VERİ SAKLAMA İMHA POLİTİKASI

1.1 AMAÇ

Biz, NART Sigorta Ve Reasürans Brokerliği A.Ş. (“NART ”) olarak, kişisel verilerinizin sizler için ne kadar önemli olduğunun farkındayız. Faaliyetlerimizi icra ederken, bünyemizde bulunan kişisel verilerinizi emanet olarak görüyor ve bir “Emanetçi” sorumluluğu ile gerekli tüm idari ve teknik tedbirleri alarak kişisel verilerinizi koruyoruz.

İşbu KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI (“Politika”), Veri Sorumluları Sicili Hakkında Yönetmelik’in 9. Maddesinin 5. Bendi kapsamında NART tarafından muhafaza edilen kişisel verilerin saklanmasına ve imhasına ilişkin usul ve esasların belirlenmesi amacıylahazırlanmıştır.

1.2 KAPSAM

İşbu Politika, kişisel verilerin NART bünyesinde muhafaza edildiği tüm kayıt ortamlarında bulunan NART personellerine, çalışan adaylarına, tedarikçilerine, hizmet sağlayıcılarına, müşterilerine , online ve gerçek kişi ziyaretçilerine ve diğer üçüncü kişilere ait kişisel verilerin işlenmesi faaliyetleri için uygulanacaktır.

NART tarafından muhafaza edilen kişisel verilerin saklanması ve imhası işbu Politika kapsamında gerçekleştirilmektedir.

1.3 KISALTMALAR VE TANIMLAR

Alıcı Grubu	:	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza	:	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	:	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan	:	Kişisel Verileri Koruma Kurumu personeli.
EBYS	:	Elektronik Belge Yönetim Sistemi
Elektronik Ortam	:	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	:	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı	:	Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi	:	Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı	:	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	:	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun	:	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	:	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	:	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	:	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi	:	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul	:	Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri	:	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	:	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika	:	Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen	:	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	:	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	:	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, Veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi	:	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	:	Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik	:	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2.SORUMLULUK VE GÖREV DAĞILIMLARI

NART bünyesinde görev yapan tüm birimlerimiz işbu Politika kapsamında bilgilendirilmiş ve eğitilmiş olup, aşağıda kapsamlı olarak belirttiğimiz sorumlu birimlerimiz tarafından organize edilmekte, denetlenmekte, yönlendirilmektedir.

İşbu kapsamda NART bünyesinde görev yapan sorumlu birimlerimiz, teknik ve idari tedbirlerin gereği gibi uygulanmasından, birim çalışanlarının eğitimi ve farkındalığının arttırılmasından, izlenmesinden ve düzenli olarak denetlenmesinden ve veri güvenliğinin sağlamasına yönelik teknik ve idari tedbirlerin alınmasından sorumludurlar.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım şu şekildedir:

Yönetim Kurulu Başkanımız, personellerimizin Politika’ya uygun hareket etmesinden sorumludur.

Genel Müdürümüz, Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

Muhasebe Müdürümüz, Politika kapsamında gerekli denetimlerin gerçekleştirilmesinden, farkındalık çalışmalarının yürütülmesinden, personellerin Kanun kapsamında eğitilmesinden, sınava tabi tutulmasından ve ihtiyaç doğrultusunda gerekli organizasyonların yapılmasından sorumludur.

İdari amirlerimiz, görevlerine uygun olarak Politika’nın yürütülmesinden sorumludur.

3.KAYIT ORTAMLARI

NART bünyesinde muhafaza edilen kişisel veriler hukuka uygun olarak elektronik ve elektronik olmayan ortamlarda, güvenlik önlemleri alınmak suretiyle saklanmaktadır.

NART olarak aşağıda belirttiğimiz elektronik ortamlarda veri saklama faaliyetleri gerçekleşebilmektedir:

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet )
Optik diskler (CD, DVD )
Çıkartılabilir bellekler (USB, Hafıza Kart )
Yazıcı, tarayıcı, fotokopi makinesi

Kişisel veri saklama faaliyetini gerçekleştirdiğimiz elektronik olmayan ortamlarımız şu şekildedir:

Kağıt
Manuel veri kayıt sistemleri (ziyaretçi giriş defteri)
Yazılı, basılı, görsel ortamlar

4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

NART olarak, elimizde bulundurduğumuz kişisel verilerin Kanun’a uygun olarak saklanmasında ve imha edilmesinde maksimum özeni göstermekteyiz.

İşbu kapsamda, saklama ve imha faaliyetlerimize ilişkin daha detaylı açıklamalarımızı aşağıda bulabilirsiniz.

