Forwardie - KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. VERİ SORUMLUSUNUN KİMLİĞİ

Şirketimiz, Türkiye Cumhuriyeti yasaları uyarınca kurulmuş bir anonim şirket olan Kazımdirik, 372/10. Sk. No:49, 35100 Bornova/İzmir adresi merkezli ve İzmir Ticaret Sicil Müdürlüğü’ne 207954 ticaret sicil numarasıyla kayıtlı Forwardie Lojistik Anonim Şirketi’dir ("Forwardie").
Forwardie, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (bundan böyle "KVKK" veya "Kanun" olarak ifade edilecektir) uyumlu hareket eden, bir veri sorumlusudur.

2. SAKLAMA VE İMHA’YA İLİŞKİN TALEPLER

Kanun’un 11. maddesinde ilgili kişinin hakları belirtilmiştir. Sayılan bu haklardan saklama ve imhaya ilişkin olanlar aşağıda belirtildiği gibidir:

Kişisel verilerin saklanıp saklanmadığına ilişkin bilgi talep etme;
Kişisel verilerin saklanma amacını ve belirlenmiş amaç doğrultusunda saklanıp saklanmadığını öğrenme,
Saklanan kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini ve üçüncü kişilerin bundan haberdar edilmesini talep etme,
Kişisel verilerin ilgili sebepleri ortadan kalkmış ise imha edilmesini ve üçüncü kişilerin haberdar edilmesini talep etme.

İlgili Kişiler, yukarıda yer alan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle, Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle veya Ek 1’de yer alan Veri Sorumlusuna Başvuru Formu vasıtasıyla Forwardie’ye ücretsiz olarak iletebileceklerdir.

Forwardie tarafından, ilgili kişilerin taleplerinin 30 günden fazla olmamak üzere en kısa sürede ve işlemin maliyeti olmadığı sürece ücret talep edilmeksizin cevaplanacağı taahhüt edilmektedir.

Ayrıca ilgili kişiler, Kanun’un 14. Maddesi gereğince; başvurularının reddedilmesi, kendilerine verilen cevabın yetersiz bulunması veya başvurularına süresinde cevap verilmemesi hallerinde; Forwardie’nin cevabını öğrendikleri tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunabilir.

3. İLETİŞİM BİLGİLERİ

Forwardie’nin iletişim kanalları aşağıdaki gibidir:

İletişim Kanallarımız	info@forwardie.com
	forwardie@hs01.kep.tr
	Kazımdirik, 372/10. Sk. No:49, 35100 Bornova/İzmir

4. POLİTİKA’NIN AMACI

Özel hayatın gizliliğinin korunması Türkiye Cumhuriyeti Anayasası ve yürürlükteki uluslararası sözleşmelerde yer alan temel bir hak olup, Forwardie ile herhangi bir temasa geçmiş gerçek kişilere ait kişisel verilerin açığa vurulmaması, bu verilere yetkisiz kişilerce erişilmemesi ve verilerin zararlı amaçlar için kullanılmamasına ilişkin, başta KVKK olmak üzere ilgili mevzuattan doğan yükümlülükler Forwardie tarafından özen gösterilerek yerine getirilmektedir.

İşbu Saklama ve İmha Politikası’nın ("Politika") hazırlanmasındaki amaç; Forwardie bünyesindeki saklama ve imha süreçlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kanun dayanağında 1 Ocak 2018 tarihinde yürürlüğe konulan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") ve diğer ilgili mevzuat ile uyum içerisinde yürütülmesidir. Bu sayede, temelinde Forwardie ve sözleşmesel olarak sorumlu kılınan 3. kişilerin kişisel veri işleme ve saklama süreçleri, ilgili kişilerin kimler olduğu, kişisel veri işleme amaç ve hukuki sebepleri, saklama kayıt ortamları, imhaya ilişkin yöntemler ve azami süreler hakkında bilgi vererek, veri koruma personelinin saklama ve imhaya ilişkin yükümlülükleri ve Şirket nezdinde alınan teknik ve idari tedbirler gibi konular hakkında detaylı açıklamalarda bulunularak şeffaflığın sağlanması amaçlanmaktadır.

