayıcınızın ayarlarını düzenlemeli veya Platform'u kullanmamalısınız. Kullandığımız çerezleri devre dışı bırakmak, Platform'daki kullanıcı deneyiminizi etkileyebilir.

Çerezler (Cookie'ler) Nedir ve Neden Kullanılmaktadır?

Çerezler, ziyaret ettiğiniz internet siteleri tarafından tarayıcılar aracılığıyla cihazınıza veya ağ sunucusuna depolanan küçük metin dosyalarıdır. Çerezler bilgisayarınızda veya dosyalarınızda depolanan kişisel verileriniz de dahil herhangi bir bilgi toplayamamaktadır. Çerezler konusundan daha detaylı bilgi için  www.aboutcookies.org  ve  www.allaboutcookies.org  adreslerini ziyaret edebilirisiniz.

Platform'da çerez kullanılmasının başlıca amaçları aşağıda sıralanmaktadır:

• Platformu’n işlevselliğini ve performansını arttırmak yoluyla sizlere sunulan hizmetleri geliştirmek,
• Platformu iyileştirmek, Platform üzerinden yeni özellikler sunmak ve sunulan özellikleri sizlerin tercihlerine göre kişiselleştirmek;
• Platformu’n, sizin ve Şirket'imizin hukuki ve ticari güvenliğinin teminini sağlamak.
• Doğrudan ve dolaylı pazarlama faaliyetleri kapsamında kullanmak.

Platform'da Kullanılan Çerezlerin Kategorileri

Teknik Çerezler: Teknik çerezler ile Site'nin çalışması sağlanmakta, internet sitesinin çalışmayan sayfaları ve alanları tespit edilmektedir.

Yetkilendirme Çerezleri: Ziyaretçiler, şifrelerini kullanarak Site'ye giriş yapmaları durumunda, bu tür çerezler ile, ziyaretçinin Site'de ziyaret ettiği her bir sayfada site kullanıcısı olduğu belirlenerek, kullanıcının her sayfada şifresini yeniden girmesi önlenir.

Flash Çerezleri: Site'de yer alan görüntü veya ses içeriklerini etkinleştirmek için kullanılan çerez türleridir.

Kişiselleştirme Çerezleri: Kullanıcıların tercihlerini farklı internet sitesinin farklı sayfalarını ziyarette de hatırlamak için kullanılan çerezlerdir. Örneğin, seçmiş olduğunuz dil tercihinizin hatırlanması.

Analitik Çerezler: Analitik çerezler ile Site'yi ziyaret edenlerin sayıları, Site'de görüntülenen sayfaların tespiti, Site ziyaret saatleri, internet sitesi sayfaları kaydırma hareketleri gibi analitik sonuçların üretimini sağlayan çerezlerdir.

Platform'da Kullanılan Çerezler

Analitik Çerezler

Reklam Amaçlı: Davranışsal ve hedef odaklı reklamların ziyaretçilere gösterilmesi amacıyla kullanılmaktadır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Pazar Analizi: Pazar analizi yürütülmesi amacıyla kullanılmaktadır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkündür.

Kampanya/Promosyon: Kampanyaların etkisinin hesaplanması için kullanılmaktadır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkündür.

Google Analitikleri: Bu tür çerezler tüm istatistiksel verilerin toplanmasını bu şekilde Sitenin sunumunun ve kullanımının geliştirilmesini sağlar. Google, bu istatistiklere toplumsal istatistikler ve ilgilere ilişkin veriler eklemek suretiyle, kullanıcıları daha iyi anlamamızı sağlar. Sitemiz, Google Analitik çerezleri kullanmaktadır. Söz konusu çerezler ile toplanan veriler, ABD'de bulunan Google sunucularına aktarılmakta ve söz konusu veriler Google'ın veri koruma ilkeleri ile uyumlu olarak muhafaza edilmektedir. Google'ın analitik veri işleme faaliyetleri ve kişisel verilerin korunması konusundaki ilkeler hakkında daha fazla bilgi sahibi olmak için buraya tıklayabilirsiniz. Çerezlerin Kontrolü https://tools.qooqle.com/dlpaqe/qaoptout

Teknik Çerezler

Oturum: Oturum çerezleri oturumun sürekliliğinin sağlanması amacıyla kullanılır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Yük Dengeleme: Yük dengeleme çerezleri, yükü dağıtarak sunucu yükünü azaltmak için kullanılır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Güvenlik: Güvenlik çerezler, güvenlik kontrolleri için kullanılır.

