Kamera Aydınlatma Metni

Çerez Aydınlatma Metni

Çerez Açık Rıza Beyanı

Çerez Politikası ve Gizlilik Bildirimi

İlgili Kişi Başvuru Formu

1.GİRİŞ

1.1. Amaç

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), kişisel veri işleme faaliyetlerinin belirli ilke, yöntem ve kurallar çerçevesinde yürütülmesini sağlamak; başta özel hayatın gizliliği olmak üzere, Anayasa ile güvence altına alınmış temel hak ve özgürlükler ile kişisel mahremiyet ve bilgi güvenliği hakkının korunmasını temin etmek amacıyla hazırlanmıştır. Bu Politika, Manavgat AVM İşletmeciliği Anonim Şirketi (Novamall Alışveriş Merkezi) (“Şirket”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil düzenlemeler kapsamında gerçekleştirilen kişisel veri saklama ve imha faaliyetlerine ilişkin usul ve esasları düzenlemektedir.

İşletme, kurumsal misyonu, vizyonu ve temel ilkeleri doğrultusunda; çalışanlar, çalışan adayları, kiracılar, hizmet sağlayıcılar, ziyaretçiler, tedarikçiler ve diğer üçüncü kişilere ait kişisel verilerin Türkiye Cumhuriyeti Anayasası, KVKK, uluslararası sözleşmeler ve ilgili tüm mevzuata uygun olarak işlenmesini ve bu kişilere tanınan hakların etkin biçimde kullanılmasını temel ilke edinmiştir.

Bu kapsamda kişisel verilerin muhafazası ve gerektiğinde hukuka uygun şekilde imhasına yönelik tüm işlemler, bu Politika çerçevesinde yapılandırılmış olup, veri sorumlusu sıfatını haiz İşletme tarafından ilgili yasal yükümlülükler gözetilerek yürütülmektedir.

1.2. Kapsam

İşbu Politika; Şirket çalışanları, çalışan adayları, kiracı işletmeler, hizmet sağlayıcıları, ziyaretçiler, tedarikçiler ve diğer üçüncü kişilere ait kişisel veriler dâhil olmak üzere, şirket tarafından sahip olunan veya şirketçe yönetilen her türlü kişisel verinin işlendiği tüm kayıt ortamlarını ve bu verilere yönelik işleme faaliyetlerini kapsamaktadır. Bu bağlamda, Politika, kişisel verilerin güvenli bir şekilde saklanması ve gerektiğinde mevzuata uygun biçimde imha edilmesi süreçlerinde esas alınacak ilke, yöntem ve usulleri düzenlemektedir.

Politika kapsamında yer verilen düzenlemeler aşağıda belirtilen başlıklara ilişkindir:

            1.Kişisel Verileri Saklama ve İmha Politikasının oluşturulma amacı,

            2.Politikanın kapsamına giren kayıt ortamlarının tanımı ve kapsamı,

            3.Politika kapsamında kullanılan hukuki ve teknik kavramların tanımları,

            4.Kişisel verilerin saklanmasını ve imha edilmesini gerekli kılan hukuki, teknik ve diğer gerekçelere ilişkin açıklamalar,

            5.Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı işlenmesinin ve yetkisiz erişimin önlenmesine yönelik alınan teknik ve idari tedbirler,

            6.Kişisel verilerin mevzuata uygun olarak imhasına yönelik teknik ve idari tedbirler,

            7.Saklama ve imha süreçlerinde görev alan personelin unvanları, birimleri ve sorumluluk alanları,

            8.Kişisel verilerin saklama ve imha sürelerini gösteren çizelge,

            9.Periyodik imha işlemlerine ilişkin belirlenmiş süreler,

            10.Politikada yapılan güncelleme ve revizyonlara ilişkin bilgilendirmeler.

1.3. Dayanak

            İş bu politika 6698 sayılı KVKK madde 16 ve  28.10.2017   tarihli 30224 sayılı Resmi Gazetede  Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik; KVKK Yayınları Ocak 2018, Ankara Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) hükümlerine dayanılarak hazırlanmıştır.

1.4. Ortak Kısaltmalar ve Tanımlar

            Bu politikada ve bu politikaya bağlı düzenlemelerde aşağıda adı geçenlerden kasıt;

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Kişisel Verileri Koruma İşletme personeli.

EBYS: Elektronik Belge Yönetim Sistemi Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Tedarikçi: İşletmeye belirli bir sözleşme çerçevesinde mal ve hizmet tedarik eden bir kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulunu

Kiracı: AVM de kira sözleşmesi ile buluna gerçek ya da tüzel kişi

Şirket: (İşletme) Manavgat AVM İşletmeciliği Anonim Şirketi (Novamall Alışveriş Merkezi)

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. VERİ GÜVENLİĞİ YÜKÜMLÜLÜLÜĞÜ VE GİZLİLİK TAAHHÜDÜ

Şirket olarak; kişisel verilerinizi, mahremiyetinize yönelik meşru beklentinizi ve bilgi güvenliği hakkınızı temel bir sorumluluk alanı olarak görmekteyiz. Bu çerçevede, kişisel verilerinizi çağdaş bilimsel ilkelere, teknolojik gelişmelere ve yürürlükteki mevzuata uygun şekilde korumak amacıyla gerekli asgarî tüm idari ve teknik tedbirleri alma yükümlülüğünü benimsemiş bulunmaktayız.

Bu doğrultuda;

1. a)Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tüm teknik ve idari tedbirleri alacağımızı, bu kapsamda ilgili süreçlerin denetimini gerçekleştireceğimizi veya üçüncü kişi uzmanlar nezdinde denetleteceğimizi,
2. b)Kişisel verilere yetkisiz erişimin önlenmesi için gerekli tüm teknik ve idari güvenlik önlemlerini alacağımızı, bu önlemlerin etkinliğini düzenli aralıklarla denetleyeceğimizi veya denetleteceğimizi,
3. c)Kişisel verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla ulusal ve uluslararası standartlara uygun tüm teknik ve idari önlemleri hayata geçireceğimizi ve bu konuda denetim mekanizmaları oluşturacağımızı,
4. d)Görevimiz nedeniyle öğrendiğimiz kişisel verileri, 6698 sayılı Kanun’a aykırı olarak herhangi bir üçüncü kişiye açıklamayacağımızı ve bu yükümlülüğün süresiz olduğunu,
5. e)Kişisel verileri yalnızca işleme amaçları ile sınırlı şekilde kullanacağımızı; amacı dışında herhangi bir işleme faaliyetinde bulunmayacağımızı,
6. f)Kişisel verilerin yetkisiz kişilerce elde edilmesi hâlinde, bu durumu ivedilikle ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na bildireceğimizi,

veri sorumlusu sıfatıyla tüm yükümlülüklerimizi yerine getireceğimizi ve yukarıda sayılan ilkelere uygun hareket edeceğimizi beyan ve taahhüt ederiz.  

3. İŞLENECEK KİŞİSEL VERİLERİN BELİRLENMESİ

Ad Soyadı, telefon numarası, adresi, özgeçmişi, diploması, fotoğrafı, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler kişisel veri örneği olup kişinin kesin teşhisini sağlamayan fakat mevcut verilerin herhangi bir şekilde düzenlenerek gerçek bir kişiyle ilişkilendirilmesini sağlayabiliyorsa, o veri de kişisel veri kapsamındadır. Bu sebeple hangi kişisel verilerin işleneceği Aydınlatma Metinlerinde açık bir şekilde ifade edilecektir. Açık Rıza Metinlerinde bu verilere yer verilecektir. İşlenmesine izin verilen kişisel veriler tablo 1 de belirlenmiştir.

