KİŞİSEL VERİLERİN KORUNMASI, SAKLANMASI VE İMHASI İLE GİZLİLİK POLİTİKASI

1. Amaç ve Kapsam

İşbu Kişisel Verilerin Korunması, Saklanması ve İmhası ile Gizlilik Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”)01/01/2018 Tarihli ve 2018/10 Sayılı Kararı başta olmak üzere, ulusal ve uluslararası düzenlemelere uyum sağlamak amacı ile Persan Tekstil Sanayi ve Ticaret Anonim Şirketi’nin (“Persan” veya “Şirket”) kişisel verilerin ve özel nitelikli kişisel verilerin korunması, gizliliğinin sağlanması ve işlenmesi ile işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin benimsemiş olduğu prensipleri açıklamaktadır.

İşbu Politika, Persan’ın, çalışanları dışındaki ilgili kişilerin kişisel verilerinin ve özel nitelikli kişisel verilerinin işlenmesine ilişkindir.

2. Tanımlar

Açık Rıza:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme:

Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi:

Kişisel verisi işlenen gerçek kişi.

Kanun:

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlükteki güncel sürümü.

Kişisel Veri:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Özel Nitelikli Kişisel Veri:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Politika:

Persan Kişisel Verilerin Korunması, Saklanması ve İmhası ile Gizlilik Politikası.

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

Veri Minimizasyonu:

Kişisel verilerin işlenme amacının gerektirdiği kadar talep edilmesi ve işlenmesi, kullanım amacının sona ermesi halinde ise verilerin tamamen silinmesi.

Veri Sorumlusu:

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir.

Standart Sözleşme:

Esas olarak Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 14. maddesinde düzenlenen; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususlar ihtiva eden, içeriği Kurul tarafından belirlenerek ilan edilen sözleşme metnidir.

3. İşlenen Kişisel Verileriniz

Persan, ilgili kişi ile olan ilişkisi kapsamında her bir işleme faaliyeti açısından farklı kişisel veriler işlemektedir. Bu kapsamda Persan, veri minimizasyonu ilkesi doğrultusunda Şirket’in yönetim faaliyetlerini sürdürmesi, taraflar arasındaki ilişkinin yürütülmesi ve hukuki yükümlülüklerin yerine getirilmesi amaçları ile doğru orantılı olarak sadece gerekli ve ilgili kişisel verileri işlemektedir.

Veri kategorizasyonu ve örnek veri türleri için lütfen işbu Politika’nın EK-1 başlığı altında yer alan açıklamaları inceleyiniz.

4. Kişisel Verileri Toplama Yöntemleri

Persan, kişisel verileri doğrudan ilgili kişilerin kendisinden, işvereninden, aile ve yakınlarından, aracı kişilerden, tedarikçilerden, e-posta, faks, posta, mağazalar, çağrı merkezi, internet siteleri, sosyal medya hesapları, güvenlik kameraları, çerezler, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla görsel, işitsel, elektronik veya yazılı olarak, Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak toplamaktadır.

5. Kişisel Verilerin İşlenmesine İlişkin İlkeler

Kişisel veriler, aşağıda açıklanan Kanun’un 4. maddesinde belirtilen ilkelere uygun olarak işlenmektedir. Şirket, kişisel verilerin silinmesine, yok edilmesine ve anonim hale getirilmesine ilişkin bütün işlemleri kayıt altına alır ve en az 3 yıl süreyle bu kayıtları saklar:

5.1. Kişisel verilerin hukuka ve dürüstlük kuralına uygun işlenmesi; Şirket, her işleme sürecinde hukuken öngörülmüş kuralları gözetmekte, işleme amacı ile sınırlı olarak işleme faaliyetlerini sürdürmekte ve ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.

5.2. Kişisel verilerin doğru ve güncel olması; Şirket tarafından işlenen kişisel verilerinizin güncel olup olmadığına, buna ilişkin kontrollerin yapılmasına dikkat edilir. İlgili kişilerin bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı güvence altına alınır.

