BİRİNCİ BÖLÜM
AMAÇ, KAPSAM, KISALTMALAR VE TANIMLAR
 

1.1 Amaç  
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Bertoğlu İnşaat Limited Şirketi’nin (“Şirket”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; Şirket yöneticileri, çalışanları, çalışan adayları, sözleşmeli ve yüklenici firmaların temsilcileri ve çalışanları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan bu Politika’ya uygun olarak gerçekleştirilir.
 

1.2 Kapsam  
Şirket ortakları, Şirket yöneticileri, çalışanlar, çalışan adayları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamındadır. Şirket’in 3. gerçek veya tüzel kişiler ile yaptığı sözleşmelerde işlenen kişisel verilerin saklanması ve imhası için ilgili 3. Kişilerle yapılan karşılıklı sözleşme esaslarına göre hareket edilir.

1.3 Kısaltmalar ve Tanımlar  
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.  
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.   
Hizmet Sağlayıcı: Kişisel verilerin alınması, işlenmesi, saklanması, korunması ve imhası faaliyetlerinin herhangi birisini içerecek şekilde Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İrtibat kişisi: İlgili kişilerin Şirket’e ileteceği taleplerin cevaplandırılması konusunda görev yapan ve ilgili kişilerle iletişimi sağlayan personeli.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Bu talimat kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Verileri" de kapsar.)
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi,  aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları döküm.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Komisyon: Şirket bünyesinde kişisel verileri koruma mevzuatı kapsamında görev yapmak üzere kurulan komisyonu.
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı.
KVKK / KVK-Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Şirket: Bertoğlu İnşaat Limited Şirketi
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası
Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetim Kurulu: Bertoğlu İnşaat Limited Şirketi Yönetim Kurulu’nu
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Ziyaretçi: Şirket’nın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket’nın internet sitelerini ziyaret eden gerçek kişileri, ifade eder.

İKİNCİ BÖLÜM
SORUMLULUK VE GÖREV DAĞILIMLARI

Şirket’in birimleri ve çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu komisyon ve görevlilere aktif olarak destek verir.
Kişisel verilerin korunması kapsamında görev alan personelin görev tanımları ve çalışma esasları Şirket yönetimince hazırlanarak Kişisel Verileri Koruma Görevli Personel Talimatı ile belirlenir.
 
ÜÇÜNCÜ BÖLÜM
KAYIT ORTAMLARI  

Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır. Burada yazan hususlar kişisel verilerin muhafaza edileceği ortamları ifade etmektedir. Hangi kişisel verinin hangi yöntemle toplanacağı ve hangi ortamda saklanacağına dair spesifik bilgiler Kişisel Veri Envanteri’nde güncel olarak bulundurulacaktır.
a.    Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (Ofis yazılımları,  ŞİRKET Otomasyon Portalı,VERBİS vb.)
b.    Bilgi güvenliği cihazları (günlük kayıt (log) dosyası)
c.    Kişisel bilgisayarlar (Masaüstü, dizüstü), Mobil cihazlar (telefon, tablet vb.)
d.    Optik diskler (CD, DVD vb.) ve çıkartılabilir bellekler (USB Bellek, Hafıza Kart vb.)
e.    Yazıcı, tarayıcı, fotokopi makinesi
f.    Kâğıt
g.    Manuel veri kayıt sistemleri (formlar, ziyaretçi giriş defteri)
h.    Yazılı, basılı, görsel ortamlar  