5. YÜRÜRLÜK ve DEĞİŞİKLİKLER

İşbu Politika, Forwardie Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiş olup, Politika’da yapılacak değişikliklere kurumsal internet sitesi üzerinden erişilebilecektir.

Konuyla ilgili yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda Forwardie, işbu Politika’yı ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.

6. POLİTİKA’NIN KAPSAMI

Forwardie tarafından yürütülen kişisel veri saklama ve imha süreçleri bu Politika’nın kapsamını oluşturmaktadır. Önemle belirtilmelidir ki işbu Politika, özel nitelikli kişisel verileri kapsamamakta; Kurul tarafından öngörüldüğü üzere, Şirket’in özel nitelikli kişisel verilere ilişkin işleme faaliyetleri ayrı bir politikada düzenlenmektedir.

Politika’nın uygulama alanı Politika’nın tamamı olabileceği gibi, yalnızca bir kısım hükümleri de olabilecektir.

7. KİŞİSEL VERİ İŞLEME İLKELERİMİZ

Forwardie, kişisel veri işlerken aşağıda sayılan ilkelere azami özen göstermekte ve kişisel veri işlerken veri minimizasyonu ilkesini dikkate almaktadır. Gerekli olan bilgiler dışında hiçbir bilgiyi öğrenmemek ve elde edilen kişisel verileri asgari süre ile saklamak esas kural haline getirilmiştir.

Hukuka ve dürüstlük kurallarına uygun olma

Doğru ve gerektiğinde güncel olma

Belirli, açık ve meşru amaçlar için işlenme

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

8. İLGİLİ KİŞİLER

Çeşitli nedenler ile kişisel verisi işlenen kişiler aşağıda kişi grupları halinde sayılmıştır:

Çalışan Aday(lar)ı	Çalışan(lar)
Eski Çalışanlar	Müşteri Çalışanları
Müşteri Eski Çalışanları	Ortaklar
Sözleşme İlişkisi İçerisinde Olunan Gerçek Üçüncü Kişi(ler)	Sözleşme İlişkisi İçerisinde Olunan Tüzel Kişilerin Gerçek Kişi Temsilcileri
Stajyer	Tedarikçi Çalışanları
Tedarikçi Eski Çalışanları	Web Site Kullanıcı(lar)ı
Ziyaretçi(ler)

9. KİŞİSEL VERİLERİN SAKLANMASI

9.1 Giriş

Kanun kapsamında çerçevesi belirlenen ve Yönetmelik’in 5 ve 6. maddelerinde kapsam ve esasları belirlenen işbu Politika’nın düzenlenmesi ve uygulanması, Kanun uyarınca veri sorumlusu olan Forwardie’nin sorumluluğu altındadır.

Yukarıda belirtilmiş olan, bu Politika’nın kapsamında yer alan ilgili kişilere ait olan tüm kişisel verilerin saklanması, aşağıda detayları belirtilen uygulamalar dahilinde gerçekleştirilecektir.

9.2 Kayıt Ortamları

İlgili kişilere ait kişisel veriler; Forwardie tarafından, aşağıda listelenen ortamlarda KVKK ve ilgili mevzuatta öngörülen tedbirler ile birlikte, Politika’da yer alan teknik ve idari tedbirler gözetilerek, kurum içi yetki ve kontrol mekanizmaları dahilinde saklanmaktadır.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular	Kâğıt
Yazılım	Manuel Veri Kayıt Sistemleri (Anket Formları, Ziyaretçi Giriş Defteri vb.)
Bulut Sistemleri	Yazılı, Basılı, Görsel Ortamlar
Flash Hafızalar
Bilgi Güvenliği Cihazları
Kişisel Bilgisayarlar (Masaüstü, Dizüstü)
Mobil Cihazlar (Telefon, Tablet vb.)
Optik Diskler (CD, DVD vb.)
Çıkartılabilir Bellekler (USB, Hafıza Kartı vb.)
Yazıcı, Tarayıcı, Fotokopi Makinesi

9.3 Sebep

Kişisel verilerin depolanması ve muhafaza edilmesi, Kanun’un “Tanımlar” bölümünde kişisel veri işleme faaliyeti olarak değerlendirilmiştir.