Tablo:1- İşlenmesine izin verilen kişisel veriler

Yukardaki tabloda yer almayan bir kişisel verinin işlenmesi yasaktır. Eğer yukarıdaki tabloda yer almayan bir kişisel verinin işlenmesi ihtiyacı doğarsa şu adımlara göre hareket edilecektir:

1. a)İlgili birim müdürünün teklifi, AVM Genel Müdürünün olumlu görüşü, Şirket Yönetim Kurulunun onayı ile ilgili kişisel verinin işlenmesine izin verilir. Daha sonra işbu politika, ilgili aydınlatma metinleri, açık rıza formları güncellenir ve bu aşamalar tamamlandıktan sonra ancak kişisel verilerin işlenmesine başlanabilir.
2. b)Güncellemelerin tamamlanmasının ardından İrtibat Kişisine bilgi verilerek yedi gün içinde bu güncellemelerin VERBİS ortamına işlenmesi sağlanır.
3. KİŞİSEL VERİ İŞLEMEDE TEMEL İLKELERİMİZ

İşletmemiz tarafından kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili diğer mevzuatta öngörülen usul ve esaslara uygun şekilde işlenmektedir. Kişisel veri işleme süreçlerinde aşağıda yer alan temel ilkelere sıkı sıkıya bağlı kalınmakta, veri sorumlusu olarak bu ilkelere uygun hareket etmek suretiyle veri işleme faaliyetlerinin hukuka, dürüstlük kuralına ve veri güvenliği standartlarına uygunluğu sağlanmaktadır:

4.1. Hukuka ve dürüstlük kurallarına uygunluk ilkesi:

Kişisel verilerin işlenmesi sürecinde; başta Anayasa ve KVKK olmak üzere yürürlükteki tüm mevzuata uygun davranılması esastır. Ayrıca veri işleme faaliyeti, ilgili kişinin makul beklentilerini ve meşru çıkarlarını gözeten dürüstlük kuralları çerçevesinde yürütülür. Bu kapsamda, kişisel verilerin ilgilinin zararına olacak şekilde veya verinin toplanma amacıyla bağdaşmayan biçimlerde kullanılmasından kaçınılır.

4.2. Doğru ve gerektiğinde güncel olma ilkesi:

İşlenen kişisel verilerin doğru, eksiksiz ve güncel olması sağlanır. Bu kapsamda, veri işleme sürecinde elde edilen bilgilerin doğruluğu teyit edilir; veri sahibinden gelen değişiklik talepleri dikkate alınarak gerekli güncellemeler yapılır.

4.3. Belirli, açık ve meşru amaçlar için işlenme ilkesi:

Kişisel veriler, işleme faaliyetinin amaçları önceden belirlenmiş, açıkça ifade edilmiş ve hukuka uygun (meşru) olacak şekilde işlenir. Belirlilik, veri işleme amacının muğlaklıktan uzak biçimde ortaya konulmasını; açıklık, ilgili kişinin veri işleme amacını anlayabilecek durumda olmasını; meşruluk ise verilerin, veri sorumlusunun faaliyet konusu ile doğrudan bağlantılı ve bu faaliyetler için gerekli olması anlamına gelir.

4.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi:

Kişisel veriler, yalnızca işleme amacıyla doğrudan ilişkili olan, bu amacı gerçekleştirmeye elverişli ve gerekli olan ölçüde işlenir. Amacın dışında, gereksiz veya aşırı nitelikte veri toplanmasından ve işlenmesinden kaçınılır.

4.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi:

Kişisel veriler, yalnızca işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen saklama süreleri çerçevesinde muhafaza edilir. Veri işleme amacı sona erdiğinde veya veri işleme şartı ortadan kalktığında, söz konusu kişisel veriler herhangi bir gerekçeye dayanarak ileride kullanılma ihtimali gözetilmeksizin silinir, yok edilir veya anonim hale getirilir.

5. AYDINLATMA YÜKÜMLÜLÜĞÜNE İLİŞKİN TEMEL İLKELERİMİZ

Veri sorumlusu sıfatıyla yürüttüğümüz kişisel veri işleme faaliyetlerinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil düzenlemeler uyarınca aydınlatma yükümlülüğü, aşağıda belirtilen temel ilkeler çerçevesinde yerine getirilmektedir:

5.1. Zorunluluk İlkesi: Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı olmayan, veri sorumlusunun re ‘sen yerine getirmekle yükümlü olduğu yasal bir sorumluluktur. Bu yükümlülük yerine getirilmeden kişisel veri işleme faaliyetine kesinlikle başlanmayacaktır.

5.2. Zamanlama İlkesi: Aydınlatma yükümlülüğü, en geç kişisel veri işleme faaliyetine başlanmadan önce ifa edilmelidir.

Kişisel verilerin ilgili kişi dışındaki üçüncü kişilerden elde edilmesi hâlinde, aydınlatma yükümlülüğü makul bir süre içerisinde yerine getirilir.

Veriler ilgili kişi ile iletişim kurmak amacıyla toplanmışsa, ilk iletişim anında; Veri aktarımı söz konusuysa, en geç kişisel verilerin ilk kez aktarıldığı anda aydınlatma yapılmalıdır.

5.3. Şekil İlkesi: Aydınlatma yükümlülüğü; yazılı, sözlü, çağrı merkezi, ses kaydı veya elektronik ortam gibi çeşitli kanallar aracılığıyla yerine getirilebilir. Ancak, hangi araç kullanılırsa kullanılsın, aydınlatma işleminin ifa edildiği, denetlenebilir ve ispat edilebilir bir biçimde kayıt altına alınmalıdır.

5.4. İçerik İlkesi: Aydınlatma metinleri, KVKK ve ilgili ikincil düzenlemelere uygun olarak; Hangi kişisel verilerin işleneceği, Veri işleme şartlarını, Veri aktarımı olup olmadığını ve aktarım yapılacak alıcı/alıcı gruplarını, Kişisel veri toplama yöntemlerini ve hukuki sebeplerini, İlgili kişinin KVKK kapsamındaki haklarını içeren açık, anlaşılır, kesin ve sade bir dille hazırlanmalıdır.

Aydınlatma metni; muğlak ifadeler içermemeli, kişisel verilerin gelecekte belirsiz senaryolar altında da işlenebileceği yönünde izlenim oluşturmamalıdır. Eksik, yanıltıcı ya da gerçeğe aykırı bilgilerden kaçınılmalıdır.

5.5. Amaç Değişikliği İlkesi: Kişisel verilerin işlenme amacı değiştiğinde, yeni amaca yönelik olarak veri işleme faaliyetinden önce yeniden ve ayrıca aydınlatma yükümlülüğü yerine getirilmelidir.

5.6. Birimler Arası İşlem Farklılığı İlkesi: Veri sorumlusunun farklı organizasyonel birimleri tarafından kişisel verilerin farklı amaçlarla işlenmesi hâlinde, her bir birim nezdinde ayrı ayrı aydınlatma yükümlülüğü yerine getirilmelidir.

