Kişisel Verilerin İşlenmesi Politikası
Kişisel Verilerin İşlenmesi Saklanması Ve İmhasına İlişkin Politika
AloTech, https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi adresinde yayımlanan işbu Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatıyla sorumlu olduğunu ilan etmektedir.
AloTech, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerinizin kanun ve ilgili sair mevzuata uygun olarak işlenerek muhafaza edilmesine büyük önem vermektedir. AloTech, bu bilinçle, yasal yükümlülüklerini ve iştigal konusuyla uygun olan faaliyetlerini gerçekleştirebilmek amacıyla kişisel verileri mevzuata uygun olarak işlemekte ve muhafaza etmektedir.
|
KISALTMA
|
TANIMLAR
|
|---|---|
|
Açık Rıza
|
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
|
|
Kişisel Veri
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
|
|
Özel Nitelikli Kişisel Veri
|
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
|
|
İlgili Kişi
|
Kişisel verisi işlenen gerçek kişiyi ifade eder.
|
|
Veri Sorumlusu
|
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
|
|
Veri İşleyen
|
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
|
|
Alıcı Grubu
|
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
|
|
Kurul
|
Kişisel Verileri Koruma Kurulu’nu ifade eder.
|
|
Kişisel Verilerin İşlenmesi
|
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
|
|
Kişisel Verilerin Anonim Hale Getirilmesi
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
|
|
Kişisel Verilerin Silinmesi
|
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
|
|
Kişisel Verilerin Yok Edilmesi
|
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
|
|
İmha
|
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
|
|
Periyodik İmha
|
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
|
|
Kanun
|
6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
|
|
Yönetmelik
|
28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini ifade eder.
|
Amaç ve Kapsam
İşbu Politika’nın amacı, AloTech tarafından kişisel verilerin Kanun’a uygun olarak işlenmesi ve korunması ile Yönetmelik’e uygun olarak saklanması ve imhasını sağlamak amacıyla benimsenen ilkeleri ve bu kapsamda izlenecek olan yöntemleri açıklamaktır.
İşbu Politika, AloTech’in ve AloTech’in bağlı bulunduğu grup veya grupların, diğer şirketlerinin, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere yurtiçi ve yurtdışındaki iş ve çözüm ortaklarının yetkililerine, çalışanlarına, eski çalışanlarına, çalışan adaylarına, stajyerlerine, ziyaretçilerine, işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlara ve yetkililerine, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişilere ait kişisel veriler başta olmak üzere AloTech tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin işlenmesi, korunması, saklanması ve imhası kapsamında AloTech tarafından yönetilen tüm faaliyetlerde uygulanmaktadır.
2. KİŞİSEL VERİLERİN İŞLENMESİNE VE AKTARILMASINA İLİŞKİN ESASLAR
2.1 KİŞİSEL VERİLERİN İŞLENMESİ SIRASINDA ESAS ALINAN İLKELER
AloTech, Kanun’un 4. maddesi uyarınca işbu Politika kapsamındaki kişisel verileri aşağıdaki genel ilkeler doğrultusunda işlemektedir.
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işleme
- İşlendikleri amaçla sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
AloTech, kişisel verileri ilgili kişinin açık rızası olmak şartıyla işlemektedir. AloTech’in Kanun’un 5. maddesi kapsamında (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iv) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (v) ilgili kişinin kendisi tarafından alenileştirilmiş olması, (vi) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın da işlemesi mümkündür.
AloTech, özel nitelikli kişisel verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak, ilgili kişinin ırkını, etnik kökenini, siyasi düşüncesini, felsefi inancını, dinini, mezhebini veya diğer inançlarını, kılık ve kıyafetini, dernek, vakıf ya da sendika üyeliğini, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kanunlarda öngörülen hâllerde ilgili kişinin açık rızası olmaksızın da işleyebilmesi mümkündür.
2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
AloTech tarafından kişisel veriler aşağıdaki belirtilen amaçlar doğrultusunda işbu Politika’nın 2.1. maddesi ile 2.2. maddesinde belirtilen ilke ve şartlara uygun şekilde işlenmektedir.
