DeFi LiGi

OYTUN ORMAN ŞAHIS ŞİRKETİ VERİ İŞLEME, MUHAFAZA VE İMHA POLİTİKASI

1. KAPSAM
2. TANIMLAR
3. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER
4.1. KİŞİSEL VERİLERİN EDİNİLME YÖNTEMLERİ
4.2. İŞLENEN VERİ KATEGORİLERİ
5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
7. KİŞİSEL VERİLERİN KAYIT ORTAMLARI
8. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
9. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI
10. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ
11. KİŞİSEL VERİLERİN İMHASI
11.1. KİŞİSEL VERİLERİN SİLİNMESİ
11.2. KİŞİSEL VERİLERİN YOK EDİLMESİ
11.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
12. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
13. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ
14. KİŞİSEL VERİLERİN GÜVENLİĞİ
15. SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME
16. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

1. KAPSAM

1.1. İşbu Oytun Orman Şahıs Şirketi (“Şirket”) Kişisel Verileri İşleme, Saklama, Koruma ve İmha Politikası (“Politika”), Şirket çalışanları, çalışan adayları, iş ortakları, potansiyel müşteriler, müşteriler, kulüpler, tüzel kişilerin gerçek kişi temsilcileri, kullanıcıları ve ziyaretçiler gibi Şirket’e Kişisel Verilerini ileten gerçek kişilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm Kişisel Verilerine ilişkindir. İşbu Politika; Şirket tarafından Kişisel Verilerin işlendiği tüm süreçlere dâhil olan tüm birimlerince uygulanır.
1.2. İşbu Politika; Şirket’in Kişisel Veriler üzerinde uygulayacağı bütün işleme, saklama, aktarım, korunma ve imha faaliyetleri için uygulanacaktır.
1.3. İşbu Politika metni Kanun’un 16. Maddesi ve Yönetmelik’in 5. Maddesi uyarınca getirilen kanuni zorunluluk sebebiyle Şirket tarafından yine ilgili Kanun ve Yönetmelik maddelerinin Veri Sorumlusu Şirket’e verdiği yetki ile hazırlanmıştır. Kişisel Verilerin işlenmesi, saklanması, aktarımı, korunması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler ve uluslararası standartlar öncelikle uygulama alanı bulacaktır. Kişisel Verileri koruma mevzuatında değişiklik olması durumunda Şirket, işbu Politikayı ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.

2. TANIMLAR

İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda tanımlanmıştır;
Kurul Kişisel Verileri Koruma Kurulu’dur.
Sicil Başkanlık tarafından tutulan Veri Sorumluları Sicili’ni (VERBİS) ifade etmektedir.
Periyodik imha Kanunda yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Veri kayıt sistemi Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, işbu Politika Kapsamında Oytun Orman Şahıs Şirketi’dir.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişilerdir.
Yönetmelik 28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.
Alıcı grubu Veri sorumlusu tarafından Kişisel Verilerin aktarıldığı gerçek veya tüzel kişilerin oluşturduğu gruptur.
İlgili Kişi Kişisel Verileri işlenen gerçek kişileri ifade eder.
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişilerdir.
İmha Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin tümüne verilen isimdir.
Kanun 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortamdır.
Kişisel Veri işleme envanteri ŞIRKET’ın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Verileri işleme faaliyetlerini; Kişisel Verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir.
Kişisel Verilerin İşlenmesi Kişisel Verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devredilmesi, elde edilebilir hale getirilmesi, sınıflandırılması, kullanılmasının engellenmesi dahil olmak üzere toplandıktan sonra silme, yok etme ya da anonim hale getirmeye kadar geçen süreçte yapılan her türlü faaliyeti ifade eder.
Kişisel Verilerin Silinmesi Kişisel Verilerin ilgili kullanıcılar için hiç bir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
Kişisel Verilerin Yok Edilmesi Kişisel Verilerin hiç kimse tarafından hiç bir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
Kişisel Verilerin Anonim Hale Getirilmesi Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli/belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini ifade eder.

3. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

3.1. Yönetmelik uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan Kişisel Verileri Kişisel Veri envanterine uygun bir şekilde saklamak ve gerektiğinde imha etmek için işbu politikayı hazırlamak ve politikaya uygun hareket etmek ile yükümlüdür. Kişisel Verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır.
o Hukuka ve Dürüstlük Kurallarına Uygunluk: Şirket, Kişisel Verileri işlerken hukuka ve dürüstlük kurallarına uygun olarak davranır. Kişisel Verilerin işlenmesi, ilgili mevzuatta öngörülen hükümler ve dürüstlük kuralları çerçevesinde gerçekleştirilir.
o Doğruluk ve Güncellik: İşlenen Kişisel Verilerin doğru ve gerektiğinde güncel olması sağlanır. Şirket, İlgili Kişilerin kendilerine ait Kişisel Verilerde değişiklik yapma veya güncelleme taleplerini yerine getirir.
o Belirli, Açık ve Meşru Amaçlarla İşleme: Kişisel Veriler, belirlenen açık ve meşru amaçlar doğrultusunda işlenir. Şirket, topladığı Kişisel Verileri, sadece önceden belirlenen ve İlgili Kişilere açıklanan amaçlar için kullanır.
o İlgili, Sınırlı ve Ölçülü Olma: Kişisel Veriler, işlenme amaçlarıyla doğrudan ilişkili ve bu amaçların gerektirdiği sınırlar dahilinde işlenir. Amaçların gereğinden fazla detay içeren veya amaçla bağlantısız Kişisel Veriler işlenmez.
o İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Kişisel Veriler, ilgili mevzuatta öngörülen süreler veya işlendikleri amaçlar için gerekli olan süre kadar muhafaza edilir. Bu sürelerin sonunda Kişisel Veriler, Politikamızın ilgili bölümlerinde belirtilen yöntemlerle silinir, yok edilir veya anonim hale getirilir.
3.2. Şirket, Kişisel Verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, işbu Politika metninde gösterilmektedir.
3.3. Şirket Kişisel Verileri saklama ve imha süreçlerinde hazır bulunacak çalışanların unvan, birim ve görev tanımlarını belirlemektedir.

4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER

Oytun Orman Şahıs Şirketi, sunduğu yazılım hizmetleri kapsamında çeşitli Kişisel Verileri işlemektedir. Bu işlemler, spor kulüpleri ve kullanıcıları ile olan etkileşimler sırasında gerçekleşir ve şirketimizin sunduğu hizmetlerin doğası gereği zorunludur. Aşağıda, işlenen Kişisel Veri kategorileri ve toplama yöntemleri hakkında detaylı bilgi verilmektedir:

4.1. KİŞİSEL VERİLERİN EDİNİLME YÖNTEMLERİ

Şirket, Kişisel Verilerin güvenliğini en üst düzeyde gözetmektedir. Şirket, kendisinden hizmet alan tüzel kişilerin de KVKK'yı gözeteceği beklentisiyle iş ve işlemlerini yürütmektedir. Ayrıca Şirket, Kişisel Verilerin elde edilme kaynakları, işlenme amaçları ve hukuki sebepleri, KVKK'dan kaynaklanan hakları ve kullanım yöntemleri hakkında KVKK'da yer alan bilgilerle birlikte web sitesini ve hizmet ara yüzlerini kullanan gerçek kişileri bilgilendirmektedir.
Kişisel Veriler, aşağıdaki yöntemlerle toplanmaktadır:
o Dijital Formlar ve Kayıt İşlemleri: Spor kulüpleri ve kullanıcılar, web sitesi kanalıyla kaydolduklarında, gerekli Kişisel Verileri dijital formlar aracılığıyla toplanmaktadır.
o Doğrudan İletişim: E-posta, telefon veya doğrudan görüşmeler sırasında toplanan Kişisel Veriler.
o Otomatik Veri Toplama Araçları: Çerezler ve benzeri teknolojiler aracılığıyla kullanıcı davranışlarına ilişkin verilerin toplanması.
o Üçüncü Taraf Kaynaklar: İş ortakları, kulüpler veya diğer güvenilir kaynaklardan alınan Kişisel Veriler.
Ayrıca İlgili Kişilere ait Kişisel Verilerin, İlgili Kişi adına kayıt ve/veya satın alma süreçlerini başlatan diğer Üyeler ve üçüncü kişiler tarafından da Şirket sistemlerine girişi mümkündür. Bu durumun İlgili Kişi’nin bilgisi ve rızası dışında gerçekleştiği hallerde, İlgili Kişi’nin gecikmeksizin ve ivedilikle Veri Sorumlusu Şirket’e Aydınlatma Metni’nde belirtilen şekil ve esaslar çerçevesinde başvuru yapması tavsiye olunmaktadır.