6. AÇIK RIZANIN ALINMASINA İLİŞKİN TEMEL İLKELERİMİZ

Kişisel verilerin işlenmesinde açık rıza, yalnızca belirli koşullar altında ve hukuka uygun bir yöntemle elde edilmelidir. Bu doğrultuda veri sorumlusu sıfatıyla benimsediğimiz temel ilkeler aşağıda belirtilmiştir:

6.1. Ayrım İlkesi (İkili Ayrım): Aydınlatma yükümlülüğü ile açık rızanın alınması, hukuken birbirinden bağımsız işlemlerdir. Bu iki süreç aynı metin içinde birleştirilmemeli; her biri ayrı ayrı, kendi yasal dayanak ve kapsamına uygun olarak yerine getirilmelidir.

6.2. Şekil İlkesi: Açık rıza, ilgili kişi tarafından sözlü, yazılı veya elektronik iletişim yollarıyla beyan edilebilir. Ancak KVKK uyarınca açık rızanın alındığını ispat yükü veri sorumlusuna ait olduğundan, açık rızaya ilişkin beyanların doğruluğunu ve geçerliliğini ortaya koyacak nitelikte kayıt altına alınması zorunludur.

6.3. Zamanlama İlkesi: Açık rızaya dayanılarak gerçekleştirilecek herhangi bir veri işleme faaliyetinden önce mutlaka aydınlatma yükümlülüğü yerine getirilmelidir. Aydınlatma gerçekleştirilmeden alınan açık rıza geçersiz kabul edilir. Diğer hukuki şartlara dayanılamıyorsa açık rıza alınmadan kişisel veri işlenemez.

6.4. İçerik ve Şeffaflık İlkesi: Açık rıza geçerli kabul edilebilmesi için belirli, açık, bilgilendirilmiş ve özgür iradeye dayalı olmalıdır.

Genel nitelikli, kapsamı belirsiz açık rıza beyanları hukuken geçerli sayılmaz.

Açık rıza, kişisel verilerin yalnızca Kanun’un 4. maddesinde yer verilen genel ilkelere uygun olarak işlenmesi şartıyla geçerlidir.

Açık rıza alınırken ilgili kişiye; hangi kişisel verilerinin, hangi amaçla, hangi süreyle işleneceği hakkında açık ve anlaşılır şekilde bilgi verilmelidir.

Ayrıca, veri işleme faaliyetinin sonuçları hakkında da yeterli bilgilendirme yapılmalı, rızanın kapsamı ve sınırları net bir biçimde belirlenmelidir.

6.5. Rızanın Geçersizliğine Yol Açan Yöntemlerden Kaçınma İlkesi: Açık rıza, ilgili kişinin serbest iradesine dayanmalı ve herhangi bir baskı, zorlama veya yanıltma içermemelidir.

Kişisel verilerin işlenmesine yönelik açık rıza, hizmetin sunulmasının veya üründen yararlandırılmanın ön koşulu hâline getirilmemelidir.

Açık rıza alınırken kişinin karar verme özgürlüğünü zedeleyebilecek her türlü dolaylı veya doğrudan yöntemden kaçınılmalıdır.

7. SORUMLULUK VE GÖREV DAĞILIMLARI

            İşletmenin tüm birimleri ve çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

            Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 2’de verilmiştir.

            Tablo 2: Saklama ve imha süreçleri görev dağılımı

            8.KAYIT ORTAMLARI

Kişisel veriler hem elektronik hem de elektronik olmayan çeşitli ortam ve araçlar vasıtasıyla işlenebilmekte olup, bu ortamların her biri veri güvenliğinin sağlanması açısından ayrı risk profillerine ve kontrol gereksinimlerine sahiptir. Kişisel veriler, İşletme tarafından aşağıda belirtilen yöntemlerle hukuka uygun olarak güvenli bir şekilde saklanır.

8. 1. Elektronik Ortamlar

Elektronik ortamlar, kişisel verilerin sayısal formatta işlendiği, saklandığı ve iletildiği altyapı ve donanım sistemlerini kapsamaktadır. Bu sistemler genellikle ağ bağlantılıdır ve fiziksel güvenlik önlemlerine ek olarak bilişim güvenliği kontrollerine tabidir.

8.1.1. Sunucu Sistemleri ve Etki Alanı Altyapıları

            Fiziksel ve sanal sunucular: Web sunucuları, uygulama sunucuları, veritabanı sunucuları, e-posta sunucuları, dosya sunucuları gibi farklı işlevlere sahip cihazlardır.

            Etki alanı (domain) yönetimi: Yetkilendirme, kimlik doğrulama, grup politikaları ve merkezi kullanıcı yönetimi gibi hizmetleri kapsar.

            Yedekleme sistemleri: Otomatik veya manuel yedekleme çözümleri, felaket kurtarma planları çerçevesinde kritik öneme sahiptir.

8.1.2. Uygulama ve Yazılım Altyapısı

            Kurumsal yazılımlar: Ofis otomasyonu (ör. Microsoft Office), belge yönetim sistemleri (EBYS), personel bilgi sistemleri gibi uygulamalar.

            Regülasyona tabi yazılımlar: KVKK kapsamında kullanılan VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) gibi uygulamalar.

            İntranet ve portal sistemleri: İç iletişim ve iş süreçleri yönetimi açısından veri işleme fonksiyonu görmektedir.

8.1.3. Bilgi Güvenliği Teknolojileri

            Ağ güvenlik cihazları: Güvenlik duvarı (firewall), saldırı tespit ve önleme sistemleri (IDS/IPS).

            Antivirüs ve uç nokta koruma çözümleri

            Log (kayıt) yönetim sistemleri: Kullanıcı aktiviteleri, sistem hataları ve erişim kayıtları gibi günlük dosyalarının oluşturulması ve denetlenmesi.

8.1.4. Uç Nokta Donanımları

            Kişisel bilgisayarlar: Masaüstü ve dizüstü bilgisayarlar üzerinden doğrudan veri işleme işlemleri gerçekleştirilir.

            Mobil cihazlar: Akıllı telefonlar ve tabletler üzerinden e-posta, mesajlaşma ve mobil uygulamalar aracılığıyla veri işlenmektedir.

            Optik ve manyetik depolama araçları: CD, DVD, Blu-Ray gibi optik diskler ile veri saklama işlemleri yapılabilir.

            Taşınabilir bellek üniteleri: USB flash bellekler, harici diskler ve hafıza kartları, veri aktarımı ve geçici depolama amacıyla kullanılmaktadır.

            Çevresel donanımlar: Yazıcı, tarayıcı, fotokopi makineleri gibi cihazlar; belgelerin fiziksel olarak işlenmesi, çoğaltılması veya arşivlenmesinde rol alır.

8.2. Elektronik Olmayan Ortamlar

Elektronik olmayan ortamlar, kişisel verilerin dijitalleşmemiş formatlarda tutulduğu ve işlendiği fiziksel ortamları kapsamaktadır. Bu tür veriler, fiziksel erişim, kilitli dolap, arşiv ve belge güvenliği önlemleriyle korunmalıdır.

8.2.1. Fiziksel Belgeler ve Evraklar

            Kâğıt ortamında tutulan kayıtlar: Başvuru formları, dilekçeler, sözleşmeler, raporlar gibi evraklar.

            Manuel veri toplama araçları: Anket formları, fiziksel kontrol listeleri ve ziyaretçi defterleri gibi verilerin elle toplandığı dokümanlar.

            Basılı görsel içerikler: Kişisel veri barındıran fotoğraf, broşür, afiş veya tanıtım materyalleri.

9. KİŞİSEL VERİ İŞLEME

Şirket tarafından; personel, personel adayları, tedarikçiler, kiracı diğer işletme ve çalışanları,  tüm ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilere ait kişisel veriler aşağıda belirtilen amaç ve şartlarla ve mevzuata uygun olarak işlenir.

