Bu Politika Şirketimizin tamamını kapsamakta olup, Şirketimizin veri sorumlusu olduğu tüm kişisel veri işleme faaliyetlerinde uygulanmaktadır.

TANIMLAR

Bu Politikanın uygulanmasında kullanılan terimlerin anlamları aşağıdaki gibidir:

Veri Denetleyicisi

Bu Politika kapsamındaki kişisel veri işleme faaliyetleri bakımından veri sorumlusu Şirketimiz tüzel kişiliğidir.

Envanter ve Kayıt Tutma

Şirketimiz tarafından kişisel veri işleme faaliyetlerinin takibi ve yönetimi ile yasal yükümlülüklerimize uyum sağlanması amacıyla kişisel veri işleme envanteri tutulmaktadır. Bu envanter kapsamında kişisel veri kategorileri ve işleme amaçları, aktarıldığı alıcı grupları, saklama süreleri gibi bilgiler Şirketimizin iş süreçleri ile ilişkilendirilerek listelenmektedir. Envanter özeti VERBİS platformuna beyan edilerek kamuoyuyla paylaşılabilmektedir.

Eğitim ve Farkındalık

Şirketimizin kişisel veri işleme faaliyetlerine katılan ve/veya kişisel verilere erişimi bulunan çalışanların gerekli mevzuat ve bilgi güvenliği eğitimlerini almasını sağlayarak, Şirketimizin kişisel verilerin korunması konusunda genel farkındalığının sürdürülmesini ve Şirketimize yeni katılan çalışanların da bu bilinç seviyesinde olmasını sağlar. Şirketimiz çalışanlarına yönelik gerekli mevzuat ve bilgi güvenliği eğitimleri periyodik olarak gerçekleştirilir.

KİŞİSEL VERİLERİN KORUNMASI

Kişisel veri işleme faaliyetleri, kişisel verilerin korunması mevzuatına ve özellikle KVK Kanunu’na uygun olarak gerçekleştirilmekte olup, bu bölümde açıklanan tüm şartlar, durumun niteliğine uygun olduğu ölçüde yerine getirilmektedir.

Genel İlkeler

Şirketimiz tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetlerinde aşağıdaki ilkelere daima uyulmaktadır.

Yasalara Uygunluk ve Dürüstlük

Kişisel verilerin işlenmesinde yalnızca KVK Kanunu değil, diğer tüm mevzuat ve düzenlemeler dikkate alınmalı, kişisel veri sahiplerinin menfaatleri ve makul beklentileri dikkate alınmalıdır.

Gerektiğinde Doğru ve Güncel Olmak

Kişisel verilerin doğru ve güncel tutulabilmesi için, kişisel verilerin elde edildiği aşamada gerçeğe uygun bir şekilde toplanması ve bilgilerin doğru olması gerekmektedir. Ayrıca, kişisel veri sahiplerinin verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerine olanak sağlayacak imkânlar yaratılmalı ve bu talepler dikkatle ele alınmalıdır.

Bir işleme faaliyetinin kişisel veri sahibi açısından sonuç doğuracak nitelikte olması halinde, kişisel verilerin güncel olup olmadığı kontrol edilmeli ve gerektiğinde verilerin güncellenebilmesi için kişisel veri sahibiyle iletişime geçilmelidir.

Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel verilerin işlenme amacı, kişisel veriler elde edilmeden önce açık ve kesin bir şekilde belirlenmeli ve bu amaç meşru, yani hukuka uygun olmalıdır. Bu bağlamda, kişisel veriler amaç belirtilmeden veya çok genel bir amaçla toplanmamalıdır. Elde edilen bir kişisel verinin, toplandığı amaç dışında kullanılmasından önce yeni bir işleme temeli (örneğin rıza alınması) belirlenmeli ve bu mümkün değilse, toplama amacı aşılmamalıdır. Ayrıca, işleme amacının kişisel veri sahibine bildirilmesi için şeffaflık adımları atılmalıdır.

Şirketimiz, yürüttüğü işleme faaliyetleri bakımından kişisel veri işleme envanteri kapsamında işleme amaçlarını belirlemekte ve bunların meşruluğunu kontrol etmektedir. Ayrıca aydınlatma yükümlülüğü kapsamında söz konusu amaçlar kişisel veri sahiplerine bildirilmektedir.

Amaca Uygun, Sınırlı ve Ölçülü Olmak

Asgari işleme ilkesi olarak da ifade edilen bu ilkeye göre, kişisel veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya bu amaç için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Örneğin, kişisel veriler daha sonra ortaya çıkabilecek ihtiyaçların karşılanması amacıyla toplanmamalıdır.