Dolandırıcılık Tespiti: Tıklama hilelerinin tespit edilmesi için kullanılmaktadır. Tarayıcı ayarları aracıgıyla kabul etmek ya da reddetmek mümkünüdür.

Yetkilendirme Çerezleri

Kullanıcı Kimligi: Kullanıcı kimliği çerezler, kullanıcıların yalnızca kendi bilgilerini görmeleri için kullanılır. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Kişiselleştirme Çerezleri

Dil: Kullanıcının seçtiği dili kaydeder ve buna uygun seçenekler sunar. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Mobil: Eğer kullanıcı Siteyi mobil bir cihazdan ziyaret ediyorsa, ana web sitesini göstermek için kullanılır. (Örneğin, cihazın Flash'ı etkinleştirildiği), ya da Flash'a ihtiyaç duymayan bir mobil sitede olduğunu. Kaynak site kullanıcının tercihlerinin daha iyi anlaşılabilmesi için kaydedilir. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Flash Çerezleri

Flash çerezleri: Oynatılacak ses ve video içeriklerini etkinleştirir. Tarayıcı ayarları aracığıyla kabul etmek ya da reddetmek mümkünüdür.

Çerezlerin Kullanımı Veri Sahipleri Tarafından Engellenebilir mi?

Veri sahipleri, tarayıcı ayarlarını değiştirerek çerezlere ilişkin tercihlerini kişiselleştirme imkanına sahiptir. Eğer kullanılan tarayıcı bu imkanı sunmaktaysa, tarayıcı ayarları üzerinden Çerezlere ilişkin tercihleri değiştirmek mümkündür. Böylelikle, tarayıcının sunmuş olduğu imkanlara göre farklılık gösterebilmekle birlikte, veri sahiplerinin çerezlerin kullanılmasını engelleme, çerez kullanılmadan önce uyarı almayı tercih etme veya sadece bazı Çerezleri devre bırakma ya da silme imkanları bulunmaktadır.

Çerezlere ilişkin tercihlerin, kullanıcının Platform'a erişim sağladığı her bir cihaz özelinde ayrı ayrı yapılması gerekebilecektir.

Adobe Analytics: http://www.adobe.com/uk/privacy/opt-out.html

AOL: https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser

Google Adwords: https://support.google.com/ads/answer/2662922?hl=en

Google Analytics: https://tools.google.com/dlpage/gaoptout

Google Chrome: http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Internet Explorer: https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies

Mozilla Firefox: http://support.mozilla.com/en-US/kb/Cookies

Opera: http://www.opera.com/browser/tutorials/security/privacy/

Safari: https://support.apple.com/kb/ph19214?locale=tr_TR

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11. Maddesi uyarınca kişisel veri sahiplerine Kanun kapsamında bazı haklar tanınmıştır. Lütfen Kanun kapsamında haklarınızdan yararlanmak üzere, Kanun’un 13. maddesinin birinci fıkrası uyarınca veri sorumlusu olan Şirketimize ileteceginiz taleplerinizi, işbu başvuru formunun açık ve tam bir şekilde doldurarak

• ıslak imzalı bir nüshasının bizzat elden veya noter aracılıgı ile “Kültür Mah Suna Sok. No:8 Beşiktaş/İstanbul” adresine
• 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzaladıktan sonra güvenli elektronik imzalı formun info@tehixion.com adresine elektronik posta ile

iletiniz. Formu indirmek için BURAYA TIKLAYINIZ KÖPRÜ YAP Yaptığınız başvuruyu mümkün olan en kısa sürede ve en geç 30 gün içerisinde yanıtlandıracağız. Tarafımıza sunduğunuz bilgi ve belgelerin eksik olması veyahut anlaşılamaz olması halinde başvurunuzu netleştirmek amacıyla sizlerle iletişime geçeceğiz.

1. AMAÇ

Bu politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında, IXİON TEKNOLOJİ- (Şirket) tarafından işlenen kişisel verilerin işlendikleri amaç için gerekli olan azami süreyle saklanması ve imha edilmesine ilişkin usul ve esasların, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesidir.

Şirket, tarafından benimsenen misyon, vizyon ve temel ilkeler doğrultusunda; şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2. KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen müşteriler, ziyaretçiler, çalışanlar, çalışan adayları, hissedarlar, Şirket’in ticari ilişki içinde olduğu kuruluşların (iş ortakları, tedarikçiler, danışmanlar, vb.) gerçek kişi yetkilileri, hissedarları, çalışanları, veri sahiplerinin aile üyeleri hakkında uygulanır. İşbu politika Şirket “Kişisel Veri Envanteri” ne uygun olarak hazırlanmıştır.