9.1. Kişisel Veri İşleme Gerektiren İşleme Amaçları

Şirketimiz kişisel veri işlemeden önce aşağıdaki tablo 3 te belirtilen en az bir amaçla hareket etmek zorundadır.

Aşağıda belirtilen amaçlar dışında bir amaçla veri işlemesi gerekmesi halinde öncelikle birim amirinin önerisi ile AVM Genel Müdürüne başvuru yapılacak ve yönetim kurulunun görüşü alındıktan sonra bu amaçla veri işlenebilecektir. Yedi gün içinde iş bu politika güncellemesi yapılacak ve güncellemeyi takip eden yedi gün içinde VERBİS bildirim yapılmasının sağlanması için irtibat kişisine bilgi verilecektir. 

            Tablo 3: Kişisel veri işleme amaçları

9.2. Kişisel Veri İşleme Şartları

Politikanın 8.1 maddesinde belirtilen amaçların var olması veri işleme konusunda yeterli değildir.  Belirtilen amaçlar doğrultusunda kişisel veri işlenmesi için aşağıda belirtilen veri işleme şartlarından da en az birinin mutlaka bulunması gerekir.

Aşağıdaki şartlardan birinin varlığı halinde dürüstlük kuralına aykırı düşeceğinden kesinlikle açık rıza alınması yasaklanmıştır.

1. a) Kanunlarda açıkça öngörülmesi.
2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukardaki belirtilen şartlardan hiçbirisinin sağlanamadığı durumlardan ancak ve ancak ilgili kişinin açık rızasının varlığı halinde kişisel veri işlenebilir.

Kanun değişikliği durumda Yedi gün içinde iş bu politika güncellemesi yapılacak ve güncellemeyi takip eden yedi gün içinde VERBİS bildirim yapılmasının sağlanması için irtibat kişisine bilgi verilecektir. 

            9.3. Kişisel Veri İşlemeyi Gerektiren Hukuki Dayanaklar

            İşletmemiz, faaliyetleri gerçekleştirirken aşağıda belirtilen mevzuattan kaynaklan yasal yükümlülüklerin yerine getirilmesi için işlenen kişisel veriler kullanmakta ve ilgili mevzuatta öngörülen süre kadar muhafaza etmektedir.

            Bu kapsamda kişisel veriler;

a- 6698 sayılı Kişisel Verilerin Korunması Kanunu

b- 6098 sayılı Türk Borçlar Kanunu

c- 6102 sayılı Türk Ticaret Kanunu

ç- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

d- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

e- 4857 sayılı İş Kanunu

f- 1593 sayılı Umumi Hıfzıssıhha Kanunu

g- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

ğ- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

h-5809 Sayılı Elektronik Haberleşme Kanunu

ı- 213 sayılı Vergi Usul Kanunu

i- 193 sayılı Gelir Vergisi Kanunu

j- 5520 sayılı Kurumlar Vergisi Kanunu

k- 6502 sayılı Tüketicinin Korunması Hakkındaki Kanun

l-17/07/2013 tarih ve 28710 sayı ile Resmî Gazetede yayınlanan İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik

m-26.02.2016 tarihinde 29636 sayılı Resmî Gazetede yayınlanan Alışveriş Merkezleri Hakkında Yönetmelik,

hükümleri ve bu kanunlara bağlı çıkartılan yönetmelik ile diğer kanun ve ikincil düzenlemeler çerçevesinde işlemekte ve ön görülen saklama süreleri kadar saklanmaktadır.

10.VERİ GÜVELİĞİ TEKNİK VE İDARİ TEDBİRLER

            Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde İşletme tarafından teknik ve idari tedbirler alınır.

10.1 Teknik Tedbirler

Kişisel verilerin işlenmesinde, veri güvenliğini sağlamak amacıyla hem önleyici hem de izleyici nitelikte çok katmanlı teknik tedbirler uygulanacaktır. Bu kapsamda, işletmemiz tarafından alınması gereken güvenlik önlemleri aşağıdaki temel bileşenler etrafında yapılandırılmıştır. Her katmandan en az bir teknik tedbir almadan kişisel veri işleme faaliyetine başlanmayacaktır.

10.1.1. Erişim Yönetimi ve Kullanıcı Denetimi

Yetki Matrisi: Hangi kullanıcının, hangi sistem bileşenlerine veya verilere hangi düzeyde erişebileceğini gösteren yapılandırılmış bir tablodur. Her kullanıcıya sadece görev ve sorumlulukları çerçevesinde erişim yetkisi verilir.

Yetki Kontrolü: Kullanıcıların sisteme erişim sonrası gerçekleştirebilecekleri işlemlerin denetlenmesini sağlayan güvenlik mekanizmasıdır. Gereksiz yetki atamalarının önüne geçilerek veri güvenliği sağlanır.

Kullanıcı Hesap Yönetimi: Yeni kullanıcıların oluşturulması, mevcut kullanıcıların yetkilendirilmesi, işten ayrılanların hesaplarının devre dışı bırakılması gibi süreçleri kapsar. Bu, insan kaynakları ile BT sistemleri arasında entegre bir yapı ile yürütülmelidir. Kullanıcı girişleri, kişiselleştirilmiş kullanıcı adı ve güçlü parola kombinasyonları ile denetlenmekte; parolaların tahmin edilmesini zorlaştırmak amacıyla büyük/küçük harf, rakam ve sembol içeren kombinasyonlar tercih edilmektedir. Brute Force Attack (BFA) gibi yaygın saldırılara karşı parola giriş denemeleri sınırlandırılmakta; parolaların düzenli aralıklarla değiştirilmesi sağlanmaktadır.

Erişim Logları: Kullanıcıların sistemlere, uygulamalara veya veri dosyalarına gerçekleştirdikleri erişimlerin tarih, saat, IP adresi ve işlem bazlı olarak kayıt altına alınmasıdır. Olası ihlal analizleri ve denetim süreçlerinde kritik öneme sahiptir.

10.1.2. Sistem ve Ağ Güvenliği

Ağ Güvenliği: İşletme ağına dışarıdan ya da içeriden gelebilecek tehditlerin önlenmesi amacıyla, güvenlik duvarları, ağ erişim kontrol sistemleri, rol bazlı erişim kontrolü ve VPN gibi çözümlerle yapılandırılmış güvenlik katmanları oluşturulmaktadır.

Güvenlik Duvarları (Firewall): İç ağ ile dış ağ arasında filtreleme yaparak, yetkisiz veri trafiğini engelleyen yazılım ve donanım sistemleridir.

Saldırı Tespit ve Önleme Sistemleri (IDS/IPS): Sistemlere yönelik potansiyel saldırılar tespit edilir (IDS) ve bu saldırıların otomatik olarak durdurulması sağlanır (IPS).

Güncel Antivirüs Sistemleri: Tüm sistemlerde kötü amaçlı yazılımlara karşı lisanslı ve güncel virüs koruma yazılımları kullanılır. Bu yazılımlar düzenli tarama ve otomatik güncelleme özellikleriyle aktif tutulur. Kullanılmayan yazılım ve servisler devre dışı bırakılmakta ya da kaldırılmaktadır.

Sızma Testleri (Penetrasyon Testing): Bilişim altyapısındaki açıklıkların ve güvenlik zaaflarının önceden tespit edilmesi amacıyla, iç veya dış uzmanlarca yapılan kontrollü testlerdir.