Gerektiğinde Koruma

Kişisel veriler, ilgili yasal mevzuatta öngörülen bir süre varsa bu süre kadar, işlendikleri amaç için gereken süre daha uzunsa bu süre kadar saklanmalıdır. Kişisel verinin saklanması için geçerli bir sebep bulunmuyorsa, o kişisel veri imha edilmelidir, yani silinmeli, yok edilmeli veya anonim hale getirilmelidir. Buna göre şirketimiz kişisel verileri gerekli olduğu sürece muhafaza etmektedir.

Yasal Uyumluluk

İşleme Temelleri

Herhangi bir kişisel verinin hukuka uygun olarak işlenebilmesi için, işleme faaliyetinin KVK Kanunu'nda sayılan işleme esaslarından en az birine dayanması gerekmektedir. Kişisel veri sahibinin açık rızası, bu işlemenin dayanaklarından yalnızca biri olup, kişisel veri sahibinin açık rızası alınmadan da kişisel verilerin işlenmesi mümkündür.

Kişisel veri işleme faaliyetinin açık rıza dışındaki işleme dayanaklarından birine dayanması halinde kişisel veri sahibinden açık rıza alınmasına gerek kalmayacaktır. Zira açık rıza dışında işlemenin yapılması mümkün olmakla birlikte açık rızaya dayanılması aldatıcı olabilecektir. Bu bağlamda kişisel veri işleme faaliyetinin öncelikle açık rıza dışındaki işleme dayanaklarından birine dayanıp dayanmadığı değerlendirilmeli, açık rıza dışındaki işleme dayanaklarından en az biri uygulanabilir değilse işleme faaliyetinin yapılabilmesi için kişisel veri sahibinin açık rızasının alınması gerekmektedir.

Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi KVK Kanunu'nun 5. ve 6. maddelerinde belirtilen hukuki işleme ilkelerine dayanmaktadır. Ancak şirket dışındaki gerçek kişilere ait verilerin e-posta sisteminde aktarılması kurum kararına uygun olarak yurtdışına veri aktarımı olarak değerlendirilmektedir. Yurt dışına veri aktarımı için hukuka uyum yollarından biri ilgili kişinin açık rızasını gerektirdiğinden, bu işleme faaliyeti için kanunun 5. maddesinin (1) numaralı fıkrası uyarınca açık rıza talep edilmektedir.

Özel Kişisel Verilerin İşlenmesi

Şirketimiz, hassas kişisel verilerin korunmasına azami önem vermekte ve bu doğrultuda gerekli idari ve teknik tedbirleri almaktadır.

Şeffaflık

Kişisel Veri Sahiplerinin Bilgilendirilmesi

Şirketimiz açısından kişisel veri işleme faaliyetlerinin kişisel veri sahibinin bilgisi dâhilinde gerçekleşmesi esastır. Bu kapsamda sorumlu yöneticiler tarafından kişisel veri sahibine; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVK Kanunu’nda sayılan hakları konusunda bilgi verilmektedir.

Öte yandan, KVK Kanunu’nun 28. maddesinde sayılan hâllerde, ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerin işlenmesi hâlinde, KVK Kanunu’nun amacına ve temel ilkelerine uygun ve ölçülü olması kaydıyla, bu madde kapsamında kişisel veri sahiplerine bilgi verilmesi gerekmeyecektir.

Kişisel Veri Sahiplerinin Taleplerinin Karşılanması

Kişisel Veri Sahiplerinin Hakları

KVK Kanunu uyarınca kişisel veri sahipleri aşağıdaki haklara sahiptir:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

KVK Kanunu’nun amacına ve temel ilkelerine uygun ve orantılı olmak üzere, aşağıda sayılan hâllerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç olmak üzere diğer haklarını ileri süremezler:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel verilerin işlenmesinin bütçe, vergi ve mali konularda Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel Veri Sahibinin Haklarının Kullanılması

Kişisel veri sahipleri; yazılı olarak, kayıtlı elektronik posta (KEP) adresini, güvenli elektronik imzayı, mobil imzayı veya Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle haklarını ileri sürebilirler. Kişisel veri sahipleri tarafından yapılan başvurular en kısa sürede ve en geç 30 gün içinde cevaplandırılır.

Başvuru Maliyeti

Şirketimiz tarafından verilecek cevabın on sayfaya kadar ücreti alınmaz, ancak on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, taşınabilir bellek gibi bir kayıt ortamında verilmesi halinde ilgili kayıt ortamının maliyeti kişisel veri sahibinden talep edilir. Başvurunun Şirketimizin hatasından kaynaklanması halinde tüm ücret ve masraflar kişisel veri sahibine iade edilir.