3. SORUMLULUK

İşbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politika çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket bu konuda görevlendirilen yönetim kurulu üyesi sorumludur.

Tüm Şirket çalışanları, görevlerini işbu Politikaya ve ilgili tüm politika, prosedür ve mevzuata uygun ulaşarak yerine getirmekten sorumludur.

4. TANIMLAR

Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Bulut Ortamları/Sistemleri: Office 365, Salesforce, Dropbox gibi verilerin internet üzerinde depolanabildiği ve erişilebildiği sistemler

Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme: Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Manyetik Bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Manyetik Disk: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

5. KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Şirket tarafından işbu Politika kapsamında düzenlenen aşağıdaki kayıt ortamlarında başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

• Bulut ortamı
• Kâğıt ortamı
• Veri tabanları

6. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER

Şirket tarafından toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen amaçlar dahilinde işlenmekte ve aşağıdaki amaçlarla saklanmaktadır:

• Şirketin idaresi, faaliyetlerin hukuka, Şirket stratejilerine, politika ve prosedürlerine uygun olarak yerine getirilmesi, denetlenmesi,
• İnsan kaynakları politikalarının yürütülmesi; insan kaynakları süreçlerinin planlanması ve icrası,
• Bilgi güvenliği süreçlerinin planlanması ve uygulanması,
• Şirket’in, personelin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini,
• Kurumsal iletişim ve pazarlama faaliyetlerinin planlanması ve uygulanması,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi,
• İmzalanan sözleşmeler ve protokoller çerçevesinde iş ve işlemlerin ifa edilmesi,
• İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi,
• İş ilişkisinde bulunan gerçek / tüzel kişilerle iletişim sağlanması,
• İşlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
• Yasal raporlamalar yapılması,
• Hukuken yetkili kurum ve kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilmesi.

Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6102 sayılı Türk Ticaret Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4857 sayılı İş Kanunu,
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• İlgili diğer kanunlar ve ikincil düzenlemeler

Çerçevesinde öngörülen saklama süreleri kadar saklanır.

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hâle getirilir. Buna göre;

• Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
• Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
• Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
• Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
• Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi sağlanır.

7. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEDBİRLER

Şirket tarafından kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler alınır; Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır.

7.1 İDARİ TEDBİRLER

• Kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik tedbirlerin alınması sağlanır.
• Kişisel verilerin işlenmesi, gizliliğinin ve güvenliğinin sağlanması ve imha edilmesine ilişkin tüm politika ve prosedürler ile ilgili süreçlerde görev alan personelin görev, yetki ve sorumlulukları yazılı hale getirilir ve tüm personelin erişimine sunulur.
• Personele kişisel verilerin işlenmesi, korunması ve veri güvenliği kapsamında gerekli eğitimlerin verilmesi sağlanır.
• Politika ve prosedürlerin güncel tutulması ve yapılan değişikliklerle ilgili çalışanlara gerekli eğitimlerin verilmesi ve bilgilendirmeler yapılması sağlanır.
• İşe alım süreci kapsamında, çalışanlar ile Şirket arasında düzenlenen sözleşmelere kişisel verilerin korunması ve gizliliğinin sağlanmasına ilişkin hükümler eklenip çalışan tarafından imzalanması sağlanır.
• İşlenen kişisel verilere hala ihtiyaç olup olmadığı ve doğru yerde muhafaza edilip edilmediği tespit edilerek, arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi, ihtiyaç duyulmayan kişisel verilerin ise işbu Politika doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanır.
• Saklanan kişisel verilere Şirket içi erişim, görev tanımı gereği erişmesi gerekli personel ile sınırlandırılır.
• Çalışanların Şirket tarafından belirlenip duyurulan politika ve prosedürlerine uymaması durumunda Disiplin Prosedürü doğrultusunda yaptırımlar uygulanır.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik sözleşmeleri imzalanır veya mevcut sözleşmelere veri güvenliğine ilişkin hükümler eklenir.
• Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılır, gelişime açık alanlar için gerekli aksiyonlar planlanıp uygulamaya alınır.
• Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri için aksiyonlar planlanarak bulguların derhal giderilmesi sağlanır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilir.

