TANIMLAR VE KISALTMALAR

AMAÇ VE KAPSAM

2.1. AMAÇ

Mogesan Motor Gömlek Piston Limited Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası, Mogesan’ın veri sorumlusu sıfatıyla işlemiş olduğu kişisel verilerin, kaydedilme safhası için benimsediği ilkeler ile bu kişisel verilerin saklanması ve imhası süreçlerinde uyguladığı usul ve esasları düzenlemek amacıyla hazırlanmıştır. 

Mogesan, kişisel verilerin işlenmesi süreçlerinin Kanun’a uygun olması ve himayesinde bulunan kişisel verilerin güvenle korunması konularında azami hassasiyet göstermektedir. Bu doğrultuda kişisel verilerin korunması alanındaki gerek yerel gerekse uluslararası mevzuat ve sözleşmelere uygun olarak kişisel veri işleme süreçlerini sürekli iyileştirme gayretindedir.

2.2. KAPSAM

Bu politikanın kapsamı, Mogesan’ın kişisel verilerin kaydedilmesi safhasında riayet ettiği ilkeler ile bu kişisel verilerin güvenliğinin sağlanmasında ve imhasında benimsediği usul ve esaslardır. Bu kapsamda, Mogesan tarafından gerçekleştirilen her türlü kişisel veri işleme faaliyeti ile kişisel verilerin güvenliğinin sağlanması adına alınacak tedbirlerde ve imha sürecinin yapılandırılması işlemlerinin tamamında işbu politikaya bağlı kalınacaktır.

3. SORUMLULUK VE GÖREV DAĞILIMLARI

Mogesan bünyesinde bulunan tüm birimler ve çalışanlar; kuruluşun Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum kapsamında benimsenen politika ve prosedürlerin uygulanmasında, kişisel verilerin güvenliği için alınmakta olan idari ve teknik tedbirlerin uygulanmasında, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin ilgili imhası sürecinde kuruluş politika ve prosedürlerinin uygulanmasında aktif rol alır.

Mogesan tarafından çalışanları arasından atanan “KVKK Uyumluluk Temsilcisi”, kuruluşun tüm birim ve çalışanlarının kuruluş politika ve prosedürlerine uygun faaliyet göstermesini sağlar ve periyodik olarak denetler. KVKK Uyumluluk Temsilcisi, tespit ettiği aykırılıkları raporlandırarak birim amirlerine ve kuruluş genel müdürüne bildirir.

Mogesan bünyesinde bulunan birim amirleri, birimlerinin kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürlerine uygunluğunu ve bu uygunluğun sürekliliğini sağlar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine birim amirleri derhal ilgili aykırılığı giderir.

Mogesan genel müdürü, kuruluş bünyesindeki tüm birim ve çalışanların kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürleri ile bu alanla ilgili mevzuata uygun davranmasını sağlar. Bu kapsamda temin edilmesi gereken ürün ve hizmetlerin teminini sağlar ve gerekli görevlendirmeleri yapar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine genel müdür ilgili aykırılığın giderilip giderilmediğini denetler.

Mogesan; genel müdür, birim amirleri ve KVKK Uyumluluk Temsilcisi aracılığıyla, hizmet aldığı üçüncü kişilerin kişisel verilerin korunması alanında yükümlülüklerini yerine getirmesi ve veri güvenliğine ilişkin tedbir planlama ve uygulamalarını yapması amacıyla farkındalığını arttırıcı faaliyet ve bildirimler gerçekleştirir.

4. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER

4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK İŞLENMESİ 

Mogesan tarafından kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi faaliyetlerinde; aşağıda bahsi geçen (4.1.1.) temel ilkelere, (4.1.2.) işleme şartlarına ve (4.1.3.) özel nitelikli kişisel verilerin işlenme şartlarına uygun davranılmaktadır.

4.1.1. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK

Mogesan tarafından kişisel verilerin işlenmesi kapsamındaki tüm faaliyetlerde aşağıda sıralanarak açıklanan ilkeler benimsenmektedir:

4.1.1.1. Kişisel Verileri Hukuka ve Dürüstlük Kuralına Uygun Olarak İşleme;

Mogesan, kişisel verilerin işlenmesi faaliyetlerinde evrensel insan haklarına, T.C. Anayasası’na, kişisel verilerin korunması alanındaki mevzuata ve dürüstlük kurallarına uygun davranmaktadır.

4.1.1.2. İşlenen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama;

Mogesan, işlenen kişisel verilerin ilgili kişi bakımından doğru ve güncel olmasını sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve bu doğrultuda gelebilecek bildirimler için iletişim kanalları öngörerek düzenli olarak kontrollerini sağlamaktadır.

