SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

1.1. Politikanın Amacı

İşbu saklama ve imha politikası Tosunoğlu Tekstil Sanayi ve Ticaret A.Ş. kısaca (“Tosunoğlu”) olarak veri sorumlusu sıfatıyla elde bulundurulan kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Tosunoğlu tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanların, çalışan adaylarının, müşterilerin, ziyaretçilerin ve herhangi bir nedenle Tosunoğlu nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Tosunoğlu Tekstil Sanayi ve Ticaret A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.2. Politikanın Kapsamı

İşbu politika, şirket ortakları, şirket hissedarları, şirket yetkilileri, çalışan, çalışan adayları, stajyer, stajyer adayları, şirket müşterileri, şirket müşterileri yetkilisi ve çalışanları, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi yetkilisi, ziyaretçiler, danışman ve üçüncü kişiler ile herhangi bir nedenle Tosunoğlu nezdinde kişisel verisi bulunan tüm gerçek kişileri ve bunların kişisel verilerini kapsamaktadır.

Tosunoğlu bu politikayı www.tosunoglu.com.tr internet adresinde yayımlamak suretiyle, Kişisel Verilerin Korunması Kanunu’nun 16. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesindeki yükümlülüğünü yerine getirerek, bu kişisel veri sahiplerini bilgilendirmektedir.

Tosunoğlu bünyesinde kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel verilerin tamamen veya kısmen otomatik olan yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesine yönelik faaliyetlerde işbu Politika uygulanır.

1.3.Tanımlar

Açık Rıza: İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı olarak verdiği onay beyanını,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Veri Sahibi/ İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Kişisel Verinin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kişisel Verileri Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Kişisel Verilerin İşlenmesi ve Korunması Politikası: https://www.tosunoglu.com.tr/kvkk adresinden ulaşılabilecek, Tosunoğlu elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı, Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,

Şirket: Tosunoğlu Tekstil Sanayi ve Ticaret A.Ş.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi;

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. Bu Politika’da yer almayan tanımlar için Kanun ve Yönetmelik’teki tanımlar geçerlidir.

2. KAYIT ORTAMLARI

 Kişisel veriler, Tosunoğlu tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 1: Kayıt Ortamları

3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Tosunoğlu tarafından; şirket ortakları, şirket hissedarları, şirket yetkilileri, çalışan, çalışan adayları, stajyer, stajyer adayları, şirket müşterileri, müşteri adayları, müşteri yetkilisi ve çalışanları, potansiyel ürün veya hizmet alıcısı, tedarikçiler, tedarikçi çalışanı, tedarikçi yetkilisi, ziyaretçiler, danışman ve üçüncü kişiler, iş ortakları, ürün veya hizmet alan kişiler ile herhangi bir nedenle Tosunoğlu nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kanun, Yönetmelik ve ilgili mevzuatta yer alan usul ve esaslara uygun olarak işlenebilmekte, saklanmakta ve imha edilmektedir. Bu kapsamda, saklama ve imhaya ilişkin açıklamalara aşağıda yer verilmiştir.

3.1. Saklamaya İlişkin Açıklamalar

KVKK’nın 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6 maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Tosunoğlu faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

3.1.1.Saklamaya İlişkin Hukuki Sebepler

Tosunoğlu faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Kişisel veriler, KVKK’nın 5. ve 6. maddesinde belirtilen aşağıdaki hukuki sebeplerle işlenebilmektedir.

• İlgilinin açık rızası

• Kanunlarda açıkça öngörülmesi (6698 Sayılı Kişisel Verilerin Korunması Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 5411 Sayılı Bankacılık Kanunu, Özürlü, Eski Hükümlü ve Terör Mağduru İstihdamı Hakkında Yönetmelik, 6102 sayılı Türk Ticaret Kanunu, 213 Sayılı Vergi Usul Kanunu, İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik, 2004 Sayılı İcra ve İflas Kanunu, 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği, 4857 Sayılı İş Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik, Bu Kanunlar Uyarınca Yürürlükte Olan Diğer Düzenlemeler)