4.2. İŞLENEN VERİ KATEGORİLERİ

Şirket tarafından toplanan Kişisel Veriler İlgili Kişinin Şirket ile olan ilişkisinin niteliğine ve kanuni yükümlülüklerine göre değişmektedir. Aşağıda ayrıntılı olarak sayılan Kişisel Veri tipleri işlenen tüm Kişisel Verileri kapsamamakta olup Şirket tarafından işbu verilere benzer tipte Kişisel Veriler işlenebilmektedir.
Şirketimiz tarafından işlenen Kişisel Veri tipleri şunları içerir:
o Kimlik Bilgisi (Gerekli olduğu ölçüde değişkenlik göstermek üzere, T.C. kimlik numarası, ad-soyad, pasaport numarası, kimlik halinde kimlikte yazılı bilgiler, fotoğraf vb.),
o İletişim Bilgisi (Elektronik posta adresi, telefon numarası, adres vb.),
o Demografik Bilgiler (Yaş, cinsiyet, meslek gibi demografik özellikler.)
o Performans ve Etkinlik Verileri: (Kullanıcıların spor kulübü etkinliklerindeki performansı ve katılım bilgileri)
o Lokasyon Verisi (Analytics verileri vb.)
o Teknik Veriler: (Kullanıcıların hizmetleri kullanımı sırasında toplanan IP adresleri, cihaz bilgileri ve çerez verileri)
o İşlem Güvenliği Bilgisi (İnternet sitesi şifre ve parola bilgileri vb.),
o Finansal Bilgi,
o Hukuki İşlem Bilgisi (Sözleşme onayları, imzalar, elektronik onaylar, Mahkeme ve idari merci kararları, sabıka kaydı gibi belgelerde yer alan veriler vb.),
o Talep/Şikayet Yönetimi Bilgisi (Ürün ve hizmetlerimizle ilgili Şirket’a yapılan talep ve şikayetlerle ilgili toplanan bilgiler ve kayıtlar vb.),
o Görsel İşitsel Veri (Fotoğraflar, toplantı kayıtları, kamera kayıtları, işitsel kayıtlar vb.)
Bu Kişisel Veriler, kullanıcıların hizmetleri etkin bir şekilde kullanabilmeleri, müşteri desteği sağlanması, hizmetlerin geliştirilebilmesi ve yasal yükümlülüklerin yerine getirilebilmesi için gereklidir.

