KALİTE YÖNETİMİ

B.İlgili Kişilerin Haklarını Kullanması

İlgili Kişilerin KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini, aşağıdaki yöntemlerle Şirketimize iletmesi gerekli ve yeterlidir;
 

 
 
Başvuruda;
Ad, soyada ve başvuru yazılı ise imza, T.C. vatandaşları için T.C. Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.
 
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır. Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.
 
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
 
Veri sahiplerine ilişkin başvuru formu, Şirketimizin web sitesinde mevcut bulunmaktadır.
 

C.Başvurulara Cevap Verilmesi

Kişisel veri sahibinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. Başvurular Şirketimizin “İlgili Kişi Başvuru Prosedürü"ne göre Şirketimiz içinde yönetilmektedir.
 
 

6.BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

I.KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,
 

• Şirketimiz kapsamında VERBİS sistemine uyumlu Veri Envanteri çıkarılmakta (Data Mapping), burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
• Şirketimizin ilgili kişilere ait aydınlatma yükümlülüğünün eksiksiz olarak ve doğru biçimde yerine getirilebilmesi için “Kişisel Verilerin İşlenmesinde Aydınlatma Esasları Politikası” yürürlüğe konulmuş bulunmaktadır.
• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir.
• Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
• Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
• Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
• Şirketimiz ile Şirketimizin sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda “Tedarikçi Gizlilik Sözleşmesi” yürürlüğe konulmuş bulunulmaktadır.

II.ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE ALINAN TEKNİK VE İDARİ TEDBİRLER

KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır. Bu kapsamda;

• Özel nitelikli kişisel verilerin güvenliğine ve işlenme esaslarına ilişkin olarak “Kişisel Verilerin Korunması ve İşlenmesi Politikası” hazırlanmıştır.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilmekte ve gerekli güvenlik testleri yapılmakta, test sonuçları kayıt altına alınmaktadır.
• Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmaktadır.
• Özel Veriler, Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
• Özel verilerin, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Özel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
• Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.

III.KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır.
 

A.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
 

1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.

2. Yazılım güncellemeleri

Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
 

3. Erişim Sınırlamaları

Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.
 

4. Şifreleme

Güçlü şifre ve parola kullanımının yanısıra, şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.
 

5. Anti Virus Yazılımları

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.
 

6. Kişisel Veri Güvenliğinin Takibi
   • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
   • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
   • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
   • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

Gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.
 

7. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır.
 
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.
 
Aynı seviyedeki önlemler Şirket yerleşkesi dışında yer alan ve Şirkete ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de alınmaktadır. Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.
Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.
 
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
 
Kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.
 

8. Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir. Bu durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, KVK Kurulunun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.
 

1. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
 

10. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.
 

B.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir.
• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.
• Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kişisel veriler, doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok edilmekte veya anonim hale getirilmektedir.
• Veri İşleyenler ile İlişkilerin Yönetimi: Şirket BT ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan sözleşmelere kişisel verilerin korunması ile ilgili koruyucu düzenlemeler getirilmektedir.

IV.KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI

Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
 

A.Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli

altyapılar kullanılmaktadır.
 

B.Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

• Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
• Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmekte ve bu konuda Şirketin “Üçüncü Taraflarla İlişkilerde Kişisel Verilerin Korunması Esasları” Politikasındaki hükümlere göre hareket edilmektedir.

V.EĞİTİM

• Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.
• Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilmektedir.
• Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimiz ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verilmektedir.

VI.DENETİM

A.İş Birimlerinin Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını sağlamaktadır.
 

B.İş Ortakları Ve Tedarikçilerin Kişisel Verilerin Korunması Ve İşlenmesi Konusundaki Farkındalıklarının Arttırılması Ve Denetimi

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmaktadır.

C.Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re ’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
 
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler:
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

1.POLİTİKANIN AMACI

Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi amacı ile Asya Nakliyat Tic. Ltd. Şti. genelinde uygulanacak tüm kurallar ile rol ve sorumlulukları belirlemektir.