5.3. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi; Şirket, işleme faaliyetlerinin meşru amaçlar doğrultusunda olduğunu temin eder, işleme faaliyetine ilişkin her detayı önceden belirler ve işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını sağlar.

5.4. Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması; Şirket, kişisel verileri yalnızca ilgili işleme faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

5.5. Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması; Şirket tarafından işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.

6. Kişisel Verilerin İşlenmesine İlişkin Şartlar

Kanun’un 5. maddesinin 2. fıkrası kapsamında kişisel veriler ile Kanun’un 6. maddesinin 3. fıkrası kapsamında özel nitelikli kişisel veriler, Persan tarafından aşağıdaki işleme şartları doğrultusunda işlenmektedir.

• Gerekli olduğu durumlarda sizlerden aldığımız açık rızanız (örn. profilleme, analiz, pazarlama ve reklam amaçları için kişisel verilerinizin işlenmesi)
• Kanunlarda kişisel verilerinizi işlediğimiz sürecin açıkça öngörülmesi (örn. ticari ileti onayında bulunan ad/soyad bilgisi ve imzanız)
• Sizlerle bir sözleşme ilişkisi kurmamız veya bu sözleşmeden kaynaklanan ifa yükümlülüğümüz ile doğrudan doğruya ilgili olması kaydıyla, sizlere ait kişisel verilerin işlenmesinin gerekli olması (örn. sözleşme kuruluş aşamasında kimlik bilgilerinizin işlenmesi)
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması (örn. işyerinin, çalışanların veya ziyaretçilerin güvenliğinin sağlanması amacıyla güvenlik kamerası bulundurulması)
• Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması (örn. halka açık sosyal medya platformları veya internet siteleri üzerinden ticari ilişki kurulması amacıyla paylaşmış olduğunuz iletişim bilgileriniz aracılığı ile sizinle iletişime geçilmesi)
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (örn. dava zamanaşımı süresi boyunca gerekli olabilecek kişisel verilerin saklanması)
• Temel hak ve özgürlüklerinize zarar vermemek kaydı ile, Persan’ın meşru menfaatleri doğrultusunda zorunlu olması (örn. Şirket’in birleşme, bölünme ve devralma gibi süreçlerinde yapılması gereken incelemelerde ödeme kayıtları kişisel verilerinizi içerebilecek belgelerin ilgili taraflara/kurumlara sunulması)
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması

7. Kişisel Verilerin İşlenmesindeki Amaçlar

Kişisel veriler, işbu Politika’nın 6. maddesinde belirtilen işleme şartlarına uygun olarak her işleme süreci bakımından farklı amaçlar ile işlenebilecektir. Bu kapsamda, paylaşmış olduğunuz kişisel verileriniz farklı Şirket departmanları tarafından farklı işleme süreçlerinde, farklı işleme amaçları doğrultusunda kullanılabilecektir. Örneğin, mal/hizmet tedarik sürecinde satış departmanı tarafından “ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası” amacıyla işlenen ad/soyad bilginiz, faturalandırma sürecinde finans departmanı tarafından “finans ve muhasebe işlerinin yürütülmesi” amacıyla işlenebilecektir.

Bu kapsamda, açık rıza alınmasını gerektiren durumlarda gerekli bilgilendirme yapılıp, ilgili kişisel veri sadece açık rızanın alınması ihtimalinde işlenebilecektir. Örneğin, yukarıdaki örnek ile paralel olarak, ürün/hizmet satış sürecinde toplanan kimlik bilgileri, pazarlama departmanı tarafından “reklam/kampanya/promosyon süreçlerinin yürütülmesi” amacıyla işlenecek olması halinde bu konuya ilişkin açık rıza talep edilecektir.