Uygulama Güvenliği: Web, mobil veya masaüstü uygulamaların geliştirme ve kullanım aşamalarında veri güvenliği risklerine karşı (örneğin XSS, SQL Injection) test edilmesi ve güvenli kodlama ilkelerine uygun hale getirilmesidir.

Kişisel verilerin dış kaynaklardan (örneğin web siteleri veya mobil uygulamalar) temin edilmesi hâlinde, veri aktarımı SSL veya daha güvenli protokoller üzerinden gerçekleştirilmektedir.

10.1.3. Veri Koruma ve Kriptografi

Şifreleme (Encryption): Kişisel verilerin yalnızca yetkili kişilerce erişilebilir olmasını sağlamak amacıyla; AES, RSA gibi algoritmalarla şifrelenmesi sağlanır. Özellikle iletim hâlindeki ve yedeklenen veriler için zorunludur.

Anahtar Yönetimi (Key Management): Şifreleme anahtarlarının oluşturulması, saklanması, değiştirilmesi ve imha edilmesi süreçlerini yöneten güvenlik yapısıdır. Anahtarların güvenli bir ortamda tutulması esastır.

Veri Maskeleme (Data Masking): Özellikle test ortamlarında ya da sınırlı erişim durumlarında kişisel verilerin gerçek hâlini gizleyerek, kısmen görünür veya anonim hâle getirilmesidir. Örnek: “12345678901” → “123****8901”.

Veri Kaybı Önleme Sistemleri (DLP – Data Loss Prevention): Hassas verilerin dışa sızmasını engellemek amacıyla e-posta, USB veya bulut gibi dış bağlantılar üzerinde kontrol sağlayan yazılımlardır. Kurum dışına yapılan veri çıkışları filtrelenir.

Silme: Verinin kullanıcılar için erişilemez hâle getirilmesi.

Yok Etme: Verinin geri döndürülemeyecek biçimde fiziksel olarak ortadan kaldırılması.

Anonimleştirme: Verinin, ilgili kişiyle bir daha ilişkilendirilemeyecek şekilde kalıcı olarak dönüştürülmesi.

10.1.4. Loglama ve İzleme

Log Kayıtları (System Logs): Tüm sistem olayları, kullanıcı işlemleri ve güvenlik olayları düzenli şekilde kaydedilir. Bu kayıtlar, dış müdahaleye karşı korunur ve mevzuata uygun sürelerle saklanır.

Güvenli Loglama Sistemleri: Log kayıtlarının bütünlüğü, zaman damgası, silinemezlik ve değiştirilemezlik ilkeleri doğrultusunda korunur.

Raporlama ve Analiz: Erişim ve işlem logları, düzenli periyotlarla analiz edilerek olağandışı aktiviteler tespit edilir ve gerektiğinde müdahale edilir.

10.1.5. Fiziksel ve Ortam Güvenliği

Veri Yedekleme: Kişisel verilerin, felaket durumlarında erişilebilirliğini sağlamak amacıyla farklı ortamlarda (fiziksel veya bulut) düzenli olarak yedeklenmesi sağlanır.

Fiziksel Güvenlik: Sistem odaları ve sunucu alanlarına yalnızca yetkili personelin erişimi sağlanır. Kamera izleme, erişim kartı, güç yönetimi desteklenmek, yangın söndürme ve iklimlendirme sistemleri ile desteklenir..

HTTPS ve Web Güvenliği: İnternet sitelerinde veri iletimi HTTPS protokolü üzerinden gerçekleştirilmekte; SHA-256 Bit RSA şifreleme algoritması ile veri güvenliği sağlanmaktadır.

Bu teknik güvenlik önlemleri; kişisel verilerin hukuka aykırı işlenmesini, yetkisiz erişimini ve güvenlik ihlallerini önlemeye yönelik, sürekli güncellenen ve izlenen bütünsel bir güvenlik yönetimi anlayışı çerçevesinde uygulanmaktadır.

10.2 İdari Tedbirler

Kişisel verilerin güvenliğini sağlamada yalnızca teknik önlemler yeterli değildir. İnsan, süreç ve organizasyon kaynaklı risklerin yönetilebilmesi için idari tedbirlerin de bütüncül bir yaklaşım içinde uygulanması gereklidir. Bu çerçevede, işletmemizce benimsenen başlıca idari tedbirler aşağıda sunulmuştur:

10.2.1. Kişisel Veri İşleme Envanteri Hazırlanması

            Veri sorumlusunun gerçekleştirdiği tüm kişisel veri işleme faaliyetlerini sistematik olarak kayıt altına alınması sağlanır. Veri kategorileri, veri konusu kişi grubu, işleme amacı, hukuki dayanak, alıcı grubu ve saklama süreleri gibi bilgiler yer alır.

10.2.2. Kurumsal Politikaların Oluşturulması

            Politika, prosedür, aksiyon gibi belgelerle çalışanlara yönelik yükümlülükler tanımlar.

10.2.3. Sözleşmelerin Düzenlenmesi

            Veri işleme süreçlerinde yer alan taraflar arasındaki sözleşmelere veri koruma yükümlülüklerini içeren maddelere yer verilir.

10.2.4. Gizlilik Taahhütnameleri

Caydırıcı cezai şartlar içeren kurum içindeki veya dışındaki kişilerin, öğrendikleri kişisel verileri gizli tutacaklarına dair yazılı beyanları alınır.

10.2.5. Kurum İçi Periyodik ve/veya Rastgele Denetimler

Periyodik olarak belirli zamanlarda veya haber verilmeden rastgele denetimler gerçekleştirilir.

10.2.6. Risk Analizi Çalışmaları

            Kişisel veri güvenliğini tehdit edebilecek senaryoların belirlenerek önceliklendirilmesi ve yönetilmesi sağlanır.

10.2.7. İş Sözleşmeleri ve Disiplin Yönetmeliklerine KVKK Uyumlu Hükümler Eklenmesi

            Kişisel verilere ilişkin yükümlülüklere aykırı halinde sorumluluk ve yaptırım maddeleri iş sözleşmelerine ve iç yönerge disiplin hükümlerine eklenir

10.2.8. Kurumsal İletişim ve Kriz Yönetimi Süreçleri

            Veri ihlali durumunda sorumlu kişiler, yapılacak iş ve işlemler bir prosedür, politika ile düzenlenir gerekli görevlendirmeler yapılır.

10.2.9. Eğitim ve Farkındalık Faaliyetleri

Tüm çalışanlara kişisel veri güvenliği ve KVKK farkındalığı kazandırmaya yönelik eğitimler verilir. Görev bazlı özel bilgilendirmeler, iç yazışma yapılması sağlanır. IT personeline siber güvenlik, İK personeline özel nitelikli veri işleme, pazarlama personeline açık rıza, çağrı merkezi çalışanları, müşteri rızası olmadan adres, doğum tarihi gibi verileri paylaşmamaları gerektiği konusunda eğitilir.

10.2.10. VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) Kayıt ve Bildirim

            KVKK kapsamındaki yükümlülük gereği, veri sorumlularının işledikleri kişisel verilere ilişkin detayları kamuya açık sicile bildirilir.

10.2.11.Yetki ve Sorumlulukların Kurumsal Olarak Belirlenmesi

Kişisel veri işleme süreçlerine taraf olan birimlerin, kişilerin ve pozisyonların görev ve sorumluluklarının sorumluluk matrisi ile açıkça tanımlanır.

11. ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARI

Özel nitelikli kişisel veriler ve bunları işlem şartları alınması gerekli özel güvenlik tedbirleri ayrı bir politika ile belirlenecektir.

12. SAKLAMA VE İMHA SÜRELERİ

Kişisel verilerin saklama süreleri ve imha süreçleri İmha Politikasında özel olarak düzenlenecektir.

Amaç ve Kapsam

Madde 1- (1) Kişisel verilerin nasıl silineceği ya da imha edileceği ya da anonim hale getirileceğinin kurum politikası haline getirilerek tam ve zamanında gerekli yasal prosedürlerin gerçekleştirilebilmesini sağlamak üzere yetki görev ve kapsamları düzenlemek için hazırlanmıştır.

(2) İş bu politika Veri sorumlusu Manavgat AVM İşletmeciliği Anonim Şirketinin işletmesi durumunda olan Novamall Alışveriş Merkezindeki; AVM Genel Müdürlüğü, İdari İşler Müdürlüğü, Muhasebe Müdürlüğü ve bunlara bağlı alt birim olan Satın Alma, Güvenlik, Bilgi İşlem, Acil Müdahale Birimi, Arşiv gibi tüm birimlerde kayıt altına alınarak saklanmakta olan tüm kişisel verileri kapsamaktadır.

(3) İş bu politika Kişisel Veri İşleme ve Saklama Politikasının (Versiyon 2025/00 Dokümantasyon No: NMA.KVKK.2025.001) ayrılmaz bir parçası olup devamı niteliğindedir. Tekrara düşmemek için politikada açıklanmayan tüm hususlara ilgili politikada ulaşabilirsiniz.

Dayanak

Madde 2- (1) İş bu politika 6698 sayılı kanunun 7. Maddesi ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazetede yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik; KVKK Yayınları Ocak 2018, Ankara Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) hükümlerinin gerçekleştirilmesini sağlamaktır.

Tanımlar

Madde 3- (1) Politikada geçen;

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinmesi gerekmektedir.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

İmha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süre sonunda silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade eder.

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

İmha Komisyonu

Madde 4- (1) İş bu İmha Politikasında belirtilen periyodik imha sürecinin tam ve zamanında yürütülmesi için Kişisel verileri imha komisyonu oluşturulacaktır.

(2) İmha Komisyonu İdari İşler Müdürü başkanlığında Muhasebeden ve Bilgi İşlemden Sorumlu birer personel olmak üzere en az üç kişiden oluşur.

 (3) Sekreterya hizmetleri ve toplantı zamanlarının tespiti Komisyon Başkanı tarafından yerine getirilecektir.

(4) İş bu İmha politikasında belirtilen periyodik imha zamanında ve ilgili kişinin başvurusu üzerine başkanın çağrısı ile toplanarak gerekli imha işleri yapılarak, EK1 İmha Tutanağı örneğine uygun olarak yapılan işler tutanak altına alınacaktır.

Birim Amirlerinin İmhada Görevi

Madde 5- (1) Her birim amiri periyodik imha süresi geldiğinde AVM Genel Müdürünün talimatı ile biriminde bulunan kişisel verilerden saklama süresi dolanları tespit ederek bunları dosyalarından/sisteminden ayıracak, yapılan işlemi bir tutanağa bağlayacak ve AVM Müdürüne teslim edecektir.

(2) Bu veriler imha için komisyona teslime hazır bir şekilde kilitli dolaplarında/ şifreli sistemlerinde saklanmaya devam edecektir.

(3) AVM Genel Müdürünün onayı ile imha için saklanmasına devam edilen kişisel veriler, imha komisyonunca istenildiğinde teslim edilecek ve imha tutağına teslim edildiğine dair imza atılacaktır.

Periyodik İmha Süreci

Madde 6-        (1) İmha başvurusu kabul edilen ya da birim amirlerince tespit edilen ve AVM Genel Müdürünce saklama süresinin dolduğu anlaşılan kişisel veriler birim amirine ve İmha Komisyonuna bildirilecektir.  Komisyon diğer fıkralarda belirtildiği şekilde görevini tamamlar.

(3) Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Her yıl Ocak ve Temmuz aylarında periyodik imha işlemi gerçekleştirilir.

            (4) Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

            (5) Süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel veriler, saklama sürelerinin sona ermesini takiben 180 gün (6 ay) içerisinde anonim hale getirilir.

            (6) Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.

  (7)  İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; Veri sorumlusunun talebi olumlu bulduğu takdirde periyodik imha süreleri beklenmeksizin ve veri sorumlusuna başvuru tarihinden itibaren en geç otuz gün içinde ilgili kişisel veri silinecek, yok edilecek yahut anonim hale getirilecektir ve ilgili kişiye konu hakkında bilgi verilecektir.

İmha Sebepleri

Madde 7- (1) Kişisel veriler aşağıdaki nedenlerin birisinin gerçekleşmesi halinde silinir, yok edilir veya anonim hâle getirilir.

1. a) İşlenmesini gerektiren sebeplerin ortadan kalkması,
2. b) Kanuni saklama sürenin geçmiş olması,
3. c) Saklanması zorunlu olmayan kişisel veriler hakkında ilgili kişinin talebi,
4. d) Kişisel verinin işlenmesinin kanunen yasaklanması,
5. e) Hukuka aykırı olarak işlendiği tespit edildiği takdirde,

İmha Zamanı

Madde 8- (1) Yedinci maddenin (a), (b) ve (c) bentlerinde imha, Periyodik imha süreleri içinde gerçekleştirilir.

  (2) Yedinci maddenin (d) bendindeki hallerde başvurunun kuruma ulaşmasının takip eden kanuni cevap vermesi süresi içinde kişisel verileri işleme şartlarının tamamı ortadan kalkmamış ise en geç otuz gün içinde imha edilir. Kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu üçüncü kişiye durumu bildirerek gerekli işlemlerin yapılmasını sağlar.

            (3) Yedinci maddenin (e) bendindeki hallerde silinme, tespitin gerçekleştiği günün mesai bitimine kadar yok edilerek durum bir tutanakla tespit altına alınır.

            (4) Güvenlik kamera görüntüsü, PTS, bilişim sistemi yazılım ve programları ve web çerezleri gibi kendiliğinden kayıt yapan sistemlerde, verilerin otomatik olarak saklama süresi sonunda veriler silecek şekilde programlanacaktır.

Saklama ve İmha Sürelerini

Madde 9- (1) Kişisel veri imha işlemi, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün tablo 1 de ki süreler sonunda ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

(2) Saklama süresinin bitimini takip eden ilk periyodik imha süresinde kişisel veriler imha edilir.

Tablo 1. Saklama ve imha Süreleri

Kişisel Verilerin İmhasına İlişkin Teknikler

Madde 10 – (1) İlgili mevzuatta öngörülen saklama süresinin sona ermesi veya kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması hâlinde, kişisel veriler veri sorumlusu işletme tarafından resen veya ilgili kişinin talebi üzerine, mevzuata uygun olarak aşağıda belirtilen tekniklerle silinir, yok edilir veya anonim hâle getirilir.

1. a) Kişisel Verilerin Silinmesi Teknikleri:Kişisel veriler, silme işlemine uygun yöntemlerle kalıcı biçimde erişilemez ve tekrar kullanılamaz hâle getirilir.

 Kişisel Verilerin Silinme Yöntemleri tabloda gösterilmiştir.

