1. GİRİŞ

1.1. Amaç

1- Oragon Gayrimenkul ve Girişim Sermayesi Portföy Yönetimi A.Ş. çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, stajyer adaylarımızın, hissedar/ortaklarımızın, gerçek kişi tedarikçi/tüzel kişi tedarikçi yetkilisinin, tedarikçi çalışanının, potansiyel tedarikçinin, müşterilerimizin, potansiyel müşterilerimizin, müdürler/yönetim kurulu üyesinin, gerçek kişi müşterilerin/tüzel kişilerde yetkilisinin veya çalışanının, gerçek kişi iş ortağı/tüzel kişi iş ortağı yetkilisinin, ziyaretçilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.

Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri Saklama ve İmha Politikamıza (“Politika”) göre belirlemekte ve gerçekleştirmekteyiz.

Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Oragon Portföy olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.

İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.

1.2. Kapsam

İşbu Politika; çalışan, çalışan adayı, stajyer, stajyer adayı, hissedar/ortak, gerçek kişi tedarikçi/tüzel kişi tedarikçi yetkilisi, tedarikçi çalışanı, potansiyel tedarikçi, müşteri, potansiyel müşteri, müdürler/yönetim kurulu üyesi, gerçek kişi müşteriler/tüzel kişilerde yetkilisi veya çalışanı, gerçek kişi iş ortağı/tüzel kişi iş ortağı yetkilisi, ziyaretçiler dahil gerçek kişilerin Oragon Portföy tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.

Politika, Oragon Portföy tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

• Kısaltmalar ve Tanımlar

Kavram	Tanım
Elektronik ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi.
İlgili kişi	Kişisel verisi işlenen gerçek kişi.
İlgili kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişi.
KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Karartma	Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Kişisel veri	Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgi.
Kurul	Kişisel Verileri Koruma Kurulu.
Politika	Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kişisel verilerin anonim hale getirilmesi	Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesini.
Kişisel verilerin silinmesi	Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini.
Kişisel verilerin yok edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini.
Periyodik imha	KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik

28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. KAYIT ORTAMLARI

Oragon Portföy olarak, faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla aşağıda yer alan kayıt ortamlarını kullanmaktayız.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
●       Mail ve Dosya Sunucu ●       Mobil cihazlar (Telefon, tablet gibi) ●       USB, harddisk gibi çıkarılabilir bellekler ●       Masaüstü ve dizüstü bilgisayar ●       Veri Tabanları ●       Harici diskler ●       Bulut ortamları	●       Klasörler ●       Dosyalar

3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Oragon Portföy tarafından çalışanlar, çalışan adayları, stajyerler, stajyer adayları, tedarikçi çalışanları, gerçek kişi tedarikçi/tedarikçi yetkilisi, potansiyel müşteriler, gerçek kişi müşteriler/tüzel kişilerde müşteri yetkilisi, potansiyel gerçek kişi iş ortakları/tüzel kişi iş ortağı yetkilisi, ziyaretçiler, ve sair üçüncü kişiler dahil gerçek kişilerin kişisel verileri KVKK’ya uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırayla yer verilmiştir.

3.1. Saklamaya İlişkin Açıklamalar

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda veriler silinir, yok edilir veya anonim hale getirilir.

3.1.1. Saklamayı Gerektiren Hukuki Sebepler

Oragon Portföy’de; faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 6102 sayılı Türk Ticaret Kanunu
• 5237 sayılı Türk Ceza Kanunu

• 4857 sayılı İş Kanunu
• 213 sayılı Vergi Usul Kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 5681 sayılı Matbaalar Kanunu
• 5846 sayılı Fikir ve Sanat Eserleri Kanunu
• 6279 sayılı Çoğaltılmış Fikir Ve Sanat Eserlerini Derleme Kanunu

Yukarıda sayılanlar başta olmak üzere yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

3.1.2. Saklamayı Gerektiren İşleme Amaçları

Oragon Portföy faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• Fiziksel Mekan Güvenliğinin Temini
• Görevlendirme Süreçlerinin Yürütülmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Talep / Şikayetlerin Takibi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

3.2. İmhayı Gerektiren Sebepler

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması,
• KVKK’nın maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Oragon Portföy tarafından kabul edilmesi,
• Oragon Portföy’un, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği Oragon Portföy’ü yetersiz bulması veya KVKK’da öngörülen süre içinde Oragon Portföy vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması ve
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Oragon Portföy tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

4. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Oragon Portföy tarafından teknik ve idari tedbirler alınır.

Oragon Portföy tarafından, işlediği kişisel verilerle ilgili olarak alınan tedbirler aşağıda sayılmıştır;

• Ağ Güvenliği ve Uygulama Güvenliği sağlanmaktadır.
• Ağ Yoluyla Kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar Yönetimi Kullanılmaktadır.
• Bilgi Teknolojileri Sistemleri Tedarik, Geliştirme ve Bakımı kapsamında güvenlik önlemleri alınmaktadır.
• Bulutta Depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmaktadır.
• Erişim Logları düzenli olarak tutulmaktadır.
• Erişim,bilgi güvenliği,kullanım,saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliği politika ve prosedürleri
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere(yangın,sel vb) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının farkındalığı sağlanmaktadır.