Kişisel verilerin hangi amaçlarla işlendiği hakkında detaylı bilgi için lütfen işbu Politika’nın EK-2 başlığı altında yer alan açıklamaları inceleyiniz.

8. Kişisel Verilerin Aktarımı

Persan, kişisel verileri yalnızca işbu Politika’da belirtilen amaçlar doğrultusunda ve Kanun’un 8. ve 9. Maddeleri ile Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 6. maddesine uygun olarak yurt içinde ve yurt dışında bulunan taraflara aktarmaktadır.

Bu kapsamda gerçekleştirilen kişisel veri aktarımları güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üçüncü taraflardan alınan hizmetin içeriği ve kapsamına bağlı olarak; ilgili kişi kişisel verilerinin aktarımına gerek olmayan tüm hallerde pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır.

Yurt içi ve yurt dışı aktarımlarında Persan, güncel teknolojilerin sunduğu mümkün ve efektif olan her türlü idari ve teknik tedbiri almakta, bu kapsamda ilgili yasal düzenlemeler ile Kurul kararları doğrultusunda güvenliğe ilişkin uygulamalarını güncel tutmaktadır. Söz konusu idari ve teknik tedbirler kapsamında, aktarım yapılan taraflar ile veri aktarımına ve işlenmesine ilişkin özel sözleşmeler yapılmakta ve gerekli taahhütler alınmaktadır.

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 14. maddesi uyarınca, kural olarak, kişisel verileriniz veri alıcısı taraf ile imzalanmış bir Standart Sözleşme olmaksızın yurt dışına aktarılmaz. Talebiniz halinde, Persan sizlere verilerinizin aktarıldığı taraf ile imzalanan ilgili Standart Sözleşme metninin bir kopyasını sağlayacaktır. Talepleriniz için işbu Politika’nın 18. maddesi altında sayılan başvuru yollarından herhangi birini kullanabilirsiniz. Bunun karşısında, kişisel veriler, işbu Politika’nın 6. maddesinde açıklanan şartların varlığı halinde, aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması; aktarımın yapılacağı ülke hakkında yeterlilik kararı bulunmadığı hallerde ise yine işbu Politika’nın 6. maddesinde açıklanan şartlardan birinin varlığı halinde ve aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yoluna başvurma imkanının bulunması kaydıyla Kanun’un 9. maddesinin 4. fıkrası ile Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 10. maddesi altında sayılan, standart sözleşmeler de dahil olmak üzere sair güvencelerden herhangi birinin sağlanması durumunda yurt dışına aktarılabilecektir.

Kişisel verilerinizin hangi amaçlarla kimlere aktarıldığı hakkında detaylı bilgi için lütfen işbu Politika’nın EK-3 başlığı altında yer alan açıklamaları inceleyiniz.

9. Kişisel Verilerin Güvenliğini Sağlamak, Hukuka Aykırı Olarak İşlenmesi ve Erişilmesini Önlemek Amacıyla Alınan İdari ve Teknik Tedbirler

Persan, kişisel verilerinizin gizliliğinin, bütünlüğünün ve güvenliğinin sağlanması için her işleme süreci bazında gerekli olan idari ve teknik tedbirleri almayı taahhüt etmektedir. Persan, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek amaçları ile gerekli adımların atmaktadır. Bu kapsamda Persan, ilgili mevzuata ve Kurul tarafından yayımlanmış olan rehberlere ve kararlara uygunluk sağlanmasını öncelikli olarak gözetir.

Kişisel verilerinizin korunmasına yönelik hangi önlemlerin alındığına ilişkin detaylı bilgi için lütfen işbu Politika’nın EK-4 başlığı altında yer alan açıklamaları inceleyiniz.

10. Özel Nitelikli Kişisel Verilerin Korunmasına Yönelik Alınan Ek Güvenlik Önlemleri

Persan kişisel veriler için belirtilen güvenlik önlemlerine ek olarak Kanun, ikincil mevzuat ve Kurul kararları doğrultusunda aşağıdaki güvenlik tedbirlerini de almaktadır.