2.POLİTİKANIN KAPSAMI

Politika Asya Nakliyat Tic. Ltd. Şti. genelinde ( nezdinde ) tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm Asya Nakliyat Tic. Ltd. Şti. çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, dış hizmeti sağlayıcılarını ve Asya Nakliyat Tic. Ltd. Şti.’nin sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır.
Politika Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.
Bu Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel verilerle beraber genel olarak “Kişisel Veriler” olarak adlandırılacaktır.

3.TANIMLAR

5. Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
5. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
5. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
5. Kişisel Veri Saklama Tablosu: Kişisel verilerin Asya Nakliyat Tic. Ltd. Şti. nezdinde tutulacağı süreleri gösteren tabloyu,
6. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
5. Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
5. Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
5. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
5. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
5. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
5. Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
5. Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
5. Kanun: 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
5. Yönetmelik: 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini
5. Kurul: Kişisel Verileri Koruma Kurulunu,
5. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
5. Kişisel Verilerin İşlenmesi ve Korunması Politikası: ”www.asyanakliyat.com” adresinden ulaşılabilecek, “Asya Nakliyat Tic. Ltd. Şti. “ elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,
5. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

İfade eder.

4.POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
4.1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
“Asya Nakliyat Tic. Ltd. Şti. “ nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda bulunabilir ve tutulabilir. “ FİRMA “ veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

4.2. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
“ FİRMA “, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
 
 
4.2.1. Teknik Tedbirler
“ FİRMA “, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

5. Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır, Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
5. Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
5. Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmektedir.
5. “ FİRMA “ bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.

4.2.2. İdari Tedbirler
“ FİRMA “, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:

5. Kişisel verilere erişimi olan tüm “ FİRMA “ çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
5. Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
5. Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.

4.2.3. Şirket İçi Denetim
“ FİRMA “, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde “ FİRMA “ sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, “ FİRMA “ bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

5.KİŞİSEL VERİLERİ KORUMA KOMİTESİ’NİN GÖREV VE YETKİLERİ

1. Kişisel Verileri Koruma Komitesi Politikanın ilgili iş birimlerine duyurulmasından ve gereklerinin FİRMA A.Ş.  birimlerince yerine getirilmesinin takibinden sorumludur.
2. Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar,
3. Kişisel Verileri Koruma Komitesi; Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARININ ORTADAN KALKMASI DURUMUNDA YAPILACAKLAR

1. Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
2. Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi FİRMA A.Ş. birimleri işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç dört aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. Kişisel veri sahibinin başvurusu ya da Kurulun veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır.
3. Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre,  silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda ilgili veri sahibi iş biriminden görüş alınarak işlem yapılacaktır. Merkezi Bilgi Sistemlerinde yer alan çok paydaşlı veri sahipliği bulunan kişisel verilerin imhasına yönelik karar alınması gerektiğinde ise Kişisel Verileri Koruma Komitesi’nin görüşü alınacak ve söz konusu kişisel veri hakkında işbu politikaya göre verinin,  saklanmasına veya silinmesine, yok edilmesine veya anonim hale getirilmesine ilgili veri sahibi iş birimi tarafından karar verilecektir.
4. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
5. Yönetmeliğin 7.4 maddesi uyarınca, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uygulanan yöntemler Politika’nın yürürlüğe girmesinden sonra yayınlanacak ve açıklanacaktır.
6. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.
7. Bir kişisel verinin sahibi gerçek kişi, Kanunun 13. maddesine istinaden FİRMA A.Ş. ’ne başvurarak kendisine ait kişisel verilerin silinmesini, imhasını veya anonim hale getirilmesini talep ettiğinde, ilgili veri sahibi iş birimi, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, imha eder veya anonim hale getirir. Bu durumda detayları ISO 27001:203 Bilgi Güvenliği Yönetim Sisteminde Veri İmha Prosedüründe belirlendiği şekilde; talep, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır ve ilgili kişiye KVKK Sorumlusu tarafından atanan KVKK ekip  aracılığıyla bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili veri sahibi iş birimi bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
8. Kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, kişisel veri sahiplerinin verilerinin silinmesi veya imha edilmesine yönelik talepleri FİRMA A.Ş. tarafından Kanunun 13. maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç 30 gün içerisinde yazılı olarak ya da elektronik ortamda bildirilir.
9. Kişisel verilerin silinmesi ya da imha edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilecektir. Söz konusu kanallar dışında yapılacak taleplerde ilgili kişiler kimlik tespitinin yada doğrulamasının yapılabileceği kanallara yönlendirilecektir.