Veri Transferleri ve Üçüncü Taraf Uyumluluğu

Yasal Uyumluluk

Kişisel veriler üçüncü kişilere aktarılabildiğinde, işleme esasının aktarıma özgü bir şekilde uygulanabilir olup olmadığı ve durumun yerine getirilip getirilmediği kontrol edilir. Örneğin, kişisel verilerin aktarımı için yasal yükümlülük bulunmalı veya kişisel verilerin aktarımı için açık rıza alınmış olmalıdır.

Hassas kişisel verilerin aktarımında gerekli tüm tedbirler uygulanmaktadır.

İdari ve Teknik Önlemler

Kişisel verilerin üçüncü kişilere aktarılması veya üçüncü kişilerin Şirketimizin saklama alanlarına erişim sağlaması öncesinde, diğer tarafın kişisel verilerin işlenmesinde yeterli özen ve dikkati göstereceğinden ve uygun güvenlik düzeyini sağlayacağından emin olunur.

Kişisel Verilerin Fiziksel Ortamda Aktarımı

Fiziki ortamdaki kişisel veri; kişisel verilerin okunmasına imkân veren elektronik ortamlar haricindeki her türlü kişisel veriyi ifade eder.

Bu Kişisel Veri Aktarım Politikasının bu bölümü, kişisel verilerin fiziksel aktarımına ilişkin gereklilikleri içerir. Aksi belirtilmediği sürece, şirket çalışanları kişisel verileri fiziksel bir ortamda aktarıyorsa bu Politikaya uymalıdır. Çalışanın aktarım yapması veya aktarıma tanıklık etmesi durumunda, KVKK Çalışma Grubuna bildirimde bulunmakla yükümlüdür.

Fiziksel ortamda veri aktaran çalışan veya departman, aktarılacak kişisel verileri elde ederken kişinin açık rızasının alındığını ispat edebilmelidir. Açık rıza olmaksızın aktarılan kişisel veriler için sorumluluk yalnızca verileri elde eden kişiye ait sayılamaz. Aktaran kişi veya departman, aktardıkları kişisel veriler üzerinde veri işleyicisinden ayrılamayan bir sorumluluk derecesine sahiptir.

Açık rıza olmaksızın veri aktarımı yalnızca Kanunda belirtilen istisnaların (8. maddenin ikinci fıkrası) sağlandığı hallerde geçerlidir. Bu istisnalar dışındaki tüm hallerde, ilgili kişinin açık rızası olmaksızın kişisel veriler aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa, KVKK Çalışma Grubu ile istişare ederek aktarımı gerçekleştirmelidir.

Kişisel Veri içeren fiziksel belgeler aktarılırken işlenmemelidir. Aktarım sırasında belgedeki kişisel veriler aktaran kişi tarafından dahi görülmemelidir. Bu nedenle, aktarım dosyalarının fiziksel boyutuna bağlı olarak, kişisel veriler aktarılacak kişiye ulaşmadan önce işlenmişse, aktarım sırasında izlenebilir bir şekilde aktarımın gerçekleştirilmesi gerekmektedir. Bu takip, mühürlü zarf, koli, kutunun mühürlenmesi suretiyle gerçekleştirilecektir. Mühürlemenin mümkün olmadığı durumlarda aktarım ancak KVKK Çalışma Grubunun bilgisi ve onayı ile yapılabilir.

Gönderen taraf, beklenen aktarım süresi sonunda alıcı tarafla iletişime geçerek kişisel verilerin alındığını teyit etmekle yükümlüdür. Alıcı taraf ise, aktarım sırasında kişisel verilerin işlenmediğini gönderene bildirir (mühürünü korur) ve aksini düşündüğü hallerde durumu gönderen tarafa ve KVKK Çalışma Grubundaki ilgili kişiye iletir.

Kişisel Verilerin Elektronik Aktarımı

Elektronik ortamdaki kişisel veri; kişisel verilerin elektronik bir cihaz kullanılarak okunabilir hale getirildiği her türlü kişisel veriyi ifade eder.

Bu Kişisel Veri Aktarım Politikasının bu bölümü, kişisel verilerin elektronik aktarımı için gereklilikleri açıklar. Aksi belirtilmediği sürece, şirket çalışanları kişisel verileri elektronik olarak aktarıyorsa bu Politikaya uymalıdır. Çalışanın aktarım yapması veya aktarıma tanıklık etmesi durumunda, KVKK Çalışma Grubuna bildirimde bulunmakla yükümlüdür.

