KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

1.1. Amaç

ONATÇA MOTORLU ARAÇLAR A.Ş. (“ONATÇA” veya “Şirket”) olarak; çalışanlar, stajyerler, ziyaretçiler, web site ziyaretçileri, taşeron çalışanları, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.

Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri Saklama ve İmha Politikamıza (“Politika”) göre belirlemekte ve gerçekleştirmekteyiz.

Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Onatça olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.

İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.

1.2. Kapsam

İşbu Politika; çalışanlar, stajyerler, ziyaretçiler, web site ziyaretçileri, taşeron çalışanları, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin Onatça tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.

Politika, Şirket tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

1.3. Kısaltmalar ve Tanımlar

Elektronik ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişi.
KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Karartma	Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Kişisel Veri	Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgi.
Kurul	Kişisel Verileri Koruma Kurulu.
Politika	Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kişisel verilerin anonim hale getirilmesi	Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi, bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla kullanılacaktır.
Kişisel verilerin silinmesi	Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından kamerehiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel verilerin yok edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi, otomatik yolla tutulanların geri getirilemeyecek şekilde silinmesi, otomatik olmayan yolla tutulanların yakılarak imha edilmesi yoluyla silinmesi işlemi
Periyodik imha	KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (silinme şartları gerçekleştikten sonraki 6 (altı) ayda bir) resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik	28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. SORUMLULUK VE GÖREV DAĞILIMLARI

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda verilmiştir.

PERSONEL AD-SOYAD	BİRİM	GÖREV	SORUMLULUK
Genel Müdür	Genel Müdürlük	Kişisel veri saklama ve imha politikası uygulama sorumlusu	Genel Müdür, işbu Politika’yı, kabul etmek ve uygulamaya almak; politikanın gerektiği durumlarda güncellenmesi için yönetsel kararı almak; kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.
	Kişisel Veri Sorumlusu	Kişisel veri saklama ve imha politikası uygulama sorumlusu	İşbu Politika taslağının hazırlanması, geliştirilmesi ve güncellenmesi, Politika’nın takibinden ve hazırlanan dokümanın www.kvkk.gov.tr’de QDMS’de (CRMleriyle uyumlu, kurum içi kullanılan sair yazılımlarla ve Kurumun istediği formatta) yayınlanmasından, kurumla yapılacak yazışmalardan, şirket KEP adresinin takibi ve bu adrese gelen ilgili kişi başvurularıyla Kurumla yapılan yazışmalrdan, ve bu süreçlerin takibinden Kişisel Veri Sorumlusu sorumludur.
	Avukat/Hukuk Departmanı- Sözleşmeli yada şirket içindeki yetkilendirilmiş avukat	Kişisel veri saklama ve imha politikası uygulama sorumlusu	Kendisine danışılması halinde, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha süreci hakkında şirketi bilgilendirilmesinden sorumludur.
	Bilgi İşlem Müdürü	Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.
	Muhasebe Müdürü	Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

3. KAYIT ORTAMLARI

Şirketimiz tarafından, faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla aşağıda yer alan kayıt ortamlarını kullanmaktayız.

ELEKTRONİK ORTAMLAR	ELEKTRONİK OLMAYAN ORTAMLAR
· Veri tabanları (e-posta veri tabanı, dosya paylaşım, web, yedekleme vb.)	· Klasörler
· Yazılımlar	· Dosyalar
· Taşınabilir cihazlar (hard disk, USB bellekler vs.)	· Arşiv Odaları
· Uygulama otomasyonları

4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirketimiz tarafından; çalışanlar, stajyerler, ziyaretçiler, web site ziyaretçileri, taşeron çalışanları, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler olan gerçek kişilerin kişisel verileri KVKK’ya uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırayla yer verilmiştir.

4.1. Saklamaya İlişkin Açıklamalar

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta ve veri envanterinde öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda, verilerin silinmesine mevzuatta bir engel olmaması şartıyla, veriler veri envanterinde belirtilen usul ve yöntemler çerçevesinde silinir, yok edilir veya anonim hale getirilir.

4.1.1. Saklamayı Gerektiren Hukuki Sebepler

Onatça’da, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

ü Kişisel Verilerin Korunması Kanunu

ü Türk Borçlar Kanunu

ü Türk Ticaret Kanunu

ü İş Kanunu

ü İş Sağlığı ve Güvenliği Kanunu

ü Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

ü Sermaye Piyasası Kanunu

ü İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

ü Sendikalar ve Toplu İş Sözleşmesi Kanunu

ü Vergi Usul Kanunu

ü Karayolu Taşıma Kanunu

Yukarıda sayılanlar başta olmak üzere yürürlükte olan ilgili tüm kanunlar, diğer ikincil düzenlemeler ve veri envanteri çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2. Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

