1. Amaç ve Kapsam
Bu Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası, firmamızda bilişim hizmetleri, bilişim ve bilgi güvenliği danışmanlık hizmetleri, bilişim teknik destek hizmetleri, veri depolama ve barındırma hizmetleri, yazılım tasarımı, yazılım geliştirme, yazılım testi, yazılım entegrasyonu ve bakım hizmetleri faaliyetleri sırasında elde edilen kişisel verilerin güvenliğini sağlamak, bu verilerin yasal mevzuata uygun bir şekilde işlenmesi, saklanması ve imha edilmesi için izlenecek yöntemleri belirlemek amacıyla hazırlanmıştır. Politika, çalışanlar, iş ortakları ve üçüncü taraf kullanıcılar için geçerli olup, kişisel verilerin korunmasına yönelik gereklilikleri tanımlar.

2. Kişisel Veri Kavramı ve Kapsamı
1.    Kişisel Veri Tanımı: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu veriler, doğrudan veya dolaylı yollarla kişinin kimliğini tespit etmeye yönelik veriler olabilir. Örnekler arasında ad, soyad, kimlik numarası, telefon numarası, e-posta adresi, IP adresi, finansal bilgiler ve sağlık verileri yer alabilir.
2.    Özel Nitelikli Kişisel Veri: Kişisel veriler, bazı durumlarda özel nitelikli olabilir. Özel nitelikli kişisel veriler, kişinin ırkı, etnik kökeni, dini inancı, siyasi görüşü, sağlık durumu, cinsel hayatı ve benzeri özel bilgileri içerir. Bu tür veriler, yalnızca özel güvenlik önlemleri ile işlenebilir ve saklanabilir.

3. Kişisel Verilerin İşlenmesi
1.    Veri İşleme Amaçları: Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla işlenebilir. Bu amaçlar arasında, çalışanların iş sözleşmesi gerekliliklerinin yerine getirilmesi, müşteri hizmetleri sağlanması, yazılım geliştirme ve teknik destek süreçlerinin yönetilmesi, veri güvenliği yönetimi ve müşteri memnuniyeti sağlanması yer alır. Veriler, yalnızca belirtilen amaçlarla sınırlı olarak işlenir ve gereksiz yere kullanılmaz.
2.    Veri Sahiplerinin Onayı: Kişisel veriler yalnızca veri sahiplerinin açık rızası ile işlenebilir. Verilerin işlenmesi sırasında, veri sahiplerine açık ve anlaşılır şekilde hangi verilerinin hangi amaçlarla kullanılacağı ve işleneceği hakkında bilgilendirme yapılmalıdır. Veri sahiplerinin onayı, açık bir şekilde alınmalı ve bu onay yazılı veya dijital ortamda kayıt altına alınmalıdır.
3.    Veri İşleme Süreçleri: Kişisel veriler, yalnızca yasal olarak belirlenmiş ve iş ihtiyaçları doğrultusunda işlenmelidir. Verilerin işlenmesi sırasında, veri güvenliği önlemleri alındığı gibi, veri işleme süreçlerinin her biri denetlenebilir ve izlenebilir olmalıdır. Ayrıca, kişisel veriler sadece yetkili kişiler tarafından işlenmeli ve erişilmelidir.
4.    Veri İşleme Yöntemleri: Kişisel veriler, manuel ya da otomatik yöntemlerle işlenebilir. Manuel işlemler, kağıt üzerinde yapılırken, otomatik işlemler bilgisayar ortamında gerçekleştirilecektir. Her iki durumda da veri işleme yöntemleri, veri güvenliğini ihlal etmeyecek şekilde tasarlanmalı ve uygulanmalıdır.

4. Kişisel Verilerin Saklanması
1.    Veri Saklama Süresi: Kişisel veriler, yalnızca yasal zorunluluklar veya iş gereksinimleri doğrultusunda saklanmalıdır. Herhangi bir kişisel veri, saklanma süresi sona erdiğinde derhal imha edilmelidir. Saklama süresi, verilerin işlenmesinin amacına uygun olarak belirlenmeli ve geçerli yasal düzenlemelere uyulmalıdır. Yasal süreler dışında verilerin saklanması yasaktır.
2.    Veri Saklama Ortamları: Kişisel veriler, güvenli ortamlarda saklanmalıdır. Elektronik ortamda veriler, şifreleme ve güvenli erişim kontrol sistemleriyle korunmalıdır. Fiziksel ortamda ise veriler, yalnızca yetkilendirilmiş kişilerin erişebileceği güvenli alanlarda saklanmalıdır.
3.    Yedekleme ve Veritabanı Güvenliği: Kişisel veriler, olası veri kayıplarına karşı düzenli olarak yedeklenmelidir. Yedekleme işlemleri, güvenli ortamlarda yapılmalı ve yedekleme dosyaları da aynı güvenlik önlemleriyle korunmalıdır. Veritabanı güvenliği, yalnızca yetkili kişiler tarafından erişilebilecek şekilde yapılandırılmalıdır.

