Kişisel Verilerin Korunması

1.POLİTİKANIN AMACI
İşbu Kişisel Veri Saklama ve İmha Politikası’nın ( “Politika”) amacı; 6698 sayılı Kişisel
Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224 sayılı
Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri
gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te
belirtilen sair yükümlülüklerin yerine getirilmesi için TONOZZ TEKNOLOJİ A.Ş. nezdinde
uygulanacak kurallar ile süreç ve yükümlülükleri belirlemektir.

2.POLİTİKANIN KAPSAMI
Politika; TONOZZ TEKNOLOJİ A.Ş. nezdinde tutulan tüm üyelere, ziyaretçilere,
çalışanlarına, tedarikçi şirket ve çalışanlarına, hizmet sağladığı/iş birliği yaptığı üçüncü kişilere
ve kişisel veri paylaşımı söz konusu olan tüm durumlarda TONOZZ TEKNOLOJİ A.Ş.’nin
sair hukuki ve ticari ilişkiye girdiği gerçek ve tüzel kişilere ait Kanun ile tanımlanan kişisel
verileri ve özel nitelikli kişisel verileri kapsamaktadır.
Politika, Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği
sistemlerde yer alan kişisel verileri kapsamaktadır. Politika’da aksi belirtilmedikçe kişisel
veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

3.TANIMLAR
Anonim Hale Getirme : Kişisel Veriler’in başka verilerle eşleştirilse dahi, hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini,
İmha : Kişisel Veriler’in silinmesi, yok edilmesi veya anonim
hale getirilmesini,
Kişisel Veri/Veriler : Ad-soyad, adres, telefon numarası, fotoğraf gibi kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Veri Saklama Tablosu : Kişisel Veriler’in TONOZZ TEKNOLOJİ A.Ş. nezdinde
tutulacağı süreleri gösteren tabloyu,
Kişisel Veri İşleme Envanteri :Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları Kişisel Veriler’i işleme faaliyetlerini; Kişisel Verileri işleme
amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve Kişisel Veriler’in işlendikleri amaçlar için gerekli olan azami süreyi, yabancı
ülkelere aktarımı öngörülen Kişisel Veriler’i ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanteri,

Kişisel Verilerin Silinmesi : Kişisel Veriler’in ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kişisel Verilerin Yok Edilmesi : Kişisel Veriler’in hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik
ve genetik verilerini,
Periyodik İmha : Kanunda yer alan Kişisel Veriler’in işlenme şartlarının
tamamının ortadan kalkması durumunda Politika’da belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya Anonim Hale Getirme işlemini,
Veri Kayıt Sistemi : Kişisel Veriler’in belirli kriterlere göre yapılandırılarak
işlendiği kayıt sistemini
ifade etmektedir.

4.POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI
Kişisel Veriler, aşağıda listelenen ortamlarda kanunlara uygun olarak güvenli bir şekilde
saklanır.

Elektronik Ortamlar

Sunucular (E-posta veri tabanı, web, dosya
paylaşımı, yedekleme vb. )
Server
BulutYazılımlar
Tonozz Teknoloji A.Ş. ortağı, yetkilisi,
personeli, hizmet aldığı üçüncü kişi veya
personeline ait mobil cihazlar (telefon,
tablet vb.)
Tonozz Teknoloji A.Ş. ortağı, yetkilisi,
personeli, hizmet aldığı üçüncü kişi veya
personeline ait bilgisayarlar

Elektronik Olmayan Ortamlar

Kağıt
Manuel Veri Kayıt Sistemi (sözleşmeler,
formlar)
Arşiv

5.SAKLAMAYA İLİŞKİN AÇIKLAMALAR
TONOZZ TEKNOLOJİ A.Ş. tarafından işlenen Kişisel Veriler, Kişisel Verilerin Korunması
Kanunu’na uygun olarak saklanır.
A. Saklamaya İlişkin Açıklamalar
TONOZZ TEKNOLOJİ A.Ş. ticari, idari ve hukuki faaliyetleri çerçevesinde Kişisel Veriler’i
ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklar.