ü İnsan kaynakları süreçlerini yürütebilmek

ü Denetim ve etik faaliyetlerini yürütebilmek

ü Bilgi güvenliği süreçlerini yürütmek

ü Çalışan memnuniyeti ve bağlılığı süreçlerini yürütmek

ü Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülükleri yerine getirmek

ü Çalışanlar için yan haklar ve menfaatleri süreçlerini yürütmek

ü Çalışan adaylarının başvuru süreçlerinin yürütülmesi

ü Çalışan adayı, stajyer seçme ve yerleştirme süreçlerinin yürütülmesi

ü Eğitim faaliyetlerini yürütmek

ü Erişim yetkilerini belirlemek

ü Finans ve muhasebe işlerini yürütmek

ü Fiziksel mekân güvenliğini sağlamak

ü Görevlendirme süreçlerini yürütmek

ü Hukuk işlerini yürütmek

ü İç denetim, disiplin faaliyetlerinin yürütülmesi

ü İletişim faaliyetlerini yürütmek

ü İş faaliyetlerinin yürütülmesi ve denetimi

ü İş sağlığı ve güvenliği faaliyetlerini yürütmek

ü Mal / hizmet satın alım süreçlerini yürütmek

ü Mal / hizmet satış süreçlerini yürütmek

ü Mal / hizmet satış sonrası destek hizmetlerini yürütmek

ü Mal / hizmet üretim ve operasyon süreçlerini yürütmek

ü Saklama ve arşiv faaliyetlerini yürütmek

ü Sosyal sorumluluk ve sivil toplum aktivitelerini yürütmek

ü Sözleşme süreçlerini yürütmek

ü Reklam, kampanya ve promosyon süreçlerini yürütmek

ü Yetkili kişi, kurum ve kuruluşlara bilgi vermek

ü Yönetim faaliyetlerinin yürütülmesi

4.2. İmhayı Gerektiren Sebepler

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması

• KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi

• Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması

• İlgili kişinin talebi (mevzuatta ve veri envanterinde belirlenen şartların sağlanması koşuluyla)

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Şirket tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

5.1. ALINAN İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,

· Şirketimiz kapsamında VERBİS sistemine uyumlu veri envanteri çıkarılmakta (Data Mapping), burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.

· Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bu bilgilendirmeler sonrasında periyodik olarak (6 ayda bir) farkındalık eğitimleri yapılmaktadır.

· Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.

· Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanunun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.

· Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve periyodik (6 ayda bir) denetimler yürütülmektedir.

Diğer yandan, şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

· Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir.

· Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta ve gizlilik sözleşmeleri yapılmaktadır.

· Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir. Yeni bir veri girişi olması halinde, bu durumun veri envanterine işlenecek ve gerekirse, VERBİS sisteminde bu düzenlemenin de en geç 7 (yedi) gün içerisinde yapılacaktır.

· Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta, veri minimilazasyonu amacına uygun salt yeteri kadar veri alınacak, ihtiyaçtan fazla veri alınmamaktadır.

· Veri İşleyenler ile İlişkilerin Yönetimi: Şirket bilgi işlem ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır.

Bu kapsamda, veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması, herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi sağlanmaktadır.

Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, Şirket tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmesi sağlanmaktadır.

Yine, Şirket kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptıracağı, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebileceği belirtilmektedir.

Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte yada yeni veri gizliliği sözleşmeleri yapılmaktadır.

· Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli periyodik eğitimleri verir ve periyodik olarakta yenileme eğitimleri yapmaktadır.

· Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.

· Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimiz ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

· Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.

· Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

5.2. Alınan Teknik Tedbirler

Şirketimizin, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için aldığı başlıca teknik tedbirler şu şekildedir;

· Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır.

Güvenlik duvarı ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı oluşturulmaktadır.

Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Nitekim, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları olabileceği dikkate alınarak, kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilmektedir.

· Yazılım güncellemeleri

Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.

· Erişim Sınırlamaları

Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.

Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kompleks kombinasyonların (güçlü şifre) tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.

· Şifreleme

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.

· Anti Virus Yazılımları

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır.

· Web Sitesi Güvenliği

Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

· Kişisel Veri Güvenliğinin Takibi

- Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmektedir.

- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmekte ve sızma testlerinin periyodik olarak 6 (altı) ayda bir yapılmaktadır.

- Tüm kullanıcıların işlem hareketlerinin kaydı düzenli olarak tutulmaktadır (log kayıtları gibi).

- Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması yapılmaktadır.

- Yine çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.

- Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

· Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır.

Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır. Otomatik olmayan yolla tutulan kişisel verilerin bulunduğu ortamlar kilitli olarak tutulmakta, sınırlı kişiye erişim yetkisi verilmekte ve erişim yetkisi bulunan kişilerle gizlilik sözleşmeleri yapılmaktadır.

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.

Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilmektedir.

Aynı seviyedeki önlemler şirket yerleşkesi dışında yer alan ve şirkete ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır. Nitekim, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.

Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.

Kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.

· Kişisel Verilerin Bulutta Depolanması

Şirketimizde bulutta depolama yapılmamaktadır. Ancak yapılacak olması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket taarfından değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmaktadır. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanması, Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları yok edilmesi ön görülmektedir.

· Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Şirket tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

· Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

· Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.

· Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

· Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.

5.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıkların Arttırılması ve Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını, eğitimlerin verilmesini sağlamakta ve belirli periyodik aralıklarla (6 ayda bir) gerekli denetimleri yapmaktadır.

5.4. İş Ortakları ve Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıkların Arttırılması

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına, tedarikçilerine, taşeronlarına ve bunların çalışanlarına gerekli bilgilendirmeler yapmakta ve eğitim vermektedir.

5.5. Özel Nitelikli Kişisel Verilerin Korunmasına ilişkin alınan idari ve teknik tedbirler

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.

Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda;

· Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır, Periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılır ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınır.

· Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanır, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilir ve gerekli güvenlik testleri düzenli olarak yapılır ve veya yaptırılır, test sonuçları kayıt altına alınır.

Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

· Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığına emin olur, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.

· Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografık yöntemlerle şifrelenir ve kriptografık anahtarın farklı ortamda tutulur, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.

· Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınır.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine, şirketimizin hukuki yükümlülüğünün sona ermesi koşuluyla, kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

6.2. Kişisel Verilerin Silinmesi ve Yok Edilmesi

Şirketimiz, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Yöntemleri:

(i) Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Şirketimizdeki kişisel veriler bulut sisteminde saklanmamaktadır. Ancak ilerleyen dönemlerde herhangi bir Kurul tarafından onay verilen bulut sistemi olması ve şirketçe verilerin bulut sisteminde yedekleneceği yönünde kara alınacak olunur ise,

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her

türlü teknik ve idari tedbirlerin alınması.

(ii) Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

(iii) Kağıt Ortamında Bulunan Kişisel Verilerin Yıldızlanması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde baş harfleri kalacak diğer harfler yıldızlanacak şekilde, belirlenebilir halden çıkartılacaktır. Ancak bu yöntem silme şartları gerçekleştiği ve istatiki bilgi gerek olduğu takdirde kullanılacaktır.

(iv) Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yakma yoluyla yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Yukarıda belirtilen durumun gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

7. İMHAYA İLİŞKİN KAYITLARIN SAKLAMA SÜRESİ

Şirketimiz, imhaya ilişkin kayıtlar hem basılı olarak hem elektronik olarak 3 yıl boyunca saklamakta olup, imha kayıtlarının korunmasına ilişkin teknik ve idari tedbirler almaktadır.

8. SAKLAMA VE İMHA SÜRELERİ

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem tarafından yerine getirilir. Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir.

Bu çerçevede, ilgili verinin Onatça nezdinde saklanmasının, KVKK’nın 5. ve 6. maddesinde kişisel verilere ve özel nitelikli kişisel verilere ilişkin olarak öngörülen hukuka uygunluk sebepleri kapsamında değerlendirilmesi halinde, bu hukuka uygunluk sebeplerine istinaden ilgili kişisel verilere ilişkin saklama süreleri tespit edilir.

Kişisel verilerin imha süreci, Onatça tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, Onatça tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir. Şirket politikası olarak yakma yoluyla imha etme yöntemi uygulanmasına karar verilmiştir.

Süreç	Saklama Süresi	İmha Süresi
Çalışan süreçlerinin yürütülmesi	Çalışanın işten ayrılmasından itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmesel ilişkilerin yürütülmesi (müşteri, tedarikçi, taşeron yetkilileri, çalışanları vb.)	Sözleşmenin sona ermesini takiben 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera kayıtları	30 gün	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi kayıtları	Ziyaretin tamamlanmasından itibaren 6 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıt takip sistemleri	3 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İmha kayıtları	İmha tarihinden itibaren 3 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

9. PERİYODİK İMHA SÜRESİ

Yönetmelik’in 11. maddesi gereğince periyodik imha süresi, Şirket tarafından, silme şartları gerçekleştikten sonra 6 (altı) ay olarak belirlenmiştir.

10. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI

İşbu Politika, 6698 sayılı Kanun yürürlüğü ile yayınlanmış ve basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanmaktadır.

11. POLİTİKANIN GÜNCELLENME PERİYODU

İşbu Politika yılda bir kez gözden geçirilir ve ihtiyaç halinde esaslar dahilinde güncellenir.

12. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

İşbu Politika Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

Yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politikanın ıslak imzalı eski nüshaları Genel Müdür’ün yazılı onayı ile Kişisel Veri Sorumlusu tarafından iptal edilerek (iptal kaşesi vurulurak veya iptal yazılarak) imzalanır ve 5 yıl süre ile Kişisel Veri Sorumlusu tarafından saklanır.