Kişisel verilerin işlenmesi, hukuki sebeplere dayanılarak ve aydınlatma yükümlülükleri yerine getirilerek gerçekleştirilmelidir.

Kişisel verilerin saklanmasına ilişkin dayanılabilecek hukuki sebepler şunlardır:

Açık Rıza
Fiili İmkansızlık Nedeni ile Açık Rıza Alınamaması
Sözleşme’nin Kurulması veya İfası İçin Veri İşlemenin Gerekli Olması
Hukuki Yükümlülük
Kanunlarda Açıkça Öngörülmesi
Hakkın Tesisi, Kullanılması, Korunması
Meşru Menfaat
İlgili Kişinin Kendisi Tarafından Alenileştirilmesi

Sayılan hukuki sebeplerden açık rıza dışında bir sebebin varlığı halinde, rıza kirliliğine yol açmamak adına ilgili kişinin açık rızasına başvurulmamaktadır.

Forwardie tarafından hazırlanmış olan aydınlatma metinlerinde, her olay özelinde gerekli işleme sebepleri belirtilmiş ve seçilen sebep detaylı olarak açıklanmıştır.

Forwardie’nin kişisel verileri saklama süreçlerinde hukuki sebep olarak “kanunlarda öngörülme”ye dayanıldığı hallerde Ek 2’de yer alan kanunlar esas alınmıştır:

9.4 Amaç

Forwardie, kişisel verileri Ek 3’te yer verilen amaçlarla saklamaktadır.

9.5 Süre

Kişisel veriler; Forwardie tarafından, işlendikleri amaç ve hukuki sebep için gerekli olan süre boyunca muhafaza edilmektedir. Buna göre, ilgili mevzuatta bir süre öngörülmüş ise kişisel veriler belirtilen süre kapsamında saklanır. Kanun gereği, hukuka uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, re’sen veya ilgili kişinin talebi üzerine imha edilir.

Forwardie, veri minimizasyonu ilkesi gereği saklama süresi dolan kişisel verileri ilgili kişinin talebine gerek kalmaksızın Politika’da belirtilen usul ve yöntemler çerçevesinde imha eder.

Forwardie’nin işlediği tüm kişisel veriler bakımından verilerin saklanma sürelerine Ek 4’te yer verilmiştir. Bu sürelerin değişmesi halinde, işbu Politika’nın kendisi ve ekleri güncellenecektir.

9.6 Saklamadan Sorumlu Veri Koruma Personeli ve Yükümlülükleri

Forwardie kendi bünyesinde temel olarak Kanun’a uyumu takip etmek üzere çalışanlarından konu ile ilgili yeterli donanıma sahip olan kişileri Veri Koruma Personeli olarak belirlemiştir. Belirlenen Veri Koruma Personelleri’nden bir kısmı saklamadan sorumlu olacak şekilde görevlendirilmiştir.

Buna göre, detayları Ek 5’te verilen Saklamadan Sorumlu Veri Koruma Personeli’nin yükümlülükleri aşağıda belirtildiği gibidir:

Kişisel verilerin saklanması ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak.
Saklamaya ilişkin olan mevzuat hükümlerine uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri Yönetim Kurulu’nun onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
Kişisel verilerin güvenli bir şekilde saklanması konusunda Forwardie nezdinde farkındalığı artırmak.
Şirket’in kişisel veri saklama faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayına sunmak.
Saklama sürelerini ilgili veri kategorisine göre belirlemek ve Yönetim Kurulu’nun onayına sunmak.
Saklama ortamlarını belirlemek.
VERBİS ve Veri Envanteri uyarınca saklama amaçlarına ve sebeplerini belirlemek ve bunların güncelliğini sağlamak.
Kişisel verilerin kararlaştırılan saklama sürelerine uygun olarak muhafaza edilip edilmediğini denetlemek.

