ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ KORUMA POLİTİKASI

Transkript

1 ULUDAĞ PERAKENDE ELEKTRİK SATIŞ A.Ş. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ KORUMA POLİTİKASI İÇİNDEKİLER 1. KAPSAM VE AMAÇ 2 2. TANIMLAR 2 3. ÖZEL NİTELİKLİ KİŞİSEL VERİLER 3 4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME AMAÇLARI 3 5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI 4 6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI 5 7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNİN ÖNLENMESİ AMACIYLA ŞİRKETİMİZCE ALINAN TEDBİRLER Teknik Tedbirler İdari Tedbirler 7 8. KAYIT ORTAMLARI 8 9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA VE İMHA SEBEPLERİ ÖZEL NİTELİKLİ KİŞİSEL VERİ SAHİBİNİN HAKLARI ÖZEL NİTELİKLİ KİŞİSEL VERİ YÖNETİMİ POLİTİKASI NIN YAYIMLANMASI VE SAKLANMASI POLİTİKANIN GÜNCELLENME PERİYODU POLİTİKASININ YÜRÜTÜLMESİ 9 1

2 1. KAPSAM VE AMAÇ Özel Nitelikli Kişisel Veri Politikası ( Politika ), Uludağ Perakende Elektrik Satış A.Ş. ( Şirket ) tarafından işlenmekte olan özel nitelikli kişisel verilerin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu ( KVKK ) ve ilgili mevzuata uygun olarak işlenmesi, özel nitelikli kişisel verilerin güvenliğinin sağlanması ve işleme şartlarının tamamının ortadan kalkması durumunda silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla işbu politika hazırlanmıştır. Bu kapsamda çalışan adaylarımızın, stajyerlerimizin, eğitmenlerimizin, çalışanlarımızın, müşterilerimizin, tedarikçilerimizin, ziyaretçilerimizin veya herhangi bir nedenle Şirketimiz nezdinde özel nitelikli kişisel verisi bulunan tüm gerçek kişilerin özel nitelikli kişisel verileri, işbu Politika çerçevesinde yönetilmektedir. Şirketimiz hukuki sorumluluğunun bir parçası olarak kişisel verileri koruma, işleme ve imha süreçlerini KVKK ve yürürlükte olan mevzuat çerçevesinde uygulamaktadır ve özel nitelikli kişisel verilerin korunması için Kişisel Verileri Koruma Kurulu nun tarihli 2018/10 sayılı kararına ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik tedbirlerini almaktadır. 2. TANIMLAR İşbu politikada; Açık rıza: Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı, Ağ: Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden dolayı birbirine bağlandığı yapıyı, Alıcı grubu: Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini, Bilgi güvenliği: Bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemeyi, İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, Kanun: tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu nu, Kurul: Kişisel Verileri Koruma Kurulu nu, Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, 2

3 Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, Politika: İşbu Özel Nitelikli Kişisel Veri Politikası nı, Şirket: Uludağ Perakende Elektrik Satış Anonim Şirketi ni, Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. 3. ÖZEL NİTELİKLİ KİŞİSEL VERİLER Özel nitelikli kişisel verilere, KVKK nın 6 ncı maddesinde yer verilmiştir. Buna göre özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır. 4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME AMAÇLARI Öğrenilmesi halinde, ilgili kişi hakkında ayrımcılığa neden olabilecek özel nitelikli kişisel verilerin işlenmesi ve korunması bakımından Şirketimiz tarafından, hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika da belirtilen ilkelere uygun olarak ve Kurul un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir: a. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. b. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık 3

4 rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. 5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI Şirketimiz hukuka uygun olarak elde etmiş olduğu özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, ilgili kişinin özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Şirket, özel nitelikli kişisel verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve/veya aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir. İlgili kişinin açık rızasının bulunması, Kanunlarda özel nitelikli kişisel verinin aktarılacağına ilişkin açık bir düzenlemenin bulunması, İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmıyor olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli olması, Şirket in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu olması, Özel nitelikli kişisel veriler, ilgili kişi tarafından alenileştirilmiş olması, Özel nitelikli kişisel veri aktarımının bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket in meşru menfaatleri için kişisel veri aktarımı zorunlu olması. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Özel Nitelikli Kişisel Veriler; E-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta, Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmakta, 4

