İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) CDT İnşaat Anonim Şirketi (“Şirket”) tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”/“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda uygulanacak usul ve esasları belirlemek amacıyla hazırlanmıştır.

1.2. Kapsam

Çalışanlarımızın, çalışan adaylarımızın, tedarikçilerimizin ve herhangi bir nedenle CDT İnşaat Anonim Şirketi nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir. Kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3. Tanımlar

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Veri Sahibi / İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Yönetmelik: 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder.

1.4. İlkeler

Şirketimiz tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan temel ilkeler benimsenmiştir.

1- Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirketimizce re’sen veya veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Veri sahiplerince yöneltilecek talebin Şirketimize ulaşması üzerine, Şirketimiz tarafından;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu surette Veri Sahibinin talebi en geç otuz (30) gün içinde sonuçlandırılarak kendisine bilgi verilmektedir.
Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat Veri Sahibinin talebine konu olan kişisel veriler üçüncü kişilerle paylaşılmış ise, Şirketimize yöneltilen talep verilerin paylaşıldığı üçüncü kişiye bildirilmekte ve üçüncü kişi tarafından bu Politika ve mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilmektedir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilmektedir. Böyle bir durumda red cevabımız Veri Sahibine en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilmektedir.

2- Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Kanun’un 4. maddesinde sayılan ilkeler ve 12. maddesi kapsamında alınması gereken teknik ve idari tedbirler başta olmak üzere, ilgili mevzuat hükümleri, Kurul kararları ve işbu Politika ile uyumlu olarak icra edilmektedir. Bu kapsamda, Kanun’un 4.maddesi uyarınca:

Hukuka ve dürüstlük kurallarına uygunluk,
Doğruluk ve gerektiğinde güncellik,
Belirlilik, açıklık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

ilkeleri Şirketimiz için önceliklidir.

Kanun’un 12’nci maddesine paralel olarak da, Şirketimiz:

Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel Verilerin muhafazasını sağlamak,

amacıyla, uygun güvenlik düzeyini temin etmeye yönelik işbu Politika’da benimsenmiş olan teknik ve idari tedbirleri almaktadır.

3– Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirketimiz tarafından kayıt altına alınmakta ve söz konusu kayıtlar, Şirketimizin uyum göstermesi gereken diğer hukuki yükümlülükleri hariç olmak üzere, en az üç (3) yıl süreyle saklanmaktadır.

4- Kurul tarafından aksine bir karar alınmadıkça, Kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirketimizce seçilmektedir. Ancak, Veri Sahibinin talebi halinde, uygun yöntem gerekçesi açıklanarak seçilecek veya neden seçilemediğine ilişkin olarak Veri Sahibine gerekli geri bilgilendirme yapılacaktır.

II. KAYIT ORTAMLARI ve GÜVENLİK TEDBİRLERİ

2.1. Kişisel Verilerin Saklandığı Ortamlar

CDT İnşaat Anonim Şirketi nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. CDT İnşaat Anonim Şirketi her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemekte ve korumaktadır.

a) Elektronik Olmayan Ortamlar	:	Verilerin kağıt üzerine basılarak tutulduğu ortamlardır.
b) Elektronik Ortamlar	:	CDT İnşaat Anonim Şirketi bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.

2.2. Ortamların Güvenliğinin Sağlanması

CDT İnşaat Anonim Şirketi, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik ve idari tedbirleri almaktadır.

2.2.1. Teknik Tedbirler

CDT İnşaat Anonim Şirketi, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır.

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır,
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
Güncel anti-virüs sistemleri kullanılmaktadır,
Güvenlik duvarları kullanılmaktadır,
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır,
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır,
Saldırı tespit ve önleme sistemleri kullanılmaktadır

2.2.2. İdari Tedbirler

CDT İnşaat Anonim Şirketi, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
Gizlilik taahhütnameleri yapılmaktadır
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır
Kişisel veri güvenliğinin takibi yapılmaktadır
Kişisel veriler mümkün olduğunca azaltılmaktadır
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.

2.2.3. Şirket İçi Denetim

CDT İnşaat Anonim Şirketi, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde CDT İnşaat Anonim Şirketi sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, CDT İnşaat Anonim Şirketi bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

III. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

3.1. Saklama Amaçları ve Hukuki Nedenleri

Kişisel veriler, özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile özlük dosyası oluşturulması (iv) misafir ilişkilerinin yönetilebilmesi, (v) finans ve muhasebe işlerinin yürütülmesi amaçlarıyla KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Hukuki yükümlülüklerimize ilişkin başlıca mevzuat 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 213 sayılı Vergi Usul Kanunu ve 6502 Sayılı Tüketicinin Korunması Hakkında Kanun’dur.

Saklamayı gerektiren sebepler aşağıdaki gibidir.

Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla CDT İnşaat Anonim Şirketi’nin meşru menfaatleri için saklanmasının zorunlu olması,
Kişisel verilerin CDT İnşaat Anonim Şirketi’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
Mevzuatta kişisel verilerin saklanmasının kanunda açıkça öngörülmesi,
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
İlgili kişinin kendi verilerini alenileştirilmiş olması

3.2. İmha Nedenleri

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun CDT İnşaat Anonim Şirketi tarafından kabul edilmesi,
CDT İnşaat Anonim Şirketi’nin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, CDT İnşaat Anonim Şirketi tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

3.2. İmha Yöntemleri

CDT İnşaat Anonim Şirketi, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

CDT İnşaat Anonim Şirketi tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır.

3.2.1. Silme Yöntemleri

Kayıt Ortamı		Silme Yöntemi
Fiziksel Ortamda Yer Alan Kişisel Veriler	:	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Elektronik Ortamda Yer Alan Kişisel Veriler	:	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Sunucularda Yer Alan Kişisel Veriler	:	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Taşınabilir Medyada Bulunan Kişisel Veriler	:	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

3.2.2. Yok Etme Yöntemleri

Kayıt Ortamı		Yok Etme Yöntemi
Fiziksel Ortamda Yer Alan Kişisel Veriler	:	Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	:	Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

3.2.3. Anonimleştirme Yöntemleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

IV. SAKLAMA VE İMHA SÜRELERİ

4.1. Saklama Süreleri

VERİ SAHİBİ	VERİ KATEGORİSİ	SAKLAMA SÜRESİ[1]
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ve özlük dosyasında yer alan diğer bilgiler	Hizmet akdinin sona ermesinden itibaren 10 (on) yıl müddetle muhafaza edilir.
Çalışan Adayı	Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler	En fazla 1 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.
Tedarikçi Temsilcisi/Yöneticisi/Çalışanı	Kimlik, iletişim, mesleki deneyim ve finans bilgileri	CDT İnşaat Anonim Şirketi ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
Tedarikçi Temsilcisi/Çalışanı	İş Sağlığı ve güvenliği mevzuatı kapsamında alınan kimlik, iletişim, mesleki deneyim ve sağlık verileri	6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca iş akdinin sona ermesinden itibaren 15 yıl
Ziyaretçi	CDT İnşaat Anonim Şirketi’ne ait fiziki mekâna girişte alınan kamera kayıtları	30 Gün süre ile saklanır.
Web Sitesi Ziyaretçisi	Web sitesine giriş yapan ziyaretçilerden alınan izinler kapsamında çerez kayıtları tutulmaktadır.	2 yıl süre ile saklanır.

4.2. İmha Süreleri

CDT İnşaat Anonim Şirketi, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden CDT İnşaat Anonim Şirketi’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; CDT İnşaat Anonim Şirketi talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. CDT İnşaat Anonim Şirketi’nin talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. CDT İnşaat Anonim Şirketi, her halde yapılan işlemle ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep CDT İnşaat Anonim Şirketi tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

4.4. Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; CDT İnşaat Anonim Şirketi işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 01/04/2024 tarihinde başlar ve her 6 (altı) ayda (Ekim ve Nisan Ayları) bir tekrar eder.

4.5. İmha İşleminin Hukuka Uygunluğunun Denetimi

CDT İnşaat Anonim Şirketi gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

CDT İnşaat Anonim Şirketi, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

4.5.1. Teknik Tedbirler

CDT İnşaat Anonim Şirketi, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
CDT İnşaat Anonim Şirketi, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
CDT İnşaat Anonim Şirketi, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
CDT İnşaat Anonim Şirketi, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

4.5.2. İdari Tedbirler

CDT İnşaat Anonim Şirketi, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
CDT İnşaat Anonim Şirketi, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
CDT İnşaat Anonim Şirketi, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
CDT İnşaat Anonim Şirketi, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
CDT İnşaat Anonim Şirketi, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

V. BÖLÜM: KİŞİSEL VERİ ÇALIŞMA KOMİTESİ

CDT İnşaat Anonim Şirketi, bünyesinde bir Kişisel Veri Çalışma Komitesi kurar. Kişisel Veri Çalışma Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Çalışma Komitesi bir yönetici ve üç idari uzman (insan kaynakları, kalite yönetimi ve bilgi işlem) olmak üzere dört kişiden oluşur. İhtiyaç duyulduğunda teknik bilgi ve deneyim Şirket dışından hizmet alınarak sağlanacaktır. Kişisel Veri Çalışma Komitesinde görevli CDT İnşaat Anonim Şirketi çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

Unvan

Görev Tanımı

Kişisel Veri Çalışma Komitesi Yöneticisi

Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.

KVK Uzmanı

(İnsan Kaynakları, Kalite Yönetimi ve Bilgi İşlem)

İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri İzleme Komitesi Yöneticisine raporlanmasından; Kişisel Veri İzleme Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri İzleme Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri İzleme Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

V. GÜNCELLEME VE UYUM

CDT İnşaat Anonim Şirketi, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

5.1 Değişiklik Notları

GÜNCELLEME TARİHİ	:	DEĞİŞİKLİĞİN KAPSAMI
01/09/2023	:	Kişisel Veri Saklama ve İmha Politikası yayımlanmıştır.
	:

[1] Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.