Gizlilik Politikası
Son güncelleme
EMC Medya Yayıncılık Ticaret Ltd. Şti. Kişisel Veri Saklama ve İmha Politikası
1. Giriş
1.1. Amaç
Bu dokümanın amacı, Kişisel Veri Saklama ve İmha Politikası ("Politika"), 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK" ya da "Kanun") ve Kanun'un ikincil düzenlemesini teşkil eden, 28 Ekim 2017 tarihli Resmi Gazete'de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini; kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla, veri sorumlusu sıfatıyla EMC Medya Yayıncılık Ticaret Ltd. Şti. (bundan böyle kısaca "EMC Medya" ya da "Firma" olarak anılacaktır) tarafından hazırlanmıştır.
1.2. Kapsam
Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3. Kısaltma ve Tanımlar
Kısaltma | Tanım |
|---|---|
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
GDPR | 95/46/EC sayılı direktifi 25.05.2018 tarihinde yürürlükten kaldıran 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun / KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin Aktarılması | Kişisel verilerin, KVKK'ya uygun bir biçimde işbu Politika'nın ilgili bölümüne uygun olarak yurt içi veya yurt dışındaki kurum, kuruluş, tedarikçi vb. ile paylaşılması. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
Otomatik Veri İşleme | İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen kişisel veri işleme faaliyeti. |
Otomatik Olmayan Veri İşleme | İnsan müdahalesi ya da yardımı yoluyla, yani elle yapılan kişisel veri işleme faaliyeti. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanun'da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilecek silme, yok etme ve anonim hale getirme işlemi. |
Veri Sahibi / İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmî Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Politika | Kişisel Veri Saklama ve İmha Politikası. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
VERBİS | Veri Sorumluları Sicili Bilgi Sistemi. |
2. Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Olarak Firma Tarafından Benimsenen İlkeler
2.1. Temel Kişisel Veri İşleme İlkelerine Uygunluk
Firma tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:
Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Firma, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütür.
İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Firma tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkânlar dâhilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbir alınmaktadır.
Kişisel verileri belirli, açık ve meşru amaçlar için işleme
Firma tarafından kişisel verilerin işlenmesi faaliyetleri, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde yürütülmektedir.
Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Firma tarafından kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmekte olup, ileride kullanılabileceği varsayımıyla veri işleme faaliyeti yürütülmemektedir.
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Firma, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler Firma tarafından derhal silinmektedir.
2.2. Kişisel Veri İşleme Şartlarına Uygunluk
Firma, kişisel veri işleme faaliyetlerini, KVKK'nın 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda yürütülen kişisel veri işleme faaliyetleri, aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:
Kişisel veri sahibinin açık rızasının varlığı,
Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmüş olması,
Fiili imkânsızlık nedeniyle veri sahibinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması,
Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Firma'nın hukuki yükümlülüğünü yerine getirmesi için kişisel veri işleme faaliyeti yürütülmesinin zorunlu olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin kişisel verisini alenileştirmesi,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek şartıyla, kişisel veri işleme faaliyetinin yürütülmesinin Firma'nın meşru menfaatleri için gerekli olması.
2.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Özel nitelikli kişisel veriler, Firma tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
Firma tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, veya
Kişisel veri sahibinin açık rızasının varlığı halinde.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler), veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.
3. Sorumluluk ve Görev Dağılımları
Unvan | Görev |
|---|---|
Şirket Müdürü | Şirketin tüm ticari, finansal ve operasyonel kararlarının alınması, uygulanması ve yönetilmesi süreçlerinde, alınan kişisel verilerin usulüne uygun şekilde alındığının denetimi; verilerin korunması, saklanması ve imhası süreçlerinin mevzuata ve işbu Politika'ya uygun şekilde yönetimi. |
4. Kayıt Ortamları
Kişisel veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır:
Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.)
Yazılımlar (ofis yazılımları, İK portalı vb.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme sistemleri, günlük kayıt dosyaları, antivirüs vb.)