A.1 Saklamayı Gerektiren Hukuki Sebepler
TONOZZ TEKNOLOJİ A.Ş. yukarıda belirtilen faaliyetleri çerçevesinde işlediği Kişisel
Veriler’i ilgili mevzuatlarda öngörülen süre kadar saklar. Bu kapsamda Kişisel Veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Sağlık Verileri Hakkında
Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması
Hakkında Yönetmelik,
Tüketicinin Korunması Hakkında Kanun ve Mesafeli Sözleşmeler Yönetmeliği ile
Abonelik Sözleşmeleri Yönetmeliği,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Elektronik Ticarette
Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik ile Elektronik
Ticaret Bilgi Sistemi ve Bildirim Yükümlülükleri Hakkında Tebliğ,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Hizmet Sağlayıcılar Hakkında
Yönetmelik,
6102 sayılı Türk Ticaret Kanunu,
6098 Sayılı Türk Borçlar Kanunu,
5237 sayılı Türk Ceza Kanunu
4857 sayılı İş Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
2828 sayılı Sosyal Hizmetler Kanunu
Bu kanunlar uyarınca yürürlükte olan başta yönetmelikler ve tebliğler olmak üzere diğer
ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

B. Saklamayı Gerektiren İşleme Amaçları
TONOZZ TEKNOLOJİ A.Ş. yukarıda belirtilen faaliyetleri çerçevesinde işlemekte olduğu
Kişisel Veriler’i aşağıda belirtilen amaçlar uyarınca saklar.
Çalışanlar için İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerin Getirilmesi,
Çalışan yan hak ve menfaatlerinin sağlanması,
Mal/Hizmet satın alım ve satış süreçlerinin yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
Faaliyetin Mevzuata Uygun Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Sözleşme süreçlerinin yürütülmesi,
İş sağlığı/iş güvenliği faaliyetlerinin yürütülmesi,

Denetim/etik faaliyetlerinin yürütülmesi,
Finans ve Muhasebe İşlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
Yetkili kişi/kurum ve kuruluşlara bilgi verilmesi,
İş Faaliyetlerinin yürütülmesi,
Ziyaretçi Kayıtlarının oluşturulması ve takibi.
Talep/Şikayet Takibinin Yapılması,
Üyelerimiz arasında iletişim faaliyetlerinizi sağlanması
Üyelik sözleşmesi kapsamında ve hizmet standartları çerçevesinde destek hizmeti
sağlanması
Ürün ve hizmetlerimizi geliştirilmesi,
Sistemsel raporlama süreçlerini yürütülmesi
Pazarlama/analiz çalışmalarımızı yürütülmesi
Reklam, kampanya, promosyon süreçlerinin yürütülmesi.
Mevzuat gereği ve diğer otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme
yükümlülüklerine uymak.
Potansiyel iş imkanlarının TONOZZ web sitesi üzerinden yayınlanarak iş fırsatlarına
ulaşılmasına sağlamak

6.TEKNİK VE İDARİ TEDBİRLER
6.1. Teknik Tedbirler
TONOZZ TEKNOLOJİ A.Ş.’nin aldığı tedbirler aşağıda gösterilmektedir:
TONOZZ TEKNOLOJİ A.Ş. bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel
güvenliği için gerekli önlemler alınmaktadır.
Kredi kartı bilgi güvenliği için 256 bit SSL Sertifikası kullanılmaktadır.
Çevresel tehditlere karşı bilişim sistemleri, güvenliğinin sağlanması için donanımsal ve
yazılımsal (Güvenlik Duvarları, Atak Önleme Sistemleri, Ağ Erişim Kontrolü, Zararlı
Yazılımları Engelleyen Sistemler vb.) önlemler alınmakta ve bilgi sistemleri güncel
olarak tutulmaktadır.
Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta ve
engellenmektedir.
İşbu Politika’ya uygun İmha süreçleri tanımlanmakta ve Kişisel Veriler’in işlendiği
elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Elektronik Olan veya Olmayan Ortamlarda Saklanan Kişisel Veriler’e erişim, erişim
prensiplerine Göre Sınırlandırılmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte, bilgi sistemleri
güncel halde tutulmaktadır.
Kişisel Veriler’in işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta, güvenli
kayıt tutma (loglama) sistemleri kullanılmaktadır.
Hukuka aykırı işlemin tespiti halinde ilgili kişiye ve Kişisel Verileri Koruma Kurulu
(“Kurul”)’na bildirmek için bir altyapı oluşturulmaktadır.

Kişisel Veriler’in USB, CD veya DVD ile aktarımı gerçekleşecek ise mutlaka şifreli
olarak ilgili kişilere iletilmektedir.