Tablo 2: Kişisel Verilerin Silinme Yöntemleri

1. b) Kişisel Verilerin Yok Edilmesi Teknikleri:Yok etme işlemi, kişisel verilerin ilgili kayıt ortamına fiziksel olarak ulaşılamayacak ve tekrar kullanılamayacak biçimde ortadan kaldırılmasıdır.

Tablo 3: Kişisel Verilerin Yok Edilme Yöntemleri

1. c) Kişisel Verilerin Anonim Hâle Getirilmesi Teknikleri:Anonimleştirme, kişisel verilerin başka verilerle eşleştirilmesi de dâhil olmak üzere, hiçbir surette belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek biçimde veri haline getirilmesini ifade eder. Bu işlem geri döndürülemeyecek tekniklerle yapılmalıdır. Kullanılan Teknikler:

Sayısal verilerde maskeleme: “Adı Soyadı” yerine *** veya "X.X." gibi sembollerle değiştirme.

Video kayıtlarda: Yüz karartma, gölgeleme, buğulandırma teknikleri.

Belgelerde: Kimlik bilgileri ve özel nitelikli verilerin sembollerle değiştirilmesi, okunamayacak şekilde karartılması.

Toplulaştırma: Veri kümelerinin bireysel detayları silinerek genel gruplara indirgenmesi.

İmha Sürecine İlişkin Teknik ve İdari Tedbirler
Madde 11- (1) Teknik tedbir olarak alınacak önlemler;

1. a) Kişisel verilerin bulunduğu bilgi sistemleri, verilerin otomatik olarak saklama süresi sonunda silineceği şekilde yapılandırılır.
2. b) Güvenlik kamerası sistemleri, erişim logları ve çerez yönetimi gibi sistemler periyodik imha fonksiyonu ile donatılır.
3. c) Silme, yok etme ve anonimleştirme işlemleri için uluslararası güvenlik standartlarına uygun yazılımlar ve donanımlar kullanılır.

(2) İdari Tedbir olarak alınacak önlemler;

1. a) Her bir imha işlemi, yetkili personel tarafından tutanakla kayıt altına alınır ve bu tutanaklar veri sorumlusuna teslim edilerek en az üç yıl süreyle saklanır.
2. b) İmha süreçlerinin doğruluğu ve mevzuata uygunluğu, belirli aralıklarla yapılan iç denetimlerle kontrol edilir.
3. c) İşletme bünyesinde yürürlükte olan Kişisel Veri Saklama ve İmha Politikası çerçevesinde tüm personel bilgilendirilir ve gerekli durumlarda disiplin süreci işletilir.

Amaç ve Kapsam

Madde 1- (1) Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek bazı kişisel veriler diğer kişisel verilerden daha özel ve hassas özelliğe sahiptir. İş bu politika ile kanunca belirtilmiş olan sınırlı sayıdaki özel nitelikli kişisel verilerin şirketimizce hangi amaçlarla ve hukuki dayanaklar ile işlendiğini ve bunların nasıl korunduğunun ve imha süreçlerinin nasıl gerçekleştirileceği konusunda tüm paydaşların aydınlatılması; ilgili tüm personelin görev ve sorumluluklarının kapsamını ve bu görev ve sorumlulukların tam ve zamanında yerine getirmesini sağlamak amacı ile hazırlanmıştır.

(2) Veri sorumlusu Manavgat AVM İşletmeciliği Anonim Şirketinin Novamall Alışveriş Merkezinde işlenmekte olan özel nitelikli kişisel veriler bu politika kapsamındadır.

(3) İş bu politika Kişisel Veri İşleme ve Saklama Politikasının (Versiyon 2025/00 Dokümantasyon No: NMA.KVKK.2025.001) ayrılmaz bir parçası olup devamı niteliğindedir. Tekrara düşmemek için politikada açıklanmayan tüm hususlara ilgili politikada ulaşabilirsiniz.

Dayanak

Madde 2- (1) İş bu politika Özel nitelikli kişisel verilerin işlenme şartlarını düzenlemek için 6698 sayılı kanunun 6. Maddesine ve KVKK Yayınları Ocak 2018, Ankara Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler); Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Kararı; KVKK Yayınları No: 51 Şubat 2025, Ankara, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehbere dayanılarak hazırlanmıştır.

Tanımlar

Madde 3- (1) Bu politikada geçen aşağıdaki terimlerden anlaşılması gerekenler aşağıda belirtilmiştir.

1. a) Özel Nitelikli Kişisel Veri:Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri kapsamaktadır.
2. h) Politika:Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası isimli işbu politikayı ifade eder.

Temel İlkelerimiz

Madde 4- (1) Ayrıntısı Kişisel Veri İşleme ve Saklama Politikasında (Versiyon 2025/00 Dokümantasyon No: NVD.KVKK.2025.001) açıklanan ve aşağıda sadece sayılan kişisel veri işleme ilkeleri doğrultusunda, özel nitelikli kişisel verilerinizi işleyeceğiz.

1. a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.
2. b) Doğru ve gerektiğinde güncellemeler yapılmalıdır.
3. c)Belirli, açık ve meşru amaçlar için işlenmelidir.
4. d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
5. e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Özel Nitelikli Kişisel Veri İşleme Genel Kuralı

Madde 5- (1) Özel nitelikli kişisel verilerin aşağıda belirtilen istisnai haller dışında işlenmesi yasaktır.

Özel Nitelikli Kişisel Veri İşleme Şartları

Madde 6- (1) Kanuni ödevlerimizi hukuka uygun şekilde gerçekleştirebilmek için bir takım özel nitelikli kişisel verilerinizi işlemek zorundayız. 6698 sayılı kanunun 6. Maddesinde sayılan aşağıda ayrıntılı şekilde açıklanan bir veri işleme şartı var ise özel nitelikli kişisel verileriniz şirketimizce işlenecektir. 

(2) 6698 sayılı Kanunun madde 6/3. Fıkra (a) İlgili kişinin açık rızasının olması halinde özel nitelikli kişisel verileriniz işlenebilir. Bu kapsamda;

4. a) İlgili kişi açık rızası ile özel nitelikli kişisel verilerinin işlenmesine izin verebilir. Fakat açık rızaya bağlı da olsa veri işlemenin, kanunun 4. Maddesindeki tüm şartları sağlaması gerekmektedir. Söz konusu hassas veri olduğu için gerekli, zorunlu ve ölçülü olma kurallarına uygun olma şartı üzerinde önemle durulacak; son çare değil ise rıza olsa dahi özel nitelikli kişisel veri işlenmeyecektir.

(3) 6698 sayılı kanunun madde 6/3.fıkra (b) Kanunlarda açıkça öngörülmüş olması halinde işlenebileceğini öngörmektedir. Bu kapsamda;

10. a)5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanununözel güvenlik görevlilerinde aranacak şartlar başlıklı 10. Maddesi gereği sağlık, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerin işlenmesi zorunluluğu getirmektedir. 

(4) 6698 sayılı Kanunun madde 6/3. (c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli kişisel veriler işlenebilecektir.

(5) 6698 sayılı Kanunun madde 6/3. Fıkra (d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması kapsamında şirketimize ilerde açılabilecek davalarda savunma vasıtası olarak kullanılması bakımından bu fıkra hükmüne göre özel nitelikli kişisel veriler işlenebilecektir.

(6) 6698 sayılı Kanunun madde 6/3. Fıkra  (e) Sır saklama yükümlülüğü altında bulunan sağlık mensubu çalışanlarımız tıbbi teşhis, tedavi ve bakım için gerekli olması halinde özel nitelikli kişisel veriler işlenebilecektir.

