Kişisel veri saklama ve imha politikamızın amacı, veri sorumlusu olarak, kişisel verilerin işlenme amacı için gerekli olan azami süreyi belirleme, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinde, veri sorumlusu olarak izleyeceğimiz, yol haritalarını açıklamak ve amaçları ortaya koymaktır.

Bu kapsamda amacımız, kişisel verilerini işlediğimiz, müşterilerin, çalışanların, çalışan adayların, gerçek kişi danışmanların, ziyaretçilerin, tedarikçilerin, gerçek kişi iş ortaklarının, gerçek kişi alt yüklenicilerin, hukuki ilişki halinde olduğumuz tüm gerçek, tüzel kişilere ve diğer üçüncü kişilere ait tüm kişisel verilerin, T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlanmaktır.

2. POLİTİKANIN DAYANAĞI

Politikamız, 07.04.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete de yayınlanarak yürürlüğe giren Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmeliğin 5.ve 6.maddelerinin bir gereği olarak oluşturulmuştur.

3. POLİTİKANIN KAPSAMI

Politikamız; kişisel verilerini işlediğimiz, müşterilerimizi, çalışanlarımızı, çalışan adaylarımızı, gerçek kişi danışmanlarımızı, ziyaretçilerimizi, tedarikçilerimizi, gerçek kişi iş ortaklarımızı, gerçek kişi alt yüklenicilerimizi, iştirak ve işbirliği içinde bulunduğumuz kurumları, hukuki ilişki halinde olan tüm gerçek ve tüzel kişileri, diğer üçüncü kişilere ait 6698 sayılı KVKK ile tanımlanan özel nitelikte olan ve olmayan tüm kişisel verilerini kapsamaktadır.

4. KISALMA VE TANIMLAR

	Açık Rıza		Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve
			özgür iradeyle açıklanan rıza.

	Anonim Hale		Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
	Getirme		Surette	kimliği belirli veya belirlenebilir bir gerçek
			kişiyle	ilişkilendirilemeyecek hale getirilmesi.

	Çalışan		MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. ‘nin çalışanı.

	Elektronik Ortam		Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,
			okunabildiği, değiştirilebildiği ve saklanabildiği
			ortamlar.

	Elektronik Olmayan		Elektronik ortamların dışında kalan tüm yazılı, basılı,
	Ortam		görsel vb. diğer ortamlar.

	Hizmet Sağlayıcı		MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş.’ne belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.


	İlgili Kişi		Kişisel verisi işlenen gerçek kişi.

	İlgili Kullanıcı		Verilerin teknik olarak depolanması, korunması ve
			yedeklenmesinden sorumlu olan kişi ya da birim hariç
			olmak üzere veri sorumlusu organizasyonu içerisinde
			veya veri sorumlusundan aldığı yetki ve talimat
			doğrultusunda kişisel verileri işleyen kişiler.

	İmha		Kişisel verilerin silinmesi, yok edilmesi veya anonim
			hale getirilmesini.

	Kanun		6698 Sayılı Kişisel Verilerin Korunması Kanunu.

	Kayıt Ortamı		Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.




	Kişisel Veri		Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
			her türlü bilgi.

	Kişisel Veri İşleme		MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. iş ve ticari süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
	Envanteri









Kişisel Verilerin		Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, Kaydedilmesi depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.
İşlenmesi







Özel Nitelikli Kişisel		Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
Veri		inancı, dini, mezhebi veya diğer inançları, kılık ve
		kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
		cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle
		ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha		Kanunda yer alan kişisel verilerin işlenme şartlarının
		tamamının ortadan kalkması durumunda kişisel verileri
		saklama ve imha politikasında belirtilen ve tekrar eden
		aralıklarla re’sen gerçekleştirilecek silme, yok etme veya
		anonim hale getirme işlemi.

Politika		Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen		Veri sorumlusunun verdiği yetkiye dayanarak veri
		sorumlusu adına kişisel verileri işleyen gerçek veya tüzel
		kişi.

Veri Kayıt Sistemi		Kişisel verilerin belirli kriterlere göre yapılandırılarak
		işlendiği kayıt Sistemi.