A – İş başvuruları kapsamında, çalışan adaylarının ve stajyerlerin insan kaynakları süreçlerinin planlanması ve takibi, çalışan adayı / stajyer seçme ve yerleştirme süreçlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
B – İnsan Kaynakları süreçleri kapsamında çalışan ve stajyerlerin bordro ve özlük hakları ile ilgili işlemlerin yürütülmesi, yasal bildirimlerin yapılması, sağlık sigortası işlemlerinin takip edilmesi, çalışan hak ve menfaatlerinin planlanması, çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, yan haklar ve menfaatleri süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi, maaş politikalarının belirlenmesi, görevlendirme süreçlerinin yürütülmesi, yabancı personel çalışma ve oturma izni işlemlerinin takibi, yetkili kişi kurum ve kuruluşlara bilgi verilmesi,
C – Sunulan ürün ve hizmetler üçüncü kişilerin beğenilerini, kullanım alışkanlıkları ve ihtiyaçları doğrultusunda özelleştirilerek önerilmesi ve tanıtılması için gerekli olan faaliyetlerin planlanması ve icrası kapsamında müşteri memnuniyeti faaliyetlerinin planlanması ve/veya icrası, ürün ve hizmetlerle ilgili pazar araştırma ve pazarlama faaliyet ve süreçlerinin planlanması ve/veya icrası, sunulan ürün veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin planlanması ve/veya icrası,
D – AloTech tarafından sunulan ürün ve hizmetlerden üçüncü kişileri faydalandırmaya yönelik çalışmaların ilgili iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi kapsamında ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve/veya icrası, satış sonrası destek hizmetlerinin planlanması ve/veya icrası, müşteri ilişkileri yönetimi süreçlerinin planlanması ve/veya icrası, müşteri talep ve şikayetlerinin takibi, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
E – AloTech’in ve onunla iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi kapsamında; denetim faaliyetlerinin planlanması ve/veya icrası, faaliyetlerin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerin planlanması ve icrası, operasyonların güvenliğinin temini, verilerin doğru ve güncel olmasının sağlanması, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
F – AloTech tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi kapsamında bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, finans ve/veya muhasebe işlerinin takibi, hukuk işlerinin takibi, iş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, iş faaliyetlerinin planlanması ve icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerinin planlanması ve icrası, operasyon süreçlerinin planlanması ve icrası
G – AloTech’in ticari ve/veya iş stratejilerinin planlanması ve icrası kapsamında iş ortakları, müşteriler ve/veya tedarikçilerle olan ilişkilerin yönetimi, stratejik planlama faaliyetlerinin icrası, iş ortakları ve/veya tedarikçilerin performans değerlendirme süreçlerinin planlanması ve takibi,
H – Fiziksel mekân güvenliğinin sağlanması, taşınır mal ve kaynaklarının güvenliğinin sağlanması,
İ- AloTech faaliyetlerinin sürekliliğinin sağlanması, finans ve muhasebe işlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, yönetim faaliyetlerinin yürütülmesi, organizasyon ve etkinlik yönetimi, erişim yetkilerinin yürütülmesi.
2.4. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel veriler, AloTech tarafından verilen hizmetler ve işçi-işveren ilişkisi kapsamında, sigorta şirketleri, hizmet tedarik ve temin edilen şirketler ile bu şirketlerin çalışanları, yazılım firmaları, yurtdışı ve yurtiçi banka ve finans kuruluşları, lisanslı ödeme kuruluşları, verilerin bulut ve benzeri ortamlarda tutulması ve korunması için hizmet alınan yurtiçi ve yurtdışı kuruluşlar, sunucu hizmeti alınan yurtiçi ve yurtdışı kuruluşlar, ticari elektronik ileti gönderilmesi için hizmet alınan yurtiçi ve yurtdışı kuruluşlar, Bankalararası Kart Merkezi (BKM), reklam ve iletişim ajansları, kredi kartı hizmet sağlayıcıları, ödeme hizmet sağlayıcıları, internet servis sağlayıcıları, mobil uygulama ve internet sitesi yazılım bakım ve destek hizmetleri sağlayanlar, AloTech’in pay sahipleri, bağlı bulunduğu grup veya grupların diğer şirketleri, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere AloTech’in yurtiçi ve yurtdışındaki iş ve çözüm ortakları başta olmak üzere AloTech’in iştigal konusuna giren faaliyetleri doğrultusunda, sözleşmesel ilişki içinde olduğu üçüncü gerçek ve tüzel kişilerle, bunların faaliyetleri kapsamında kullanacakları bilgilerle sınırlı olmak kaydıyla paylaşılmaktadır.
AloTech, ayrıca kişisel verileri yasal mevzuat gereği bilgi verilmesi zorunlu olan adli, idari ya da resmi sair makamlarla da paylaşmaktadır. Söz konusu veri paylaşımlarıyla; AloTech tarafından verilen hizmetlerin güvenli bir şekilde, kesintisiz olarak ve üstün kalitede sunulabilmesi ve yasal yükümlülüklerin yerine getirilmesi amaçlanmaktadır.