Kişisel bilgisayarlar (masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, hafıza kartı vb.)
Yazıcı, tarayıcı, fotokopi makinesi
5. Kişisel Verilerin Aktarımı
Kişisel veriler, Firma tarafından hizmetin görülebilmesi amacıyla; perakende satış, üretim, dağıtım, bilgi güvenliği, yönetim danışmanlığı, hukuki ve mali danışmanlık sektörlerinde hizmet veren iş ve çözüm ortaklarımız ile ve firma iştirakleri ile paylaşılabilir.
KVKK başta olmak üzere ulusal ve uluslararası mevzuat hükümleri çerçevesinde Firma, işlediği kişisel verileri yurt içinde ya da yurt dışına aktarabilir ve transfer işlemlerine tabi tutabilir. Bu işlemler sırasında, KVK Kanunu'nun 8 ve 9. maddeleri ile 95/46/EC sayılı Direktif ve bu direktifi yürürlükten kaldıran GDPR hükümleri dikkate alınmaktadır. Firma, kişisel verilerin yurt içinde ve dışına aktarımı konusunda yukarıda belirtilen kanun maddeleri ile direktiflerin öngördüğü şartları yerine getirmiştir.
5.1. Kişisel Verilerin Yurt İçinde Aktarılması
Firma, KVKK'nın 8. ve 9. maddelerinin verdiği yetki ve işbu Politika çerçevesinde, ilgili kişinin açık rızasını almak suretiyle işlediği verileri üçüncü kişilere aktarabilir. Kişisel verilerin yurt içinde aktarılmasında diğer kanunlarda yer alan hükümler saklıdır.
İşbu Politika kapsamında herhangi bir Veri İşleyen'in söz konusu olması halinde, Veri İşleyen ile Firma arasındaki kişisel veri transferlerinde KVK Kanunu'nun 8. madde hükümleri uygulanır. Veri sorumlusu sıfatına sahip firma tüzel kişiliği bünyesinde gerçekleşen, tüzel kişilikte faaliyet gösteren çalışanlar ve farklı departmanlar arasındaki veri aktarımı, KVK Kanunu'nun 8. maddesi çerçevesinde aktarım olarak kabul edilmemektedir. Ancak firma ile iş birliği veya çözüm ortağı olarak faaliyet gösteren ayrı tüzel kişiliğe sahip taraflarla gerçekleşen veri aktarımları, KVK Kanunu'nun 8 ve 9. maddeleri ile işbu Politika kapsamında veri transferi olarak değerlendirilmektedir.
5.2. Kişisel Verilerin Yurt Dışına Aktarılması
Firma tarafından, KVKK'nın 9. maddesi gereğince kişisel veriler;
Kişisel veri işleme şartlarına uygun olarak, aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde,
Yeterlilik kararının bulunmaması durumunda, kişisel veri işleme şartlarından birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde:
Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
Bağlayıcı şirket kurallarının varlığı ve Kurul tarafından onaylanması,
Kurul tarafından ilan edilen standart sözleşmenin varlığı,
Yeterli korumayı sağlayan yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi,
Yeterlilik kararının bulunmaması ve yukarıda açıklanan uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla aşağıdaki hallerden birinin varlığı halinde:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
Aktarımın, ilgili kişi yararına veri sorumlusu ile diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
Aktarımın üstün bir kamu yararı için zorunlu olması,
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması,
yurt dışına aktarılabilmektedir. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
6. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
Veri sahiplerine ait kişisel veriler, Firma tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla, yukarıda sayılan fiziki veya elektronik ortamlarda güvenli bir biçimde, KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
6.1. Saklamaya İlişkin Açıklamalar
Hukuka ve işbu Politika'ya uygun olarak işlenen kişisel veriler, aşağıdaki şartların varlığında saklanabilecektir:
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
Kişisel verilerin, kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Firma'nın meşru menfaatleri için saklanmasının zorunlu olması,
Kişisel verilerin Firma'nın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından, veri sahiplerinin açık rızasının bulunması.