10. KİŞİSEL VERİLERİN İMHA EDİLMESİ

10.1 Giriş

Kişisel verilerin imha edilmesi; ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi anlamına gelmektedir.

Forwardie tarafından hukuka uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler, re’sen veya ilgili kişinin talebi üzerine imha edilecektir. İmha süreçlerinin Kanun’la uyumlu ve güvenli bir şekilde yürütülebilmesi için Politika’da belirtilen teknik ve idari tedbirler alınmaktadır.

10.2 İmha Yöntemleri

Kişisel verilerin imha yöntemlerine ilişkin ilke ve esaslar Kanun’un 7. maddesinde ve Yönetmelik’in 3. bölümünde belirtilmiştir. Kanun ve Yönetmelik’te belirtilen hükümler doğrultusunda Forwardie tarafından detayları aşağıda açıklanacak olan yöntemler belirlenmiştir.

Kurul tarafından aksi kararlaştırılmadıkça saklama süresi dolan kişisel veriler, aşağıda belirtilen yöntemlerden uygun olanı seçilerek Forwardie tarafından imha edilecektir. Belirtilmelidir ki, imha yöntemlerinden hangisinin kullanılacağı kişisel verinin mahiyetine göre belirlenmektedir. Özel nitelikli kişisel veri niteliğini haiz kişisel veriler mümkün olduğunca “yok etme” yöntemi kullanılarak imha edilmektedir. Nitelik gereği hassasiyeti özel nitelikli kişisel veriler kadar yüksek olmayan veriler ise, genellikle “silme” yöntemi kullanılarak imha edilmektedir. Şirket’in ihtiyaçları doğrultusunda birtakım veri grupları, ilgili kişiyi kesinlikle buldurmayacak şekilde anonimleştirilerek Şirket içerisinde istatistiki faaliyetlerde kullanılmaktadır.

Bu yöntemlerin tanımları ve uygulama metodları aşağıda açıklandığı şekliyle Şirket’te kullanılmaktadır:

Silme yöntemi ile veriler “ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz” hale getirilmektedir. Saklama süresi dolan ve bu yöntemin kullanılmasına uygun kişisel veriler, aşağıdaki yöntemler kullanılarak ilgili kullanıcılar için tekrar kullanılamaz şekilde silinecektir.

SAKLAMA SÜRESİ DOLAN KİŞİSEL VERİLERİN SİLİNMESİ METODLARI
Veri Kayıt Ortamı	Sunucular (Server)	Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
	Elektronik Ortam	Veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Veri tabanlarında bulunan kişisel bilgilerin bulunduğu satır veya sütunlar “Delete” komutu ile silinecektir.
	Fiziksel Ortam	Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunmayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
	Taşınabilir Medya	Sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Yok etme yöntemi ile veriler “hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz” hale getirilmektedir. Saklama süresi dolan ve bu yöntemin kullanılmasına uygun kişisel veriler aşağıdaki uygulama metodları kullanılarak hiçbir şekilde geri getirilemez şekilde yok edilecektir.