10.1. Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik Ek Güvenlik Önlemleri

• Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir
• Gizlilik sözleşmeleri ve taahhütnameler imzalanmaktadır
• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır
• Periyodik olarak yetki kontrollerinin gerçekleştirilmektedir
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmaktadır. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınmaktadır

10.2. Elektronik Ortamlarda Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Ek Güvenlik Önlemleri

• Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır
• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır
• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmaktadır veya yaptırılmaktadır; test sonuçları kayıt altına alınmaktadır
• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır, bu yazılımların güvenlik testleri düzenli olarak yapılmaktadır veya yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır

10.3. Fiziksel Ortamlarda Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Ek Güvenlik Önlemleri

• Özel nitelikli kişisel verilerin bulunduğu ortamların niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır
• Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenmektedir

10.4. Özel Nitelikli Kişisel Verilerin Aktarılması

• Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmektedir ve kriptografik anahtarlar farklı ortamda tutulmaktadır
• Farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir
• Verilerin kağıt yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir

11. Kişisel Verilerin İmha Edilmesine İlişkin Açıklamalar

Kişisel verilerin imha edilmesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade etmektedir. Detaylı açıklama için işbu Politika’nın 13. maddesine bakınız.

12. Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebeplere İlişkin Açıklamalar

Persan; bünyesindeki çeşitli departmanlar tarafından iş tanımları doğrultusunda yürütülen iş süreçleri ve bu süreçlere bağlı faaliyetleri gerçekleştirebilmek amacıyla çalışan, çalışan adayı, çalışan yakını, iş ortağı, tedarikçi, müşteri, müşteri yakını, müşteri çalışanı, potansiyel müşteri, ziyaretçi, çevrimiçi ziyaretçi ve üçüncü kişilere ait kişisel verileri işlemektedir. Bu kişisel verileri mevzuatta öngörülen veya ilgili departman tarafından kişisel veri işleme amacı çerçevesinde belirlenen süreler boyunca saklamaktadır. Tüm bu akış Kişisel Veri İşleme Envanterinde ve VERBİS kaydında yer almaktadır. İlgili saklama süreleri sona erdiğinde ise, işbu Politika’da belirlenen silme, yok etme veya anonim hale getirme yöntemleri ile işleme amacı ortadan kalkan kişisel veriler imha edilmektedir.

13. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler

Persan, işlediği kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak amacıyla kendi bünyesi içerisinde gerekli organizasyonu oluşturmuştur. Elektronik ortamdaki kişisel veriler için gerekli olduğu ölçüde maskeleme yöntemleri kullanılır. Fiziki ortamdaki kişisel veriler için silme işlemi, silinmesi gereken kişisel verilerin karartılması şeklinde gerçekleştirilir.

13.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Persan, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.

13.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Persan, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.

13.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için, kişisel veriler, Persan veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

Veri sorumlusu, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerinizin korunması ile imhasına yönelik hangi önlemlerin alındığına ilişkin detaylı bilgi için lütfen işbu Politika’nın EK-4 başlığı altında yer alan açıklamaları inceleyiniz.

14. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev Tanımları

Persan, Politika kapsamında saklama ve imha süreçlerine ilişkin olarak aşağıdaki unvan, birim ve görev tanımlarına sahip kişileri görevlendirir:

a) Persan bünyesinde kişisel veri işleyen tüm departmanların “Veri Sahipleri”: Veri sahipleri gerek kendi departmanlarının kişisel veri işleme envanterinin güncelliğinin sağlanması gerek kişisel veri saklama ve imha süreçlerinin takibi için bölümünde çalışan bir başka kişiyi görevlendirebilir.

b) Teknik Birim.