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

• İlgili kişinin kendisi tarafından alenileştirilmiş olması

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

3.1.2.Saklamayı Gerektiren İşleme Amaçları

Tosunoğlu, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• Acil Durum Yönetimi Süreçlerinin Yürütülmesi

• Bilgi Güvenliği Süreçlerinin Yürütülmesi

• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

• Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

• Denetim / Etik Faaliyetlerinin Yürütülmesi

• Eğitim Faaliyetlerinin Yürütülmesi

• Elektronik Satış Süreçlerinin Yürütülmesi

• Erişim Yetkilerinin Yürütülmesi

• Faaliyetlerin Mevzuata Uygun Yürütülmesi

• Finans Ve Muhasebe İşlerinin Yürütülmesi

• Fiziksel Mekan Güvenliğinin Temini

• Görevlendirme Süreçlerinin Yürütülmesi

• Hukuk İşlerinin Takibi Ve Yürütülmesi

• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

• İletişim Faaliyetlerinin Yürütülmesi

• İnsan Kaynakları Süreçlerinin Planlanması

• İş Faaliyetlerinin Yürütülmesi / Denetimi

• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

• Kalite Standartlarının Sağlanması

• Şirket Binasına Giriş ve Çıkışların Kontrol Altında Tutulması ve İzinsiz Girişlerin Engellenmesi

• Lojistik Faaliyetlerinin Yürütülmesi

• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

• Mal / Hizmet Satış Süreçlerinin Yürütülmesi

• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

• Organizasyon Ve Etkinlik Yönetimi

• Pazarlama Analiz Çalışmalarının Yürütülmesi

• Performans Değerlendirme Süreçlerinin Yürütülmesi

• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

• Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi

• Sözleşme Süreçlerinin Yürütülmesi

• Talep / Şikayetlerin Takibi

• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

• Ücret Politikasının Yürütülmesi

• Ürün Faturalarının Düzenlenmesi

• Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

• Yönetim Faaliyetlerinin Yürütülmesi

• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

• Yönetim Kurulu Üyelerinin Türk Ticaret Kanunu Mevzuatından Kaynaklanan Yükümlülüklerin Yerine Getirilmesi

• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

3.2.İmhayı Gerektiren Sebepler Kişisel Verileriniz;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

• KVKK’nın 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Tosunoğlu tarafından kabul edilmesi,

• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması,

• Tosunoğlu’nun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içerisinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, Hallerinde, Tosunoğlu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

4. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Tosunoğlu tarafından re’sen veya İlgili Kişi’nin başvurusu üzerine, yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Tosunoğlu tarafından seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

4.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilme işlemidir. Tosunoğlu tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 2’de belirtilen şekillerde silinir;

Tablo 2: Kişisel Verilerin Silinmesi

4.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Tosunoğlu tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 3’te belirtilen şekillerde yok edilir;

Tablo 3: Kişisel Verilerin Yok Edilmesi

4.3. Kişisel Verilerin Anonimleştirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Tosunoğlu tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 4’te belirtilen şekillerde anonim hale getirilir;

Tablo 4: Kişisel Verilerin Anonimleştirilmesi

Mevzuat uyarınca daha uzun bir süre öngörülmüş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması durumunda, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

5.1.İmha Süreleri

Tosunoğlu, KVKK, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, KVKK’nın 13. maddesine istinaden Tosunoğlu’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Tosunoğlu talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Tosunoğlu’nun talebi almış sayılması için ilgili kişinin talebini, resmi internet sitesinde ilan edilmiş olan Tosunoğlu Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Tosunoğlu, her halde yapılan işlemle ilgili, ilgili kişiye bilgi verir.

2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Tosunoğlu tarafından KVKK’nın 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

5.2. Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Tosunoğlu işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Tosunoğlu, Yönetmeliğin 11 inci maddesi gereği periyodik imha süresini 6 ay olarak belirlemiştir.

6. TEKNİK VE İDARİ TEDBİRLER

 Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesiyle KVKK’nın 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Tosunoğlu tarafından teknik ve idari tedbirler alınır.