6.2. İdari Tedbirler
TONOZZ Teknoloji A.Ş.’nin işlediği Kişisel Veriler’e ilişkin aldığı idari tedbirler aşağıda
belirtilmektedir:
Kişisel Veri işlemeye başlamadan önce TONOZZ TEKNOLOJİ A.Ş. tarafından verisi
işlenen ilgili kişilere online olarak aydınlatma yükümlülüğü yerine getirilmektedir.
Çalışanlara, niteliklerinin ve teknik bilgi/becerilerinin geliştirilmesi amacıyla iletişim
teknikleri, bilgi güvenliği ve ilgili mevzuatlar hakkında eğitimler verilmektedir.
Güvenlik politika ve prosedürlerine uymayan çalışanlar için bir disiplin prosedürü
uygulanmaktadır.
Kişisel Veriler’e hukuka aykırı işlenmesinin ve erişilmesi önlenmekte ve Kişisel
Veriler’in muhafazası sağlanmaktadır.
Fiziken saklanan Kişisel Veriler, kilitli dolaplarda saklanmaktadır.
Çalışanlara ve hizmet alınan/iş birliği yapılan üçüncü kişilere gizlilik sözleşmeleri
imzalatılmakta ve bilgi güvenliği için gerekli tüm uyarılar yapılmaktadır.
Kişisel Veriler’in işlenmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında
düzenli eğitimler verilmekte, bu verilerin işlendiği ve saklandığı ortamların güvenlik
önlemleri alınmaktadır.
Kişisel Veriler’in kağıt ortamında aktarımı gerekiyorsa yetkisiz kişiler tarafından
görülmemesi için gerekli önlemler alınmaktadır.
Fiziki ortamda muhafaza edilen veriler bakımından elektrik, yangın, su baskını, hırsızlık
vb. gibi durumlara karşı önlemler alınmaktadır.
Çalışanlar temiz masa ilkesiyle çalışmaktadır.

7. İMHA PROSEDÜRÜ
7.1. Kişisel Veriler’in işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri
alınmış olması veya Kanun’un 5. ve 6. maddelerinde yer alan Kişisel Veriler’in işlenme
şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin
uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan
Kişisel Veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmelik’in 7., 8.,
9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle
silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz
konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
7.2. TONOZZ TEKNOLOJİ A.Ş. Kişisel Veriler’in işlenmesiyle ilgili şartlarının ortadan
kalkıp kalkmadığını en geç 6 (altı) aylık periyodlar içerisinde, kullandığı Veri Kayıt
Sistemleri’nde gözden geçirecektir. Kişisel Veri sahibinin başvurusu ya da Kurul’un veya bir
mahkemenin bildirimi üzerine veri sorumlusu denetleme süresine bakmaksızın kullandıkları
Veri Kayıt Sistemleri’nde bu gözden geçirmeyi yapacaklardır.

7.3. Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının
ortadan kalkmış olduğu tespit edildiğinde, ilgili Kişisel Veri’nin bulunduğu kayıt ortamından
işbu Politika’ya göre silinmesine, yok edilmesine veya Anonim Hale Getirilmesi’ne karar
verilecektir. Tereddüt duyulan durumlarda ilgili çalışan iş biriminden görüş alınarak işlem
yapılacaktır.
7.4. Kişisel Veriler’in silinmesi, yok edilmesi veya Anonim Hale Getirilmesi ile ilgili yapılan
bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç
olmak üzere en az 3 (üç) yıl süreyle saklanır.
7.5. Kişisel Veriler’in silinmesi, yok edilmesi veya Anonim Hale Getirilmesi’nde Kanun’un 4.
maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari
tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun
hareket edilmesi zorunludur.
7.6. Bir Kişisel Veri’nin sahibi gerçek kişi, Kanun’un 13. maddesine istinaden TONOZZ
TEKNOLOJİ A.Ş.’ye başvurarak kendisine ait Kişisel Veriler’in silinmesini, yok edilmesini
veya Anonim Hale Getirilmesi’ni talep ettiğinde, ilgili veri sahibi iş birimi, Kişisel Veriler’i
işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı
ortadan kalkmışsa; talebe konu Kişisel Veriler’i siler, yok eder veya Anonim Hale Getirir. Bu
durumda talep, başvuru tarihinden itibaren en geç 30(otuz) gün içinde sonuçlandırılır ve ilgili
kişiye yazılı ya da elektronik ortamda bilgi verilir. Kişisel Veriler’i işleme şartlarının tamamı
ortadan kalkmış ve talebe konu Kişisel Veriler üçüncü kişilere aktarılmışsa, ilgili veri sahibi iş
birimi bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde
Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
7.7. Kişisel Veriler’i işleme şartlarının tamamının ortadan kalkmadığı durumlarda, Kişisel Veri
sahiplerinin verilerinin silinmesi veya yok edilmesine yönelik talepleri TONOZZ TEKNOLOJİ
A.Ş. tarafından Kanun’un 13. maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak
reddedilebilir. Ret cevabı ilgili kişiye en geç 30 (otuz) gün içerisinde yazılı olarak ya da
elektronik ortamda bildirilir.
7.8. Kişisel Veriler’in silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik
tespitinin yapılmış olması kaydıyla değerlendirilecektir. Aksi durumda; ilgili kişiler kimlik
tespitinin ya da doğrulamasının yapılabileceği kanallara yönlendirilecektir.