7.POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR

1. İşbu Politika tüm çalışanlara ve FİRMA A.Ş. İnternet sitesinden duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, müşteriler, sigorta şirketleri, dış hizmet sağlayıcıları ve sair FİRMA A.Ş. nezdinde kişisel veri işleyen herkes için bağlayıcı olacaktır.
2. FİRMA A.Ş. çalışanlarının Politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir. Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
3. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
4. Politika gereklerinin yerine getirilmesi için FİRMA A.Ş. tarafından; ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi ve KVKK Kanunu Kapsamında gerekli tüm güvenlik önlemleri alınmaktadır.

8.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALACAK KİŞİLER VE SORUMLULUKLARI

FİRMA A.Ş. içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, müşteriler, sigorta şirketleri, danışmanlar, dış hizmet sağlayıcıları ve sair surette FİRMA A.Ş. nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanacaktır.
İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılacaktır.
 8.1. KİŞİSEL VERİ KOMİTESİ
“ FİRMA “ bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere en az üç kişiden oluşur. Kişisel Veri Komitesinde görevli “ FİRMA “ çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

8.2. SAKLAMA VE İMHA NEDENLERİ
8.2.1. Saklama Nedenleri
“ FİRMA “ bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız (ilgili politikaya “www.asyanakliyat.com” adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.
8.2.2. İmha Nedenleri
“ FİRMA “ bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. KVKK Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

1. Kanunlarda açıkça öngörülmesi.
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

8.3. İMHA YÖNTEMLERİ
“ FİRMA “, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
“ FİRMA “ tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
8.3.1.1 Silme Yöntem​leri

8.3.1.2 Yok Etme Yöntemleri

8.3.1.3. Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

“ FİRMA “, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır. “ FİRMA “, bu anonimleştirme yöntemlerini kullanırken K-Anonimlik, L-Çeşitlilik ve T-Yakınlık  istatistik yöntemlerini kullanabilir.

9.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo Ek: 1’de yer almaktadır. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo FİRMA A.Ş. kişisel veri envanterinde yer alacak süreçlerin sahibi iş birimlerince, tereddüt halinde Kişisel Verileri Koruma Komitesi değerlendirmeleri de alınarak, güncellenecektir.
9.1. Saklama Süreleri

*   Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
3.3.2.   İmha Süreleri
“ FİRMA “, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden “ FİRMA “’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; “ FİRMA “ talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  ” FİRMA “’nın talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. “ FİRMA “, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep “ FİRMA “ tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

10.PERİYODİK İMHA SÜRELERİ

6698 sayılı KVKK Kanununda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; “ FİRMA “ işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri ilk kez 30.09.2019 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.
10.1. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
“ FİRMA “, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.
“ FİRMA “, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
10.1.1. Teknik Tedbirler

• “ FİRMA “, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman temin eder.
• “ FİRMA “, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
• “ FİRMA “, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
• “ FİRMA “, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

10.1.2. İdari Tedbirler

• “ FİRMA “, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
• “ FİRMA “, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
• “ FİRMA “, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
• “ FİRMA “, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır

11.YÜRÜRLÜK

1. Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.
2. Politikanın FİRMA A.Ş.genelinde duyurulması ve gerekli güncellemelerin yapılması Kişisel Verileri Koruma Komitesi’nin sorumluluğundadır.