15. Kişisel Verilerin Saklanma Süreleri

Persan, işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder. Veri saklama ve imhaya ilişkin yaklaşık süreler için lütfen işbu Politika’nın EK-5 başlığı altında yer alan açıklamaları inceleyiniz.

16. Periyodik İmha Süresi

Persan, saklama süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama süresinin sona ermesini takiben 6 ay içerisinde imha edilir.

17. İlgili Kişinin Talep Etmesi Durumunda Kişisel Verilerin Silme ve Yok Etme Süreleri

İlgili kişi, Persan’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Persan, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Persan, ilgili kişilerin silme veya yok etme taleplerini en geç “otuz gün” içinde sonuçlandırır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; Persanbu durumu üçüncü kişiye bildirerek söz konusu kişisel verilerin silinmesi veya yok edilmesini talep eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; Persan, gerekçesini açıklayarak talebi reddedebilir. Ret cevabı ilgili kişiye en çok “otuz gün” içinde bildirilir.

18. Kanun’un 11. Maddesinde Sayılan Haklarınız

İlgili kişiler olarak,Kanun’un 11. maddesi doğrultusunda aşağıda sıralanan haklara sahipsiniz.

a) Kişisel veri işlenip işlenmediğini öğrenme

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme

e) Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Haklarınıza ilişkin taleplerinizi belirtmek ve kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla,Persan’ın resmi internet sitesinden erişebileceğiniz “İletişim Formu”nu doldurmanız ve aşağıda sıralanan başvuru yöntemlerinden biri ile Şirket’e iletmeniz gerekmektedir.

• Şahsen Başvuru: İletişim Formu, Şirket merkezine şahsen teslim edilebilir. Bu durumda kişinin kimliğini ibraz etmesi gerekmektedir. Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru” yazılmalıdır.
• Noter Vasıtası ile Tebligat: İletişim Formu, noter aracılığı ile gönderilebilir. Tebligat konusu olarak “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru” yazılmalıdır.
• KEP Üzerinden: 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirket’in kayıtlı elektronik posta adresine İletişim Form’u gönderilebilir. E-postanın konusu olarak “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru” yazılmalıdır.
• E-Posta Aracılığıyla: İletişim Formu, Persan’ın resmi e-posta adresine (info@persan.com.tr) gönderilebilir. E-postanın konusu olarak “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru” yazılmalıdır.

Başvuru sahibinin kimlik teyidi amacıyla ek belge talebinde bulunulabilir, bu durumda kimlik teyidi için istenen ek belgelerin başvuru sahibi tarafından iletilmesi ile birlikte başvuru yapılmış sayılır.

Belirtilen yöntemlerle taleplerinizi bize iletmeniz durumunda, Şirket talebinizin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır.

19. Kişisel Verilerin Korunması, Saklanması ve İmhası ile Gizlilik Politikası’nda Yapılacak Değişiklikler

Persan, işbu Kişisel Verilerin Korunması, Saklanması ve İmhası ile Gizlilik Politikası’nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni bir politika yayınlanmasıyla birlikte derhal geçerlilik kazanır. İşbu Politika’daki değişikliklerden haberdar olmanız için, sizlere gerekli duyuru yapılacaktır.

---

EK 1

VERİ KATEGORİZASYONU

Persan’ın işlemekte olduğu kişisel veri kategorileri genel olarak aşağıdaki gibidir.

Her hukuki ve ticari ilişki kapsamında işlenen kişisel veri kategorileri ve kişisel veriler farklılık gösterebilmektedir. Size ilişkin hangi kişisel verilerin işlendiğini saptamak için lütfen tarafınıza sunulan aydınlatma metnini inceleyiniz.