DÖRDÜNCÜ BÖLÜM
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR  

Şirket tarafından; Şirket yöneticileri, çalışanlar, çalışan adayları, ziyaretçiler, hizmet sağlayıcı veya taşeron olarak ilişkide bulunulan kurum veya kuruluşların çalışanları ile diğer 3. kişilere ait kişisel veriler Kanun’a ve ikincil mevzuata uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.1 Saklamaya İlişkin Açıklamalar  
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Şirketimiz faaliyetleri çerçevesinde özel nitelikli kişisel veri olarak sadece sağlık bilgilerinden “kan grubu” bilgisi ve Şirket çalışanlarına ait sağlık raporlarında yer alan sağlık bilgileri tutulmaktadır. Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır. İşleme sürelerinin neler olduğu toplanan her bir verinin toplanması konusunda hukuki sebebini teşkil eden mevzuat hükümlerinin öngördüğü süreler kadar olacaktır. Bu nedenle, standart bir imha süresi belirlemek mümkün değildir.
Kişisel verilerin ne kadar süre ile saklanacağı ve hangi durum ve şartlarda imha edileceği Veri Envanteri ile aydınlatma metinlerinde teferruatlı olarak belirtilecektir. Belirlenen bu süre, durum ve şartlar aydınlatma metinleri vasıtasıyla ilgili kişilere veri toplama sırasında ayrıntılı olarak bildirilecektir. Ancak, genel olarak kişisel verisi işlenen ilgili kişinin kişisel verisinin kendisi tarafından değiştirilmesini veya imha edilmesini talep etmesine veya emeklilik veya sözleşmenin feshi gibi nedenlerle mesleği bırakması durumlarında kişisel verisinin işleme sebebinin halen var olup olmadığı tekrar değerlendirilecektir.
Yurtiçinde üçüncü kişilere aktarılan kişisel verilerin saklanması ile ilgili koşullar bu kişilerle yapılan sözleşmelerde belirlenecektir. Aktarılan bu verilerin saklanması ile ilgili olarak, veri alıcılarının da birer veri sorumlusu veya veri işleyen sıfatını haiz gerçek veya tüzel kişi olduğu, bu nedenle KVK ile ilgili tüm mevzuatın uygulanmasından sorumlu oldukları gerçeğinden hareketle, veri ihlali durumunda Şirket’e herhangi bir hukuki sorumluluk yüklenmeyecektir. Şirket’in sorumluluğu sadece verilerin transferi sırasında bu verilerin karşı akidin hâkimiyet alanına intikaline kadar olan sürede meydana gelen ihlaller sebebiyle olacaktır.
Yurtdışına kişisel veri aktarılmayacak ve yurtdışında veri saklanmayacaktır. Ancak, Şirket web sitesinin yönetimi, elektronik sistemler üzerinden yapılan eğitim faaliyetleri gibi teknik işler sırasında verilerin yurtdışında kurulu veri tabanı, sunucu vb. ortamlarda muhafazası gündeme gelebilmektedir. KVK Kurumu, yurtdışına veri aktarılması ve verilerin bu ortamlarda saklanabilmesi ile ilgili gerekli esasları belirleyene kadar asgari düzeyde veri azami güvenlik tedbiri ile işlenmeye devam edilecektir. Bu konuda hizmet sağlayan alt yükleniciler ile yapılan sözleşmelere hüküm konulacaktır.

4.1.1 Saklamayı Gerektiren Hukuki Sebepler  
Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;  
6698 sayılı Kişisel Verilerin Korunması Kanunu,
213   sayılı Vergi Usul Kanunu
3065 sayılı Katma Değer Vergisi Kanunu
488   sayılı Damga Vergisi Kanunu
492   sayılı Harçlar Kanunu
6098 sayılı Türk Borçlar Kanunu,  
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,  
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,  
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,  
4982 Sayılı Bilgi Edinme Kanunu,  
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,  
4857 sayılı İş Kanunu,  
ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler gereği olarak mevzuatta öngörülen saklama süreleri kadar saklanmaktadır.
Mevzuatta saklanma süresi belirlenmemiş durumlarda kişisel verilerin hangi sürelerde saklanacağı gereklilik ve ölçülülük ilkelerine uygun olarak, Kişisel Veri Envanterinde yazılı esaslar dâhilinde Şirketin Kişisel Verileri Koruma Ekibi tarafından belirlenmektedir.

4.1.2 Saklamayı Gerektiren İşleme Amaçları 

Şirketimizde işlenen verilerin saklama amaçları genel olarak aşağıdaki gibidir:
1.1.    Açık rıza.
1.2.    Kanunlarda açıkça öngörülme.
1.3.    Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
1.4.    Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
1.5.    Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
1.6.    İlgili kişinin kendisi tarafından alenileştirilmiş olması.
1.7.    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
1.8.    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
1.9.    (Sadece sağlık ve cinsel hayat verileri içindir) Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
4.2 İmhayı Gerektiren Sebepler  
Kişisel veriler, Kişisel Veri Envanterinde belirtilen süre sonunda ve yine Envanter’de belirlenen işleme sebeplerinin ortadan kalkması durumunda imha edilecektir. Kişisel Veri Envanterinde bulunan özel şartlara ilave olarak aşağıda belirtilen genel şartlar gerçekleştiğinde imha işlemi yapılacaktır.
a.    İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
b.    İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
c.    Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
d.    Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
e.    Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi veya İlgili kişinin, Şirket’in verdiği cevabı yetersiz bulması veya Şirket’in Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
f.    Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,  durumlarında, Şirket tarafından ilgili kişinin talebi ya da re’sen silinir, yok edilir veya anonim hale getirilir.