7.2 TEKNİK TEDBİRLER

• Kişisel veri içeren bilgi teknoloji sistemlerinin ve verilerin korunması amacıyla, SSL bağlantıları, anti virüs ve güvenlik duvarı yazılım ve donanımları kullanılır.
• Kullanılmayan yazılım ve servislerin cihazlardan silinmesi sağlanır.
• Yazılım ve donanımların düzgün bir şekilde çalışması ve alınan güvenlik önlemlerinin yeterli olup olmadığı düzenli olarak kontrol edilir; olası güvenlik açıklarının kapatılması için gerekli yama ve yazılım güncellemelerinin yapılması sağlanır. Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınır.
• Kişisel veri içeren sistemlere erişim, erişim politikaları, kullanıcı ve rol yönetimi prosedürleri çerçevesinde sağlanır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır. Bilgi Teknolojileri çalışanlarının ve tedarikçilerin , iş ortaklarının kişisel verilere erişim yetkileri kontrol altında tutulur.
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
• Periyodik olarak yetki kontrolleri gerçekleştirilir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
• Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanır.
• Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları) düzenli olarak tutulması sağlanır.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanır.
• Kişisel verilerin saklandığı ortam ve cihazların fiziksel güvenlik önlemleri alınarak korunması sağlanır.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için verilerin yedeklenmesi ve tüm yedeklerin fiziksel güvenliği sağlanır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınır.
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kripto grafik yöntemler ile korunur. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
• Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanır.
• Kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanır.
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiğinde kriptografik yöntemlerle şifrelenir ve kriptografik anahtarın farklı ortamda tutulması sağlanır.
• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
• Verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınır.

8. KİŞİSEL VERİLERİN HUKUKA UYGUN ULARAK İMHA EDİLMESİ İÇİN ALINAN TEDBİRLER

8.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır. Kişisel verilerin silinmesi işleminde izlenen süreç aşağıdaki gibidir:

Kişisel verilerin silinmesi işleminde izlenen süreç aşağıdaki gibidir:

• Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
• Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel veriler saklandıkları kayıt ortamlarına uygun yöntemlerle silinir.

• Bulut ortamındaki veriler, silme komutu verilerek silinir. İlgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmaması sağlanır.
• Kâğıt ortamında bulunan kişisel veriler, karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
• Veri tabanlarında saklanan kişisel verilerin, bulunduğu ilgili satırların veri tabanı komutları ile (Delete) silinmesi sağlanır. Bu işlemi gerçekleştiren kullanıcının, veri tabanı yöneticisinden farklı bir kişi olması sağlanır.

8.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerle tek tek yok edilir:

• Yerel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
• De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemi.
• Fiziksel yok etme: Optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi işlemi.
• Üzerine yazma: Özel yazılımlar kullanılarak, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
• Çevresel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
• Ağ cihazları (switch, router vb.): (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Manyetik bant: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
• Manyetik disk gibi üniteler: Çok güçlü manyetik ortamlara maruz bırakıp de- manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
• Mobil telefonlar (Sim kart ve sabit hafıza alanları): a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Optik diskler (CD, DVD vb.): Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
• Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Kâğıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi sağlanır. Bu işlem gerçekleştirilirken veriler, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel olarak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.
• Bulut ortamında yer alan kişisel veriler için, bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.
• Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
• İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
• Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
• Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması sağlanır.

8.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.

Şirket tarafından uygulanacak anonim hale getirme yöntemleri belirlenirken, sahip olunan veri kümesine dair aşağıdaki özellikler dikkate alınarak, Kurum’un yayınladığı “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde yer alan yöntemlerinden uygun olanı kullanılır:

• Verinin niteliği,
• Verinin büyüklüğü,
• Verinin fiziki ortamlarda bulunma yapısı,
• Verinin çeşitliliği,
• Veriden sağlanmak istenen fayda / işleme amacı,
• Verinin işlenme sıklığı,
• Verinin aktarılacağı tarafın güvenilirliği,
• Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması,
• Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
• Verinin dağınıklık/merkezilik oranı,
• Kullanıcıların ilgili veriye erişim yetki kontrolü,
• Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali.

