Kişisel Verilerin Saklama ve İmha Politikası

1. Giriş

1.1. Amaç

Hukuki ve sosyal sorumluluğunun bir parçası olarak; Migros Ticaret A.Ş. (“Migros”) Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, Migros, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması amacıyla kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir. Şirket, belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilere ait kişisel verilerin “Anayasası”, uluslararası sözleşmeler, “Kanun”, “Yönetmelik” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilen Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuatlar uyarınca Migros tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

1.2. Kapsam

Şirket müşterileri, müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkilileri ve çalıştığı tüm 3. Taraflar başta olmak üzere üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3. Tanımlar

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grup	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
İlgili Kişi	Kişisel verisi işlenen gerçek kişi
İlgili kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Anonim Hale Getirme	Kişisel verilerin başka verilerle eşleştirilmesi sonucunda dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi.
Çalışan	Migros çalışanları
Çalışan Adayı	Migros’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Migros’un incelemesine açmış olan gerçek kişiler
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. Diğer ortamlar
Anayasa	Türkiye Cumhuriyeti Anayasası
KVK Kanunu	6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Kurulu	Kişisel Verileri Koruma Kurulu
KVK Kurumu	Kişisel Verileri Koruma Kurumu
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel veri işleme envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Müşteri	Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve /veya tüzel kişidir.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu Şirketimiz Migros’tur.
Veri Sorumluları Sicili	KVK KANUNU Kurulu gözetiminde, KVK KANUNU Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili
VERBİS	Veri sorumluları sicil Bilgi Sistemi
Ziyaretçi	Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri	Migros ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. Başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler
Tedarikçiler	Sözleşme temelli Migros’un ürün ve/veya hizmet aldığı üçüncü kişiler
Periyodik imha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Potansiyel Müşteri	Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
Politika	Migros’un Kişisel Verileri saklama ve imha politikası
Şirket	Migros Ticaret A.Ş.
Şirket Hissedarları	Migros hissedarı gerçek kişiler
Şirket Yetkilisi	Migros yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
Migros Kişisel Veriler Hakkında Başvuru Formu	Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Üçüncü Kişi	Yukarıda tanımlanan taraflarla Migros arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler
Yönetmelik	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. Sorumluluk Ve Görev Dağılımları

Şirketin tüm birimleri ve çalışanları; sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gerektiği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına aşağıdaki tabloda yer verilmiştir.

Ünvan	Birim	Görev
Genel Müdür	Yönetim	Çalışanların politikaya uygun hareket etmesinden sorumludur
KVK Komitesi	Şirketin KVK süreçlerine uyum ve denetiminin sağlanması için kurulan Komite	Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi Teknolojileri	Bilgi Teknolojileri Yönetimi	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
İnsan Kaynakları, Marka İletişim ve Müşteri Deneyimi, Pazarlama, Satış, Hukuk	Diğer Birimler	Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

3. Kayıt Ortamları

Elektronik Ortamlar; Sunucular, Yazılımlar, sabit ya da taşınabilir diskler, optik diskler, Bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, taşınabilir bellekler, yazıcı, tarayıcı, fotokopi makinası, bulut ortamlar,

Elektronik Olmayan Ortamlar; Kağıt, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar

4. Saklama Ve İmhaya İlişkin Açıklamalar

Şirket tarafından; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.1. Saklamaya İlişkin Açıklamalar

Migros, Kanunun ilgili maddelerine uyumlu olmak şartı ile kendi faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklar.