5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel Veri işleme faaliyetlerinin kanuni dayanağı, Kanun’un 5. Maddesinde gösterildiği üzere, aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı Kişisel Veri işleme faaliyetinin dayanağı olabilmektedir.
5.1. Kişisel İlgili Kişinin Açık Rızasının Bulunması
Kişisel Verilerin işlenme şartlarından biri İlgili Kişinin açık rızasıdır. Kişisel İlgili Kişinin açık rızası belirli bir konuya ilişkin, bilgilendirmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Şirket her İlgili Kişi kategorisi için ayrı bir aydınlatma prosedürü uygulamaktadır. (Çalışan Aydınlatma Metni, Genel Aydınlatma Metni vb.)
5.2. Kanunlarda Açıkça Öngörülmesi
İlgili Kişi’nin Kişisel Verileri’nin işlenmesi için geçerli sebep, kanunda açıkça öngörülmekte ise, bir diğer deyişle ilgili kanunda Kişisel Verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Kanunda açıkça öngörülen hallerde İlgili Kişi’nin açık rızası aranmaksızın Veri Sorumlusu Kişisel Veriler’i işleyebilecektir.
5.3. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için Kişisel Verisinin işlenmesinin zorunlu olması halinde İlgili Kişinin Kişisel Verileri işlenebilecek ve İlgili Kişinin açık rızası aranmayacaktır. Bu durum özellikle acil durumlarda şirket ile paylaşılan sağlık bilgilerinin kamu ve özel hastaneler ile paylaşılmasında önem arz eder.
5.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
İlgili Kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, Kişisel Verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir. Bu şartın varlığı durumunda İlgili Kişinin açık rızasına gerek kalmaksızın Kişisel Veriler işlenebilecektir. Burada Şirket, işlenen Kişisel Verilerin sözleşmenin ifası ile doğrudan ilgili olması şartını aramaktadır. Yalnızca taraflar arasında bir sözleşme olması diğer tarafın sözleşme ile bağlantısı olmayan Kişisel Verileri’nin işlenmesi için geçerli sebep kabul edilmemektedir.
5.5. Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket’in hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde İlgili Kişinin Kişisel Verileri işlenebilecektir. Bu halde İlgili Kişi'nin açık rızası aranmamaktadır. Kamu kurum ve kuruluşları ile adli mercilere yapılması zorunlu olan bildirimler, vergi ödemeleri, sözleşme bilgilerinin idari mercilerle paylaşılması bu kapsama dahildir.
5.6. İlgili Kişinin Kişisel Verisini Alenileştirmesi
İlgili Kişi’nin, Kişisel Verisini alenileştirmiş olması halinde ilgili Kişisel Veriler alenileştirme amacıyla sınırlı olarak işlenebilecek ve İlgili Kişinin açık rızası aranmayacaktır.
5.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde İlgili Kişinin Kişisel Verileri işlenebilecek ve İlgili Kişinin açık rızası aranmayacaktır. Şirket tarafı olduğu hukuki süreçlerde haklarının müdafaası için bu hükme dayanarak Kişisel Veriler’i işleyebilmektedir.
5.8. Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde İlgili Kişi’nin Kişisel Verileri açık rıza aranmaksızın işlenebilecektir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket özel nitelikli kişisel veri işlememektedir.

7. KİŞİSEL VERİLERİN KAYIT ORTAMLARI

Şirket, işlenen Kişisel Verileri sakladığı süre boyunca aşağıda yazılı ortamlarda muhafaza eder:
o Elektronik Ortamlar: Kişisel Veriler, güvenli sunucularda, veri tabanlarında ve bulut tabanlı hizmetlerde saklanır. Bu elektronik ortamlar, yetkisiz erişime, veri kaybına, kötüye kullanıma veya hasara karşı korumak için ileri düzeyde güvenlik önlemleri ile donatılmıştır. Şifreleme, güvenlik duvarları ve erişim kontrol sistemleri gibi teknolojiler, Kişisel Verilerin güvenliğinin sağlanmasında kullanılır.
o Fiziksel Ortamlar: Kişisel Veriler, gerektiğinde kâğıt formunda veya diğer fiziksel medyalarda saklanabilir. Fiziksel ortamlarda saklanan Kişisel Veriler, güvenli dosyalama dolaplarında veya kilitli alanlarda muhafaza edilir ve sadece yetkili personelin erişimine açıktır.
o Mobil Cihazlar ve Taşınabilir Medyalar: Kişisel Veriler, iş gereksinimleri doğrultusunda mobil cihazlarda veya taşınabilir medyalarda (USB bellekler, harici hard diskler vb.) saklanabilir. Bu tür cihaz ve medyalar, veri sızıntısını önlemek için şifreleme ve güvenli erişim kontrolleri ile korunur.
Şirket, Kişisel Verilerin saklanması sürecinde, verilerin bütünlüğünü ve mahremiyetini korumak için gerekli tüm önlemleri alır. Ayrıca, saklama sürelerinin sona ermesi veya Kişisel Verilerin saklanmasını gerektiren meşru amaçların ortadan kalkması durumunda, ilgili Kişisel Veriler güvenli bir şekilde silinir, yok edilir veya anonimleştirilir.

8. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Şirket, Kanun’un 10. Maddesine ve ilgili mevzuata uygun olarak, İlgili Kişiler’i aydınlatmaktadır. Şirket, bu kapsamda; Kişisel Verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği ve kimlerle paylaşıldığı, hangi yöntemlerle toplandığı, hukuki sebebi ve veri sahiplerinin Kişisel Verilerinin işlenmesi kapsamında sahip olduğu hakları ve bu hakların nasıl kullanılabileceği konualrında ilgili kişileri bilgilendirmektedir. Bu kapsamda bütün çalışanların işbu Politika başta olmak üzere, Aydınlatma Metninde belirtilen hususlara ve kanundaki şartlara riayet ederek çalışmalarını yürütmeleri sağlanmaktadır.
9. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI

Şirket hukuka uygun olan Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişi’nin Kişisel Verilerini ve özel nitelikli Kişisel Verilerini üçüncü kişilere (iş ortaklarına, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirket bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

9.1. Kişisel Verilerin Aktarılması

İlgili Kişi’nin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirket tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak Kişisel Veriler üçüncü kişilere aktarılabilecektir.
o Kişisel Verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
o Kişisel Verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
o Kişisel Verilerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
o İlgili Kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
o Kişisel Verilerin Şirket tarafından aktarılmasının Şirket veya İlgili Kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
o İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için Kişisel Veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
o Fiili imkânsızlık nedeniyle rızasını açıklamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

10. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ

Şirket elde ettiği Kişisel Verileri, Kanunun 5. ve 6. maddelerinde belirtilen veri işleme şartları kapsamında aşağıda ayrıntılı olarak belirtilen amaçlar için işlemektedir;
 Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
 Bilgi Güvenliği Süreçlerinin Yürütülmesi,
 Denetim / Etik Faaliyetlerinin Yürütülmesi
 Erişim Yetkilerinin Yürütülmesi,
 Faaliyetlerin Mevzuata Uygun Yürütülmesi,
 Finans ve Muhasebe İşlerinin Yürütülmesi,
 Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi,
 Fiziksel Mekân Güvenliğinin Temini,
 Hukuk İşlerinin Takibi ve Yürütülmesi,
 İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
 İletişim Faaliyetlerinin Yürütülmesi,
 İnsan Kaynakları Süreçlerinin Planlanması,
 İş Faaliyetlerinin Yürütülmesi / Denetimi,
 İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi,
 Lojistik Faaliyetlerinin Yürütülmesi,
 Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi,
 Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi,
 Mal / Hizmet Satış Süreçlerinin Yürütülmesi,
 Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi,
 Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
 Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
 Organizasyon ve Etkinlik Yönetimi,
 Pazarlama Analiz Çalışmalarının Yürütülmesi,
 Performans Değerlendirme Süreçlerinin Yürütülmesi,
 Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi,
 Risk Yönetimi Süreçlerinin Yürütülmesi,
 Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,
 Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi,
 Sözleşme Süreçlerinin Yürütülmesi,
 Sponsorluk Faaliyetlerinin Yürütülmesi,
 Stratejik Planlama Faaliyetlerinin Yürütülmesi,
 Talep / Şikayetlerin Takibi,
 Taşınır Mal ve Kaynakların Güvenliğinin Temini,
 Hizmet Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi,
 Ücret Politikasının Yürütülmesi,
 Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi,
 Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
 Yatırım Süreçlerinin Yürütülmesi,
 Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
 Yönetim Faaliyetlerinin Yürütülmesi,
 Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

11. KİŞİSEL VERİLERİN İMHASI

Kişisel Veriler; işbu Politika’da ve Veri Envanteri’nde açıklanan saklanma süresinin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması, daha uzun süre işlenmelerine izin veren hukuki sebep bulunmaması halinde, aşağıda detaylıca açıklandığı üzere verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir.
Politikada bahsedilen imha yöntemlerinden biri, Kurul’un yayımladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır. Kişisel Verilerin imhasının takibi Şirket içerisindeki IT departmanı sorumluluğundadır.