Veri Sorumlusu		Kişisel verilerin işleme amaçlarını ve vasıtalarını
		belirleyen, veri kayıt sisteminin kurulmasından ve
		yönetilmesinden sorumlu gerçek veya tüzel kişiyi (MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş.’ni)

Veri Sorumluları		Veri sorumlularının, Veri Sorumluları Sicili ’ne
Sicil Bilgi Sistemi		Başvuruda ve Veri Sorumluları Sicili ‘ne ilişkin ilgili
		Diğer işlemlerde kullanacakları, internet üzerinden
		erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı
		tarafından oluşturulan ve yönetilen bilişim sistemi.

Verbis		Veri Sorumluları Sicili Bilgi Sistemi

Yönetmelik		28 Ekim 2017 tarihli Resmi Gazete ’de yayımlanan
		Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
		Hale Getirilmesi Hakkında Yönetmelik.

5. SORUMLULUK VE GÖREV DAĞILIMLARI

MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. ve iştiraki bulunduğu Bera Holding A.Ş çalışanları bu Politika ’da belirlenen kurallara uymak ve kişisel verilerin işlenmesinden sorumlu birimlere gerekli desteği vermekle yükümlüdürler. Kişisel verileri işleyen şirket çalışanları, verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere, kişisel veri işleme şartlarına ve özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedirler.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

UNVAN	BİRİM	SORUMLULUK

Hukuk İşleri Müşaviri	Bera Holding Hukuk İşleri Müşavirliği	Kişisel verilerin işlenme
		amaçlarının ve yöntemlerinin
		Kanun ve ilgili mevzuatta
		belirlenen ilke ve kurallarla
		uyumlu olup olmadığının ve
		istisnalar kapsamında bulunup
		bulunmadığının analizi,
		aydınlatma ve açık rıza
		metinlerinin hazırlanması,
		kişisel verilerin korunması
		politika ve prosedürünün
		yazılması, üçüncü kişiler ile
		akdedilen sözleşmelerin
		Kanun’a ve ilgili mevzuata
		uyumlu hale getirilmesi.
İnsan Kaynakları Uzmanı	İnsan Kaynakları Departmanı	Kişi bazında işlenen bilgilerin
		özel nitelikli olup olmadığının
		analizi, kişisel veri
		envanterinin çıkarılması,
		işlenen verilerin ne kadar süre
		ile tutulacağının tespiti, veri
		sorumluları siciline yapılacak
		başvurunun hazırlanması,
		kanuna uyumlu işlemeyi
		temin amacıyla gerekli
		denetim mekanizmalarının
		kurulması.
Bilgi İşlem Uzmanı	Fabrika Müdürlüğü	Saklanan verilerin güvenliği
		için gerekli teknolojik
		önlemlerin alınması, kişisel
		veri saklama ve imha
		politikasının yazılması, kişisel
		verilerin koruma politika ve
		prosedürünün yazılması.

6. KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

Kişisel veriler, Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (File Server- yedekleme, Logo	^* Kağıt
Tiger Plus – Bordro Yönetimi vb.)	^* Manuel veri kayıt sistemleri (anket formları,
^* Yazılımlar (ofis yazılımları)	ziyaretçi giriş defteri vb.)
^* Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)	^* Yazılı, basılı, görsel ortamlar


^* Mobil cihazlar
^* Optik Diskler (CD, DVD vb.)
^* Kişisel bilgisayarlar (Masaüstü, dizüstü)
^* Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
^* Dahili ve Harici Disk Üniteleri ^* Yedekleme Üniteleri
^* Yazıcı, tarayıcı, fotokopi makinesi

7. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. tarafından kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler çerçevesinde hareket edilmektedir.

7.1. Saklamaya İlişkin Açıklamalar

Kanunun 4. maddesinde kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde de kişisel verilerin işleme şartları sayılmıştır.

Buna göre, faaliyetlerimiz çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

7.2. Saklamayı Gerektiren Hukuki Sebepler

MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş.’nin işlemekte olduğu kişisel veriler, işlenme amacına ve faaliyet alanına ilişkin mevzuatta öngörülen süreler kadar muhafaza edilmektedir. Bu doğrultuda kişisel veriler aşağıda sayılan mevzuat ile sayılanlarla sınırlı olmamak üzere yayımlanan veya yayımlanacak olan diğer mevzuat hükümleri kapsamında muhafaza edilecektir.