---

EK 2

KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

• Acil Durum Yönetimi Süreçlerinin Yürütülmesi,
• Bilgi Güvenliği Süreçlerinin Yürütülmesi,
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi,
• Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi,
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
• Denetim / Etik Faaliyetlerinin Yürütülmesi,
• Eğitim Faaliyetlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi,
• Finans Ve Muhasebe İşlerinin Yürütülmesi,
• Fiziksel Mekan Güvenliğinin Temini,
• Görevlendirme Süreçlerinin Yürütülmesi,
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
• İletişim Faaliyetlerinin Yürütülmesi,
• İnsan Kaynakları Süreçlerinin Planlanması,
• İş Faaliyetlerinin Yürütülmesi / Denetimi,
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi,
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi,
• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi,
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi,
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi,
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
• Organizasyon Ve Etkinlik Yönetimi,
• Pazarlama Analiz Çalışmalarının Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi,
• Risk Yönetimi Süreçlerinin Yürütülmesi,
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,
• Sözleşme Süreçlerinin Yürütülmesi,
• Sponsorluk Faaliyetlerinin Yürütülmesi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Talep / Şikayetlerin Takibi
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini,
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
• Yönetim Faaliyetlerinin Yürütülmesi,
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi,

---

EK 3

KİŞİSEL VERİLERİN YURT İÇİ/DIŞI AKTARIMI

Her hukuki ve ticari ilişki kapsamında yurt içine veya yurt dışına yapılan aktarımlar farklılık gösterebilmektedir. Sizin kişisel verilerinize ilişkin yapılan aktarımlar hakkında daha fazla bilgi için lütfen tarafınıza sunulan aydınlatma metnini inceleyiniz.

---

EK 4

İDARİ VE TEKNİK TEDBİRLER

Persan, işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak Kanun’un 12. maddesi doğrultusunda aşağıdaki teknik ve idari tedbirleri almaktadır:

1. İdari Tedbirler

1.1 Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Persan kişisel verilerin korunmasına ilişkin olarak, hem genel işleme faaliyetlerine hem de özellik gösteren işleme süreçlerine yönelik politika ve prosedürler belirlenmiştir. Bu kapsamda Şirket başlıca aşağıdaki politikaları yürürlüğe koymuştur.

Bunlara ek olarak Şirket’in, çalışanlarının ve yöneticilerinin kişisel veri işleme faaliyetlerine ilişkin olarak daha detaylı talimatlar içeren iç yönergeleri mevcuttur.

Şirket politikalarını, prosedürlerini ve iç yönergelerini meydana gelen mevzuat değişiklikleri ve yeni Kurul kararları doğrultusunda günceller.

Çalışanların Şirket politika ve prosedürlerine uygun hareket edip etmedikleri düzenli olarak denetlenir.

1.2 Mevcut Risk ve Tehditlerin Belirlenmesi

Persan kişisel veri güvenliğini zafiyete uğratabilecek her türlü risk ve tehditleri, bir ihlal meydana gelmeden önce belirler. Bu kapsamda risk ve tehditlerin hangi veri kategorilerine, hangi işleme faaliyetlerine ve araçlarına ilişkin olduğu konusunda iç değerlendirme yapar. Söz konusu değerlendirme yapılırken, özellikle risk ve tehditlerin özel nitelikli kişisel verilere ilişkin olup olmadığına dikkat eder.

Persan belirlemiş olduğu risk ve tehditlerin minimize edilmesi, önlenmesi ve ortadan kaldırılması için gerekli adımları atar.

1.3 Çalışanlara Yönelik Önlemler

Persan çalışanlarının, çeşitli bilgi güvenliği ihlallerine karşı farkındalıklarını artırmak, kişisel verilerin hukuka uygun işlenmesi ve bilgi ihlali olaylarında insan faktörünün etkisini en aza indirmek amacıyla gerek Şirket içi departmanlarımızca, gerekse de hukuki ve teknik danışmanlık hizmeti aldığımız taraflarca eğitimler verilmektedir.