Verileri elektronik ortamda aktaran çalışan veya departman, aktarılacak kişisel verileri elde ederken kişinin açık rızasının alındığını ispat edebilmelidir. Açık rıza olmaksızın aktarılan kişisel verilerde sorumluluk yalnızca verileri elde eden kişiye ait sayılamaz. Aktaran kişi veya departman, aktardıkları kişisel veriler üzerinde veri işleyenden ayrılamayan bir sorumluluk derecesine sahiptir. Açık rıza olmaksızın veri aktarımı, yalnızca kanunda belirtilen istisnaların (8. maddenin ikinci fıkrası) sağlandığı hallerde geçerlidir. Bu istisnalar dışındaki tüm hallerde, ilgili kişinin açık rızası olmaksızın kişisel veriler aktarılamaz. Kişi istisnanın geçerliliğinden emin değilse KVKK Çalışma Grubu ile istişare ederek aktarımı gerçekleştirmelidir.

Kişisel verilerin elektronik ortamda aktarılmasından önce, alıcının verileri işleme yetkisinin olduğundan emin olunması gerekmektedir.

Kişisel verilerin elektronik ortamda aktarımı, aşağıda belirtilen yöntemlerle ve yalnızca belirtilen şartların varlığı halinde yapılabilir; bu yöntemlerin yetersiz kalması halinde KVKK Çalışma Grubuna bilgi verilmesi gerekmektedir.

1. Elektronik posta

Transfer işlemini gerçekleştiren departman yöneticisinin e-posta alıcıları arasında olması durumunda transfer işlemi gerçekleştirilebilir. Departman Yöneticisinin bilgisi dahilinde bile olsa, e-postanın alıcı olmadığı durumlarda çalışanın politikaya aykırı hareket ettiği kabul edilir.

E-posta metninde, e-postanın içeriğinin ve/veya eklerinin kişisel veri içerdiği bilgisi verilmeli ve kişisel verilerin şifrelenerek işlenmesi engellenmelidir. Şifre, başka bir e-posta veya iletişim yöntemi ile alıcıyla paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda ilgili çalışan birim yöneticisine bilgi vermeli ve birim yöneticisi de KVKK Çalışma Grubuna bilgi vermeli ve onay almalıdır.

2. Taşınabilir Medya

Taşınabilir medya; sabit diskler, CD'ler, DVD'ler, kasetler, USB bellekler, USB sabit diskler, hafıza kartları ve elektronik medyanın fiziksel olarak taşınabildiği tüm elektronik platformlar.

Taşınabilir medya ile kişisel veri aktarımı yapılırken taşınabilir medya şifrelenebilir. Özel nitelikteki kişisel veriler şifre olmadan taşınabilir medyaya aktarılamaz. Şifre gönderici tarafından alıcıya farklı bir iletişim kanalı kullanılarak iletilir.

Verileri aktaran çalışan, çıkarılabilir ortamdaki verilerin imhasından da sorumludur. Taşınabilir ortamdaki kişisel veriler imha edilmeden ortam başka bir işlem için kullanılamaz.

Taşınabilir medyanın fiziksel transferi göndericiden alıcıya doğrudan yapılmalıdır. Bu transferin doğrudan yapılamadığı durumlarda, transfer en az aracı kullanılarak yapılmalıdır. Transfer sırasında şirketin anlaşmalı olduğu kurye hizmeti kullanılır, transferde kargo hizmeti kullanılamaz.

3. Bulut Paylaşımı (Bulut)

Bulut paylaşımı, kişisel verilerin gönderici tarafından çevrimiçi bir depolama alanına yüklendiği ve alıcının verileri oradan elde ettiği tüm paylaşımları içerir.

Kişisel verileri bulut paylaşımı yoluyla aktaran çalışan, her aktarım öncesinde kişisel verilerin sahibi olan departman yöneticisiyle birlikte, Şirket'in Bilgi Teknolojileri Departmanı'na en güvenli yöntem hakkında bilgi verir. Kişisel verilerin bulut paylaşımı yoluyla paylaşılacağı her durumda Şirket'in Bilgi Teknolojileri Departmanı'na bilgi verilmesi zorunludur.

Bulut paylaşım yöntemiyle paylaşılan veriler şifrelenir. Parola, gönderici tarafından başka bir iletişim kanalı kullanılarak alıcıya iletilir. Bulut paylaşımı yalnızca şirket donanımı ve ağı kullanılarak yapılabilir, çalışanın şirket donanımı ve ağını kullanmadan bulut paylaşımı yapmasına izin verilmez.