12.GÜNCELLEME ve UYUM

“ FİRMA “, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler zaman geçirmeden metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
 

ÇEREZ POLİTİKALARI
Bu Cookie Uygulamaları Politikası; Asya Nakliyat Tic. Ltd. Şti. tarafından veya onlar adına yürütülen tüm web siteleri, üçüncü parti platformlardaki markalı web siteleri (Facebook ve YouTube gibi), ve bu web siteleri veya üçüncü parti programlar üzerinden erişilen veya kullanılan uygulamalar (“Asya Nakliyat Tic. Ltd. Şti.”) için geçerlidir.
Asya Nakliyat Tic. Ltd. Şti. sitelerini kullanarak, cookie’lerin bu Cookie Uygulamaları Politikası ile uyumlu şekilde kullanılmasına onay vermiş olursunuz. Eğer cookie’lerin bu şekilde kullanılmasını istemiyorsanız, tarayıcınızın ayarlarını düzenlemeli veya Asya Nakliyat Tic. Ltd. Şti. sitelerini kullanmamalısınız. Kullandığımız cookie’leri devre dışı bırakmak, Asya Nakliyat Tic. Ltd. Şti. sitelerindeki kullanıcı deneyiminizi etkileyebilir.
Aşağıdaki tablo, Asya Nakliyat Tic. Ltd. Şti. sitelerinde kullandığımız farklı cookie türlerini, ilgili amaçları ve süreleri (her bir cookie’nin cihazınızda ne kadar süreyle tutulacağı) ile birlikte özetlemektedir.
Cookie uygulamaları nelerdir?
Cookie’ler, bir Asya Nakliyat Tic. Ltd. Şti. sitesini ziyaret ettiğinizde bilgisayarınızda (veya akıllı telefonlar ve tabletler gibi internet özellikli diğer cihazlarda) depolanabilecek dosyalar veya bilgi parçacıklarıdır. Bir cookie genellikle; alındığı web sitesinin adını, cookie’nin “ömrünü” (ör. cihazınızda ne kadar süreyle tutulacağı), ve genellikle tesadüfi şekilde oluşturulan kendine özgü bir sayı değeri içerir.
Cookie’leri ne amaçla kullanırız?
Cookie’leri; Asya Nakliyat Tic. Ltd. Şti. sitelerinin kullanımını kolaylaştırmak, Asya Nakliyat Tic. Ltd. Şti. sitelerini ve ürünlerimizi ilgi ve ihtiyaçlarınız doğrultusunda daha iyi bir şekilde özelleştirmek amacıyla kullanırız. Cookie’leri aynı zamanda gelecekte sitelerimiz üzerinde gerçekleştireceğiniz faaliyet ve deneyimleri hızlandırmak amacıyla da kullanılabiliriz. Ayrıca cookie’leri, insanların sitelerimizi nasıl kullandıklarını anlamamızı sağlayan isimsiz ve toplu istatistiki verileri bir araya getirmemize ve sitelerimizin yapılarını ve içeriklerini geliştirmemize yardımcı olmaları amacıyla kullanmaktayız. Bu veriler, sizin kimliğinizi tanımlamamızı sağlayabilecek bilgiler değildir.
Ne tür cookie’ler kullanıyoruz?
Asya Nakliyat Tic. Ltd. Şti. sitelerinde iki tür cookie kullanılabilir; “oturum cookie’leri” ve “kalıcı cookie’ler”.Oturum cookie’leri, Asya Nakliyat Tic. Ltd. Şti. sitesinden ayrılana dek cihazınızda tutulan geçici cookie’lerdir. Bir kalıcı cookie, cihazınızda siz onu silinceye kadar daha uzun süreli saklanmaktadır. (Cookie’nin cihazınızda ne kadar süreyle tutulacağı, o cookie’ye ait süreye veya “ömre”, ve tarayıcınızın ayarlarına bağlı olarak değişecektir)
Ziyaret ettiğiniz bazı sayfalar, piksel etiketleri (temiz gif olarak da adlandırılır) kullanarak, tanıtım faaliyetlerimizi ve web sitesi geliştirmelerimizi doğrudan desteklemekte olan üçüncü partilerle paylaşılabilecek bilgileri alabilir. Örneğin, Asya Nakliyat Tic. Ltd. Şti. sitelerine gelen ziyaretçilere dair web sitesi kullanım bilgileri, web sitelerimizdeki banner reklamlarının daha etkili bir şekilde görünürlüğünü sağlamak amacıyla üçüncü parti reklam ajanslarımızla paylaşılabilir. Bu bilgiler kişisel bilgilerinizle ilişkili olabilir ancak sizin kimliğinizi tanımlayamazlar.
Asya Nakliyat Tic. Ltd. Şti. Sitelerinde kullanılan Cookie’ler