SAKLAMA SÜRESİ DOLAN KİŞİSEL VERİLERİN YOK EDİLMESİ METODLARI
Veri Kayıt Ortamı	Fiziksel Ortam	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
	Optik/Manyetik Medya	Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
	Optik/Manyetik Medya	De-manyetize Etme: Manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunmaz hale getirilir.
	Optik/Manyetik Medya	Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

Anonim hale getirme yöntemi ile veriler “başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek” hale getirilmektedir. Saklama süresi dolan ve bu yöntemin kullanılmasına uygun kişisel veriler aşağıdaki yöntemler kullanılarak, ilgili kişilerle ilişkilendirilemeyecek şekilde anonim hale getirilecektir.
Belirtmek gerekir ki, anonim hale getirilmiş kişisel veriler; veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirme gibi uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilecektir. Böylece anonim hale getirilmiş veriler, Forwardie tarafından araştırma ve istatistik faaliyetlerinde kullanılabilecektir.

SAKLAMA SÜRESİ DOLAN KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ METODLARI
Maskeleme (Masking)	Kişisel verinin temel belirleyici bilgisinin veri kümesi içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin; Kişisel veri sahibinin tanımlanmasını sağlayan isim, T.C. Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri kümesine dönüştürülmesi.
Kayıttan Çıkarma	Veriler arasında tekillik ihtiva eden veri satırı kayıtları arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
Bölgesel Gizleme	Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin; Bir futbol takımının yedek listesinde olan ilgili kişiler arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.
Global Kodlama	Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi, açık adres yerine ikamet edilen bölgenin belirtilmesi.
Gürültü Ekleme	Özellikle sayısal verilerin ağırlıklı olduğu bir veri kümesinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin; kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

10.3 Sebep

Saklama sebeplerine dayanak olan, yukarıda “Saklama Sebepleri” olarak ele alınan sebeplerin sona ermesi durumunda Forwardie tarafından kişisel verilerin imhası gerçekleştirilecektir. Detaylandırmak gerekirse, imha sebepleri aşağıdaki gibidir:

Saklamaya dayanak teşkil eden ilgili kanun hükümlerinin değişmiş veya yürürlükten kalkmış olması ya da veri sorumlusunun saklamaya ilişkin hukuki yükümlülüğünün sona ermiş olması,
Taraflar arasındaki sözleşmenin hükümsüz hale gelmesi, hiç kurulmamış olması, fesih edilmiş veya sözleşmeden dönülmüş olması,
Saklamayı gerektiren amacın ortadan kalkmış olması,
Saklama faaliyetinin hukuka veya Medeni Kanun 2. maddesindeki dürüstlük kuralına aykırı olması,
Açık rızaya dayanan saklama faaliyetlerinde, rızanın geri alınmış olması,
İlgili kişinin, Kanun’un 11. maddesindeki haklarını kullanarak yaptığı başvurunun Veri Koruma Personeli tarafından kabul edilmesi,
Gerekli şartların oluşması halinde, ilgili kişi tarafından Kurul’a yapılan başvurunun Kurul tarafından uygun bulunması,
Azami saklama süresi geçmiş olmasına rağmen, daha uzun süre saklamayı haklı kılacak herhangi bir şartın bulunmaması,
Saklama faaliyetine sebep oluşturan meşru menfaatin ortadan kalkmış olması veya bu meşru menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar veriyor olması,
Saklama faaliyetinin bir hakkın tesisi, kullanılması veya korunması sebebine dayanılarak gerçekleştirildiği durumlarda hakkın ortadan kalkması veya ileri sürülemez hale gelmesi,

10.4 Süre

Yönetmelik’in 11. maddesinde kişisel verilerin imhasını gerektiren yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik silme döneminde imhanın gerçekleştirileceği ve periyodik imha süresinin her halde 6 ayı geçemeyeceği belirtilmiştir.

Yönetmelik’te imha için öngörülmüş olan bir başka süre ise, ilgili kişinin veri sorumlusuna başvurusunun uygun görülmesi ve 30 gün içerisinde talep doğrultusunda imhaların gerçekleştirilmesi gerektiğidir.