5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Oragon Portföy tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

5.1. Kişisel Verilerin Silinmesi

Oragon Portföy olarak, kişisel verilerin hukuka uygun olarak silinmesi işlemini gerçekleştirebilmek amacıyla tarafımızca teknikler şu şekildedir:

Veri Kayıt Ortamı	Açıklama
Fiziksel ortamda yer alan kişisel veriler	Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak veya belgenin, ilgili kullanıcılar tarafından hiçbir şekilde erişilmeyecek şekilde güvenli bir ortamda saklanılması suretiyle silinmektedir.
Veri tabanlarında yer alan kişisel veriler	İlgili kullanıcının, rol ve izin ataması yapılarak, veri tabanında yer alan kişisel verilere erişimi engellenmektedir.
Merkezi sunucularda yer alan kişisel veriler	İlgili kullanıcının, kişisel  veri  içeren  dosyanın  bulunduğu  dizin üzerindeki erişim hakları kaldırılmaktadır.
Taşınabilir cihazlarda (USB, Hard disk, CD, DVD gibi) yer alan kişisel veriler	İlgili kullanıcının dosyaya erişimi engellenmektedir.

5.2. Kişisel Verilerin Yok Edilmesi

Oragon Portföy olarak, kişisel verilerin hukuka uygun olarak yok edilmesi işlemini gerçekleştirebilmek amacıyla tarafımızca teknikler şu şekildedir:

Veri Kayıt Ortamı	Açıklama
Fiziksel ortamda yer alan kişisel veriler	Fiziksel ortamda yer alan kişisel veriler; kağıt kesme makinesi ile öğütülerek veya yakılarak yok edilmektedir.
Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemlerde yer alan kişisel veriler	Kişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir. Ayrıca, de-manyetize etme yöntemi ile aygıtın üzerinde yer alan kişisel veriler okunamaz hale getirilerek yok etme işlemi gerçekleştirilmektedir. Bununla birlikte; özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilerek yok etme işlemi uygulanmaktadır.
Bulut ortamlarında yer alan kişisel veriler	Bulut ortamlarında yer alan kişisel veriler, depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmekte, kullanılan şifre anahtarlarının yok edilmesi ile de bu ortamlarda yer alan kişisel veriler yok edilmektedir.

5.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6. SAKLAMA VE İMHA SÜRELERİ

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi Teknolojileri Birimi tarafından yerine getirilir. Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir.

Bu çerçevede, ilgili verinin Oragon Portföy nezdinde saklanmasının, KVKK’nın 5. ve 6. maddesinde kişisel verilere ve özel nitelikli kişisel verilere ilişkin olarak öngörülen hukuka uygunluk sebepleri kapsamında değerlendirilmesi halinde, bu hukuka uygunluk sebeplerine istinaden ilgili kişisel verilere ilişkin saklama süreleri tespit edilir. Kişisel verilerin imha süreci, Oragon Portföy tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, Oragon Portföy tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir.

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Çalışan adaylarına ilişkin süreçlerin yürütülmesi	Süreç Olumsuz Sonuçlanmış İse Başvuru Tarihinden İtibaren 2 Yıl; Süreç Olumlu Sonuçlandı İse İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmesel ilişkilerin yürütülmesi	Sözleşmenin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıt takip sistemleri	Kaydedildiği andan itibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtlarının Tutulması	Kaydedildiği andan itibaren 6 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Dava ve İcra İşlerinin Takibi Süreci	Dava dosyaları için kesinleşmeden itibaren 3 yıl, sözleşmeler için sözleşmenin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

7. PERİYODİK İMHA SÜRESİ

Yönetmelik’in 11. maddesi gereğince periyodik imha süresi, Oragon Portföy tarafından, 6 ay olarak belirlenmiştir.

8. POLİTİKA’NIN YAYIMLANMASI VE SAKLANMASI

İşbu Politika, Oragon Portföy tarafından www.oragonpy.com üzerinden yayımlanır ve e-posta ile de ilgili personele duyurulur.

9. POLİTİKA’NIN GÜNCELLEME PERİYODU

Politika, yılda bir kez gözden geçirilerek ihtiyaç duyulduğunda ve değişen süreçler bulunduğunda güncellenmektedir.

10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

İşbu Politika, 01.01.2024 tarihinde yürürlüğe girecektir. Politikanın yürürlükten kaldırılması veya değiştirilmesi durumunda bu durum Oragon Portföy tarafından e-posta ile ilgili personele duyurulur. Yürürlükten kaldırılan politika, 5 yıl süre ile Oragon Portföy tarafından saklanır.