SİTE TELEKOM ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

1. GİRİŞ

1.1 Amaç

Site Telekom Anonim Şirketi (“Şirket”) tarafından veri sorumlusu sıfatıyla ve uygun düştüğü ölçüde veri işleyen sıfatını haiz olduğu durumlarda, işbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), gerçekleştirilmekte olan kişisel verilerin işlenmesi, saklanması ve imhası faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek; kişisel verileri işlenen veri sahiplerinin aydınlatılması amaçlarıyla hazırlanmıştır.

1.2 Kapsam

Şirketimiz çalışanlarına ve çalışan yakınlarına, çalışan adaylarına, hissedarlarına ve yetkililerine, müşterilerine ve potansiyel müşterilerine, ziyaretçilerine, tedarikçi yetkililerine ve çalışanlarına ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun) ve ilgili mevzuat hükümlerine uygun olarak işlenmesi, korunması ve imhası, ihlal prosedürleri ve ilgili kişi talebinin karşılanması faaliyetlerini kapsar.

1.3 Yürürlük

Politika, Şirketimiz internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Şirketimiz, yasal düzenlemelere, Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına ve talimatlarına paralel olarak işbu Politika'da değişiklik yapma hakkını saklı tutar. Politika'da bir değişiklik yapılması durumunda, güncel metin tüm çalışanlarımıza, şirketimizle ilgili veri sorumlularına iletilecek ve şirketimiz web sitesinde yayımlanacaktır.

1.4 Tanımlar

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL HÜKÜMLER

6698 sayılı Kişisel Verilerin Korunması Kanunu, getirdiği haklar ve yükümlülükler ile ülkemizde kendisine yeni bir uygulama alanı oluşturmuştur. Bu nedenle toplum nezdinde gereken karşılığı görmesi ve anlaşılması, kurulun ve veri sorumlularının misyonu ve yükümlülüğü olarak karşımıza çıkmaktadır.

Bu bağlamda şirketimiz bünyesi dahilinde gerçekleştirdiği veri işleme faaliyetinden önce, bu kısımda her kişisel veri işleme faaliyetinde bulunması zorunlu olan ilkeler, verilerin işlenme ve aktarılma şartları ile sağladığı haklar hususlarında veri sahiplerini bilgilendirmeyi ve farkındalık kazandırmayı amaçlamaktadır.

2.1 İlkeler

Veri sorumluları, kişisel verilerin işlenmesi ile ilgili olarak aşağıda yer verilen genel ilkelere uymakla yükümlü kılınmıştır: 

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, kişisel veri işleme faaliyetlerinin özünde bulunmalı ve kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Veri sorumlularınca yerine getirilen veri işleme faaliyetlerinde yukarıda yer verilen ilkelerin tamamının aynı hal ve zamanda mevcut olması gerekmektedir. İlkelerin yalnızca biri veya birkaçının mevcudiyeti halinde kişisel veri işleme faaliyeti hukuka aykırı olacaktır.

2.2 Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenme şartları, kanunun 5. maddesinde sayılmış olup, kanun gereği kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir.

Bununla birlikte kanunun 5/2. ve 6/3. maddelerinde kişisel veriler ve özel nitelikli kişisel veriler bakımından açık rıza bulunmaksızın işlenebilme halleri belirtilmiştir.

Kişisel verilerin işlenme şartları, bir diğer deyişle hukuka uygunluk halleri, kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez. Sayma yoluyla belirlenme ifadesi hukuki bir tabir olup, sadece belirtilen şartların varlığı halinde kişisel verilerin ve özel nitelikli kişisel verilerin ilgili kişinin açık rızası bulunmaksızın işlenebileceğini, kıyas yoluyla veya sair herhangi bir suretle yeni bir şart oluşturulamayacağını ifade etmektedir.

2. Kanun'un 5/2. maddesi uyarınca kişisel veriler;

• Veri işlemenin kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

hallerinde veri sahibinin önceden alınmış açık rızası bulunmasa dahi gerçek kişilere ait kişisel veriler işlenebilecektir. Belirtilen hukuki sebeplerden hiçbirine dayanılamaması halinde kişisel veri yalnızca ilgili kişinin açık rızasının varlığı halinde işlenebilecektir.

3. Kanun'un 6/3. maddesi uyarınca özel nitelikli kişisel veriler;

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde işlenebilecektir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.

2.3 Kişisel Verilerin Aktarılması

Kişisel verilerin işlenmesine paralel şekilde kural olarak, kişisel verilerin veri sorumlusu dışında üçüncü bir tarafla paylaşılması, bir diğer ifadeyle aktarılması, ilgili veri sahibinden bu doğrultuda açık rıza alınmış olması şartına bağlı tutulmuştur.

Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımı, Kanunun 8. maddesi çerçevesinde aktarım olarak değerlendirilemez. Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda aktarım sayılmaz.

Kanunun 8. maddesine göre, açık rıza bulunmaksızın kişisel veri işlenmesine izin verilen hallerde veri aktarımı gerçekleştirilebilmekte olup, bu haller işbu Politika'nın 2.2 maddesinde belirtilmiştir.