11.1. KİŞİSEL VERİLERİN SİLİNMESİ

Tamamen ya da kısmen otomatik yollarla işlenen Kişisel Verilerin silinmesi işlemi; Kişisel Verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Silinme Süreçlerinde şu adımlar takip edilecektir:
o Silme işlemine konu teşkil edecek kişisel verilerin belirlenir.
o Erişim yetki ve kontrol matrisi kullanılarak her bir kişisel veri için ilgili kullanıcıların tespit edilir.
o İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilir.
o İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılır.
Şirket, kendi organizasyonu içerisindeki ilgili iş biriminin Kişisel Verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili Kişisel Verileri işlemesini engelleyecek teknik ve idari tedbirleri alır.
Şirket organizasyonu içerisindeki diğer iş birimlerinin aynı Kişisel Veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili Kişisel Veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel Verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanmama sonucunu doğuracak ise; Kişisel Verilerin anonim hale getirilerek arşivlenmesi veya başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve Kişisel Verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması kaydıyla Kişisel Veriler silinmiş sayılacaktır.

11.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel Verilerin yok edilmesi; Kişisel Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme işlemi, Şirket’un verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Ayrıca, Şirket bu kapsamda üçüncü taraflardan imha hizmeti alabilir.
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Bu verilerden ayrıca elektronik ortama yedeklenenlerin, elektronik ortama özgü yok etme prosedürleri izlenerek yedekleri de yok edilecektir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. Yeniden yazılabilir optik medyalarda bulunan verilerin üzerine en az yedi kez rastgele veri girişi yapılarak eski verilerin kullanılmasının önüne geçilir.
Bulut sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, bu veriler kriptografik yöntemlerle şifrelenir. Kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmektedir.
11.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel Verilerin anonim hale getirilmesi, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirket tarafından Kişisel Verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi Kişisel Verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kişisel Verilerin anonim hale getirilmesinde şu yöntemlerden bir veya birkaçı kullanılabilir:
o Değişkenleri Çıkartma
o Kayıtları Çıkartma
o Alt ve Üst Sınır Kodlama
o Bölgesel Gizleme
o Mikro-Birleştirme
o Veri Değiş-Tokuşu
o Gürültü Ekleme
o K-Anonimlik
o L-Çeşitlilik
o T-Yakınlık