4.1.1. Saklamayı Gerektiren Hukuki Sebepler

Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; Türk Ticaret Kanunu, Borçlar Kanunu, Kişisel Verilerin Korunması Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu, Perakende Ticaretin Düzenlenmesi Hakkında Kanun, Elektronik Ticaretin Düzenlenmesi Hakkında kanun ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2. Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• Şirketimiz tarafından sunulan mal ve hizmetleri tanıtmak, üye ve/veya müşterileri tanımak, iletişimi arttırmak, imajı arttırmak, ürün, hizmet ve iletişimini geliştirmek ve iyileştirmek, Migros tarafından kurulan kulüplere (Örneğin;Migros Aile Kulübüne) üye kaydetmek, genel veya üyeye özel kişiselleştirilmiş promosyon/tanıtım/kampanya/avantaj ve duyurular hazırlamak ve göndermek, müşterilere daha iyi bir alışveriş deneyimi sağlamak, müşteri anketi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi (kümeleme, işbirlikleri çerçevesinde kredi skorlama, modelleme, istatistik hesaplama gibi veri analizi çalışmaları), araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak
• Otomatik katılımlı kampanyalara katılımı sağlamak, bu kampanyalardan faydalanılması ve kampanya sonucunda kazanım olursa bilgi vermek, kazanımla ilgili iletişime geçmek ve bu kazanımı çeşitli mecralarda duyurmak,
• Şirketimize ait www.migros.com.tr, www.macrocenter.com.tr, Migros Sanal Market mobil uygulaması, Macroonline mobil uygulaması üyelikleriniz ve Program ortaklarımızdan Money Pay ile yukarıda belirtilen Müşteri İletişimi ve Memnuniyet Programları kapsamındaki üyeliklerinizi, Money programındaki avantajları kullanabilmeniz için eşleştirilebilmek
• Kişiselleştirilmiş alışveriş hizmeti sunmak
• Ticari iletişim kanalları ile genel ve kişiye özel kampanya bilgilendirmeleri yapmak, yapılmasını kabul etmeniz halinde ticari iletişim faaliyetlerinde bulunmak, internet siteleri ve mobil uygulamalarındaki yeni özellikler, değişikliklere ilişkin bilgilendirme yapmak
• Genel veya size özel kişiselleştirilmiş reklamlar oluşturmak, segmentasyon ve pazarlama analiz çalışmalarını yapmak, mobil Uygulama, internet siteleri, sosyal medya veya diğer 3. parti ortamlarında Migros, tedarikçi ve diğer 3. kişilere ait reklamları ve pazarlama/iletişim faaliyetlerini (mobil uygulama ve internet sitelerindeki bildirimler, pop-up gösterimi, kişiye özel teklifler, kullanıcı ekranlarının özelleştirilmesi, reklam vs.)  yapmak,
• Mobil cihazınızda lokasyon paylaşımının açık olması halinde size en yakın ve uygun teklifleri oluşturmak ve size iletmek
• Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
• Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası
• Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini
• Web sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etmek, iletişim için adres ve diğer gerekli bilgileri kaydetmek, elektronik (internet/mobil vs.) veya kağıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
• Müşteri ve tedarikçilerimizin danışma hizmeti temin sürecini yürütmek,
• İlgili mevzuat hükümleri gereği akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek, yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
• Doğabilecek uyuşmazlıklarda delil olarak kullanmak
• Şirket işe alım ve çalışan süreçlerinin planlanması Ürün ve hizmetlerin satış ve pazarlaması için Pazar araştırması faaliyetlerinin planlanması ve icrası
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası
• Lojistik faaliyetlerinin planlanması ve icrası
• Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
• İşlem ve bilgi güvenliğini sağlamak, hileli veya yasadışı faaliyetleri içerebilecek işlemleri önlemek,
• Müşterilere daha iyi bir alışveriş deneyimi sağlamak,
• Kişiselleştirilmiş alışveriş hizmeti sunmak (müşteri anketi, müşteri memnuniyeti uygulama ve bilgilendirmelerini yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak),
• Migros’un hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;
• Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,
• Web sitemizi ve uygulamalarımızı daha kolay kullanılır hale getirmek,
• Bilginin denetim şirketlerine, ilgili vekile veya vekil edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması
• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
• Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;
• İlgili Kişinin şikâyet, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması;
• Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
• Ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin planlanması ve icrası
• Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,
• Hukuk İşlerinin takibi ve yürütülmesi
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
• Üyelerimizi tanımak ve iletişimimizi geliştirmek,
• Müşterilerimize daha iyi ve güvenilir hizmet verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların kesintisiz olarak sürdürülebilmesi
• Migros tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
• Migros hizmetlerini kullanmak amacıyla çağrı merkezleri veya internet sayfası kullanıldığında, Kurum veya internet sitesi ziyaret edilmesi, Kurum’un düzenlediği eğitim, seminer veya organizasyonlara katılınması.
• İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,
• Şirket Genel Müdürlük, depolar, mağazalar vb. tesislerinin güvenliğinin temini
• Acil durum yönetimi süreçlerinin planlanması ve icrası
• Taşeron çalışanlarına ilişkin özlük süreçlerinin planlanması ve icrası
• Finans ve/veya muhasebe işlerinin takibi
• Yapı ve/veya inşaat işlerinin planlanması ve takibi
• Yönetim Faaliyetlerinin Yürütülmesi
• Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Yatırım Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Ücret Politikasının Yürütülmesi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Taşınır Mal ve Kaynakların Güvenliğinin Temini
• Talep / Şikayetlerin Takibi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Sponsorluk Faaliyetlerinin Yürütülmesi
• Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Organizasyon ve Etkinlik Yönetimi
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İnsan Kaynakları Süreçlerinin Planlanması
• İletişim Faaliyetlerinin Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• Fiziksel Güvenliğinin Temini
• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Finans ve Muhasebe İşlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin Yürütülmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Sendika ile akdedilen Toplu iş Sözleşmesi faaliyetlerinin yürütülmesi