6698 sayılı Kişisel Verilerin Korunması Kanunu,

6098 sayılı Türk Borçlar Kanunu,

6102 sayılı Türk Ticaret Kanunu,

4857 sayılı İş Kanunu,

5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

213 sayılı Vergi Usul Kanunu,

9931 sayılı Sivil Savunma Kanunu,

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

Bu kanunlarla sınırlı olmamak üzere yayımlanan diğer mevzuat hükümleri kapsamında öngörülen saklama süreleri boyunca saklanmaktadır.

7.3. Saklamayı Gerektiren İşleme Amaçları

Kişisel veriler, MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. tarafından özellikle iş sözleşmelerinin ve ticari faaliyetlerin sürdürülmesi, hukuki yükümlülüklerin yerine getirilmesi, personel süreçlerinin planlanması ve yönetilmesi, dava ve icra takipleri başta olmak üzere hukuki ihtilafların yönetilmesi amacıyla fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Kişisel veriler aşağıdaki amaçlarla işlenmektedir:

· Personel temin ve kariyer süreçlerinin izlenmesi,

· İş sözleşmesindeki edimlerin yerine getirilmesi, işin yönetilmesi, raporlanması, analizi,

· Bireylerin ve kamu sağlığının korunması,

· Personel ücret ödemelerinin ve Kurumlara ödenmesi gerekli yasal kesintilerin bildirimlerinin gerçekleştirilmesi,

· Çalışanların mesleki ve kişisel gelişimlerinin sağlanması için gerekli olan eğitimlerin verilmesi, çalışanlara ait özlük dosyalarının oluşturulması,

· Finans ve Muhasebe işlemlerinin yürütülmesi,

· Şirket adına muhtelif işlerin yürütülmesi amacıyla üst yönetim tarafından vekil tayin edilen çalışanlara vekâletname hazırlanması ve noterliklere onaylatılması,

· Bireysel emeklilik kesintilerinin yasal oranlarda gerçekleştirilerek çalışan adına anlaşmalı bankalara bildirilmesi,

· Kolluk Kuvvetleri, Mahkemeler, İcra Müdürlükleri, SGK, İŞKUR, Elçilikler gibi resmi makamların yazılı taleplerine cevap verilmesi,

· Kurumsal iletişimin sağlanması,

· MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. ve iştiraki bulunduğu şirketlerle ile iş ilişkisi içerisinde bulunan gerçek veya tüzel kişilerle irtibat sağlanması,

· MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. ve iştiraki bulunduğu şirketlerin güvenliğinin sağlanması,

· İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemlerin ifa edilebilmesi,

· VERBİS kapsamında, çalışanların, veri sorumlularının, irtibat kişilerinin, veri sorumlusu temsilcilerinin ve veri işleyenlerin tercih ve ihtiyaçlarının tespit edilmesi, verilen hizmetlerin buna göre düzenlenmesi ve gerekmesi halinde güncellenmesi,

· Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesinin sağlanması,

· İleride doğabilecek hukuki uyuşmazlıklarda ispat yükümlülüğünün yerine getirilebilmesi amacıyla delil olarak kullanılması.

Kişisel Veriler Ayrıca;