4.1 KİŞİSEL VERİLERİN MUHAFAZASI

NART kişisel verileri, hukuka ve dürüstlük kurallarına uygun olarak (KVKK 4.2.a.), doğru ve gerektiğinde güncel olarak (KVKK 4.2.b.), belirli, açık ve meşru amaçlar doğrultusunda işlemekte (KVKK 4.2.c.), işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak (KVKK 4.2.ç.), ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmekte ve kullanmaktadır (KVKK 4.2.d.).

NART kişisel verileri, kanunlarda açıkça öngörülmesi (KVKK 5.2.a.), bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (KVKK 5.2.c.), hukuki yükümlülüğümüzü yerine getirebilmemiz için zorunlu olması (KVKK 5.2.ç.), ilgili kişinin kendisi tarafından alenileştirilmiş olması (KVKK 5.2.d.), bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (KVKK 5.2.e.), ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatlerimiz için veri işlenmesinin zorunlu olması (KVKK 5.2.f.) durumlarında ya da ilgili kişinin açık rızasını almak suretiyle (KVKK 5.1.) işliyoruz.

Yine NART olarak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri, kanunlarda öngörülen hallerde işliyoruz (KVKK 6.3.). Sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından (KVKK 6.3.) veya ilgilinin açık rızası ile işlenmektedir (KVKK 6.2.).

NART , kişisel verileri aşağıda belirtilen amaçlar doğrultusunda işlemektedir:

İnsan kaynakları süreçlerini yürütmek.
Kurumsal iletişimi sağlamak.
Şirket güvenliğini sağlamak,
İstatistiksel çalışmalar
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa
VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
Yasal raporlamalar
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

NART , ilgili mevzuatta herhangi bir süre öngörülmüş ise bu süre kadar, eğer böyle bir süre öngörülmemiş ise işleme amacının gerektirdiği süre ile sınırlı olmak üzere kişisel verileri muhafaza etmektedir.

İşbu kapsamda aşağıda belirtilen mevzuatlarda öngörülen süreler esas alınmakta ve işbu mevzuatlarda öngörülen süreler kadar kişisel veriler bünyemizde muhafaza edilmektedir:

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

4.2 KİŞİSEL VERİLERİN İMHASI

NART , bünyesinde bulundurduğu kişisel verileri;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun NART tarafından kabul edilmesi,
NART tarafından, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, ilgili kişinin talebi üzerine siler, yok eder ya da re’sen siler, yok eder veya anonim hale getirilir.

5. TEKNİK VE İDARİ TEDBİRLER

NART , kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’a uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

5.1 TEKNİK TEDBİRLER

NART , bünyesinde bulundurduğu kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için aşağıda belirtilen teknik tedbirleri almaktadır:

Sızma (Penetrasyon) testleri ile NART bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
NART bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
NART içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
NART , silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için NART tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

5.2 İDARİ TEDBİRLER

Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, Kanun ve ilgili diğer mevzuat hakkında eğitimler
NART tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce NART tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine
Kişisel veri işleme envanteri hazırlanmıştır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, NART tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.1 KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verileri silerken aşağıda belirtilen yöntemleri kullanıyoruz:

Sunucularımızda yer alan kişisel veriler, sistem yöneticisi ilgili kullanıcıların erişim yetkisini kaldırarak silme işlemini gerçekleştirir.

Elektronik ortamda yer alan kişisel veriler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler, evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir medyada bulunan kişisel veriler, Flash tabanlı saklama ortamlarında tutulan kişisel veriler sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

6.2 KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verileri yok ederken aşağıda belirtilen yöntemleri kullanıyoruz:

Fiziksel Ortamda Yer Alan Kişisel Veriler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.3 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

7. SAKLAMA VE İMHA SÜRELERİ

NART tarafından işlenmekte olan kişisel verilerin saklanma süreleri, faaliyet bazında Kişisel Veri İşleme Envanterinde yer almaktadır.

Yine, NART tarafından işlenmekte olan kişisel verilerin saklanma süreleri, veri kategorisi bazında VERBİS kaydında yer almaktadır.

Yine, NART tarafından işlenmekte olan kişisel verilerin saklanma süreleri, süreç bazında Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.

KVKK İrtibat Kişisi ile Bilgi Teknolojileri Direktörü tarafından ihtiyaç halinde saklama sürelerinde güncelleme yapılabilir.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi Teknolojileri Direktörü tarafından yerine getirilir.

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Ticari İşlemler	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin hazırlanması	Sözleşmenin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket İletişim Faaliyetlerinin İcrası	Faaliyetin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi ve Toplantı Katılımcılarının Kaydı	Etkinliğin sona ermesini takiben 2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

8. PERİYODİK İMHA SÜRESİ

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11. Maddesine uygun olarak NART , periyodik imha süresini 6 ay olarak belirlemiştir ve her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Muhasebe Müdürü tarafından dosyada saklanır.

10.POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

11. POLİTİKANIN YÜRÜRLÜĞE GİRMESİ

Politika, NART ’ın internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.