4.1.1.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme;

Mogesan, kişisel veri işleme faaliyetleri kapsamındaki amaçlarını veri işleme faaliyeti başlamadan belirlemekte ve ilgili kişiye bildirmektedir. Bu amaçların belirlenmesinde ve bildirilmesinde hukuk normlarına uygun hareket etmektedir.

4.1.1.4. Kişisel Verilerin İşlendiği Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak Kullanılmasını Temin Etme;

Mogesan, işlenen kişisel verilerin işlenme amacıyla bağlantılı, sınırlı ve ölçülü olması yönünde gerekli çalışmaları yapmaktadır. Bu kapsamda işlenen kişisel verilerin mümkün olduğunca azaltılması gerekliliğine uygun hareket etmekte ve kişisel verileri ileride kullanılabileceği varsayımına binaen işlememektedir. İlgili kişiye bildirilen veri işleme amacı dışında herhangi bir kişisel veri işleme faaliyeti gerçekleştirilmemektedir.

4.1.1.5. Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşleme Amacıyla Bağlantılı Olan Sürelerle Muhafaza Etme;

Mogesan, işlemiş olduğu kişisel verilerin saklanma sürelerini mevzuatta öngörülen süreler veya işleme amacıyla bağlantılı olan sürelerle muhafaza etmektedir. Anılan sürelerin sona ermesi veya kişisel veri işlemeye dayanak olan sebebin ortadan kalkması hallerinde ilgili kişisel veriler silmek, yok etmek veya anonim hale getirmek suretiyle imha edilmektedir.

4.1.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK 

Mogesan tarafından kişisel verilerin işlenmesi faaliyetlerinde, Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanan şartlara uygun davranılmaktadır:

4.1.2.1. İlgili Kişinin Açık Rızası Şartına Uygun Olarak Kişisel Veri İşleme;

Mogesan tarafından kişisel veri sahibinin, hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde açık ve yalnızca ilgili olan işlemle sınırlı olan rızası ile kişisel veri işlenmektedir.

4.1.2.2. Kanunlarda Açıkça Öngörülmüş Olmasına Dayanarak Kişisel Veri İşleme;

Mogesan tarafından kanunlarda açıkça öngörülmesi halinde, kanunda öngörülen amaç ve sürelerle sınırlı olarak kişisel veri işlenmektedir.

4.1.2.3. Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması Hukuki Sebebine Dayalı Kişisel Veri İşleme;

Mogesan tarafından kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise bu hukuki sebebe dayanılarak kişisel veri işlenmektedir.

4.1.2.4. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla Sözleşme Tarafının Kişisel Verisini İşleme;

Mogesan tarafından bir sözleşmenin kurulması veya edimin yerine getirilmesiyle doğrudan ilişki içerisinde olan sözleşme tarafına ait kişisel veriler işlenmektedir.

4.1.2.5. Mogesan’ın Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olan Kişisel Verileri İşleme;4.1.2.5. Mogesan’ın Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olan Kişisel Verileri İşleme;

Mogesan tarafından hukuki yükümlülüğü bulunan bir faaliyetin yerine getirilmesi için zorunlu olan kişisel veriler, hukuki yükümlülüğün gerektirdiği amaç,  şekil ve süre ile sınırlı olarak işlenmektedir.

4.1.2.6. Kişisel Veri Sahibi Tarafından Alenileştirilmiş Kişisel Verileri İşleme;

Mogesan tarafından kişisel veri sahibince alenileştirilmiş olan kişisel veriler, alenileştirilme amacına uygun olarak işlenmektedir.

4.1.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Kişisel Verileri İşleme;

Mogesan tarafından bir hakkın tesisi, kullanılması veya korunması için zorunlu olan kişisel veriler, ilgili zorunlulukla paralel olarak işlenmektedir.

4.1.2.8. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla, Kişisel Veri İşlemenin Mogesan’ın Meşru Menfaatleri İçin Zorunlu Olması Sebebine Dayanarak Kişisel Verileri İşleme;

Mogesan tarafından, meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise kişisel veriler işlenebilmektedir. Burada meşru menfaat ile veri sahibinin temel hak ve özgürlükleri arasında denge ve orantılılık kriterleri dikkate alınmaktadır.

4.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK 

Mogesan tarafından Kurul’un belirlemiş olduğu gerekli önlemler alınarak özel nitelikli kişisel veriler işlenebilmektedir. 

4.1.3.1. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

Mogesan tarafından sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rızası ile veya kanunlarda öngörülen hallerde işlenebilmektedir.

