Kişisel Veri Saklama ve İmha Politikası
KVKK VERİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
Kişisel Veri Saklama ve İmha Politikası (“Politika”); Ekim Turizm Ticaret ve Sanayi Anonim Şirketi’nin (“Şirket”) kişisel veri işlediği süreçlere dâhil olan ve Türkiye’de faaliyet gösteren tüm iştirak, müdürlük, birim ve çalışanları ile üçüncü tarafları ve Şirket’in kişisel veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır. İşbu Politika sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır. Mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda Şirket, Politika’yı yeni mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
2. TANIMLAR
İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;
| Alıcı grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı, gerçek veya tüzel kişilerin oluşturduğu gruptur. |
| İlgili kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
| KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. |
| Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, kişisel verilerin bulunduğu her türlü ortamdır. |
| Kişisel veri işleme envanteri | Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir. |
| Kurul | Kişisel Verileri Koruma Kurulu’dur. |
| Periyodik imha | KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, işbu Politika’da belirtilen belirli zaman aralıklarında Şirket tarafından re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
| Sicil | Veri Sorumluları Sicilidir. |
| Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
| Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir. |
3. AMAÇ VE KAPSAM
İşbu Politika, KVKK’nin 7. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan, kişisel verilerin imhasından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanır ve Şirket ile Şirket’in sözleşme ile sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirler.
Yönetmelik uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri kişisel veri envanterine uygun bir şekilde saklamak ve gerektiğinde imha etmek için işbu Politika’yı hazırlamak ve uygun hareket etmek ile yükümlüdür.
Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır: a) KVKK’nin 4’üncü maddesindeki genel ilkelere uyulacaktır.b) Şirket, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, KVKK ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.
c) Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, KVKK’nin 12. maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurul’un alacağı kararlara ve bu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
d) Şirket, bünyesinde bulundurduğu kişisel verilerin, amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında, işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
e) Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili oluşturulan teknik kılavuzlarda tarif edilir.
f) Şirket, kişisel verileri saklama ve imha süreçlerinde hazır bulunacak çalışanları olacaksa, bunların unvan, birim ve görev tanımlarını belirler.
4. ORTAMLAR VE GÜVENLİK TEDBİRLERİ
4.1. Kişisel Verilerin Saklandığı Kayıt Ortamları
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Şirket, işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri, Politika’nın kapsamına dâhil etmeyi kabul eder. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
a) Şirket adına kullanılan bilgisayarlar/sunucular,b) Ağ cihazları,
c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
d) Mobil telefonlar ve içerisindeki tüm saklama alanları,
e) Kâğıt,
f) Optik diskler,
g) Taşınabilir diskler ve flash hafızalar,
h) Bulut ortamlar.
4.2. Ortamların Güvenliğinin Sağlanması
Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
4.2.1. Teknik Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
4.2.2. İdari Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
4.2.3. Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
5. KİŞİSEL VERİLERİN SAKLAMA NEDENLERİ
Şirket bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız ve Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikamız (ilgili politikalara https://intercityfilo.com/ adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.
6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik İhlal durumu kabul edilerek Şirket tarafından ilgili güvenlik ihlal süreçleri işletilecek, bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu rapor ve bildirimlerin yapılması için Şirket’in ihlal yönetimi süreçleri uygulanacaktır.
6.1. KVKK’ye Aykırılık
Şirket, kişisel verileri KVKK’de belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
Şirket, KVKK’nin 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
b) İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu kişisel verileri saklamayacak ve imha edecektir.
6.2. Kişisel Veri İşleme Şartlarının Ortadan Kalkması
Şirket, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri işleyen ilgili tüm çalışanları ile paylaşır. Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile Şirket içi oluşturulmuş KVKK Denetim Birimi ve Hukuk Birimleri eşliğinde denetimi yapılır, işbu Politika’ya uygun şekilde imha işlemi gerçekleştirilir. Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
a) İlgili mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
f) İlgili kişinin, KVKK’nin 11’inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun Şirket tarafından kabulü,
g) Şirket, ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’de öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
7. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin imhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir. Şirket bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi sistemleri ve uygulama sahipleri, İç Denetim Ekibi, Hukuk Birimi ve konuyla ilgili olabilecek diğer kişi ya da bölümler kişisel verilerin imhası için uygulanacak yönteme bu imhanın nedenine bağlı olarak yazılı karar verir. Bu yazılı karar gereğince işbu Politika’nın ilgili maddelerinde yer alan imha yöntemlerinden biri, Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır.
Kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili Şirket ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar. Kişisel verilerin imhasının takibi Şirket içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek alır.
7.1.Kişisel Verilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Şirket kişisel verilere erişim ve yetkilendirme anlamında Şirket’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dahilinde güncellemelerini yapar ve ilgili kullanıcıları tespit eder. İlgili Kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit edilir. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.
7.2. Kişisel Verilerin Yok Edilmesi
işisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme işlemi, Şirket ‘in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Kağıt ortamı için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir. Ayrıca, Şirket bu kapsamda Üçüncü Taraflardan imha hizmeti alabilir.
7.3. Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, Şirket’in kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirket, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesini engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar. Verilerin anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.
8. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
Şirket, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
İmha sürecinde Şirket veri imha talimatına uygun olarak kayıtlar oluşturulur. Özel nitelikli kişisel verilerin silinmesi sürecinde elektronik ortamdaki imha süreci sertifikalandırılır. Kişisel verilerin imhası sırasında Şirket vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
Silme Yöntemleri
Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri| Karartma : | Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. |
| Yazılımdan güvenli olarak silme : | Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
Yok Etme Yöntemleri
Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri| Fiziksel yok etme : | Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. |
| Fiziksel yok etme : | Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
| De-manyetize etme (degauss) : | Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. |
| Üzerine yazma | Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir. |
| Yazılımdan güvenli olarak silme : | Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.| Değişkenleri çıkarma : | İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
| Bölgesel gizleme : | Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. |
| Genelleştirme : | Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
| Alt ve üst sınır kodlama / Global kodlama : | Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilmesidir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. |
| Mikro birleştirilme : | Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
| Veri karma ve bozma : | Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.
9.SAKLAMA VE İMHA SÜRELERİ
|
VERİ SAHİBİ |
VERİ KATEGORİSİ |
AZAMİ VERİ SAKLAMA SÜRESİ |
| Çalışan | Sosyal Güvenlik Kurumuna gerçekleştirilen bildirimlere(işe giriş bildirgesi, prim ve hizmet belgeleri, eksik gün bildirimleri, tahakkuklar, işten ayrılış bildirgesi gibi) esas verileri içerir, ücret ve yan hak hesap ve tediye belgeleri, işe giriş tarihini belgeler işe alım evrakları, ücret ve yan hakları, işe giriş ve ayrılış tarihini içerir kayıtlar | Olası bir hizmet/ücret tespiti talebi ile Sosyal Güvenlik Kurumunun alacak talebine istinaden hizmet akdinin devamı ve hitamından itibaren de 10(on) yıl müddetle muhafaza edilir. |
| Çalışan | Özlük kayıtları | Hizmet akdinin devamında ve hitamını takip eden takvim yılı başından itibaren 10(on) yıl süreyle saklanmaktadır. |
| Çalışan | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin devamında ve hitamından itibaren 15(onbeş) yıl müddetle muhafaza edilir. |
| İş Ortağı/Çözüm Ortağı/Danışman | İş Ortağı/Çözüm Ortağı/Danışman ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri | İş Ortağı/Çözüm Ortağı/Danışmanın, Şirket'le olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
| Ziyaretçi | Şirket'e ait fiziki mekana girişte alınan kamera kayıtları. | 3 ay süre ile saklanır. |
| Çalışan Adayı | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. |
| Stajyer(öğrenci) | Stajyer'e ait staj dosyasında yer alan kimlik, iletişim, finans, fotoğraf bilgileri. | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı başından itibaren 10(on) yıl süreyle saklanmaktadır. |
| Müşteri | Müşteri'ye ait ad, soyad, T.C.K.N., adres, iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri, işlem geçmişi | Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
| Müşteri | Kamera görüntüleri | 3 ay süre ile saklanır. |
| Müşteri Adayı | Potansiyel Müşteri ile Şirket arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları | 2 yıl süre ile saklanır. |
| Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi vs) | Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri | Şirketin İşbirliği İçinde Olduğu Kurum/Firmaların, Şirket'le olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
*Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
9.1.Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve elektronik veriler, periyodik olarak imha edilir. Şirket, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder.
Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Periyodik imha sırasında baz alınacak yasal saklama süreleri, Şirketin Kişisel Veri Envanteri’nde belirlenmiştir. İmha işlemi, imha yükümlülüğünün doğmasını takiben ilk Periyodik imha sırasında uygulanır.
İmha edilen kişisel verilere ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar üç yıl süre ile saklanır.
9.2.Veri Sahiplerinin Talep Etmesi Durumunda İmha Süreci
Veri sahiplerinin Şirket’e başvurarak kendisine ait kişisel verilerin imhasını talep ettiği durumlarda Şirket, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder. Söz konusu kontrol sonucunda;
Veri sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Şirket bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi Süreci oluşturulur.
9.3. İmha İşleminin Hukuka Uygunluğunun Denetimi
Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.
Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
9.3.1. Teknik Tedbirler
9.3.2. İdari Tedbirler
10.SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME
Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Şirket, kişisel verileri saklama ve imha süreçlerinde görev alanlar ve iş tanımları aşağıdaki gibidir;
KVKK Ekibi: Kişisel verilerin saklanması ve imhası konusunda Şirketin ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve eklerinin güncel tutulmasını sağlar, gerekli durumlarda Şirketin ilgili birimleri ile yakın çalışarak Politika’nın KVKK’ye ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.
Hukuk Birimi: Kişisel verilerin saklanması ve imhası ile ilgili hukuki konularda danışmanlık yapar ve ilgili mevzuat değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar. Politika’nın mevzuata uygun olarak yürütülmesini temin eder.
Bilgi teknolojileri: Politika’da belirtilen karar ve yöntemler ışığında ilgili imha ve saklama süreçlerinin mevzuata uygun şekilde gerçekleştirilmesini sağlar.
Şirket’in ilgili iş birimleri: Kişisel verilerin saklanması ve imhası konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini belirtir ve bu Politika nezdinde yürütülmesi aksiyonların takibini yapar.
| Unvan | Görev Tanımı |
| Kişisel Veri Komitesi Yöneticisi | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
| KVK Uzmanı (Teknik ve İdari) | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
11.POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
11.1.KVKK, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Şirket Politika’yı yeni mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
11.2.Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet/ Portal üzerinden çalışanlarının erişimine sunacaktır.
POLİTİKA’NIN YÜRÜRLÜK TARİHİ İşbu Politika Aralık 2018'de yürürlüğe girmiştir.