8.3.1 DEĞER DÜZENSİZLİĞİ SAĞLAMAYAN ANONİM HALE GETİRME YÖNTEMLERİ:

• Değişkenleri Çıkartma
• Kayıtları Çıkartma
• Bölgesel Gizleme
• Genelleştirme
• Alt ve Üst Sınır Kodlama
• Global Kodlama
• Örnekleme
• Maskeleme
• Toplulaştırma/ Kümülatif Data Yaratma

8.3.2 DEĞER DÜZENSİZLİĞİ SAĞLAYAN ANONİM HALE GETİRME YÖNTEMLERİ:

• Mikro Birleştirme
• Veri Değiş Tokuşu
• Gürültü Ekleme

8.3.3 ANONİM HALE GETİRMEYİ KUVVETLENDİRİCİ İSTATİSTİKSEL YÖNTEMLER:

• Anonimlik
• Çeşitlilik
• Yakınlık

9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN PERSONEL

Kişisel verilerin işlenmesi, saklanması ve imhası süreçlerinde yer alan Şirket’in tüm birimleri ve çalışanları, işbu Politika gereklerinin yerine getirilmesinden, Politika kapsamında alınan teknik ve idari tedbirlerin gereği gibi uygulanmasından ve kendi iş süreçlerinde ürettikleri verileri saklamak ve korumaktan sorumludurlar.

İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak bu konuda görevlendirilecek kişi tarafından yapılır.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına bu Politika’nın ekinde yer verilmiştir.

10. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket nezdinde kişisel verileri saklama ve imha sürelerini gösteren tabloya aşağıda yer verilmiştir.

Çalışan Kimlik, İletişim, Mesleki Deneyim, Özlük,Finansal, Görsel ve İşitsel Bilgileri, Risk Yönetimi, Engellilik, Adli Sicil Kaydı Bilgileri İş ilişkisinin sona ermesini müteakip 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Sağlık, Kan Grubu Bilgileri İş ilişkisinin sona ermesini müteakip 15 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan İşlem/Bilgi Güvenliği Verileri İş ilişkisi süresince Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Taşıt Verileri İş ilişkisi süresince İş ilişkisi bitimini takiben 180 gün içerisinde

Çalışan Konum Verileri 1 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Adayı Kimlik, İletişim ve Mesleki Deneyim Bilgileri 2 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket Ortağı Kimlik, İletişim, Finansal, Risk Yönetimi Bilgileri İş ilişkisinin sona ermesini müteakip 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Tedarikçi Yetkilisi/Çalışanı Kimlik, İletişim, Finansal, Görsel ve İşitsel, Risk Yönetimi Bilgileri İş ilişkisinin sona ermesini müteakip 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Tedarikçi Yetkilisi/Çalışanı İşlem Güvenliği Bilgileri İş ilişkisi süresince İş ilişkisinin bitimini takiben 180 gün içerisinde

Ziyaretçi Internet Sitesi Giriş Çıkış Bilgileri 2 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Ziyaretçi Kimlik Bilgileri 2 ay Saklama süresinin bitimini takiben 180 gün içerisinde

Fiziki Mekan Güvenlik Bilgileri 2 ay Saklama süresinin bitimini takiben 180 gün içerisinde

Sözleşmeler İş ilişkisinin sona ermesini müteakip 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

Belge, Defter ve Kayıtlar 10 yıl Saklama süresinin bitimini takiben 180 gün içerisinde

10.1 KİŞİSEL VERİLERİ RESEN SİLME, YOK ETME VEYA ANONİM HALE GETİRME SÜRELERİ

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel veriler, Şirket tarafından resen altı aylık periyotlarda düzenli olarak silinir, yok edilir veya anonim hale getirilir. Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde söz konusu işlemlerin uygulanması sağlanır.

İlgili kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.

10.2 KİŞİSEL VERİLERİ İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ

İlgili kişinin kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;

• Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler, Şirket tarafından en geç otuz gün içinde silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Kanun’un 13. maddesi uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

EK.1 KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN PERSONEL

Yönetim Kurulu Üyesi Yönetim Kurulu Politika’nın hazırlanması, yayınlanması, güncelliğinin sağlanması ve çalışanların politikaya uygun hareket etmesinden sorumludur.

Bilgi Teknolojileri Sorumlusu Yönetim Kurulu Kişisel verilerin güvenli bir şekilde saklanması, hukuka uygun olarak işlenmesi, erişilmesi ve imha edilmesine ilişkin teknik tedbirlerin alınmasından ve kişisel veri imha sürecinin yönetiminden sorumludur.

Departman Yöneticisi Tüm Birimler Görevlerine uygun olarak Politika’nın yürütülmesinden ve sorumlu olduğu birimde uygulanmasının sağlanmasından sorumludur.

Muhasebe ve Finans Müdürü Muhasebe - finans Kişisel veri saklama ve imha politikası uygulama sorumlusu: Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.