12. İDARİ VE TEKNİK GİZLİLİK TEDBİRLERİ

12.1. Şirket içerisinde Kişisel Verilerin Korunması ve bunların işlenmesine ilişkin sürecin sektörel standartların üzerinde ve kanuna tam bir uyum içerisinde gerçekleştirilmesi için işbu Politikada detaylı olarak bahsedilen önlemler alınmaktadır. Şirket içerisinde Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat ile veri güvenliği hususlarında kurum kültürünün geliştirilmesi için sürekli çalışmalar yapılmakta ve faaliyetlerin herhangi bir veri ihlali olmaksızın yürütülebilmesi için sıkı tedbirler alınmaktadır.
12.2. Şirket, Türkiye Cumhuriyeti mevzuatına uygun Veri işleme politikasını icra edebilecek gerekli kurumsal güce ve kapasiteye sahip olduğunu kabul beyan ve taahhüt etmektedir.
12.3. Kişisel Verilerin hukuka aykırı olarak işlenmenin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi, Kişisel Verilerin korunması ve güvenliğinin sağlanması, amacıyla idari kapsamda;
 Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
 Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
 Kişisel Veri işlemeye başlamadan önce Şirket tarafından, İlgili Kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
 Kişisel Veri işleme envanteri hazırlanmıştır.
 Veri Sorumlusu ve Veri İşleyen statüsündeki İş Ortakları ile kapsamlı Sözleşmeler imzalanmaktadır.
 Kişisel Veri Saklama ve İmha Politikası hazırlanmıştır.
 Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
 Çalışanlara yönelik veri güvenliği eğitimleri verilmektedir.
 Şirket, topladığı, sakladığı ve işlediği Kişisel Verileri ve İlgili Kişi hakkında edinilebilecek diğer bilgileri, söz konusu Kullanıcının/Üyenin haberi, bilgisi ya da aksi bir talimatı olmaksızın, üçüncü kişilerle kesinlikle paylaşmamakta, faaliyet dışı hiçbir nedenle ticari amaçla kullanmamakta ve de satmamaktadır.
12.4. Şirket, Kişisel Verilerin yetkisiz veya yasalara aykırı bir şekilde işlenmesini, imha edilmesini, kaybolmasını, değiştirilmesini, zarar görmesini veya açıklanmasını önlemek amacıyla uygun teknik güvenlik önlemlerini almaktadır. Kişisel Verilerin hukuka aykırı olarak işlenmenin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi, Kişisel Verilerin Korunması ve güvenliğinin sağlanması, amacıyla teknik kapsamda;
 Toplanan Kişisel Veriler ve İlgili Kişi hakkında edinilebilecek diğer bilgiler genel kullanıma açık olmayan güvenli bir ortamda saklanır.
 Sızma testleri ile Şirket’in bilişim sistemlerine yönelik risk, tehdit ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
 Bilişim sistemlerinin sürekliliğini ve güvenliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
 Bilişim sistemlerine erişim hususunda Şirket çalışanları, yöneticileri, sahipleri bakımından yetki matrisi bulunmaktadır.
 Şirket’un bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
 Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.
 Kişisel Verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
 Kişisel Verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
 Şirket, silinen Kişisel Verilerin erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
 Kişisel Verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu İlgili Kişiye ve Kişisel Verilerin Korunması Kurulu’na bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
 Bilgi ve Bilişim Güvenliği sistemleri güncel halde tutulmaktadır.
 Kişisel Verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
 Kişisel Verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma sistemleri kullanılmaktadır.
 Kişisel Verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programlar kullanılmaktadır.
 Elektronik olan veya olmayan ortamlarda saklanan Kişisel Verilere erişim sınırlandırılmaktadır.
 Kişisel Verileri üzerinde barındıran teknik cihazların bakım, servis, değişimi gibi durumlarda Kişisel Verilerin bulunduğu sürücüler çıkartılmakta bunun mümkün olmaması halinde ilgili veriler bir başka ortama yedeklendikten sonra bu teknik cihazlardan geri döndürülemeyecek şekilde imha edilmektedir.
 Dışarıdan bakım onarım gibi amaçlarla gelen üçüncü kişilerin kişisel verileri kopyalamasının önüne geçecek önlemler alınmaktadır.

13. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

13.1. Şirket, Kişisel Verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta Kişisel Verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde periyodik imha sürelerine veya İlgili Kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme/yok etme/anonimleştirme) ile imha edilmektedir. Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
13.2. Kişisel Verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’un belirlediği saklama sürelerinin de sonuna gelinmişse Kişisel Veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya Kişisel Veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler sona erdikten sonra Kişisel Veriler silinmekte, yok edilmekte ve anonim hale getirilmektedir.
13.3. Söz konusu Kişisel Verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarla silinir, yok edilir ya da anonim hale getirilir (“Periyodik İmha Süresi”). Şirket tarafından işlenen Kişisel Veriler ve süreleri ayrıntılı olarak Kişisel Veri envanterinde gösterilmektedir (EK.1 Kişisel Veri Envanteri).
13.4. Kurum tarafından aksine bir karar alınmadıkça, Kişisel Verilerin silinmesi veya yok edilmesini talep ettiğinde ilgili talep Kişisel Verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel Verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu Kişisel Verileri siler, yok eder veya anonim hale getirir. Kişisel Verilerin işleme şartlarının tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 (otuz) gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
13.5. Sözleşmesel ilişki çerçevesinde işlenen verileriniz ilgili sözleşmenin sona ermesini takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. İnsan Kaynakları süreçleri ile ilgili işlenen Kişisel Verileriniz ilgili sürecin sona ermesini veya iş ilişkisinin sona ermesini takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Müşteri bilgileri (ad-soyad, ödeme bilgisi ve yöntemleri, ürün/hizmet tercihleri, işlem geçmişi, destek ve talep bilgileri) Müşterinin satın almış olduğu her bir ürün/hizmetin sunulmasından veya ticari ilişkinin sona ermesinden itibaren 15 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Çerezler ve Log kayıtları kanuni zorunluluk gereği erişim tarihini takip eden 2 yılın sonunda takip eden ilk periyodik imha sürecinde imha edilecektir. İş Kanunu ve iş ilişkileri kapsamında tutulan Kişisel veriler iş ilişkisinin sona ermesini takip eden 10. Yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Vergisel Kayıtlara ilişkin Kişisel Veriler, defter tutma yükümlülüğüne ilişkin kişisel veriler ve faturaya ilişkin veriler işlem tarihini takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilcektir.
13.6. Periyodik İmha Süreci her yıl iki defa gerçekleşecek şekilde Haziran ve Aralık aylarında yürütülür. Bu sürecin yürütülmesinden IT Departmanı sorumludur.