4.1.3.2. Sağlık Verilerinin İşlenmesi

Mogesan tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:

• Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hali,

• Kişisel veri sahibinin açık rızasının varlığı hali.

4.1.4. KİŞİSEL VERİLERİN AKTARILMASINDA AKTARIM ŞARTLARINA UYGUNLUK

Mogesan tarafından gerçekleştirilen kişisel veri aktarım faaliyetlerinde Kanun’un 8. ve 9. maddelerine uygun davranılmaktadır.

4.1.4.1. Kişisel Verilerin Yurtiçine Aktarılması

Mogesan tarafından kişisel veriler, Kanun’un 8. maddesi uyarınca 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak yurtiçine aktarılabilmektedir.

4.1.4.2. Kişisel Verilerin Yurtdışına Aktarılması

Mogesan tarafından Kanun’un 9. maddesi uyarınca kişisel veriler; 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak işlenmesi ve aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kurul’un izninin bulunması halinde yurtdışına aktarılabilmektedir.

4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI

Mogesan tarafından Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, kişisel veri sahipleri, kişisel verilerinin elde edilmesi sırasında sunulan aydınlatma metinleri vasıtasıyla bilgilendirilmektedir. Bu aydınlatma metinlerinde; kuruluş unvanı, kişisel veri işleme amacı, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 10. maddesinde sayılan haklarına yer verilmektedir.

4.3. İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI

Mogesan tarafından kişisel veri sahiplerince Kanun’un 11. maddesi kapsamındaki haklarının kullanılması amacıyla Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılan başvurular en kısa sürede ve en geç otuz gün içerisinde yanıtlanmaktadır.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5.1. KAYIT ORTAMLARI

Mogesan tarafından işlenen kişisel veriler Tablo-1’de listelenen kayıt ortamlarında gerekli güvenlik önlemleri alınmak suretiyle saklanır.

Tablo-1: Kişisel Veri Saklama Ortamları

5.2. KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ

Mogesan tarafından çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, hizmet alınan üçüncü kişiler ve bu kişilerin çalışanları, müşteriler ve bu kişilerin çalışanları, hissedarlar ile kurum ve kuruluş çalışanlarının kişisel verileri Kanun’a uygun olarak saklanır ve imha edilir.

5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Mogesan tarafından yürütmüş olduğu faaliyetler çerçevesinde 4.1.2. ve 4.1.3’te sayılan şartlara (hukuki sebeplere) uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu, 

• 6098 sayılı Türk Borçlar Kanunu, 

• 6102 sayılı Türk Ticaret Kanunu,

• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 

• 4857 sayılı İş Kanunu, 

• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 

• 213 sayılı Vergi Usul Kanunu,

• 5434 sayılı Emekli Sağlığı Kanunu, 

• 2828 sayılı Sosyal Hizmetler Kanunu,

• İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,

• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,

• Kurul karar ve görüşleri ile politikaları,

• İlgili ticari teamüller

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR

Mogesan tarafından, yürütmüş olduğu faaliyetler çerçevesinde 4.1.’de öngörülen ilke ve şartlara uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• Acil durum ve bilgi güvenliği süreçlerinin yürütülmesi,

• Çalışan ve çalışan adayları için insan kaynakları ve iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,

• Denetim, etik ve eğitim faaliyetlerinin yürütülmesi,

• Erişim yetkilerinin ve görevlendirme faaliyetlerinin yürütülmesi,

• Faaliyetlerin mevzuata uygun yürütülmesi,

• Finans, muhasebe, pazarlama, hizmet veya ürün alım/satım, destek ve bağlılık süreçlerinin yürütülmesi,

• İletişim faaliyetlerinin yerine getirilmesi,

• Saklama ve arşiv faaliyetlerinin yürütülmesi,

• Sözleşme süreçlerinin yürütülmesi,

• Sponsorluk ve sosyal sorumluluk faaliyetlerinin yürütülmesi,

• Talep ve şikayetlerin takibi,

• Taşınır mal ve fiziksel mekan güvenliğinin sağlanması,

• Yetkili kişi veya kurumlara bilgi verilmesi ve doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılması,

• Yönetim faaliyetinin yürütülmesi,

• Ziyaretçi kayıtlarının oluşturulması

amaçlarıyla işlenebilmektedir.

5.3. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER

Mogesan tarafından işlenen kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Mogesan tarafından kabul edilmesi,

• İlgili kişi tarafından; kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, ilgili kişinin talebi üzerine veya resen silinir, yok edilir veya anonim hale getirilir.

6. KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER

Mogesan tarafından; kişisel veri işlenmesi faaliyetlerine ilişkin tüm süreçler yeniden yapılandırılmış olup kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi amaçlarıyla, mevzuat ve Kurul kararlarınca gerekli görülmüş idari ve teknik tedbirlerin alınmasında azami gayret gösterilmektedir. Kişisel verilerin güvenliğinin sağlanmasına verilen öneme binaen Mogesan bünyesinde aşağıda öngörülen idari ve teknik tedbirler alınmaktadır.

6.1. İDARİ TEDBİRLER

Mogesan tarafından işlenen kişisel verilerin korunması için alınan idari tedbirler şöyledir:

• Çalışanların kişisel verilerin korunması alanında farkındalıklarının ve tutumlarının geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi ve beceri, 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.

• Yürütülen faaliyetlerde işlenen kişisel verilere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

• Kişisel veri işlemeye başlamadan önce Kuruluş tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

• Kişisel veri işleme envanteri hazırlanmıştır.

• Kişisel verilerin korunması alanındaki mevzuata ve kuruluş politika ve prosedürlerine uyumluluğun tespitine ilişkin kurum içi periyodik ve rastgele denetimler yapılmaktadır.

• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

• Çalışanlar için görevlendirme, yetki ve erişim prosedürü hazırlanarak çalışanlar arasında kişisel veri içeren alanlara erişim konusunda yetkilendirmeler yapılmıştır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• İmzalanan sözleşmelerde veri güvenliği hükümlerine yer verilmektedir.

• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş olup uygulanmaktadır.

• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

6.2. TEKNİK TEDBİRLER

Mogesan tarafından işlenen kişisel verilerin korunması için alınan teknik tedbirler şöyledir:

• Kuruluşun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

• Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar şifreleme yöntemleri kullanılarak muhafaza edilmekte, şifreler güvenli ortamlarda tutulmakta, ortamların güvenlik güncellemeleri sürekli takip edilmektedir.

• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmekte ve şifreler farklı ortamda tutulmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların ilgili alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Ağ güvenlik duvarları kullanılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Mogesan tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlenme amacıyla bağlantılı olan saklama sürelerinin sona ermesini takip eden periyodik imha süresinde imha edilir. İmha teknikleri silme, yok etme veya anonim hale getirmedir.

7.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesinde kullanılan yöntemler şunlardır:

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi (kuruluşun bilişim hizmetini sağlayan kişi) hariç diğer çalışanlar (ilgili kullanıcılar) için silmek suretiyle hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesinde kullanılan yöntemler şunlardır:

Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinden geçirilerek veya yakılarak geri döndürülemeyecek şekilde yok edilir.

Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca manyetik medya, özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

7.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Mogesan tarafından işlenen kişisel veriler anonim hale getirilmek suretiyle de imha edilebilmektedir.

8. SAKLAMA VE İMHA SÜRELERİ

Mogesan tarafından işlenen tüm kişisel verilerin imhası, yukarıda gösterilen (5.2.) saklama sebep ve amaçları doğrultusunda ilgili mevzuatta öngörülen veya işlendikleri amaçla bağlantılı olarak saklanmasının ardından ilgili kişinin talebiyle veya resen imha edilmektedir. İmha işlemlerinin usulü ile imha görevlileri ve yetkilileri kuruluş içi Kişisel Veri İmha Prosedürü ile detaylı olarak düzenlenmektedir.

Mogesan tarafından işlenen tüm kişisel verilerin birim ve faaliyet bazlı saklama süreleri Mogesan Kişisel Veri Envanteri’nde, kişisel veri kategorileri bazlı saklama süreleri VERBİS bildiriminde yer almaktadır.

İşbu politikada Tablo-2 ile kişisel verilerin ilgili kişi ve işlenme faaliyeti bazlı saklama süreleri ifade edilmiştir.

9. PERİYODİK İMHA ZAMANLARI

Mogesan tarafından, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi uyarınca periyodik imha süresini 6 ay olarak belirlemiştir. Bu kapsamda her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilmektedir.

10. POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI

İşbu Politika, basılı kâğıt ortamında kuruluş genel müdürünce onaylı şekilde en az 5 yıl süreyle muhafaza edilir. Ayrıca Politika elektronik ortamda kuruluş kalite dokümanları arasında muhafaza edilir.

Politika ayrıca Mogesan tarafından internet sitesinde (www.mogesan.com.tr) yayımlanarak kamuya duyurulur.

Politika ihtiyaç duyuldukça gözden geçirilir ve güncellenir.

Politikanın yürürlükten kaldırılması kuruluş genel müdürünün kararıyla gerçekleşir. Politikanın yürürlükten kalkması veya güncelliğini yitirmesi halinde eski nüshalar genel müdür onayıyla iptal edilir.