· Acil Durum Yönetimi Süreçlerinin Yürütülmesi

· Bilgi Güvenliği Süreçlerinin Yürütülmesi

· Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

· Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

· Denetim / Etik Faaliyetlerinin Yürütülmesi

· Eğitim Faaliyetlerinin Yürütülmesi

· Erişim Yetkilerinin Yürütülmesi

· Faaliyetlerin Mevzuata Uygun Yürütülmesi

· Finans Ve Muhasebe İşlerinin Yürütülmesi

· Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

· Fiziksel Mekân Güvenliğinin Temini

· Görevlendirme Süreçlerinin Yürütülmesi

· Hukuk İşlerinin Takibi Ve Yürütülmesi

· İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

· İletişim Faaliyetlerinin Yürütülmesi

· İnsan Kaynakları Süreçlerinin Planlanması

· İş Faaliyetlerinin Yürütülmesi / Denetimi

· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

· Lojistik Faaliyetlerinin Yürütülmesi

· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

· Mal / Hizmet Satış Süreçlerinin Yürütülmesi

· Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

· Organizasyon Ve Etkinlik Yönetimi

· Pazarlama Analiz Çalışmalarının Yürütülmesi

· Performans Değerlendirme Süreçlerinin Yürütülmesi

· Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

· Risk Yönetimi Süreçlerinin Yürütülmesi

· Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

· Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi

· Sözleşme Süreçlerinin Yürütülmesi

· Sponsorluk Faaliyetlerinin Yürütülmesi

· Stratejik Planlama Faaliyetlerinin Yürütülmesi

· Talep / Şikâyetlerin Takibi

· Taşınır Mal Ve Kaynakların Güvenliğinin Temini

· Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

· Ücret Politikasının Yürütülmesi

· Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

· Yabancı Personel Çalışma Ve Oturma İzni İşlemleri

· Yatırım Süreçlerinin Yürütülmesi

· Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

· Yönetim Faaliyetlerinin Yürütülmesi

· Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

Amacıyla Birimlerimizde işlenmektedir.

7.4. İmhayı Gerektiren Sebepler

Kişisel veriler;

· Kişisel verilerin işlenmesine, saklanmasına ve imhasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,

· Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

· Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

· İlgili kişinin, kanuni hakları çerçevesinde kişisel verilerinin silinmesi veya yok edilmesi talebinin veri sorumlusu tarafından incelenerek uygun görülmesi,

· Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı gerektirecek herhangi bir nedenin olmaması durumlarında, MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

8. TEKNİK VE İDARİ TEDBİRLER

Kişisel verileri güvenli bir şekilde saklamak ve hukuka aykırı işlenmesini ve erişilmesini önlemek için MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. olarak aldığımız teknik ve idari tedbirler sayılanlarla sınırlı olmamak üzere aşağıda yer almaktadır.

8.1. Teknik Tedbirler

· Sistemlerimizin çalışmasını etkileyecek risk ve tehditler düzenli olarak izlenmekte ve sistemlerimizin güvenliği, Bilgi Sistemlerinin Güvenliği Prosedürüne uygun olarak sağlanmaktadır.

· Veri kayıt ortamları, siber saldırılara karşı anti virüs uygulamalar ve güvenlik duvarları (firewall) ile korunmaktadır. Bu kapsamda tüm yazılımlar lisanslı olarak kullanılmaktadır. Şirketimizde lisanssız yazılım kullanımı yasaktır.

· Bilgi sistemlerimiz düzenli olarak güncellenmektedir.

· Kişisel verilere erişim çift katmanlı parolalar ile sağlanmaktadır.

· Elektronik ortamdaki kişisel veriler düzenli olarak yedeklenmektedir.

· Elektronik olan veya olmayan ortamlarda saklanan verilere erişim yetkili personel ile sınırlandırılmıştır.

· Silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmıştır / alınmaktadır.

· Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği için gerekli eğitimler verilmiş, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

· Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

· Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

· Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

· Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

· Çalışanlar için yetki matrisi oluşturulmuştur.

· Erişim logları düzenli olarak tutulmaktadır.

· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

· Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

· Gizlilik taahhütnameleri yapılmaktadır.

· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

· Güncel anti-virüs sistemleri kullanılmaktadır.

· Güvenlik duvarları kullanılmaktadır.

· İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

· Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

· Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

· Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

· Kişisel veri güvenliğinin takibi yapılmaktadır.

· Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

· Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

· Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

· Kişisel veriler mümkün olduğunca azaltılmaktadır.

· Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

· Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

· Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

· Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

· Mevcut risk ve tehditler belirlenmiştir.

· Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

· Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

· Saldırı tespit ve önleme sistemleri kullanılmaktadır.

· Sızma testi uygulanmaktadır.

· Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

· Şifreleme yapılmaktadır.

· Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

· Veri kaybı önleme yazılımları kullanılmaktadır.

8.2. İdari Tedbirler

· KVKK hakkında şirket çalışanlarına kanun ve diğer mevzuatlar hakkında gerekli eğitimler verilmektedir.

· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

· Kişisel veriler mümkün olduğunca azaltılmaktadır.

· Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

· Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

· Şirket içi periyodik ve rasgele denetimler yapılmaktadır.

· İş başvurusu kabul edilen personele, işe giriş işlemleri yapılırken kişisel veriler ile ilgili gereken aydınlatma yapılarak aydınlatma yükümlülüğü yerine getirilmekte ve rıza göstermeleri halinde açık rızaları alınmaktadır.

· Kişisel veriler işlenmeye başlanmadan önce kişisel verileri işlenecek olan kişiler, aydınlatılarak aydınlatma yükümlülüğü yerine getirilmekte, rızaları bulunmaları halinde açık rızaları alınmaktadır.