4.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesine İlişkin Esaslar

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Migros kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkelere uymaktadır.

• a) Hukuka ve dürüstlük kurallarına uygun olma.
• b) Doğru ve gerektiğinde güncel olma.
• c) Belirli, açık ve meşru amaçlar için işlenme.
• ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

4.3. İmhayı Gerektiren Sebepler

Migros kişisel verileri aşağıdaki sebeplerle imha eder;

• Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi
• Migros tarafından belirlenen imha süresinin sona ermesi
• Migros tarafından belirlenen periyodik imha süresinin sona ermesi
• Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
• İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
• Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
• Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması
• İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Migros tarafından kabul edilmesi,
• Migros’un, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

Kişisel Verileri Koruma Kanunu’ nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

5. Teknik Ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6 ‘ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

5.1.Teknik tedbirler;

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

5.2.İdari tedbirler;

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

5.3.Şirket İçi Denetim;

Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

6. Kişisel Verileri İmha Teknikleri

Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Migros, aşağıda yer verilen teknikleri kullanmak sureti ile kişisel verileri silmekte veya yok etmektedir.

• Migros, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
• Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise Migros aşağıdaki kuralları uygular;
  • Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
  • Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması
  • Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması
  • Gerçek kişiler tarafından direkt olarak silme talebinin iletilmesi durumunda ise ilgili kişiye ait kişisel verilerin Migros sistemlerinden silinmesi
• Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
  • Gerekli olmayan kişisel verilerin karartılması,
  • Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi yoluyla gerçekleştirilir.

6.1. Silme Yöntemleri

6.1.1. Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri;

Karartma; Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

6.1.2. Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri;

Yazılımdan güvenli olarak silme; Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

6.2. Yok Etme Yöntemleri

6.2.1. Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel olarak yok etme; Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.

6.2.2. Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

De-manyetize etme (degauss), Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma; Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

6.2.3. Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz

7. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Migros, hukuka uygun olarak işlenen kişisel verilerin işlenmesi şartlarının ortadan kalkması halinde kişisel verileri anonimleştirebilmektedir. Böylece anonimleştirilen kişisel veriler KVK Kanunu’nun 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından bu Politika’ nın 9. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır.

Migros, kişisel verilerin anonimleştirmesi için aşağıda yer verilen teknikleri kullanmaktadır.

7.1. Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanımlanmasını sağlayan adı, soyadı, T.C. Kimlik No vb. bilginin çıkartılması.

7.2. Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, yaşları belirtilmeksizin X yaşında Y kadar müşteri olduğunun belirtilmesi

7.3. Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihi yerine yaşın belirtilmesi

7.4. Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

8. Kişisel Verilerin Saklanma ve İmha Süreleri ile Periyodik İmha Süreleri

Migros, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı Haziran ve Ocak ayları olmak üzere altı ayda bir yapılır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.