8. KİŞİSEL VERİLER’İN SİLİNMESİ VE YOK EDİLMESİ YÖNTEMLERİ
A) Kişisel Veriler’in Silinmesi Yöntemleri
a.Elektronik Olmayan Ortamlardaki Kişisel Veriler: Fiziksel yok etme, üzerine yazma
yöntemlerinden uygun olanı kullanılarak yok edilir. Kâğıt ortamlarında bulunan Kişisel Veriler
de kâğıt imha makinaları kullanılarak yok edilir. Orijinal kâğıt formattan tarama yoluyla
elektronik ortama aktarılan Kişisel Veriler ise bulundukları ortama göre uygun yöntemlerle yok
edilirler.
b.Sunucuda Yer Alan Ofis Dosyaları: İşletim sisteminde manuel olarak silme komutuyla
silinir.

c.Taşınabilir Medyada Bulunan Kişisel Veriler: Uygun yazılımlarla veya silme komutuyla
silinir.
d.Ofis Yazılımları: Kişisel Veriler’in bulunduğu ilgili satırlar silme komutu ile silinir.
e.Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan Kişisel
Veriler’den saklanmasını gerektiren süre sona erenler, ilgili ortama uygun şekilde silinir ve
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

9. POLİTİKA’NIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE
YAPTIRIMLAR
9.1. İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş
birimleri, üçüncü kişi hizmet sağlayıcılar ve sair TONOZZ TEKNOLOJİ A.Ş. nezdinde
Kişisel Veri işleyen herkes için bağlayıcı olacaktır.
9.2. Politika’nın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin
sorumluluğunda olacaktır. Aykırılığın önemli boyutta olması halinde ise vakit kaybetmeksizin
Kurul’a bildirim yapılacaktır.

10. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALACAK
KİŞİLER VE SORUMLULUKLARI
Kanun, Yönetmelik ve Politika ile belirtilen Kişisel Veriler’in İmhası’na dair gereklerin yerine
getirilmesinde tüm çalışanlar, danışmanlar, üçüncü kişi hizmet sağlayıcılar ve sair surette
TONOZZ TEKNOLOJİ A.Ş. nezdinde Kişisel Veri saklayan ve işleyen herkes bu gerekleri
yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği Kişisel Veri’yi
saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş kontrolü ve yetkisi dışında
sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu
birimler tarafından saklanacaktır. İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına,
veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak Periyodik
İmhalar, ilgili Kişisel Veri’nin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate
alınarak yapılacaktır.

11. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Kişisel Veriler’i Saklama ve İmha Sürelerini Gösteren Tablo Ek: 1’de yer almaktadır.
Periyodik İmha ya da talep üzerine gerçekleştirilecek İmha işlemlerinde söz konusu saklama ve
İmha süreleri dikkate alınacaktır. Kişisel Veriler’i Saklama ve İmha Süreleri Tablosu,
TONOZZ TEKNOLOJİ A.Ş. tarafından süreçler dikkate alınarak güncellenecektir.

12. PERİYODİK İMHA SÜRELERİ
Kişisel Veriler’i Periyodik İmha süresi, veri sahibi ilgili iş birimleri tarafından tespit ve tayin
edilir; ancak her hâlükârda bu süre 6 (altı) ayı geçemez.

13. YÜRÜRLÜK
Bu Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.
EK - Kişisel Veriler’i Saklama ve İmha Sürelerini Gösteren Tablo
Kişisel Veriler’i Saklama ve İmha Sürelerini Gösteren Tablo Kişisel Veriler aksine bir
kesinleşmiş mahkeme kararı veya ihtiyati tedbir kararı bulunmadıkça Politika’nın 6.
maddesinde belirtilen hususlar dikkate alınarak aşağıdaki belirtilen süreler boyunca saklanacak,
süre sonunda ise İmha edilecektir:

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Üçüncü kişilerle imzalanan sözleşmeler

10 yıl