· Özel nitelikli kişisel veriler işlenmeden önce kişilerden açık rızaları alınmaktadır.

· Kişisel veri işleme envanteri hazırlanmıştır.

· Kişisel verilerin işlenmesi kapsamında bilgili ve deneyimli personeller istihdam edilmektedir.

· İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edildiğinin tespiti halinde durum derhal ilgilisine ve Kurul’a bildirilir.

· Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

· Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

· Veri sağlayan hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

9. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. tarafından re ’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

9.1. Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda açıklanan yöntemlerle silinir.

· Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erdikten sonra sistem yöneticisi tarafından ilgili kullanıcının erişim yetkisi kaldırılarak silme işlemi yapılır.

· Elektronik Ortamlarda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerin saklanmasını gerektiren süre sona erdikten sonra veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

· Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erdikten sonra evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiç bir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır

· Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erdikten sonra sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

9.2. Kişisel Verilerin Yok Edilmesi

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir

9.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş kabul edilebilmesi için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

10. SAKLAMA VE İMHA SÜRELERİ

Şirketimiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel veriler yasalarda öngörülen süreler ile zamanaşımı boyunca saklanmakta olup, saklama süreleri genel olarak, kişisel verilerin, veri bazında saklama ve imha süreleri “Kişisel Verileri İşleme Envanteri” nde, veri kategorileri bazında VERBİS’e kayıtta, Süreç bazında ise aşağıdaki tabloda belirtildiği şeklide yer alacaktır.

Tablo 3- Süreç bazında saklama ve imha süreleri tablosu

SÜREÇ		SAKLAMA SÜRESİ		İMHA SÜRESİ

Dernek Üyeliği Verisi		İş ilişkisinin sona ermesini takiben		Saklama süresinin bitimini takip eden
		1 Yıl		ilk periyodik imha süresinde
İş Sağlığı Güvenliği		İş ilişkisinin sona ermesini takiben		Saklama süresinin bitimini takip eden
Süreçlerinin		10 Yıl		ilk periyodik imha süresinde
Yürütülmesi
Sözleşmelerin		Sözleşmenin sona ermesini takiben		Saklama süresinin bitimini takip eden
Hazırlanması		10 Yıl		ilk periyodik imha süresinde

Şirket		Faaliyetin sona ermesini		Saklama süresinin bitimini takip eden
Faaliyetlerinin İcrası		takiben 10 Yıl		ilk periyodik imha süresinde


İnsan Kaynakları		Faaliyetin	sona ermesini	Saklama süresinin bitimini takip eden
Süreçlerinin		takiben 10 Yıl		ilk periyodik imha süresinde
Yürütülmesi

Log Takipleri		5 Yıl		Saklama süresinin bitimini takip eden
				ilk periyodik imha süresinde

Donanım ve Yazılıma		1 Yıl		Saklama süresinin bitimini takip eden
Erişim Süreçlerinin				ilk periyodik imha süresinde
Yürütülmesi

Ziyaretçi	ve	Etkinliğin	sona ermesini	Saklama süresinin bitimini takip eden
Toplantı		takiben 2 Yıl		İlk periyodik imha süresinde
Katılımcıların Kaydı
Kamera Kayıtları		Kayıt altına alınmasını		Saklama süresinin bitimini takip eden
		takiben 5 Yıl		ilk periyodik imha süresinde

Müşteri Verileri		Kayıt altına alınmasını		Saklama süresinin bitimini takip eden
		takiben 10 Yıl		ilk periyodik imha süresinde

Muhasebe ve Finans		Kayıt altına alınmasını		Saklama süresinin bitimini takip eden
Süreçlerinin		takiben 10 Yıl		ilk periyodik imha süresinde
Yürütülmesi

11. PERİYODİK İMHA SÜRESİ

MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık ayında düzenli olarak periyodik imha işlemi gerçekleştirilmektedir.

12. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda hazırlanır. Internet adresimizden (mpg@mpg.com.tr) yayınlanır. Basılı kâğıt nüshası da İnsan Kaynakları Müdürlüğünde saklanır.

13. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

14. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, MPG MAKİNE PRODÜKSİYON GRUBU MAKİNE İMALAT SAN. VE TİC. A.Ş. internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları İnsan Kaynakları Müdürlüğü tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Müdürlüğü tarafından saklanır.