Mevzuat ile uyumlu hareket eden bir veri sorumlusu olarak Forwardie:

Periyodik imha süresini en geç 6 ay olarak belirlemiş olup, bu süre özel nitelikli kişisel veriler bakımından en geç 3 ay olacak şekilde; verileri imha etmektedir.
İmhaya ilişkin başvurularını uygun gördüğü ilgili kişilerin taleplerini en geç 30 gün içerisinde sonuca bağlamaktadır.

10.5 İmhadan Sorumlu Veri Koruma Personeli ve Yükümlülükleri

Forwardie, kendi bünyesinde temel olarak Kanun’a uyumu takip etmek üzere çalışanlarından konu ile ilgili yeterli donanıma sahip olan kişileri Veri Koruma Personeli olarak belirlemiştir. Belirlenen Veri Koruma Personelleri’nden bir kısmı imhadan sorumlu olacak şekilde görevlendirilmiştir.

Kişisel verilerin imhasına ilişkin politikaların ne şekilde uygulanacağı ve denetleneceğine ilişkin karar vermek, şirket içi görevlendirmede bulumak ve koordinasyonu sağlamak hususlarını Forwardie Yönetim Kurulu onayına sunmak,
İmhaya ilişkin mevzuata uyum için yapılması gerekenleri tespit ederek Yönetim Kurulu onayına sunmak, uyum çalışmalarının uygulanmasını ve koordinasyonunu sağlamak,
Kişisel verilerin imhası konusunda Forwardie içerisinde farkındalığı sağlamak,
İmha yöntemi ve yöntemlere ilişkin uygulama metodlarını belirmek ve bunları Forwardie Yönetim Kurulu onayına sunmak,
İşbu Politika’da belirtilen imha yöntemlerinin Kanun ve Politika’ya uyumlu şekilde gerçekleştirilmesini sağlamak,
Periyodik imha takibi yapmak,
İlgili kişinin imhaya ilişkin taleplerini incelemek ve yanıtlamak,

11. SAKLAMA VE İMHAYA İLİŞKİN ALINAN TEDBİRLER

Bir veri sorumlusu olarak Forwardie, Kanun’un 12. maddesi uyarınca kişisel verilerin;

hukuka aykırı olarak işlenmesini önlemek,
hukuka aykırı olarak erişilmesini önlemek,
kişisel verilerin muhafazasını sağlamak amacıyla,

uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu nedenle Forwardie bünyesinde, başta Kanun’a ve Kurul’un yayımlamış olduğu “Kişisel Veri Güvenliği Rehberi”ndeki önlemlerle uyumlu olarak, gerekli teknik uzmanlığın da sağlanması yoluyla birtakım teknik ve idari tedbirler alınmaktadır.

Bu tedbirler, işbu Politika uyarınca Forwardie bünyesinde devamlı olarak uygulanmakta olup; gerekli zaman, kaynak ve teknik destek sağlanarak ve denetimler yapılarak teknolojik gelişmeler doğrultusunda güncellenmekte ve geliştirilmektedir.

Ayrıca belirtmek gerekir ki, Şirket bünyesinde yaşanabilecek olası bir veri ihlali durumunda takip edilecek prosedür ve tedbirler “Forwardie Veri İhlal Prosedürü”nde belirtilmiş olup konu ile ilgili gerekli eğitim çalışanlara düzenli olarak verilmekte ve takip edilmektedir.

Aşağıda sayılmış olan tedbirler, veri kategorisine göre değişiklik gösterebilmektedir. Forwardie, temel prensip olarak daha hassas nitelikli kabul edilebilecek veriler bakımından daha kapsamlı tedbirler uygulamaktadır.