2.3.1 Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılması, kanunda özel şartlara tabi kılınmıştır. Bu kapsamda Kanun'un 9. maddesine uyarınca, kişisel verilerin yurtdışına aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

• Veri sahibinin açık rızasının bulunması,
• Veri sahibinin açık rızasının bulunmamasıyla birlikte Politika’nın 2.2 maddesinde belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde;
• Verilerin aktarıldığı ülkede yeterli koruma bulunması,
• Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda veri sorumlusunun ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurtdışına aktarılabilmektedir.

2.4 Kişisel Veri Sahibinin Aydınlatılması

Kanun’un 10. maddesine ve ilgili mevzuata uygun olarak, kişisel veri sahiplerinin bilgilendirilmesi/aydınlatılması Veri Sorumluları açısından bir yükümlülük olarak belirlenmiştir. Bu kapsamda, kişisel verilerin veri sorumlusu sıfatıyla kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ile veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişilerin muhtelif yollarla (sözlü, yazılı, elektronik ortamda vs.) bilgilendirilmesi gerekmektedir.

Aydınlatma yükümlülüğü, açık rıza şartı, VERBİS kayıt yükümlülüğünden bağımsız bir yükümlülüktür. Bir diğer değişle, veri sorumlusunun VERBİS kayıt yükümlüsü olmaması veya kişisel veri işlenmesi için ilgili kişiden açık rıza alınması zorunluluğu bulunmaması durumlarında da aydınlatma yükümlülüğü yerine getirilmelidir.

3. ŞİRKETİMİZ FAALİYETLERİ KAPSAMINDA KİŞİSEL VERİLERİN İŞLENMESİ

3.1 İşlenen Kişisel Verilerin Sınıflandırması

3.1.1 İşlenen Kişisel Veriler ve Kategorileri

3.1.2 İşlenen Kişisel Veri Kategorileri ve Veri Sahipleri

3.1.3 Veri İşleyen Sıfatıyla İşlenen Veriler

Bu bölümde yer verilen kişisel veriler, Şirketimizin tarafı olduğu sözleşmeler doğrultusunda, Veri Sorumlusu (Sağlayıcısı) ve müşterileri ile potansiyel müşterileri tarafından oluşturulan sistem üzerinden Şirketimize aktarılan ve yine veri sorumlusu tarafından Şirketimizin veri işleyen ilgili personellerine özel olarak tanımlanan kullanıcı adı ve parola ile erişim sağlanabilen, Şirketimiz tarafından oluşturulan bir veri kayıt sistemine kaydedilmeyen verilerden ibarettir.

İşbu kişisel veriler, veri sorumlusunun talimatları ve tarafı olduğumuz sözleşmelerde öngörülen tüm idari ve teknik tedbirler çerçevesinde; veri işleyen personelin eğitimi ve denetimi azami önemle sağlanmakta ve gerekli gizlilik prosedürlerine uygun olarak korunmaktadır.

3.2 Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri

Şirketimiz, Politika'nın 3.1.1 maddesinde belirtilen kişisel verilerinizi; genel ilkelere, uluslararası sözleşmelere ve ilgili yasal mevzuat hükümlerine uygun olarak, Politika'da belirtilen usul ve esaslara uyularak aşağıda belirtilen meşru amaçlar çerçevesinde işlemektedir. Bu kapsamda kişisel verileriniz;

• Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
• Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
• Üretim ve/veya operasyon süreçlerinin yürütülmesi,
• İş sürekliliğinin sağlanması ve kurumsal yönetim ve sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
• Personel temin (işe alım) süreçlerinin yürütülmesi,
• Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
• Satın alma faaliyetlerinin planlanması, değerlendirilmesi ve takibi,
• Hukuk işlerinin icrası/takibi,
• Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
• Verilerin doğru ve güncel tutulması,
• Veri sahibinin şikâyeti, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması,
• Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
• Müşteri memnuniyeti aktivitelerinin planlanması ve/veya icrası,
• Müşteri ve üyelerle akdedilen sözleşmelerin gereğinin yerine getirilmesi,
• Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası,
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi,
• Şirket yerleşkeleri, depoları ve/veya tesislerinin güvenliğinin teminin edilmesi,
• Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
• Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,

amaçlarıyla işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Politika’nın 2.2 maddesinde sayılan ve Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, kişisel veri işleme sürecine ilişkin olarak Şirket tarafından ilgili veri sahibinin açık rızası temin edilmektedir.

Kişisel verileriniz Kanun’un 5/2 maddesinde belirtilen şu hukuki sebeplere dayanılarak işlenmektedir:

• Kanunlarda açıkça öngörülmesi,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

3.3 Kişisel Verilerin Aktarılması

Kanun'un 8. maddesi uyarınca ve Politika'nın 2.2 maddesinde sayılan şartlardan herhangi birinin varlığı halinde, aksi takdirde ilgili veri sahibinin açık rızası temin edilerek, kişisel verileriniz yukarıda belirlenen amaçlar doğrultusunda üçüncü kişilere aktarılmaktadır.