14. KİŞİSEL VERİLERİN GÜVENLİĞİ

Kişisel Verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel Verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla Kişisel Veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli Kişisel Verilerin güvenliği sağlanırken diğer Kişisel Verilere göre daha katı önlemler alınır. Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler görev sorumlulukları hakkında eğitilir.
Kişisel Verilere erişim kayıtları teknik imkanlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma başlatılır ve ihlale konu kişisel veri ve ihlalin boyutu İlgili Kişi ile Kurum’a 72 saat içerisinde bildirilir.
Kişisel Verileri işleyen Şirket çalışanları, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıda belirtilen yükümlülüklere uyar;
o Kişisel Verilerin korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
o Kişisel Verileri doğru, tam ve eksiksiz işleme,
o Güncelliğini kaybeden Kişisel Verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
o Kişisel Verilerin işlenmesinde herhangi bir hukuka aykırılık fark ettiğinde ilgili yöneticiyi bilgilendirme,
o Kişisel Verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma.
15. SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME

Şirket çalışanlarının, Kişisel Verileri saklama ve imha süreçlerinde görev alanları ve iş tanımları aşağıdaki gibidir;
15.1. KVKK Çalışma Komitesi: Hukuk danışmanları, Veri Sorumlusu Temsilcisi, IT departmanı ve üst yönetimden oluşur. Kişisel Verilerin saklanması ve imhası konusunda Şirket’in ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, politika ve eklerinin güncel tutulmasına sağlar, gerekli durumlarda Şirket’in ilgili diğer birimleri ile yakın çalışarak politikanın Kanun ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.
15.2. IT Departmanı : Politikada belirtilen karar ve yöntemler ışığında, KVKK Çalışma Komitesi ile koordineli şekilde ilgili imha ve saklama süreçlerinin Kanun ve Yönetmeliğe uygun şekilde gerçekleştirilmesini sağlar.

16. POLİTİKA’NIN TADİL VE YÜRÜRLÜĞÜ

16.1. Tadil veya yeni politika metinleri yürürlüğe girse dahi eski Politikalar yürürlükten kalkma tarihlerini takip eden 5 yıl boyunca Şirket envanterinde tutulur. İşbu Politika mevzuat değişiklikleri, kişisel veri işleme ve saklama süreçlerindeki değişiklikler, işlenen kişisel veri kategorilerinin veya saklama, aktarım ve imhaya ilişkin usul ve esasların değişmesi halinde IT Departmanı’nın önerisi üzerine Veri Güvenliği Amiri veya şirket yetkilisi tarafından güncellenir. Güncellenmiş metin elektronik ortamda ve fiziksel ortamda imza altına alıp yayınlandığı tarih itibariyle geçerlilik kazanmış kabul edilecektir.

16.2. İşbu Politika, Şirket tarafından onaylandığı ___/___/_____ tarihinde yürürlüğe girer.