6.2. İmhayı Gerektiren Sebepler
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Firma tarafından re'sen ya da talep üzerine silinir, yok edilir veya anonim hale getirilir:
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ifası,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kanun'un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
Kişisel verilerin işlenmesinin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanun'un 11. maddesinin (2) numaralı fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun'da öngörülen süre içinde cevap vermemesi hallerinde; Kurul'a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
7. Kişisel Veri Sahiplerinin Hakları ve Firma Tarafından Taleplerinin Sonuçlandırılması
Veri sahiplerinin kişisel verilerine ilişkin taleplerini Firma'ya yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Firma veri sorumlusu sıfatıyla, KVK Kanunu'nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir. Veri sahipleri, kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Firma, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Firma, ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Firma tarafından gerekçesi açıklanarak talep reddedilebilecektir.
Kişisel Veri Sahiplerinin Hakları, KVK Kanunu'nun 11. maddesi uyarınca, Firma'mıza başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:
Kişisel verilerinizin işlenip işlenmediğini öğrenmek,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etmek.
8. Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için, Kanun'un 12. maddesi ile Kanun'un 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.
8.1. Teknik Tedbirler
Sızma (penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda, bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığıyla yapılmaktadır.
Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak, uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde, bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından uygun bir sistem ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı bir politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış ve verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
8.2. İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların niteliğinin geliştirilmesine yönelik; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi ve beceri ile ilgili mevzuat hakkında eğitimler verilmektedir.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce, Şirket tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
9. Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, kişisel veriler Şirket tarafından re'sen veya ilgili kişinin başvurusu üzerine, ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
9.1. Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
|---|---|
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, evrak arşivinden sorumlu birim yöneticisi kontrolünde imha edilir. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından yedeklenerek ve erişim yetkisi sadece sistem yöneticisine verilerek güvenli ortamlarda saklanır. |
9.2. Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
|---|---|
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
9.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. Bu işlem, Firma tarafından, ilgili kişisel verilerin saklanmasını gerektiren süre sona erdiğinde ve verilerin anlık ya da gelecekte kimliği belirli bir kişiyle eşleştirilemeyecek şekilde değiştirilmesini sağlayan uygun anonimleştirme yöntemleri kullanılarak gerçekleştirilir.
10. Saklama ve İmha Süreleri
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak:
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında,
yer alır.
Saklama süreleri sona eren kişisel veriler için re'sen silme, yok etme veya anonim hale getirme işlemi Kurul tarafından yerine getirilir.
Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
Sözleşmesel Süreçler | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Satış ve Abonelik Süreçlerinin Yürütülmesi | İlgili ilişkinin sona ermesini takiben 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takip Sistemleri (5651 sayılı Kanun'a istinaden) | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kullanılan Yazılımlara Erişim (e-posta vb.) | Faaliyetin sona ermesiyle | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Etki Alanı, Yedekleme vb. | Kullanıcının ayrılmasını takiben 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
11. Periyodik İmha Süresi
Periyodik imha süreleri 12 ay olarak belirlenmiştir. Şirket bünyesinde her yıl Aralık ayında, Firma tarafından uygun görülen tarihte periyodik imha işlemi gerçekleştirilir.
12. Politika'nın Yayınlanması ve Saklanması
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır ve internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası ofis merkezinde saklanır.
13. Politika'nın Güncellenme Periyodu
Politika 03.06.2026 tarihinde güncellenmiş olup ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Güncellemeler web sayfasında yayınlanır.
14. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
İşbu Politika, EMC Medya Yayıncılık Ticaret Ltd. Şti. tarafından internet sitesinde yayımlandığı tarihte yürürlüğe girer. Politika'nın güncellenmesi halinde, güncel sürüm yürürlüğe girer ve önceki sürüm yürürlükten kalkar.