(7) 6698 sayılı Kanunun madde 6/3. (f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde özel nitelikli kişisel verilerin işlemesine izin vermektedir. Bu kapsamda;

4. a) 6331 sayılı İş Sağlığı ve Güvenliği Kanunu 4. Maddesi; İşverenin genel yükümlülüğü, 14. madde İş kazası ve meslek hastalıklarının kayıt ve bildirimi yükümlülüğü ve 15. madde Sağlık gözetimi yükümlülüğünün yerine getirilmesi kapsamında personelin sağlıkla ilgili verilerini işlemektedir.
5. b)İşletmemizin 4857 sayılı İş Kanunu 30. MaddeEngelli ve eski hükümlü çalıştırma zorunluluğunun yerine getirilmesi; 74. Madde Analık halinde çalışma ve süt izni verilmesi;  Madde kapsamında İşçi özlük dosyası tutulması; Ek madde 2 kapsamında Mazeret izni verilmesi kapsamında kendiniz ve kanundaki derecelerdeki akrabalarınızın sağlık verileri işlenmektedir.
6. c) 1593 sayılı Umumi Hıfzıssıhha Kanunu kapsamında; şirketimizin faaliyet alanlarında bulunan kiracı işletmelerin gıda üretim ve satış yerleri ve toplu tüketim yerleri olması ve insan bedenine temasın söz konusu olduğu hizmetler kapsamında olması nedeni ile sağlık verileriniz işlenmektedir.
7. d) 5510 sayılı Sosyal Güvenlik Kanunu, 213 sayılı Vergi Usul Kanunu, 193 sayılı Gelir Vergisi Kanunu gibi mevzuat hükümlerinde maaş, sosyal güvenlik, eş yardımı, çocuk yardımı ödemelerinde ve vergi kesintisi gibi hususlarda kişinin sağlık durumu ile ilgili bilgilere ihtiyaç duyulması gibi sebeplerle özel nitelikli kişisel verilere ihtiyaç duyulmaktadır.

(8) İş bu maddede bulunan diğer veri işleme şartlarının birisi bulunması halinde kesinlikle açık rıza alınarak veri işlemesi yapılmayacaktır.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gerekli İdari Tedbirler

Madde 7- (1) Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında aşağıdaki idari önlemlerin alınması gerekmektedir.

1. a) Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir iş bu politika ve prosedür belirlenmiştir.
2. b) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan personele işe başlamadan önce ve düzenli olarak eğitimler verilmesi sağlanacaktır.
3. c) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan personelle işe başlamadan önce gizlilik sözleşmelerinin imzalanması sağlanacaktır.
4. d) Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların sadece altıncı maddede belirtilen amaçlarla sınırlı olarak özel nitelikli kişisel verileri elde etme ve işleme kapsamında yetki olup, hizmet ifa kapsamında bu politikada belirtilen sürelerle sınırlı olarak bu verilere ulaşabilme ve değişiklik yapabilme yetkisine sahip şekilde yetkilendirilir.
5. e) Özel nitelikli kişisel verileri işleyen personel hakkında yılda en az bir defa periyodik yetki kontrolleri gerçekleştirilecektir.
6. f) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhalkaldırılacak ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması sağlanacaktır. Aksi davranan kişiler hakkında adli ve disiplin süreçleri başlatılacaktır.

Özel Nitelikli Kişisel Verilerin Korunmasında Alınacak Teknik Tedbirler

Madde 8- (1) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise aşağıdaki teknik tedbirler alınması gerekmektedir:

1. a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi sağlanacaktır.
2. b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanacaktır.
3. c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması sağlanacaktır.

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanacaktır.

1. d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanacaktır.
2. e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin kullanılması sağlanacaktır.

(2) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise aşağıdaki teknik tedbirler alınması gerekmektedir:

1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre elektrik kaçağı, yangın, su baskını, gibi durumlara karşı kamera ve alarm sistemleri ile yirmi dört saat izlenmesi sağlanacaktır.
2. b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların ve hırsızlık gibi durumların engellenmesi için kişiye özel olarak şifrelenen kapılar ya da anahtarların, orayı kullananlara sorumlulukları hatırlatılarak ayrıca zimmetlenmesi ve bunlara ek olarak güvenlik kamerası ve alarm sistemleri ile önleme tedbirlerinin alınması sağlanacaktır.

Özel Nitelikli Kişisel Verilerin Aktarılmasında Alınacak Güvenlik Tedbirleri

Madde 9- (1) Özel nitelikli kişisel verilerin resmi ya da özel üçüncü bir kişi ile paylaşılmasının zorunlu olduğu durumlarda aşağıdaki güvenlik tedbirlerinden uygun olanı alınacaktır;

1. a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanacaktır.
2. b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmasısağlanacaktır.
3. c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleşmesi sağlanacaktır.

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrağın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrağın “gizlilik dereceli belgeler” formatında gönderilmesi sağlanacaktır.

Özel Nitelikli Kişisel Verileri Saklama Süresi ve İmhası

Madde 10- (1) Özel nitelikli kişisel verilerin saklanacağı süreler aşağıdaki tabloda belirtilen sürelerde saklanır.

(2) Kişisel verilerin imhası ise Kişisel Verilerin İmha Politikasında belirtilen şekilde 6 ayda bir yılın Ocak ve Temmuz aylarında ilk periyodik imha zamanında imha edilecektir.

(3) İmha politikamız hakkında, Kişisel Verileri İmha Politikamızı (V:2025/00 D:NMA. KVKK.2025.003) inceleyerek bilgi edinebilirsiniz.

ORTAK HÜKÜMLER

13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

            Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da AVM Genel Müdürlüğünce dosyasında saklanır.

            14.POLİTİKA’NIN GÜNCELLENME PERİYODU

            Politika, ihtiyaç duyuldukça, her halde yılda en az bir kez gözden geçirilir ve gerekli olan bölümler güncellenir.

15.YÜRÜRLÜKTEN KALDIRMA

2020 Tarihinden beri yürürlükte olan tüm KVKK Politikaları yürürlükten kaldırılmıştır.

İş bu politika ile dokümantasyon sistemine geçilmiş; bundan sonra 6698 sayılı Kanun gereği hazırlanan her bir belgeye NMA.KVKK.YIL.BELGENNO dan oluşan Dokümantasyon Numarası; yapılan güncellemeleri gösterir VERSİYON.KAÇINCIGÜNCELLEME; yayınlandığı, kullanılmaya başlandı zamanı gösteren TARİH bilgilerinden oluşan bir sistem dahilinde oluşturulmasına karar verilmiştir.

            16.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

            Politika, şirket yönetim kurulunca onaylanması ile yürürlüğe girecek olup ayrıca onaya müteakip işletmenin internet sitesinde yayınlanması kararlaştırılmıştır. Yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları Yönetim Kurulu Kararı ile iptal edilerek en az 5 yıl süre ile AVM Genel Müdürlüğü tarafından saklanacaktır.

KAMUOYUNA SAYGI İLE DUYURULUR.

VERİ SORUMLUSU

Manavgat AVM İşletmeciliği A.Ş Yönetim Kurulu

İPTAL EDİLEN MADDELER ve YÜRÜRLÜĞE GİRİŞ TARİHİNİ GÖSTERİR LİSTE

Değişme Tarihi :

Eski Hüküm       :