Persan, çalışanlarını kişisel verilerin korunmasına ilişkin bilinçlenmeleri adına düzenli eğitim süreçleri, bilgilendirme yazıları, sözlü bilgilendirmeler ve iç yönergeler sunar. Bu kapsamda çalışanlar, kişisel verilerin toplanmasından imha edilmesi sürecine kadar karşılaşacakları her işleme süreci hakkında detaylı yönergeler alırlar. Çalışanlara yönelik bilinçlendirme faaliyetleri kişisel verilerin korunmasına ilişkin güncel mevzuat değişiklikleri ve Kurul kararlarını da içerecek şekilde istihdam süresi boyunca devam eder.

Çalışanlar iş sözleşmelerinde bulunan gizlilik yükümlülüklerine ek olarak, kişisel verilerin korunmasına ilişkin taahhütname de imzalarlar.

1.4 Veri Minimizasyonu

Persan, Kanun’un 4. maddesinde öngörülen ilkeler doğrultusunda, ilgili kişinin işleme faaliyeti kapsamında gerekli olmayan hiçbir verisini işlememeye özen gösterir. Bu noktada Şirket, işleme faaliyetini önceden inceler ve hukuki/ticari yükümlülüklerini yerine getirebilmesi için gerekli olan kişisel verileri ilgili kişiden talep eder. İlgili kişinin talep edilmeyen bir kişisel veri aktarması halinde bu kişisel veri derhal imha edilir veya maskelenir.

1.5 Veri İşleyene Yönelik Tedbirler

Persan, yürütmekte olduğu bir işleme faaliyetlerine ilişkin olarak alt-işleten desteği alacağı zaman öncelikle alt-işleyenin kişisel verilerin korunması konusundaki yetkinliğini ve yeterliliğini analiz eder. Bu kapsamda alt-işleyen asgari olarak Şirket’in öngörmüş olduğu kişisel verilerin korunması politikalarına ve prosedürlerine uygun hareket edeceğini yazılı bir şekilde taahhüt eder. Alt-işleyenin işleme faaliyetleri ve kişisel verileri korumasına yönelik çabaları Şirket tarafından denetlenir.

2. Teknik Tedbirler

2.1. Bilgi Teknolojileri Sistemleri

Persan, kişisel veri güvenliğinin sağlanması adına bilgi teknolojileri sistemleri tedarik eden uzman hizmet sağlayıcılarla çalışmaktadır. Bu kapsamda, Şirket’in gereksinimleri ve zafiyetleri güncel olarak takip edilip, gerekli görülen noktalarda destek sağlanmaktadır.

2.2. Siber Güvenlik Tedbirlerinin Alınması

Persan, elektronik ortamda işlenen kişisel verilerin güvenliğinin sağlanması amacıyla siber güvenlik önlemleri almaktadır. Bu kapsamda, hem şirket içi bilişim teknolojisi çalışanlarının hem de uzman hizmet tedarikçilerin yardımıyla Şirket, bir siber güvenlik zafiyetine uğranmaması adına gerekli tüm tedbirleri alır.

2.3. Kişisel Veri Güvenliğinin Takibi

Persan fiziksel işlenen kişisel verilerin korunmasına ilişkin düzenli olarak denetim yapmaktadır. Örneğin, çalışanların “clean table & clean desk” prensibine uyup uymadığı, fiziksel ortamda bulunan kişisel veri içeren belgelerin kilit altına alınıp alınmadığı düzenli olarak yapılan ofis denetimlerinde kontrol edilmektedir.

Persan aynı zamanda elektronik ortamda işlenen kişisel verilerin güvenliğinin sağlanıp sağlanmadığına da ilişkin olarak testler yapmaktadır. Bu kapsamda özellikle koruyucu yazılım sistemlerinin çalışıp çalışmadığı, log kayıtları aracılığı ile elektronik yetkilendirmelerde usulüne uygun hareket edilip edilmediği gibi hususlar sürekli olarak denetlenmektedir.