11.1. Saklamaya İlişkin Alınan Tedbirler

11.1.1. Teknik Tedbirler

IT olay yönetimi ile gerçek zamanlı analizler ile bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
İş birimi bazında Kanun gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
Erişim yetkileri yetki matrisi aracılığıyla sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
Forwardie bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odası erişim kontrol sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
Forwardie içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve 72 saat içerisinde Kurul’a bildirmek için uygun bir sistem ve altyapı oluşturulmuştur.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma (loglama) kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
İnternet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Şirket bünyesinde kullanılan elektronik cihazlara virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için güvenlik taramaları yapılmakta ve sızma (penetrasyon) testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanmaktadır.
Kayıt ortamlarının güvenliğini sağlamak amacıyla teknik konularda bilgili ve deneyimli personel istihdam edilmektedir.
Özel nitelikli kişisel verilerin güvenli şekilde saklanmasına yönelik ayrı politika belirlenmiş olup, özel nitelikli kişisel veriler özelinde alınan teknik tedbirler politikada belirtilmiştir.
Elektronik kayıt ortamlarının fiziksel olarak taşınması durumunda, yüksek düzeyde kriptografik yöntemler kullanılarak kayıt ortamlarının güvenliği sağlanmaktadır.

11.1.2. İdari Tedbirler

Çalışanlar, kişisel verilere hukuka aykırı erişimin engellenmesi için alınacak teknik tedbirler konusunda sözlü ve yazılı olarak eğitilmektedir.
Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
“Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca hazırlanan veri envanterinde, Forwardie bünyesinde saklanan kişisel verilerin saklanmasına ilişkin hukuki sebepleri açıklanarak, kişisel verilerin ne kadar süreyle ve hangi kayıt ortamında saklandıklarına dair bilgilere yer verilmiştir.
Kişisel verilerin ilgili mevzuat ve işbu Politika ile uyumlu şekilde saklanmasına ilişkin Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
İş birimi bazında Kanun gerekliliklerine uygun olarak kişisel verilere erişim ve yetkilendirme süreçlerinin tasarlanması sonucunda yetki matrisi oluşturulmakta ve uygulanmaktadır.
Çalışanların mevcut iş akitlerine, kişisel verilerin hukuka uygun olarak işlenmesi için Kanun ile öngörülen yükümlülüklere uygun hareket edilmesi, kişisel verilerin ifşa edilmemesi, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Forwardie ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklenmekte, çalışanın bu yükümlülüklere uymaması durumlarına yönelik “İşyeri Disiplin Yönetmeliği” güncellenmektedir.
Hukuka uygun veri aktarımı süreçlerinde, veri işleyenler ile akdedilen sözleşmelere kişisel verilerin güvenli ve amacına uygun şekilde saklanması doğrultusunda gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler dahil edilmektedir.

11.2. İmhaya İlişkin Alınan Tedbirler

11.2.1. Teknik Tedbirler

Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
İmha süreçlerinin güvenli şekilde yürütülebilmesi amacıyla, gerekli teknik konularda bilgili ve deneyimli personel istihdam edilmekte ve görevlendirilmektedir.
Özel nitelikli kişisel verilerin güvenliği ve imha süreçlerine yönelik ayrı politika belirlenmiş olup, özel nitelikli kişisel veriler özelinde alınan teknik tedbirler politikada belirtilmiştir.

11.2.2. İdari Tedbirler

“Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca, Forwardie bünyesinde saklanan kişisel verilerin imha yöntem ve sürelerini belirten veri envanteri hazırlanmıştır.
Saklanan kişisel verilerin ilgili mevzuat ve işbu Politika’yla uyumlu şekilde imha edilmesine ilişkin Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Forwardie bünyesinde gerçekleştirilen imha süreçleri, yetki matrisi doğrultusunda ve tutanak kayıtları oluşturularak gerçekleştirilmektedir.
Kişisel verilerin hukuka uygun olarak aktarıldığı veri işleyenler ile akdedilen sözleşmelere, kişisel verilerin işbu Politika ve ilgili mevzuat gereklerine uygun şekilde imha edilmesi için gerekli tedbirlerinin alınmasına ve bu tedbirlere uyulması hususlarına ilişkin hükümler eklenmektedir.

KVKK Saklama ve İmha Politikası eklerine aşağıdaki bağlantıdan ulaşabilirsiniz.