5 Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak gizlilik dereceli belgeler formatında gönderilmektedir. Politikanın 7. maddesinde belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu tarafından internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır. 6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI Şirketimiz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, ilgili kişinin özel nitelikli kişisel verilerini yukarıda sayılan hususlara ek olarak aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilecektedir. İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri) kanunlarda öngörülen hallerde, İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, söz konusu durumların mevcut olmaması durumunda ise özel nitelikli kişisel veri, ilgili kişinin açık rızası ile yurt dışına aktarım yapılabilecektir 7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNİN ÖNLENMESİ AMACIYLA ŞİRKETİMİZCE ALINAN TEDBİRLER Özel nitelikli kişisel verilerin hukuka aykırı işlenmesinin önlenmesi ve korunması amacıyla, Şirketimiz tarafından birtakım teknik ve idari tedbirler alınmaktadır. 7.1 Teknik Tedbirler Özel nitelikli kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler ve uygulamalar kullanılmaktadır. İlgili sistem ve uygulamalara yönelik yazılımlar için en güncel güvenlik yamaları kullanılmaktadır. Teknik konularda uzman personel istihdam edilmektedir. Özel nitelikli kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır. 5

6 Özel nitelikli kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir. Log korelasyonu ile log kayıtları içerisinde şüpheli işlemler belirlenerek sistemlerin ilgili personele bildirim sağlaması otomasyonu işletilmektedir. Log kayıtlarının sistem veya uygulama yöneticileri tarafından silinmemesine yönelik önlemler alınmaktadır. Sistemlere uzaktan erişilmesi gereken durumlarda talep bilgi güvenliği departmanı tarafından değerlendirilmekte ve uzaktan erişim yalnızca gerektiği süre kadar verilmektedir. Uzaktan erişim esnasında yetkisiz gerçekleştirilecek işlemlere ilişkin güvenlik kontrolleri uygulanmaktadır. Uzaktan erişimlerde Bilgi Teknolojileri tarafından sağlanan kullanıcı hesapları şifrelerine ek olarak güvenli erişimin sağlanması üzerine Multi Factor Authentication (MFA) ile ikinci bir doğrulama kodu kullanılmaktadır. Güvenli parola politikaları dokümante edilmiş ve tüm sistemler ve uygulamalar üzerinde güvenli parola kullanımına yönelik ortak parola politikaları tanımlanmıştır. Sunucular, bilgi teknolojileri departmanına ait yönetim cihazları ve son kullanıcı bilgisayarları üzerinde güncel anti virüs çözümleri kullanılmaktadır. Bilgi güvenliğinin sağlanması ve kişisel verilerin yetkisiz kişiler eline geçmemesi üzerine Internet üzerinden gelebilecek siber atak tehlikelerine karşı firewall kurulmuş ve yapılandırılmıştır. Siber tehdit analiz ve siber tehdit aldatma çözümleri ile siber saldırıların vaktinde yakalanması ve önlem alınması süreçleri işletilmektedir. DDoS ataklarına önlem sağlamak adına Türk Telekom dan DDoS koruma hizmeti alınmaktadır. İnternet üzerinden gelen e-postaları taramak ve e-posta yolu ile gelen zararları önlemek adına e-posta güvenlik sistemleri kullanılmaktadır. Zero Day ataklarını önlemek adına tespit ve engelleme sistemleri kullanılmakta, güvenlik operasyon merkezi tarafından anlık olarak izlenmektedir. Sistemler, ağ ve uygulamalar üzerinde yer alan zafiyet ve tehditlerin belirlenmesi, raporlanması, iyileştirmelerin yapılması ve kapatılmasına yönelik periyodik olarak sızma testleri yapılmaktadır. İnsan, süreç ve teknoloji unsurları göz önünde bulundurularak sızma testleri dışında da süreç bazlı uygulamalar gerçekleştirilmektedir. Kullanıcı oluşturma, düzenleme, kapatma ve kullanıcı yetkilerinin belirlenmesi ve etkin gözden geçirilmesini sağlamak adına kimlik yönetimi uygulaması kullanılmaktadır. Ayrıcalıklı haklara sahip kullanıcı hesaplarının uygun koşullar altında yönetilmesi kapsamında yetkili hesap yönetimi çözümü kullanılmaktadır. 6

