1. GİRİŞ

Türkiye Cumhuriyeti Anayasa’sının 20’nci maddesine göre; herkes özel hayatına ve aile hayatına saygı gösterilmesini ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

İşbu Kişisel Veri Saklama ve İmha Politikası ("İmha Politikası"), Panora İşletmecilik ve Ticaret Anonim Şirketi ("Şirket") tarafından KVK Kanunu’nun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca hazırlanmıştır.

İmha Politikasının amacı, işlenmesini gerektiren sebeplerin ortadan kalkması halinde,

• Kişisel verilerin muhafazası ve silinmesi amacıyla Kanun ve Yönetmelik'e uygun sürelerin belirlenmesi,
• Şirket dâhilinde müşteriler, ziyaretçiler, çalışanlar, tedarikçiler, tedarikçi çalışanları, taşeronlar, taşeron çalışanları, kiracı yetkilileri, kiracı çalışanları, kiracıların işbirliği içinde olduğu taşeronların çalışanları, hissedar/ortaklar, habere konu kişiler, kefiller, internet sitesi ve kioskları kullananlar, kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel verilerin, hangi süre ve koşullarda saklanacağına ilişkin bilginin sağlanması ,
• Şirket tarafından tutulan kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemlerinin dayanağını açıklaması,
• Tutulması gerekli kişisel verilerin Kanun ve Yönetmelik'e uygun olarak saklanmasının sağlanması,
• Tutulan kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin sağlanmasıdır.

2. TANIMLAR

İşbu İmha Politikası’nda kullanılan terimler aşağıda yer alan anlamlara gelmektedir:

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hâle getirilmesi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İmha Politikası	Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Karartma	Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması işlemleri.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi açıklanması, aktarılması, devralınması, elde edilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KVK Kurulu	Kişisel Verileri Koruma Kurulu.
KVK Kurumu	Kişisel Verilerin Koruma Kurumu.
KVK Kanunu	07 Nisan 2016 Tarihli ve 29677 Sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Maskeleme	Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri.
Periyodik İmha	KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Verbis	Veri Sorumluları Sicil Bilgi Sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve/veya tüzel kişi.

3. SORUMLULUK VE GÖRE DAĞILIMLARI

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.

UNVAN	SORUMLU KİŞİ	GÖREV TANIMI
Pazarlama Departmanı Sorumlusu	Volkan BERBEROĞLU	Komite Başkanı-Yönetim ve İletişimden Sorumlu
Muhasebe Müdürü	Furkan GÜRAN	KVKK Risk Yönetimi, Politika ve Prosedürlerden Sorumlu
İşletme Müdürü Yardımcısı	Melih DAYIOĞLU	İş Süreçlerinin Planlanmasından ve Raporlanmasından Sorumlu
Muhasebe Müdürü	Furkan GÜRAN	KVK Kanunu’na Uyum ve Denetimden Sorumlu
İşletme Müdürü Yardımcısı	Volkan TAŞDANER	Bilgi Teknolojileri ve Veri Güvenliğinden Sorumlu

4. KAYIT ORTAMLARI

Şirket, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.),	Kağıt
Yazılımlar (ofis yazılımları, portal, VERBİS vb.),	Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)	Yazılı-basılı görsel ortam
Kişisel bilgisayarlar (masaüstü, dizüstü)	Birim dolapları
Mobil cihazlar (telefon, tablet vb.)	Klasörler
Optik diskler (CD, DVD, hard disk vb.)	Arşiv
Çıkartılabilir bellekler (USB, hafıza kartı vb.)
Yazıcı
Tarayıcı
Fotokopi makinesi

5. KİŞİSEL VERİLERİN SAKLANMASI

Şirket tarafından işlenen kişisel veriler ilgili kanunlarda ve mevzuatta öngörülen süre boyunca saklanmaktadır. Bu kapsamda; Şirket tarafından, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte ve bir süre belirlenmişse bu süreye uygun davranılmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişinin başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

6. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER

Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatlarda öngörülen sebepler dâhilinde muhafaza etmektedir.

• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 Sayılı Türk Borçlar Kanunu,
• 4734 Sayılı Kamu İhale Kanunu,
• 657 Sayılı Devlet Memurları Kanunu,
• 5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu,
• 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 5018 Sayılı Kamu Mali Yönetimi Kanunu,
• 6331 Sayılı İş Sağlığı Ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 Sayılı İş Kanunu,
• 2547 Sayılı Yükseköğretim Kanunu,
• 5434 Sayılı Emekli Sağlığı Kanunu,
• 2828 Sayılı Sosyal Hizmetler Kanunu,
• 6585 Sayılı Perakende Ticaretin Düzenlenmesi Hakkında Kanun,
• 26.02.2016 Tarihinde Gümrük Ve Ticaret Bakanlığı Tarafından Çıkartılan 29636 Sayılı Alıveriş Merkezleri Hakkında Yönetmelik,
• İşyeri Bina Ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik,

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır.

7. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN AMAÇLAR

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır.

• İnsan kaynakları süreçlerini yürütmek,
• Kurumsal iletişimi sağlamak,
• Şirket güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek,
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
• Kurum ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
• Yasal raporlamalar yapmak,
• İleride doğabilecek hukuki uyuşmazlıklarda ispat yükümlülüğü açısından delil toplamak.

8. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINMIŞ TEDBİRLER

Şirket, KVK Kanunu’nun 12’nci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli idari ve teknik tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

8.1. İdari Tedbirler

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar ile Şirket arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiğine, kişisel verilerin ifşa edilmemesi gerektiğine, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiğine ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiğine ilişkin kayıtlar eklenmektedir.
• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda Şirket tarafından bilgilendirilmekte ve bu doğrultuda çalışanlardan gerekli taahhütlenameler alınmaktadır.
• Çalışanlar tarafından gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin edilmektedir. Kişisel veri işleme faaliyetleri neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulmaktadır. Bu kapsamda; kişisel verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırılmakta veya sınırlandırılmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve KVK Kurul’una bildirilmektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde iş birimi bazında kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• Şirket tarafından kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilmektedir.
• Şirket tarafından, iş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Şirket tarafından çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilmektedir.
• Şirket tüzel kişiliği nezdinde KVK Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve/veya yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmektedir.
• Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığını sağlanmaktadır.
• Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Şirket’in, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12’inci maddesi uyarınca sorumluluğu bulunmaktadır. Bu nedenle; Şirket tarafından üçüncü kişilere veri aktarılırken, Şirket ile üçüncü kişiler arasında imzalanacak sözleşmelerde ve her türlü düzenlemede bu şartların sağlanmasını ve Şirket’e denetim yapma yetkisi verilmesini içeren taahhütler üçüncü kişilerden alınmaktadır.

8.2. Teknik Tedbirler

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kişisel verilerin güvenliğini sağlamak için gereken tüm makul önlemler alınmaktadır. Alınan önlemler, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmek ve yenilenmektedir.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Veri korunması ile ilgili şifreleme yapılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

8.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

KVK Kanunu kapsamında, Şirket veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11’inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirilebilir.” şeklinde düzenleme yapılmıştır.

Şirket tarafından, KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu asıl yetkili, Pazarlama Müdürü olmak üzere; tüm departmanların üst düzey yöneticileri yetkili kılınmıştır. Her bir üst düzey yönetici, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika’ya uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departmanların üst düzey yöneticileri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri, Pazarlama Müdürü’ne raporlayacaktır. Pazarlama Müdürü, tüm departmanların üst düzey yöneticilerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetim Kurulu’na sunacaktır. Karar alınmasını gerektiren durumlarda Pazarlama Müdürünün de görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.

9. KİŞİSEL VERİLERİN İMHASI

Şirket,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
• Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değişmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amaçların ortadan kalkması,
• Kişisel verilerin işlenmenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin, açık rızasını geri alması halinde kişisel verileri re’sen siler, yok eder veya anonim hale getirir.

Bununla birlikte;

• İlgili kişinin, KVK Kanun’unun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması ve işbu başvurunun Şirket tarafından kabul edilmesi,
• İlgili kişinin KVK Kanun’unun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak işbu başvurusunun Şirket tarafından reddedilmesi üzerine ilgili kişinin KVK Kurul’una şikâyette bulunması ve işbu talebinin KVK Kurul tarafından uygun bulunması,
• İlgili kişinin KVK Kanun’unun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak işbu başvurusunun Şirket tarafından KVK Kanun’undan öngörülen süre içerisinde cevaplanmaması üzerine ilgili kişinin KVK Kurul’una şikâyette bulunması ve işbu talebinin KVK Kurul tarafından uygun bulunması,
• İlgili kişinin KVK Kanun’unun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak ilgili kişinin Şirket tarafından kendisine verilen cevabı yetersiz bulması üzerine ilgili kişinin KVK Kurul’una şikâyette bulunması ve işbu talebinin KVK Kurul tarafından uygun bulunması hallerinde Şirket kişisel verileri ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.

10. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

10.1. Kişisel Verilerin Silinmesi

Kişisel veriler, Şirket tarafından aşağıdaki teknikler ile silinir.

KİŞİSEL VERİ KAYIT ORTAMI	AÇIKLAMA
Merkezi Sunucularda Yer Alan Kişisel Veriler	Merkezi sunucuda yer alan kişisel veriler, işletim sistemindeki silme komutu ile silinmekte veya dosyanın bulunduğu dizin üzerinden ilgili kullanıcının erişim hakları kaldırılmaktadır. Bahse konu işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel veriler, bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmektedir. Bahse konu işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
Bulut Ortamında Yer Alan Kişisel Veriler	Bulut sisteminde yer alan kişisel veriler, silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmadığına dikkat edilmektedir.
Kağıt Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında yer alan kişisel veriler bu ortamlara uygun yazılımlar kullanılarak silinmektedir.

10.2. Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Şirket tarafından aşağıdaki teknikler ile yok edilir.

KİŞİSEL VERİ KAYIT ORTAMI	AÇIKLAMA
Kağıt Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmalarını gerektiren süresi sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilmektedir.
Optik/Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmalarını gerektiren süresi sona erenler eritme, yakılması, yüksek değerde manyetik alana maruz bırakılma veya toz haline getirilme gibi yöntemler ile fiziksel olarak yok edilmektedir.

10.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka veriler ile eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

11. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterlerinde;
• Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
• Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikası’nda yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde ilgili kişiler tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemleri yerine getirilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak yasal bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler aşağıdaki tabloda belirtilen azami süre boyunca saklanır.

KİŞİSEL VERİ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Kimlik Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
İletişim Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Özlük Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Hukuki İşlem Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Müşteri İşlem	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Fiziksel Mekân Güvenliği Verisi-1 (kamera kaydı v.s.)	30 Gün (Şüphe ve İhbar Hallerinde 1 Yıl)	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Fiziksel Mekân Güvenliği Verisi-2 (Plaka kayıtları v.b.)	30 Gün (Şüphe ve İhbar Hallerinde 1 Yıl)	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Risk Yönetimi Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Finans Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Görsel ve İşitsel Kayıt Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Sağlık Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 15 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Verisi	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
İşe Alınmayan Çalışan Adaylarının Kişisel Verileri	6 Ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Talep ve Şikâyet Yönetim Bilgileri	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Kiracı Çalışanları ile Kiracı Taşeronlarının Çalışanlarının Bilgileri	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

12. KİŞSEL VERİ SAHİBİNİN BAŞVURU HAKKI

Kişisel veri sahiplerinin KVK Kanunu’ndan doğan haklarına ilişkin başvurularının, KVK Kanunu’nun 13. maddesine uygun bir biçimde yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği diğer yöntemler ile tarafımıza iletilmesi gerekmektedir:

	BAŞVURU YÖNTEMİ	BAŞVURU YAPILACAK ADRES	BAŞVURUDA GÖSTERİLECEK BİLGİ
Yazılı Olarak Başvuru	Islak imzalı şahsen başvuru veya Noter vasıtasıyla	Oran Mahallesi, Kudüs Caddesi, No:3/317, Çankaya/Ankara	Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) Yolu ile Başvuru	Kayıtlı Elektronik Posta (KEP) adresi ile info	panora@hs02.kep.tr	E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.
Sistemimizde Bulunan Elektronik Posta Adresi ile Başvuru	Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiyle	info@panora.com.tr	E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.

• Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır ve sonuç yazılı olarak ya da elektronik ortamda tarafınıza bildirilecektir. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, tarafınızdan Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilerek alınacaktır.
• Şirket tarafından, yapılan başvuru ve talep haklı görülmesi halinde gereği gecikmeksizin yerine getirilecektir. Yapılan başvuru ve talebin reddi halinde ise, red gerekçesi ilgili kişiye başvuru ve talep dilekçesinde belirtildiği şekilde yazılı olarak veya elektronik ortamda bildirilecektir.
• Şirket tarafından başvuru ve talebin red edilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde, ilgili kişinin başvuru ve talep cevabını öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içinde KVK Kurulu’na şikâyette bulunma hakkı vardır

13. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11’inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket’te her yıl Haziran ve Aralık aylarında periyodik imha işlemleri gerçekleştirilir.

14. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır.

15. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

16. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ve www.panora.com.tr sitemizde ilan edilecektir.