6.1.Teknik Tedbirler

Tosunoğlu tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda belirtilmiştir.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Tosunoğlu, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.

• Sızma (Penetrasyon) testleri ile Tosunoğlu tarafından bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

• Tosunoğlu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir

• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Şifreleme yapılmaktadır.

6.2.İdari Tedbirler

Tosunoğlu tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda belirtilmiştir.

• İmha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.

• Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli önlemleri almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.

• Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla gizlilik sözleşmesi imzalar, ilgili üçüncü kişilerin işbu gizlilik sözleşmesindeki yükümlülüklerine uyması için gerekli tüm özeni göstermektedir.

• İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını periyodik olarak denetlemekte, gereken önlemleri almaktadır.

• Kişisel veri işleme envanteri hazırlanmıştır.

• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin yönetmeliği hazırlanmıştır.

• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.

• Gizlilik sözleşmeleri hazırlanmaktadır. Gizlilik sözleşmeleri kapsamında kişisel verilerin korunmasına ilişkin ayrıca hükümler düzenlenmektedir.

• Tosunoğlu bünyesinde çalışan Mavi Yaka/Beyaz Yaka personellerine KVKK Farkındalık Eğitimleri verilmektedir.

• Veri Sorumlusu sıfatını haiz Tosunoğlu ile Veri İşleyen arasındaki Gizlilik Sözleşmeleri hazırlanmaktadır.

• İrtibat Kişisi olarak atanan kişi, Aydınlatma Metinlerinde ilan edilmektedir.

• Çalışan/Ziyaretçi/Hizmet Alan Kişilere ilişkin Aydınlatma Metinleri hazırlanmaktadır.

• Tosunoğlu bünyesinde çalışan personellerin İş Sözleşmeleri KVKK ile uyumlu hale getirilmektedir.

• Kamera Sistemleri bulunan tüm yerlere Kamera Sistemleri Aydınlatma Metinleri tablo şeklinde asılmaktadır.

• Tosunoğlu bünyesinde çalışan personellere ilişkin Bilgisayar Kullanım Talimatları hazırlanmaktadır.

• Tosunoğlu bünyesinde çalışan personellere ilişkin kişisel verilerin saklandığı odalar bakımından Erişim Sınırlaması uygulanmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Departman bazlı kişisel verileri korumaya yönelik bilgilendirme metinleri ilan edilmektedir.

• Kişisel Verileri Koruma Komitesi kurulmuştur.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

7. KİŞİSEL VERİLERİ KORUMA KOMİTESİ

 Tosunoğlu bünyesinde, Yönetim Kurulu kararına istinaden bir Kişisel Verileri Koruma Komitesi kurulmuştur. Kişisel Verileri Koruma Komitesi, ilgili kişilerin verilerinin hukuka, Tosunoğlu Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve Tosunoğlu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Verileri Koruma Komitesi, biri başkan, biri idari uzman, biri teknik uzman olmak üzere en az üç kişiden oluşur. Kişisel Verileri Koruma Komitesi’nde görevli Tosunoğlu çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir. Kişisel Verileri Koruma Komitesi, görev ve sorumluluklarını Şirket yönetim kurulunun kararlarından almaktadır.

8. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kişisel Verileri Koruma Komitesi Başkanı tarafından dosyasında saklanır.

9. POLİTİKA’NIN GÜNCELLEME PERİYODU

 Politika, ihtiyaç duyulduğunda gerekli bölümleri gözden geçirilir ve gerekli olan bölümler güncellenir. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır. Tosunoğlu Kişisel Verileri Saklama ve İmha Politikasında yapılacak güncellemeler www.tosunoglu.com.tr adresinde yayınlanacaktır.

 Politika, Tosunoğlu’nun internet sitesinde süresiz olarak yayımlanır ve talep eden kişisel veri sahibine metin veya erişim linki paylaşımı ile doğrudan iletilebilir. Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politika’nın ıslak imzalı eski nüshaları ilgili birim tarafından iptal edilerek imzalanır ve 5 yıl süre ile saklanır.