Personal Data Storage and Destruction Policy

1. POLİTİKANIN AMACI

Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için “Pilot Garage Sanayi ve Ticaret A.Ş.” (Bundan böyle kısaca “Pilot Garage” olarak anılacaktır.)  genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

Pilot Garage; Bünyesinde bulundurduğu, tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında işbu Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

2. POLİTİKA’NIN KAPSAMI

İşbu Politika; Pilot Garage çalışanları, çalışan adayları, hizmet sağlayıcıları, tedarikçiler, ziyaretçiler, müşteriler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Pilot Garage’ın sahip olduğu ya da Pilot Garage tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

3. POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI

Pilot Garage, işbu politika ile kişisel veri bulunan aşağıda belirtilen ortamlardaki ve belirtilen ortamlara ek ortaya çıkabilecek tüm ortamlardaki kişisel verileri kapsamayı kabul eder;

3.1 Elektronik Ortamlar;

a. Pilot Garage adına kullanılan sunucular (Yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)

b. Yazılımlar (Ofis Yazılımları, ERP, CRM vb.)

c. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)

d. Kişisel bilgisayarlar (Masaüstü, dizüstü)

e. Mobil cihazlar (telefon, tablet vb.)

f. Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

g. Yazıcı, tarayıcı, fotokopi makinesi

h. Bulut sistemleri

3.2 Elektronik Olmayan Ortamlar;

a. Kâğıt,

b. Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

c. Yazılı, basılı, görsel ortamlar

4. TANIMLAR

İşbu Politika'da kullanılan tanımlar aşağıda yer almaktadır:

5. SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kanunun 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

5.1 Saklamayı Gerektiren Hukuki Sebepler

Pilot Garage’ın faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.

Bu kapsamda kişisel veriler;

a. 6698 sayılı Kişisel Verilerin Korunması Kanunu,

b. 6098 sayılı Türk Borçlar Kanunu,

c. 213 sayılı Vergi Usul Kanunu,

d. 193 sayılı Gelir Vergisi Kanunu,

e. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

f. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

g. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

h. 4857 sayılı İş Kanunu,

i. Gıda Güvenliği Ve Kalitesinin Denetimi Ve Kontrolüne Dair Yönetmelik,

j. İkinci el motorlu kara taşıtlarının ticareti hakkında yönetmelik

k. Yönetmelik,

l. Sözleşmeler,

m. Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

5.2 Saklamayı Gerektiren İşleme Amaçları

Pilot Garage, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

1. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
2. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
3. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
4. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Pilot Garage’ın meşru menfaatleri için saklanmasının zorunlu olması,
5. Kişisel verilerin Pilot Garage’ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
6. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması

6. İMHAYI GEREKTIREN SEBEPLER

Kişisel veriler;

1. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
3. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
4. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
5. Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Pilot Garage tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Pilot Garage tarafından teknik ve idari tedbirler alınır.

7.1 Teknik Tedbirler

Pilot Garage tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

7.1.1 Erişim logları düzenli olarak tutulmaktadır.

7.1.2 Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

7.1.3 Güncel anti-virüs sistemleri kullanılmaktadır.

7.1.4 Güvenlik duvarları kullanılmaktadır.

7.1.5 Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

7.1.6 Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

7.1.7 Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

7.1.8 Kişisel veriler mümkün olduğunca azaltılmaktadır.

7.1.9 Kişisel veri güvenliğinin takibi yapılmaktadır.

7.1.10 Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

7.1.11 Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

7.1.12 Şifreleme yapılmaktadır.

7.2 İdari Tedbirler

Pilot Garage tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

7.2.1 Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

7.2.2 Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

7.2.3 Gizlilik taahhütnameleri yapılmaktadır.

7.2.4 Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

7.2.5 İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

7.2.6 Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

7.2.7 Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

7.2.8 Kişisel veri güvenliğinin takibi yapılmaktadır.

7.2.9 Kişisel veriler mümkün olduğunca azaltılmaktadır.

7.2.10 Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

7.2.11 Mevcut risk ve tehditler belirlenmiştir.

7.2.12 Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

8. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALACAK KİŞİLER VE SORUMLULUKLARI

Pilot Garage içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve sair surette Pilot Garage nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.

Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanacaktır.

İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılacaktır.

Pilot Garage kendi bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları yönetmek üzere Yönetim Kurulu kararı gereğince “Pilot Garage KVKK Komitesi” kurmuştur. Bu komitenin görevleri aşağıda belirtilmektedir;

a. Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak.

b. Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Pilot Garage’da şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını Yönetim Kurulu’nun onayına sunmak.

c. Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri Yönetim Kurulu’nun onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.

d. Kişisel Verilerin Korunması ve İşlenmesi konusunda Pilot Garage içerisinde ve Pilot Garage’ın iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.

e. Pilot Garage’ın Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayını sunmak.

f. Kişisel Verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.

g. Kişisel Veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.

h. Kişisel Veri sahiplerinin; Kişisel Veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.

i. Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak.

j. Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Pilot Garage içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak.

k. Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.

l. Yönetim Kurulu’nun Kişisel Verilerin korunması konusunda vereceği diğer görevleri icra etmek.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır.

9.1 Kişisel Verilerin Silinmesi

Silme işlemi, Pilot Garage’ın verileri tamamen veya otomatik yollarla işlediği durumlarda yapılacaktır ve Pilot Garage, kişisel verileri sildiği durumlarda, verileri ilgili kullanıcılar için hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirmelidir. Pilot Garage, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmelidir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.

Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:

a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi

b) Her bir kişisel veri için ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin kapatılması ve ortadan kaldırılması

c) Kişisel verilere yalnızca gerekli durumlarda yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması

Belirtilen silme yöntemleri, Yönetmelik’e bağlı olup, ilgili durumlarda güncellenmesi Veri Sorumlusu’nun sorumluluğundadır.

Kişisel veriler aşağıdaki yöntemlerle silinir.

9.2 Kişisel Verilerin Yok Edilmesi

Yok etme işlemi, Pilot Garage’ın verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Pilot Garage bu verileri tekrar geri getirilmesi ve tekrar kullanılması mümkün olmayacak hale getirmekle yükümlüdür. Bu işlemler sırasında Pilot Garage çalışanları ve ilgili departmanlar Veri Sorumlusu’na yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Veri Sorumlusu gerekli her türlü teknik ve idari tedbiri alacaktır.

9.3 Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, Pilot Garage kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin doğrudan ve/veya dolaylı tanımlayıcılarının çıkartılarak ya da değiştirilerek, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Verilerin anonimleştirilmesi sırasında Pilot Garage geri dönülemez şekilde maskeleme, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanılabilir. Uygulanacak yöntemin doğruluğu, Veri Sorumlusu tarafından onaylanamıyorsa kurula danışılmalıdır.

  Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri;

10. SAKLAMA VE İMHA SÜRELERİ

10.1 Periyodik İmha ve Yasal Saklama Süreleri

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Pilot Garage, Kişisel Verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, Kişisel Verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm Kişisel Veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Periyodik imha sırasında baz alınacak yasal saklama ve imha süreleri, Pilot Garage Kişisel Veri İşleme Envanteri’nde belirlenmiştir. Pilot Garage, Yönetmelik madde 11(4) kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.

Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır. Pilot Garage’ın diğer hukuki yükümlülüklerden kaynaklanan Kişisel Veri saklama hakları saklıdır.

10.2 Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahiplerinin Pilot Garage’a başvurarak kendisine ait Kişisel Verilerin silinmesini veya yok edilmesini talep ettiği durumlarda Kişisel Verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.

Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu Kişisel Verileri siler, yok eder veya anonim hale getirir. Pilot Garage, ilgili kişinin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel Verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan Kişisel Veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa, Pilot Garage ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

10.3 Süreç bazında saklama ve imha süreleri;

11.  POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika 13.01.2026  tarihinde yürürlüğe girmiştir.