2.4. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Persan fiziksel ortamda muhafaza edilen kişisel verilerin güvenliğine ilişkin olarak özel güvenlik tedbirleri uygulamaktadır. Örneğin,

• Kişisel veri muhafaza edilen fiziki ortamlar kilit altında tutulmaktadır. Bu kapsamda erişim yetkileri sınırlandırılmıştır.
• Yangın, sel, hırsızlık gibi durumlara karşı gerekli önlemler alınmaktadır.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra önlemler alınmaktadır. Bu kapsamda kağıt yoluyla kişisel verilerin aktarılmasında, kapalı zarf metodu kullanılmaktadır.
• Sunucu veya arşiv odalarına giriş çıkışlar ek güvenlik tedbirleri ile korunmaktadır.

2.5. Kişisel Verilerin Yedeklenmesi

Persan, kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde yedeklenen kişisel verileri kullanarak kayıp riskini ortadan kaldırmaktadır. Yedeklenen kişisel verilerin güvenliği de en üst düzeyde sağlanmaktadır.

2.6. Diğer Örnekler

• Kişisel verilerin alındığı web sitesindeki tüm alanlar SSL ile korur.
• Birincil işleme amacı dışında kalan tüm ikincil veri işlemeler bakımından, Pseudonymization (takma adlı veri) yöntemini kullanır (Örnek: Ahmet Yılmaz à “A… Y…”).
• Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
• Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
• Kapalı sistem ağ kullanılmakta olup, ağ ve yazılım güvenliği güncel ve lisanslı programlar ile veri kaybı önleme yazılımlarıyla korunmaktadır.
• Ağ ve yazılımlar üzerinde kullanıcı tanımlamaları ve yetki matrisleri mevcuttur.
• Yazılım sistemleri ve bulut depolama sistemleri çalışan yetkisine göre şifreli olarak kullanılmaktadır.
• Log kayıtları, kullanıcı müdahalesi olmayacak şekilde tutulmaktadır
• Gerektiği noktalarda veri maskeleme yöntemi kullanılmaktadır.

3. Özel Nitelikli Kişisel Verilere Özgü Tedbirler

Kurul’un 01/01/2018 Tarihli ve 2018/10 Sayılı Kararı gereği;

• Özel nitelikli kişisel verilerin işlenmesine yönelik olarak çalışanlara, periyodik eğitimler verilmektedir.
• Özel nitelikli kişisel verilerin işlendiği sözleşme süreçlerinde, özel nitelikli kişisel verilere özgü gizlilik sözleşmeleri ve taahhütnameleri imzalanmaktadır.
• Özel nitelikli kişisel verilere erişim yetkisine sahip çalışanların, yetki kapsamları ve süreleri net olarak tanımlanmıştır, bu yetkiler periyodik olarak denetlenmektedir.
• Özel nitelikli kişisel verilerin muhafaza edildiği elektronik ortamların kriptografik anahtarlarla, fiziksel ortamların ise anahtarlarının yetki matrislerine göre özel olarak temin edildiği kilitli ortamlarda güvenliği sağlanmaktadır.
• Log kayıtları düzenli olarak tutulmaktadır.
• Özel nitelikli kişisel verilerin bulunduğu yazılımlar sürekli olarak güncellenmektedir.
• Özel nitelikli kişisel verilere uzaktan erişim sağlanması gerekiyorsa, çift taraflı doğrulama anahtarları suretiyle erişim sağlanmaktadır.
• Özel nitelikli kişisel verilerin aktarımı elektronik ortamda, kriptografik yöntemlerle şifrelenmiş taşınabilir belleklerle, KEP adresiyle veya VPN kurularak veya sFTP yöntemiyle; fiziksel ortamlarda ise kişiye özel zarflı belgeler ile aktarılmaktadır.

---

EK 5

KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ

Kişisel verileri, ilgili mevzuat gereği daha uzun bir süre boyunca muhafaza edilmesi gerekmediği sürece, ortalama olarak aşağıdaki süreler doğrultusunda saklanacaktır.