AloTech, kişisel verilerin aktarılması sürecinde, verilerin hukuka aykırı olarak kullanılmasını önlemek ve muhafazasını sağlamak için mevzuat uyarınca uygun güvenlik düzeyini sağlamak için gerekli tüm tedbirleri almaktadır
3. KİŞİSEL VERİLERİN KATEGORİZASYONU
AloTech, kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ilgili kişinin kişisel verilerini, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan bir şekilde işbu Politika’nın 2.1. maddesi ile 2.2. maddesinde belirtilen ilke ve şartlara uygun şekilde işleyebilmektedir.
AloTech, kişisel verileri, işçi işveren ilişkisi, hizmet ilişkisi ve AloTech’in iştigal konusuna giren faaliyetleri ve sözleşmeler çerçevesinde başta çalışanları, eski çalışanları, çalışan adaylarını, stajyerleri, ziyaretçileri, iş birliği içinde olduğu kurum ve kuruluşların çalışanları ve yetkilileri, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişiler olmak üzere ilgili kişilerin kişisel verilerini aşağıdaki kategorilerde işlemektedir.
- Kimlik
- İletişim
- Özlük
- Hukuki İşlem
- Fiziksel Mekân Güvenliği
- İşlem Güvenliği
- Finans
- Mesleki Deneyim
- Görsel ve İşitsel Kayıtlar
- Sağlık Bilgileri
- Irk ve Etnik Köken
- Din
- Ceza Mahkumiyeti
4.KİŞİSEL VERİLERİN SAKLANMA AMAÇLARI VE SEBEPLERİ
AloTech, işbu Politika kapsamında ele alınan kişisel verileri Türkiye Cumhuriyeti Devleti’nin Anayasası ile ilgili kanunların, yönetmeliklerin, tüzüklerin ve tüm sair yasal mevzuatın ve bağlı bulunduğu grup veya grupların diğer şirketleri ile doğrudan ve dolaylı bağlı ortaklık ve iştiraklerinin tabi olduğu ilgili yasal düzenlemelerin kendisine yüklediği yükümlülükler nedeniyle işbu Politika’nın 2.3. maddesinde belirtilen amaçları doğrultusunda saklamaktadır.
5.KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
AloTech, kişisel verileri, ilgili verinin türüne ve niteliğine uygun biçimde Kanun ve Yönetmelik kapsamında belirtilen ilkeler ve şartlar ile Kanun ve Yönetmelik başta olmak üzere sair mevzuat uyarınca kendisine veri sorumlusu sıfatıyla yüklenen yükümlülükler doğrultusunda uygun bir kayıt ortamında muhafaza eder.
Bu doğrultuda AloTech, kişisel verileri başta kağıt olmak üzere sair matbu ortamlarda fiziksel olarak; veri tabanı, bulut (cloud) ortamı, e-posta, web sitesi, yazılımlar, bilgisayarlar, mobil cihazlar, CD, DVD, flash bellek başta olmak üzere sair elektronik ortamlarda dijital olarak güvenli bir şekilde saklamaktadır.
6.KİŞİSEL VERİLERİN İMHASI
6.1 Kişisel Verilerin İmha Edilme Amaçları ve Sebepleri
AloTech, işlediği kişisel verileri, Kanun ve Yönetmelik uyarınca, bunların işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine işbu Politika’da belirtilen sürelere uygun olarak silme, yok etme veya anonim hale getirme suretiyle imha eder.
Bu kapsamda;
a. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması,
c. Sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
d. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
e. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
f. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
g. İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
h. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
i. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
j. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması
halleri başta olmak üzere, AloTech’in Politika kapsamında işlediği kişisel verilerin saklanmasında lüzum görmediği ve Kanun ve Yönetmelik’te belirtilen tüm durumlarda, kişisel veriler AloTech tarafından silinmek, yok edilmek veya anonim hale getirilmek suretiyle imha edilecektir.
6.3.1 Kişisel Verilerin Silinmesi
Kişisel Veriler aşağıda yer alan tabloda belirtilen yöntemler ile silinmektedir:
|
Veri Kayıt Ortamı
|
Silinme Yöntemi
|
|---|---|
|
Sunucularda Yer Alan Kişisel Veriler
|
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır
|
|
Elektronik Ortamda Yer Alan Kişisel Veriler
|
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
|
|
Fiziksel Ortamda Yer Alan Kişisel Veriler
|
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
|
|
Taşınabilir Medyada Bulunan Kişisel Veriler
|
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
|
6.3.2 Kişisel Verilerin Yok Edilmesi
Kişisel Veriler aşağıda yer alan tabloda belirtilen yöntemler ile yok edilir:
|
Veri Kayıt Ortamı
|
Yok Edilme Yöntemi
|
|---|---|
|
Fiziksel Ortamda Yer Alan Kişisel Veriler
|
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
|
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler
|
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
|
6.3.3 Anonim Hale Getirme
Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesini sağlayacak şekilde maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle anonim hale getirilmektedir.
7. KİŞİSEL VERİLERİN SAKLAMA VE İMHA EDİLME SÜRELERİ
|
Veri
|
Saklama Süresi
|
İmha Süresi
|
|---|---|---|
|
Ticari Faaliyetler Kapsamında Akdedilen Sözleşmelerden Kaynaklan Veriler
|
Sözleşmede öngörülen süre boyunca veya en geç sözleşmenin sona ermesini takiben 10 yıl
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
|
İşçi İşveren İlişkisinden Kaynaklanan Sözleşmelerden Kaynaklan Veriler
|
Sözleşmenin sona ermesini takiben 10 yıl
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
|
Kira İlişkisinden Kaynaklanan Sözleşmelerden Kaynaklan Veriler
|
Sözleşmenin sona ermesini takiben 5 yıl
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
|
Çalışan ve Stajyer Adayına Ait Veriler
|
Başvurunun yapılmasını takiben 1 yıl
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
|
Kamera Kayıtları
|
3 ay
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
|
Vergisel Kayıtlar
|
Sözleşmenin sona ermesini takiben 5 yıl
|
Saklama süresini takip eden ilk periyodik imha süresinde
|
8.KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ ADINA ALINMIŞ OLAN TEDBİRLER
8.1.TEKNİK TEDBİRLER
AloTech, kişisel verilerin saklanması ve imha edilmesine ilişkin olarak Kanun ve Yönetmelik kapsamında yükümlülüklerini yerine getirebilmek adına aşağıda belirtilen teknik tedbirleri almış bulunmaktadır.
- Sızma (Penetrasyon) testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi işlemi erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmalı ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınmaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na bildirmek için buna uygun bir sistem ve altyapı oluşturulmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. - Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- İnternet sitesine erişimde güvenli protokol (HTTPS) kullanılarak site SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmektedir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, fiziksel güvenlik sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilecekse, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarım gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
8.2 İDARİ TEDBİRLER
AloTech, kişisel verilerin saklanması ve imha edilmesine ilişkin olarak Kanun ve Yönetmelik kapsamında yükümlülüklerini yerine getirebilmek adına aşağıda belirtilen idari tedbirleri almış bulunmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
9. POLİTİKA’NIN UYGULANMASI VE SÜRECİN TAKİBİ
AloTech’in, işbu Politika uyarınca ilgili kişilerin verilerinin Kanun ve Yönetmelik’e uygun olarak işlenmesi, saklanması ve imhasına yönelik gerekli işlemleri yapmak/yaptırmak ve süreçleri yönetmek üzere görevlendirdiği kişiler aşağıdaki gibidir.
|
Birim / Ünvan
|
Sorumlu
|
Görev Tanımı
|
|---|---|---|
|
İnsan Kaynakları Müdürü
|
Eda Şahin
|
Çalışanların Politikaya uygun hareket etmesinden sorumludur.
|
|
İnsan Kaynakları Uzman Yard.
|
Simge Akkılıç
|
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
|
|
İnsan Kaynakları Uzmanı
|
Ufuk Delice
|
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
|
5. İLGİLİ KİŞİNİN HAKLARI
İlgili kişi, Kanun’nun 11. maddesi uyarınca AloTech’e başvurarak;
haklarına sahiptir.
AloTech nezdinde tutulan kişisel verilerin güncellenmesi, düzeltilmesi ve kişisel veriler ile ilgili diğer her türlü soru, talep ve görüşler için https://alotech.com.tr/basvuru-formu adresinde yer alan AloTech İlgili Kişi Başvuru Formu’nda düzenlenen yöntemlerle AloTech’e her zaman ulaşılabilmektedir. Başvurular, AloTech’e iletilmesinin akabinde en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, AloTech’in Kurul tarafından belirlenen tarife üzerinden ücret talep etme hakkı saklıdır.