KVK Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.

Veri Kategorisi	Veri Saklama Süresi
1-Kimlik Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
2-İletişim Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
3-Lokasyon Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
4-Özlük Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
5-Hukuki İşlem Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
6-Müşteri İşlem Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
7-Fiziksel Mekan Güvenliği Kişisel Veri	1 Yıl
8-İşlem Güvenliği Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
10-Finans Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
11-Mesleki Deneyim Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
12-Pazarlama Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
13-Görsel ve İşitsel Kayıtlar Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
20-Sendika Üyeliği Özel Nitelikli Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
21-Sağlık Bilgileri Özel Nitelikli Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 40 yıl
23-Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Özel Nitelikli Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
24-Biyometrik Veri Özel Nitelikli Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren ilk periyodik imha süresi
26-Diğer Bilgiler-Kurumsal hafıza bilgisi Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 70 yıl
26-Diğer Bilgiler-Hissedar/Ortak Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl
26-Diğer Bilgiler-Çalışan Aday Bilgisi Kişisel Veri	Yıl 2 Yıl
26-Diğer Bilgiler-Aile/Yakın Bilgisi Kişisel Veri	Hukuki ilişkinin sona ermesinden itibaren 15 yıl

9. Kişisel Verilerin Resen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Süreleri

Migros, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alır:

• Yükümlülüğün ortaya çıktığı 01.01.2018 tarihini takip eden ilk periyodik imha işleminde
• Periyodik imha süresi her halde 180 günden uzun olamaz.

10. İlgili Kişinin Talep Etmesi Durumunda Kişisel Verileri Silme ve Yok Etme Süreleri

İlgili kişi, KVK Kanunu’ nun 13. maddesine istinaden Migros’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

• a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Migros talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Migros, Veri sahibi gerçek kişinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibi gerçek kişiye bilgi verir.
• b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Migros bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
• c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Migros tarafından KVK Kanunu’nun 13. Maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

11. Kişisel Verileri İşleme, Saklama ve İmha Süreçlerinin Şirket İçi Yönetimi

Migros, KVK Kanunu ve ilgili yasal mevzuat hükümlerine uyum süreci ve uyum sürecinin tamamlanması akabinde gerçekleştirilecek kişisel veriler ile ilgili her türlü işlemde, işbu Politika ve Prosedürler ile bunlara bağlı süreçlerin yönetimi aşağıdaki şekilde yürütülür:

İlgili kişiler, KVK Kanunu’ nun 13’üncü maddesinin 1’inci fıkrası ve “Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ” gereğince, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini yazılı şekilde www.migroskurumsal.com adresinde yer alan Migros Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak ıslak imzalı veya güvenli elektronik imza ile Migros’a iletmeleri gerekmektedir. Güvenli elektronik imzalı taleplerin migrosticaretas@hs01.kep.tr adresine, ıslak imzalı taleplerin ise Atatürk Mah. Turgut Özal Bulvarı No:7 Ataşehir-İSTANBUL adresine iletilmesi gerekmektedir. Yine www.migroskurumsal.com adresinde yer alan Migros Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak Migros’a daha önce bildirilen ve Migros sisteminde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle, kisiselverikoruma@migros.com.tr adresine e-posta ile iletilmesi gerekmektedir.

12. GÖZDEN GEÇİRME

Bu politika yılda 1 kez Kişisel Verilerin Korunması Komitesi tarafından gözden geçirilerek gerekli güncellemeler yapılır. Üst yönetimin onayı sonrası güncellenmiş politika ilgili kişiler/taraflar bilgilendirilerek kullanılmaya başlanır.

13. SON HÜKÜMLER

İşbu Politika Kişisel Verilerin Korunması Komitesi tarafından hazırlanarak onaylanmış ve en son 30.11.2021 tarihinde güncellenmiştir. İşbu politikanın Türkçe dışında başka bir dile çevrilmesi durumunda iki politika arasındaki farklı ifadelerde her zaman Türkçe metni dikkate alınmalıdır. İşbu politika Migros Ticaret A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.