5. Kişisel Verilerin İmhası
1.    Veri İmha Yöntemleri: Kişisel verilerin imhası, verilerin fiziksel veya dijital ortamlarda kalıcı olarak yok edilmesi ile gerçekleştirilir. Fiziksel veriler, güvenli imha yöntemleri ile (örneğin, kağıtların kırpılması, manyetik ortamların fiziksel imhası) yok edilirken, dijital veriler şifreleme ile erişilemez hale getirilir ve veritabanlarından silinir.
2.    İmha Süreci: Kişisel veriler, işleme amacının sona erdiği, saklama süresinin dolduğu veya veri sahibinin talebi üzerine derhal imha edilmelidir. Verilerin imhası, iç denetim süreçlerine uygun bir şekilde yapılmalı ve her imha işlemi bir kayıt altına alınarak belgelendirilmelidir.
3.    İmha Süreçlerinin Denetimi: Kişisel verilerin imhası, düzenli aralıklarla denetlenmeli ve kontrol edilmelidir. İmha süreçlerinin etkinliği, iç denetimler ve dış denetimler aracılığıyla izlenmeli ve uygunluk sağlanmalıdır. İmha işlemleri sonrasında, verilerin geri alınamayacağına dair raporlar hazırlanmalıdır.
4.    Veri İmhası Sonrası Bilgilendirme: İmha işlemi tamamlandıktan sonra, ilgili taraflar (veri sahipleri, denetçiler vb.) bilgilendirilmelidir. İmha işleminin tamamlanmış olduğuna dair yazılı raporlar ve belgeler, gerekli taraflarla paylaşılmalıdır.

6. Kişisel Verilerin Korunmasına Yönelik Güvenlik Önlemleri
1.    Veri Güvenliği ve Erişim Kontrolü: Kişisel verilere yalnızca yetkilendirilmiş kişiler erişebilmelidir. Verilere erişim, kullanıcı rolüne ve iş gereksinimlerine dayalı olarak kontrol edilmelidir. Erişim yetkileri düzenli olarak gözden geçirilmeli ve kullanıcıların sadece gerekli olan verilere erişmesi sağlanmalıdır.
2.    Şifreleme ve Veri Koruma: Elektronik ortamda saklanan kişisel veriler, şifreleme teknolojileri ile korunmalıdır. Veri iletiminde de şifreleme teknikleri kullanılmalı, veriler ağ üzerinden güvenli bir şekilde iletilmelidir. Bu şifreleme işlemleri, verilerin yalnızca yetkilendirilmiş kişiler tarafından okunabilir olmasını sağlar.
3.    Sistem Güvenliği: Kişisel verilerin bulunduğu sistemler, güvenlik duvarları, antivirüs yazılımları, güvenlik yamanları ve diğer siber güvenlik araçları ile korunmalıdır. Ayrıca, sistemler düzenli olarak güncellenmeli ve güvenlik açıkları kapatılmalıdır.

7. Denetim ve Uyumluluk
1.    Düzenli Denetimler: Kişisel verilerin korunmasına yönelik politikaların etkinliği, düzenli aralıklarla denetlenecektir. İç denetimler ve dış denetimler, veri güvenliği süreçlerinin uyumlu bir şekilde yürütülüp yürütülmediğini ve güvenlik önlemlerinin etkinliğini denetleyecektir.
2.    Yasal Uyumluluk: Kişisel verilerin işlenmesi, saklanması ve imhası süreçlerinde, ilgili yerel ve uluslararası yasal düzenlemelere ve standartlara uyulması zorunludur. Firma, kişisel verilerin korunması yasaları, veri koruma düzenlemeleri ve ilgili yasal çerçeveler doğrultusunda tüm süreçlerini şekillendirecektir.

8. Politika İhlalleri ve Yaptırımlar
1.    Politika İhlali: Kişisel verilerin korunmasına yönelik politikaların ihlali, ciddi güvenlik riskleri oluşturabilir. Herhangi bir ihlal durumunda, ilgili kişi veya kişiler hakkında disiplin işlemleri başlatılacak ve gerekli düzeltici önlemler alınacaktır.
2.    İhlal Bildirimi: Kişisel verilerin güvenliği ihlal edildiğinde, derhal ilgili veri sahiplerine bildirim yapılacak ve ihlalin etkilerini sınırlamak için gerekli önlemler alınacaktır. Ayrıca, ihlal durumu, yetkili denetim makamlarına bildirilmelidir.