7 Yetkisiz kişilerin erişimine kapalı alanlar (sistem odası, arşiv vb.) için yetkisiz erişimi önlemek adına personel kimliği kart yetkilendirme sistemleri, sadece sistem odası girişinde ( veri merkezinde) biyometrik veri kullanılmaktadır. Bu veri sadece ilgili okuma cihazı üzerinde tutulmaktadır. 7.2 İdari Tedbirler Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler. Şirket tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir. Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır. Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır. Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir. İşlenen kişisel verilerin takibinin etkin ve sağlıklı bir şekilde işletilmesi için Kanun tarafından hazırlanması beklenen kişisel veri işleme envanteri oluşturulmuş, yayınlanmış ve rol ve sorumluluklar atanmıştır. Kişisel veri işleme envanteri güncel durumu içerecek şekilde periyodik olarak veya gerektiğinde güncellenmektedir. Kişisel veri işleme süreci dahilinde hem elektronik ortamlar üzerinde hem de fiziksel ortamlarda periyodik olarak denetimler gerçekleştirilmektedir. Şirketimiz tarafından, özel nitelikli kişisel verilerin işlenmesinde, Kurul un tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, ayrıca aşağıda belirtilen önlemler de alınmaktadır: Özel nitelikli kişisel verilerin güvenliğine yönelik, sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika olan işbu özel nitelikli kişisel veri Yönetimi Politikası belirlenmiştir. 7

8 Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlarımıza yönelik, gizlilik sözleşmeleri yapılmaktadır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak belirlenmektedir. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir, Görev değişikliği olan ya da işten ayrılan kişilerin bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, tarafımızca bu kişilere daha önce kendisine tahsis edilen veri envanterleri veya özel nitelikli veri içeren dokümanlar iade almaktadır. Özel nitelikli kişisel verilerin muhafaza edildiği ortam elektronik ortam ise; Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması, şeklindeki yeterli güvenlik önlemleri alınmaktadır. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; Ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır, Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz erişim engellenmektedir. Ayrıca fiziksel mekan güvenliğinin sağlanması için güvenlik kamerası ile bu ortamlar izlenilmektedir. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır. 8. KAYIT ORTAMLARI Şirket, tamamen otomatik veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği özel nitelikli kişisel verileri hukuka uygun olarak aşağıdaki tabloda belirtilen ortamlarda saklamaktadır: 8

9 ELEKTRONİK ORTAMLAR Server / Disk Mail ELEKTRONİK OLMAYAN ORTAMLAR Birim Dolapları Arşiv Kullanıcı Bilgisayarlarda Flash Bellek 9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA VE İMHA SEBEPLERİ Şirketimiz tarafından çalışanları/eski çalışanları, çalışan adayları, stajyerler, ziyaretçiler, tedarikçiler, tedarikçi çalışanları veya herhangi diğer kişilere ait kişisel veriler kanuna uygun olarak saklanır ve imha edilir. Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara Kişisel Veri Saklama ve İmha Politikamız da ayrıca değinilmiştir. 10. ÖZEL NİTELİKLİ KİŞİSEL VERİ SAHİBİNİN HAKLARI Şirket faaliyetlerimizin yürütülmesi sırasında, özel nitelikli kişisel verileri elde edilen veri sahipleri, Kanun gereğince, Kanun da yer verilen usullere ve Kişisel Verileri Koruma Kurulu nun 10 Mart 2018 tarihli Resmî Gazete de yayınlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliği ne uygun şekilde tarafımıza başvurarak; Kanun un 11 inci maddesinde yer verilen haklarını kullanabilirler. 11. ÖZEL NİTELİKLİ KİŞİSEL VERİ YÖNETİMİ POLİTİKASI NIN YAYIMLANMASI VE SAKLANMASI İşbu Politika, elektronik ortamda tutulmaktadır. Kalite dokümantasyon sistemi içinde yayınlanır ve tüm çalışanların okuması sağlanır. 12. POLİTİKANIN GÜNCELLENME PERİYODU İşbu Politika, en geç yıllık periyotlar halinde gözden geçirilir ve gerekli görülmesi halinde güncellenir. 13. POLİTİKASININ YÜRÜTÜLMESİ İşbu Politika, veri sorumlusu bünyesinde oluşturulan Kişisel Verileri Koruma Komitesi tarafından yürütülür. 9