3.3.1 Kişisel Verilerinizin Aktarıldığı Üçüncü Kişiler

Şirketimiz tarafından meşru ve belirli amaçlarla işlenen kişisel verileriniz; Tedarikçilerimiz, Adli Merciler ve kanunen ilgili verilerin aktarılması zorunlu tutulan yetkili Kamu Kurum ve Kuruluşlarına aktarılmaktadır. Ayrıca, ürün ve hizmetlerimizin en iyi şekilde sunulması, sözleşmeden doğan yükümlülüklerimizin yerine getirilmesi, verilen hizmetlerin ve sunulan ürünlerin takibi ve denetimi, hukuki uyuşmazlıkların giderilmesi amaçlarıyla anlaşmalı üçüncü kişilere, hukuk danışmanlarımıza, muhasebeci/mali müşavirlere kişisel veri aktarımı yapılmaktadır.

Şirketimizin veri işleyen sıfatını haiz olduğu kişisel veriler ise veri sorumlusu tarafından sağlanan sisteme kaydedilmek suretiyle, şirketimiz veri kayıt sistemlerine dahil olmaksızın doğrudan veri sorumlusuna aktarılmaktadır. Bu kapsamdaki kişisel verilerin şirketimiz veri kayıt sistemine dahil edilmemesi veya herhangi bir şekilde yetkisiz erişimlerin engellenmesi adına gerekli disiplin ve ihlal prosedürleri hazırlanarak uygulamaya konulmuştur.

3.3.2 Kişisel Verilerinizin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, Kanun'un 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Şirket'imiz tarafından kişisel veriler yurtdışına aktarılabilecektir. Aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Şirketimiz ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.

Şirketimiz kişisel veri işleme politikası gereği kişisel verilerinizi yurtdışına aktarmamaktadır.

3.4 Aydınlatma Yükümlülüğü

Şirketimiz Kanun’un 10. maddesine ve ilgili mevzuata uygun olarak, kişisel veri sahiplerinin bilgilendirilmesi/aydınlatılması amacıyla Veri Sorumlusu sıfatıyla kişisel veri işleme faaliyetine ilişkin olarak gerekli aydınlatma yükümlülüğünü yerine getirmektedir. Bu kapsamda kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda muhtelif yollarla (sözlü, yazılı, elektronik ortamda vs.) ilgili kişilerin bilgilendirilmesi sağlanmaktadır.

Web sitemizden Aydınlatma Metnine erişim sağlayabilir, detaylı bilgilendirme için işbu Politika'dan faydalanabilir veya Şirketimiz ile iletişime geçebilirsiniz.

4. KİŞİSEL VERİLERİN KORUNMASI

4.1 Kişisel Verilerin Korunması Yönelik Alınan Tedbirler

Şirketimiz, Kanun’un 12. maddesi ile Kişisel Verileri Koruma Kurulu karar ve tavsiyelerine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli güvenlik tedbirlerini almaktadır. Bu kapsamda, Kurum tarafından yayımlanan rehberlere uygun olarak güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, gerekli denetimleri yapmakta ve yaptırmaktadır.

4.1.1 Teknik Tedbirler

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

4.1.2 İdari Tedbirler

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır: 

• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri hakkında eğitimler verilmekte ve sınavlar yapılmaktadır. Eğitimlerin yeni çalışanlara da verilmesi ve periyodik olarak gerçekleştirilmesine ilişkin gerekli planlamalar yapılmıştır.
• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
• Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

4.2 Veri Koruma Görevlisi (DPO)

Şirketimiz tarafından kişisel verilerin korunmasında sürdürülebilirlik, ulusal ve yabancı mevzuat hükümlerine uygunluk amaçlarıyla, General Data Protection Regulation (GDPR) uyarınca aşağıda belirtilen görevleri yerine getirmekle görevli bir Veri Koruma Görevlisi belirlenmiştir.

• Veri Sorumlusuna, Veri İşleyene ve çalışanlarına kişisel verilerin korunması konusunda bilgi vermek ve tavsiyede bulunmak,
• Veri Sorumlusu veya Veri İşleyenin kişisel verilerin korunması ile ilgili politikalarının yanı sıra kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi ve eğitilmesi,
• Sürecin mevzuata uygunluğunu takip etmek,
• Kişisel verilerin mümkün olduğunca azaltılması,
• Kişisel Verileri Koruma Kurulu ile iletişimi sağlamak,

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen azami sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması hususunda bir sürenin öngörüldüğü hallerde kişisel veriler belirtilen süre boyunca; yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre boyunca muhafaza edilmektedir.

Kişisel veriler belirlenen saklama sürelerinin sonunda, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri ile imha edilmektedir.

5.1 Saklama ve İmha Süreleri

5.2 İmha Yöntemleri

Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile işbu Politika'ya uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da Politika'da belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

5.2.1 Silme Yöntemleri

5.2.2 Yok Etme Yöntemleri

5.2.3 Anonim Hale Getirme Yöntemleri

5.3 Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirketimiz işleme şartları ortadan kalkmış olan kişisel verileri işbu Politika'da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 01.06.2021 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

6.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerekti