MADDE – 1 (GİRİŞ)

1.1. Giriş

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ile Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularına, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir.

Merkez adresi [Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. merkez adresi] olan ve ilgili ticaret siciline kayıtlı Asvi İnşaat Mühendislik Sanayi ve Ticaret Limited Şirketi (“Şirket” yahut “ASVİ”) kanun ve ikincil mevzuattan doğan ilgili yükümlülükleri hassasiyetle yerine getirmekte, bu amaçla işlediği kişisel verilerin saklama ve imha süreçleri ile detaylarını işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile düzenlemektedir.

1.2. Amaç ve Kapsam

1.2.1. Amaç

Politika, Şirket’in faaliyetleri sırasında işlediği kişisel verileri, belirlediği yahut kanundan doğan azami süreler kapsamında saklama, silme, yok etme veya anonim hale getirme süreçlerini yerine getirme, periyodik imha süreçlerinin öngörülen zamanda belirlenen kişiler aracılığıyla yürürlükteki mevzuata uygun bir biçimde yapılmasını sağlama ve veri sahiplerini bilgilendirerek süreçte uygulanacak yöntemler hakkında şeffaflığı sağlayabilme amacıyla hazırlanmıştır.

Tüm bu hususların yanında Politika’da; hazırlanma amacına, kişisel verilerin kayıt ortamlarına, hukuki ve teknik terimlerin tanımlarına, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alan personelin unvan, görev ve sorumluluk tanımlarına, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliklere de yer verilmiştir.

1.2.2. Kapsam

Politika, şirket nezdinde tutulan ve Kanun ile tanımlanmış tüm kişisel veriler ile özel nitelikli kişisel verilerin yanı sıra, şirket bünyesinde görev yapmakta olan çalışanları, çalışan adayları ve ziyaretçileri, yönetici ve danışmanları, kişisel veri paylaşımının söz konusu olduğu durumlarda iştirakleri, iş birliği yapılan üçüncü kişileri ve sair hukuki ilişki kurulan tüm gerçek ve tüzel kişileri kapsar.

Yukarıda bahsi geçen, Politika’ya konu ilgili veri konusu kişi grupları, Şirket’in hazırladığı “Kişisel Verilerin İşlenmesi ve Korunması Politikası”nda detaylı bir şekilde belirtilmiştir.

1.3. Politika ve Yürürlükteki Hukuk

İşbu Politika, Kanun ve ilgili mevzuat ile kişisel veri işleme hususunda getirilen yükümlülüklerin sistematik bir şekilde yerine getirilmesini sağlamayı amaçlar.

Şirketimizin öncelik ve hassasiyeti “bireylerin T.C. Anayasası’ndan doğan kişisel verilerinin korunması hakkını koruma maksadıyla mevzuata uygun davranmak” olduğundan işbu Politika ve Yürürlükteki Hukuk hükümleri arasında bir çelişki olması durumunda Şirket’imiz Yürürlükteki Hukuk’un uygulanması için çalışacaktır.

1.4. Politika’nın Yürürlüğü ve Değişimi

İşbu Politika, Şirket’in Kişisel Verileri Koruma Komisyonu’nun titiz çalışmaları ve önderliğinde hazırlanmış olup Şirket’in yetkili organı tarafından onaylanarak yürürlüğe girmiştir.

Kişisel Verileri Koruma Komisyonu tarafından her 6 ayda bir denetlenecek ve gerekli ise ilgili güncel mevzuata uyumlu hale gelmesi için ilgili değişiklikler yapılacaktır. Bu değişiklikler Şirket’in yetkili organının onayı ile Şirket tarafından uygun görülen iletişim kanallarında yayımlanacaktır. Talep halinde mevzuat sınırları ışığında ve Şirket’in inisiyatifinde olarak İlgili Kişi’nin bilgisine farklı mecralar üzerinden de sunulabilecektir.

MADDE – 2 (TANIMLAR)

Kısaltma	Tanım
Anonim Hale Getirme	Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Verilerin Silinmesi	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
Kişisel Veri Saklama Tablosu	Kişisel verilerin Şirket nezdinde tutulacağı süreleri gösteren tabloyu ifade eder.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları rehber dokümanı ifade eder.
Kişisel Verileri Koruma Komisyonu	Şirket nezdinde KVKK ve sair ilgili mevzuata uyumun sağlanması, sürecin yönetilmesi için kurulmuş görevli birimi ifade eder.
Kurul	Kişisel Verileri Koruma Kurulu’nu ifade eder.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Talep Yönetim Prosedürü	İlgili Kişi’nin Kanun’un 11. maddesinde tanınan Veri Sorumlusu’na başvuru hakkının ve Şirket’in başvuruya ilişkin cevap sürecinin detaylarını belirleyen rehber prosedürü ifade eder.
İlgili Kişi	Kişisel verisi işlenen gerçek kişiyi ifade eder.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri, bu Politika özelinde bu faaliyetten sorumlu Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.’yi ifade eder.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder.
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder.

Bu Politikada, aksi açıkça belirtilmediği sürece, Tablo-1’de gösterilen ifadeler karşısında yazılı anlamları taşıyacaktır. İşbu Politikada yer almayan tanımlar için “Kişisel Verilerin İşlenmesi ve Korunması Politikası” ve Kanun’da yer alan tanımlar geçerlidir.

MADDE – 3 (KİŞİSEL VERİLERİN KAYIT ORTAMLARI)

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”) tarafından toplanan kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli ortamlara kaydedilebilmektedir. Şirket, kişisel verileri ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklamaktadır. Aşağıda kişisel verilerin hangi ortamlarda kayıt altına alındığı belirtilmiştir.

3.1. Elektronik Ortamlar

Yazılım, bulut, merkezi sunucu, taşınabilir medya, veri tabanı gibi ortamlar.

3.2. Fiziksel Ortamlar

Birim dolapları, arşiv, kâğıt, ağ cihazı, flash tabanlı ortamlar, manyetik bant, manyetik disk, mobil telefon, optik disk, yazıcı, kapı geçiş/güvenlik sistemi gibi çevresel sistemler.

MADDE – 4 (KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN ESASLAR)

4.1. Veri Güvenliğine İlişkin Açıklamalar

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi gereği Veri Sorumlusu sıfatıyla Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme, kişisel verilerin muhafazasını sağlama ve sair hususlarda veri güvenliğine ilişkin yükümlülüklerini yerine getirmeye yönelik her türlü teknik ve idari tedbirleri almaktadır.

4.2. Kişisel Verileri Saklamayı Gerektiren Amaçlar

Şirket, kişisel verileri belirli ve meşru amaçlarla, Kanun’da ve Politika’da detaylandırılan ilkeler ışığında saklamaktadır. Şirketin kişisel verileri saklamasını gerektiren birincil sebep, yürürlükte olan kanun ve bu kanunlar uyarınca işleme konulan ikincil mevzuattan kaynaklı yükümlülüklerdir. Kişisel veriler öncelikle kanunlar çerçevesinde öngörülen süreler kadar saklanmaktadır. Süreye ilişkin kanuni bir düzenlemenin bulunmadığı durumlarda Şirket, ilgili kişisel veriyi, işleme süreci ve olası ihtilaflarda delil vasfı ve zamanaşımı def’i de göz önüne alarak kanuni zamanaşımı süresi kadar muhafaza eder. Herhangi bir ihtilafa konu olması mümkün görülmeyen süreçlerde ise kişisel verinin işlenmesini gerektiren sebeplerin varlığı ışığında teamül gereği makul bir süre ilgili verileri saklayabilecektir.

Şirket, Kişisel Veri İşleme Envanteri’nde detaylı bir biçimde yer verdiği ve kategorize ettiği kişisel verileri; hukuki yükümlülükleri yerine getirebilmek, çalışan haklarını ve yan haklarını planlayabilmek, müşteri ilişkilerini yönetebilmek ve ticari faaliyetlerini sürdürebilmek amacıyla işbu Politika’da belirtilen fiziki yahut elektronik ortamlarda, kanunda öngörülen ilke ve süreler ışığında ve aşağıdaki amaçlar doğrultusunda saklamaktadır:

• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesinin sağlanması,
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Satış oranları yahut performans değerlendirmeleri gibi hususlarda gerekli istatistiksel çalışmaların ve yasal raporlamaların yapılabilmesi,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
• İnsan kaynakları süreçlerinin yürütülmesi ile şirket içi yahut şirket ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibatın sağlanması,
• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması yahut mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Şirket güvenliğinin sağlanması,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü gereği,
• Acil durum yönetimi süreçlerinin yürütülmesi,
• Bilgi güvenliği süreçlerinin yürütülmesi,
• Çalışan adayı, stajyer ve öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
• Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
• Denetim ve etik faaliyetlerinin yürütülmesi,
• Eğitim faaliyetlerinin yürütülmesi,
• Erişim yetkilerinin yürütülmesi,
• Faaliyetlerin mevzuata uygun yürütülmesi,
• Finans ve muhasebe işlerinin yürütülmesi,
• Firma, ürün ve hizmetlere bağlılık süreçlerinin yürütülmesi,
• Fiziksel mekân güvenliğinin temini,
• Görevlendirme süreçlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi,
• İletişim faaliyetlerinin yürütülmesi,
• İş faaliyetlerinin yürütülmesi ve denetimi,
• İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Lojistik faaliyetlerinin yürütülmesi,
• Mal ve hizmet satın alım süreçlerinin yürütülmesi,
• Mal ve hizmet satış sonrası destek hizmetlerinin yürütülmesi,
• Mal ve hizmet satış süreçlerinin yürütülmesi,
• Mal ve hizmet üretim ve operasyon süreçlerinin yürütülmesi,
• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
• Organizasyon ve etkinlik yönetimi,
• Pazarlama analiz çalışmalarının yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Reklam, kampanya ve promosyon süreçlerinin yürütülmesi,
• Risk yönetimi süreçlerinin yürütülmesi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Sponsorluk faaliyetlerinin yürütülmesi,
• Stratejik planlama faaliyetlerinin yürütülmesi,
• Talep ve şikâyetlerin takibi,
• Taşınır mal ve kaynakların güvenliğinin temini,
• Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
• Ücret politikasının yürütülmesi,
• Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi,
• Veri sorumlusu operasyonlarının güvenliğinin temini,
• Yabancı personel çalışma ve oturma izni işlemleri,
• Yatırım süreçlerinin yürütülmesi,
• Yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Yönetim faaliyetlerinin yürütülmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi.

MADDE – 5 (KİŞİSEL VERİLERİN İMHASI)

5.1. Kişisel Verilerin İmhasını Gerektiren Sebepler

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”) tarafından re’sen veya ilgili kişinin talebi üzerine hangi hallerde kişisel verilerin silme, yok etme yahut anonim hale getirme işlemlerinin gerçekleştirileceği aşağıda belirtilmiştir. İlgili Kişi’nin bu hususla ilgili başvurusu Talep Yönetim Prosedürü’nde belirtilen usul ve esaslara göre yanıtlanır.

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• İlgili Kişi’nin, Kanun’un 11. maddesinin ilgili bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
• Şirket’in, İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin rızasını geri alması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5.2. Kişisel Verilerin İmha Teknikleri

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), kanunda öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sona ermesi halinde kişisel verileri, yine ilgili kanun hükümlerine uygun bir biçimde aşağıda belirtilen tekniklerle imha eder.

5.2.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Şirket, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen şekilde silme işlemini yerine getirir:

Sunucularda Yer Alan Kişisel Veriler:

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office365 vb.):

Bulut sisteminde verileri silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilir.

Elektronik Ortamda Yer Alan Kişisel Veriler:

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler:

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler:

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Ancak, kişisel verilerin silinmesi işlemi diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır:

• Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
• Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

5.2.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Şirket, kişisel verileri yok etmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

De-manyetize Etme:

Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış sayılır.

Fiziksel Yok Etme / Kağıt İmha Makinesi ile Yok Etme:

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi yöntemi uygulanır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de bu şekilde gerçekleştirilir.

Üzerine Yazma:

Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

5.2.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirket’in, verilerin aktarıldığı üçüncü kişi veya kişiler tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Şirket kişisel verileri anonim hale getirmek için;

“Değişkenleri Çıkartma, Kayıtları Çıkartma, Alt ve Üst Sınır Kodlama, Bölgesel Gizleme, Örnekleme, Mikro-Birleştirme, Veri Değiş-Tokuşu, Gürültü Ekleme, K-Anonimlik, L-Çeşitlilik, T-Yakınlık” yöntemlerinden bir veya birkaçını kullanabilir.

Veri sorumlusu sıfatıyla Şirket, ilgili süreçlerde hangi yöntemi uygulayacağına; ilgili verinin kayıt ortamı, niteliği, büyüklüğü, sağlanmak istenen fayda ve işleme amacı gibi özellikleri tespit ederek karar verir.

MADDE 6 – SAKLAMA VE İMHA SÜRELERİ

6.1. Kişisel Verilerin Saklama ve İmha Sürelerine İlişkin Açıklama

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), KVKK ve ikincil mevzuata uygun biçimde elde ettiği kişisel verilerin saklama ve imha süreçlerindeki süre tespitine ilişkin olarak; öncelikle mevzuatta bir süre öngörülmüş ise bu süreye riayet eder.

Belirtilen sürenin sona ermesi halinde veya mezkur mevzuatta saklamaya ilişkin herhangi bir süre öngörülmemiş ise; kişisel veriler, KVKK’nın 6. maddesi dikkate alınarak kişisel veriler ve özel nitelikli kişisel veriler olarak ayrıma tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. İlgili verinin imha işlemindeki yöntem, verinin niteliği ve Şirket nezdindeki önem derecesine göre belirlenir. Kişisel veri sınıfındaki verinin saklanması hususunda kanunun belirttiği ilkelere uygunluğu sorgulanır. Verinin saklanmasında Şirket’in meşru bir amacının olmadığı yahut KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

Verinin saklanması KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisna kapsamında ise gereken makul süreler tespit edilir ve makul sürenin bitiminde ilgili veriler silinir, yok edilir ya da anonim hale getirilir. Şirket’in kanun ve diğer mevzuata uygun olarak işlemekte olduğu kişisel verilerin, veri bazında saklama sürelerine “Kişisel Veri İşleme Envanteri”nde yer verilmiştir. Veri kategorileri bazında saklama süreleri ise “VERBİS”te kayıt altındadır. İşbu Politika’da süreç bazında saklama süreleri yer almaktadır.

Saklama sürelerinde güncelleme yapılması gerekmesi halinde, ilgili değişiklik, Şirket Kişisel Verileri Koruma Komitesi tarafından yapılır.

6.2. İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi, Süreler ve Yapılacak İşlemler

İlgili Kişi, Kanundan doğan hak ve taleplerini tercihen “Şirket Başvuru Formu”nu kullanarak yazılı olarak yahut Kurul’un belirlediği diğer yöntemlerle Şirket’e iletir.

Şirket, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Başvuru ve akabindeki süreç, “Talep Yönetim Prosedürü”ndeki usul ve esaslara göre gerçekleştirilir.

İlgili Kişi, işbu Politika kapsamında Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; Şirket, ilgili verilerin saklanma şartları tamamen ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu süreçte izlenecek yöntem ve işlemi yapacak birim aşağıda belirtilmiştir:

• Elektronik ortamdaki işlemler (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında), Şirket Kişisel Verileri Koruma Komitesi tarafından belirlenen yetkili üye tarafından Bilgi İşlem sorumlusu gözetiminde söz konusu işlem kayıt altına alınmak sureti ile gerçekleştirilir.
• Şirket bilgisayar, telefon, e-mail hesabı, tablet vb. ortamlarda bu işlem, Şirket Müdürü’nün, Kişisel Verileri Koruma Komitesi Başkanı’nın ve Bilgi İşlem sorumlusunun bilgisine sunularak ilgili veri kullanıcısı çalışan tarafından bizzat yerine getirilir. Çalışanlar, iş amacıyla kendilerine tahsis edilen bu elektronik ortamlarda yapacakları silme, yok etme işlemlerini envantere uygun bir biçimde gerçekleştirirler. İmha sebebi saklama süresinin dolmasından önce gerçekleşirse Komite Başkanı’nın görüş ve talimatı alınarak işlem tamamlanır. Bilgi İşlem sorumlusu elektronik ortamdaki bu silme, yok etme ve anonimleştirme işlemlerinin kayıt altına alınması için gerekli teknik donanımı sağlamakla sorumludur.
• Kâğıt ortamındaki silme, yok etme veya anonim hale getirme işlemi ise ilgili birim yöneticisine ve Kişisel Verileri Koruma Komitesi Başkanı’na bilgi verilmek suretiyle, veri kullanıcısı çalışan tarafından tutanakla kayıt altına alınarak gerçekleştirilir.

Şirket, İlgili Kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde işbu Politika kapsamında gerekli işlemlerin yapılmasını temin eder.

6.3. Saklama ve İmha Süreleri Tablosu

Şirket, tarafınca işlenen verilere ait genel süreçler bazında saklama ve imha sürelerine aşağıdaki tabloda yer vermiştir:

Süreç	Saklama Süresi	İmha Süresi
Genel kurul ve yönetim işlemleri, şirket ortaklarına ve müdürler kuruluna ilişkin bilgiler	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin akdedilmesi	Sözleşmenin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan kaynakları süreçleri	İş akdinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sistem ve yazılım erişim yetkileri	İş akdinin bitiminden itibaren 3 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğitim ve kalite süreçleri	İş akdinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanlara araç tahsisi	İş akdinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan aday verileri	Başvuru tarihinden itibaren 1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş sağlığı ve güvenliği süreçleri	İş akdinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mahkeme ve resmi talepler	İşlem tarihinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kurumsal iletişim kayıtları	İş ilişkisinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Toplantı notları	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve finans işlemleri	İş ilişkisinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel finansman süreçleri	İş ilişkisinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
KVKK süreçleri	Sürecin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İmha kayıtları	İşlem tarihinden itibaren 3 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera kayıtları	2 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıtları	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sevkiyat kayıtları	İşlem tarihinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Tedarik ve satış süreçleri	Ticari ilişkinin bitiminden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sair mevzuat kaynaklı veriler	İlgili mevzuatta öngörülen süre	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

6.4. Periyodik İmha

Saklama süresi dolan kişisel veriler, işbu Politika’nın 6.3. maddesinde yer alan tablodaki bilgilere istinaden, 6 aylık periyotlarla imha edilir. Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., Ocak ve Haziran aylarında periyodik imha işlemlerini gerçekleştirir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçlerine ilişkin tüm işlemler kayıt altına alınır ve ilgili kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Mevzuat uyarınca saklama süreleri, zamanaşımı yahut hak düşürücü süre vb. için daha uzun bir süre öngörülmüş ise, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

MADDE –7 (TEKNİK VE İDARİ TEDBİRLER)

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde düzenlenen ilkeler çerçevesinde, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile verilerin hukuka uygun olarak imha edilmesi amacıyla aldığı idari ve teknik tedbirlere aşağıda yer vermiştir:

Şirket idari tedbirler kapsamında;

• Saklanan kişisel verilere Şirket içi erişimi, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• Kişisel veri işleme envanteri hazırlanmıştır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılır.
• Veri sahiplerini aydınlatma yükümlülüğü yerine getirilir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmelerine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel veriler mümkün olduğunca azaltılır (veri minimizasyonu ilkesi).
• Personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar veya yaptırır; denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Çalışanlarla ve üçüncü şahıslarla akdedilecek sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında; kişisel verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları açıkça düzenlenmekte ve hukuka ya da sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler yer almaktadır.

Şirket teknik tedbirler kapsamında;

• Ağ güvenliği ve uygulama güvenliği sağlanmakta, kapalı sistem ağ kullanılmakta ve bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Güncel anti-virüs sistemleri ve güvenlik duvarları kullanılmaktadır.
• Kurulan sistemler kapsamında gerekli iç kontroller yapılmaktadır.
• Verilerin kurum dışına sızmasını engelleyecek teknik altyapı sağlanmakta ve ilgili erişim yetki matrisleri oluşturulmaktadır.
• Bilgi işlem güvenliği ile ilgili birimde çalışanların kişisel verilere erişim yetkileri kontrol altında tutulmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bu süreçlerin takibi yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmakta; saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korunmaktadır.
• Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, saklama amacı ile sınırlı olacak şekilde bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.

MADDE – 8 PERSONEL VE SORUMLULUK DAĞILIMI

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”) tarafından yürütülen faaliyetlerde görev alan tüm birimler ve çalışanlar; kişisel veriler hususunda alınan teknik ve idari tedbirlerin gereği gibi uygulanması, farkındalığın oluşturulması ve arttırılması ile veri işlenen tüm ortamlarda veri güvenliğinin sağlanması alanında sorumlu birimlere destek olur. Kişisel veri saklama ve imha sürecinde yer alan personelin unvan, görev ve sorumluluklarına aşağıda yer verilmiştir.

Şirket’in tüm organ ve departmanları Kişisel Veri Saklama ve İmha Politikası’ na uyulmasını gözetmekle ve Kişisel Verilerin Korunması Komisyonu ile iş birliği yapmakla sorumludur. Kişisel verilerin saklanması ve imhası süreçleri, Muhasebe ve Finans birimi tarafından yürütecektir. İş bu Politikanın uygulanmasından başta Muhasebe ve Finans birimi olmak üzere, kişisel veri işleyen her ilgili birim ve departman bizzat sorumludur.

MADDE -9 YÜRÜRLÜK, ONAY VE GÜNCELLEME

Bu Politika dokümanı, Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. Şirket Müdürü tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika içerisinde değişiklik yapılması ve yürürlüğe konulması Şirket Müdürü’nün onayına tabidir.

İşbu Politika’ya bağlı olarak düzenlenecek ve bu Politika içerisinde belirtilen hususların belirli konular özelinde ne şekilde icra edileceğini düzenleyen uygulama kuralları, Prosedürler şeklinde hazırlanacaktır. Prosedürler, Şirket Müdürü onayıyla yayımlanarak yürürlüğe konulur.

İşbu Politika her hâlükârda yılda bir kez gözden geçirilir; gerekli değişiklikler bulunması halinde Şirket Müdürü onayına sunularak güncellenir.

Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile Kişisel Veri Saklama ve İmha Politikası arasında çelişki bulunması halinde, Şirket yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul eder.

Kişisel Veri Saklama ve İmha Politikası, Şirket internet sitesinde yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Kişisel Veri Saklama ve İmha Politikası’nda yapılacak değişiklikler veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde erişime açılır.