Üçüncü parti cookie’leri nasıl kullanıyoruz?
Sağladıkları servisleri size sunabilmeleri için, Asya Nakliyat Tic. Ltd. Şti. sitelerini ziyaret ettiğinizde cihazınızda sizin adınıza cookie ayarları yapan bazı üçüncü parti tedarikçilerle çalışıyoruz. Bu cookie’ler ve bu cookie’leri almaktan nasıl vazgeçebileceğiniz hakkında ayrıntılı bilgi için, aşağıdaki ilgili bölümlere bakın.
Asya Nakliyat Tic. Ltd. Şti. sitelerini ziyaret ettiğinizde üçüncü parti web siteleri veya domainlerinden cookie’ler alabilirsiniz. Bu cookie’leri kullanıma girmeden önce tanımlamak ve böylece cookie’leri kabul edip etmemeye dair karar verebilmenizi sağlamak için çalışıyoruz. Bu cookie’ler hakkında ayrıntılı bilgiler, ilgili üçüncü parti web sitesinde mevcut olabilir.
Cookie’leri nasıl kontrol edebilir veya silebilirim?
Birçok internet tarayıcısı, varsayılan olarak cookie’leri otomatik olarak kabul etmeye ayarlıdır. Bu ayarları, cookie’leri engelleyecek veya cihazınıza cookie gönderildiğinde uyarı verecek şekilde değiştirebilirsiniz. Cookie’leri yönetmenin birkaç yolu bulunmaktadır. Tarayıcı ayarlarınızı nasıl düzenleyeceğiniz hakkında ayrıntılı bilgi almak için lütfen tarayıcınızın talimat veya yardım ekranına başvurun.
Eğer kullandığımız cookie’leri devre dışı bırakırsanız, bu eylem Asya Nakliyat Tic. Ltd. Şti. sitelerindeki kullanıcı deneyiminizi etkileyebilir; örneğin Asya Nakliyat Tic. Ltd. Şti. sitesinin belirli bölümlerini görüntüleyemeyebilir veya bir Asya Nakliyat Tic. Ltd. Şti. sitesini ziyaret ettiğinizde sizin için özelleştirilmiş olan bilgilere ulaşamayabilirsiniz.
Asya Nakliyat Tic. Ltd. Şti. sitelerini görüntülemek için farklı cihazlar kullanıyorsanız (ör. bilgisayar, akıllı telefon, tablet vb.), bu cihazların her birindeki her tarayıcının cookie tercihlerinize uygun şekilde ayarlanmış olduğundan emin olmanız gerekir.
Detaylı Bilgi
Oturum / geçici: Bu cookie’ler, web sitesinden ayrılmanızın ardından cihazınızdan silinir.
Sürekli / Kalıcı: Bu cookie’ler, web sitesinden ayrılmanızın ardından cihazınızdan silinmez. Daha uzun bir süre cihazınızda tutulur.
PERFORMANS