4. Ağ Paylaşımı

Kişisel veriler, şirketin ortak alanları kullanılarak departmanlar arasında ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılan paylaşımlarda, kişisel veriler yalnızca şifreli biçimde aktarılabilir ve aktarım sırasında kriptografik protokoller uygulanır. Parola, göndericiden alıcıya farklı bir iletişim kanalı kullanılarak iletilir. Çalışan, kişisel verilerin aktarımının şifrelemeye veya kriptografik protokollerin uygulanmasına uygun olmadığını düşünürse, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu bilgilendirilir ve aktarım yalnızca Grubun onay verdiği durumlarda gerçekleştirilir.

Ağda paylaşım yaparken, yalnızca alıcı departman ve/veya çalışanın kullanılan alana erişimi olmalıdır ve bu kontrol göndericinin sorumluluğundadır. Paylaşım tamamlandıktan sonra, alıcı ağ üzerinden kişisel verileri imha ederek göndericiyi bilgilendirmelidir. Bilgileri aldıktan sonra, gönderici kontrol etmeli ve kişisel verilerin ağdaki ortak alanda artık bulunmadığından emin olmalıdır.

Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel verilerin yurtdışına aktarılabilmesi için, bu Politikanın "Hukuka Uygunluk" başlığı altında belirtilen işleme esaslarının yurtdışına aktarıma özgü bir şekilde uygulanabilir olduğu kontrol edilir ve durum buna göre yapılır. İşleme esasının açık rıza olmaması durumunda, işleme esasına ek olarak ayrıca:

1. Kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya
2. Yeterli korumanın bulunmaması halinde, yurtdışındaki alıcı taraf ile sözleşmesel ilişki kurulması ve KVK Kurumu tarafından yayımlanan “Yurtdışına Veri Aktarımında Veri Sorumluları Tarafından Hazırlanacak Taahhütnamede Yer Alması Gereken Asgari Unsurlar” yer almaktadır.
3. Yurt dışına veri aktarımı için hukuka uygunluk yollarından biri ilgili kişinin açık rızasını gerektirmesi nedeniyle, Kanun’un 5(1) maddesi uyarınca bu işleme faaliyeti için açık rıza aranmaktadır.

Gerekli koşulların sağlanmasının yanı sıra, fiziksel ortamdaki kişisel verilerin yurtiçi aktarımı mümkün olduğunda doğrudan göndericiden alıcıya gerçekleştirilir. Dolaylı veya elden aktarım ise yalnızca gerekli durumlarda tercih edilir.

Fiziksel ortamda bulunan kişisel verilerin yurtdışına aktarımı, yalnızca Kurul tarafından ilan edilecek yeterli korumanın bulunduğu ülkelere yapılabilir. Aktarılacak ülkenin yeterli korumaya sahip ülke olarak belirlenmemesi halinde, aktarım öncesinde KVKK Çalışma Grubunun bilgilerine başvurulacaktır.

Veri güvenliği

İdari ve Teknik Önlemler

Şirketimiz tarafından yürütülen tüm faaliyetlerde, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin korunmasını sağlamak amacıyla uygun güvenlik düzeyini sağlamak için gerekli tüm teknik ve idari tedbirler alınmaktadır. İdari ve teknik tedbirlerimiz VERBİS platformunda kamuoyuna duyurulmuştur.

Veri Güvenliği İhlali

Şirketimiz tarafından işlenen kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi halinde, bu durum en kısa sürede ilgili kişisel veri sahiplerine ve KVK Kuruluna bildirilmelidir. Bu yükümlülüğe uyulmasını sağlamak amacıyla Şirketimiz genelinde kişisel veri güvenliği açısından önemli olaylar izlenmekte ve veri güvenliği ihlali oluşturup oluşturmadığı değerlendirilerek gerekli işlemler yapılmaktadır. Veri güvenliği ihlali olması halinde, ihlalin öğrenildiği andan itibaren en geç 72 saat içinde KVK Kuruluna bildirimde bulunulmaktadır.

Kişisel Verilerin İmhası

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez hale getirilmesi işlemidir.

Kişisel verilerin imhası, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi, bir veri kümesinde yer alan doğrudan ve/veya dolaylı tüm tanımlayıcıların ortadan kaldırılması veya değiştirilmesi, veri sahibinin kimliğinin belirlenebilmesinin engellenmesi ya da bir grup/kalabalık içerisinde ayırt edici niteliğinin kaybedilmesi ve bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.

Veri sorumlusu olarak, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüyüz. Yılda iki kez saklama süreleri dolan fiziksel veya elektronik kişisel veriler tespit edilerek imha edilmektedir.