BEŞİNCİ BÖLÜM
TEKNİK VE İDARİ TEDBİRLER  

Kişisel verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle, Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler  
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
a.    Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit,  zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
b.    Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
c.    Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
d.    Şirket’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
e.    Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal  (sistem Şirket çalışanına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
f.    Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
g.    Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
h.    Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
i.    Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
j.    Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
k.    Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
l.    Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
m.    Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
n.    Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
o.    Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
p.    Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
5.2 İdari Tedbirler  
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
a.    Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi,  kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
b.    Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
c.    Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü mevcuttur.
d.    Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
e.    Kişisel veri işleme envanteri hazırlanmıştır.
f.    Şirket içi periyodik ve rastgele denetimler yapılmaktadır. Denetimde standardizasyonu sağlamak için denetleme kontrol formları geliştirilmiştir.
g.    Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
h.    Kişisel veri içeren belgelere erişim ile ilgili yetki ve sorumluluklar belirlenmiştir.
i.    Kişisel verilerin korunmasına ilişkin fiziki güvenlik tedbirleri alınmıştır.
 

ALTINCI BÖLÜM
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ  

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
 

6.1 Kişisel Verilerin Silinmesi  
Kişisel veriler aşağıda açıklanan yöntemlerle silinir.
Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.  
Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

6.2 Kişisel Verilerin Yok Edilmesi  
Kişisel veriler, Şirket tarafından aşağıda açıklanan yöntemlerle yok edilir.
Fiziksel Ortamda Yer Alan Kişisel: Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin kırılması, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
 

6.3 Kişisel Verilerin Anonim Hale Getirilmesi  
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
İstatistik, tarihçe vb. sebeplerle yok edilmeyerek anonim hale getirilmesine Kişisel Verileri Koruma Komisyonu’nca karar verilen Kişisel veriler, veri ilgilisi ile ilişkilendirilemeyecek ve geri döndürülemeyecek derecede üzeri çizilmek, boyanmak, silinmek suretiyle tahrif edilir. Elektronik ortamdaki veriler için geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

6.4 İmha Sonrası İşlemler
Fiziksel ve elektronik ortamda işlenen kişisel veriler in imhası için görevlendirilen personel, evrakı imha işlemine tabi tutmadan önce imha edilen evrakın konusu, tarihi, nereye gönderildiği veya nereden geldiği, kaç nüsha/sayfa olduğu gibi hususları içeren evrakı tanıtıcı bilgileri bir tutanak haline getirecek ve Genel İdare Müdürü’ne verecektir.

YEDİNCİ BÖLÜM
SAKLAMA VE İMHA SÜRELERİ  

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
a.    Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde
b.    Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta
c.    Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Verileri Koruma Komisyonu’nca güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Genel İdare Müdürlüğü tarafından yerine getirilir.
Süreç bazında saklama ve imha süreleri
Şirket  İşlemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde  
Sözleşmelerin hazırlanması: Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket İletişim Faaliyetlerinin İcrası: Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde  
Ziyaretçi ve Toplantı Katılımcılarının Kaydı Etkinliğin sona ermesini takiben 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde  
Kamera Kayıtları 3 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

SEKİZİNCİ BÖLÜM
PERİYODİK İMHA SÜRESİ  

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 3 ay olarak belirlemiştir. Buna göre, Şirket’çe her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

DOKUZUNCU BÖLÜM
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Genel İdare Müdürlüğü dosyasında saklanır.

ONUNCU BÖLÜM
POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, mevzuatta değişiklik olduğu her durumda ve ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

ONBİRİNCİ BÖLÜM
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI  

Politika, Yönetim Kurulu Kararı ile Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.  Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel İdare Müdürlüğü tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Genel İdare Müdürlüğü tarafından saklanır.