Kişisel Veri Saklama ve İmha Politikası

KVKK VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

Kişisel Veri Saklama ve İmha Politikası (“Politika”); Ekim Turizm Ticaret ve Sanayi Anonim Şirketi’nin (“Şirket”) kişisel veri işlediği süreçlere dâhil olan ve Türkiye’de faaliyet gösteren tüm iştirak, müdürlük, birim ve çalışanları ile üçüncü tarafları ve Şirket’in kişisel veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır. İşbu Politika sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır. Mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda Şirket, Politika’yı yeni mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.


2. TANIMLAR

İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;

Alıcı grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı, gerçek veya tüzel kişilerin oluşturduğu gruptur.
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel veri işleme envanteri Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir.
Kurul Kişisel Verileri Koruma Kurulu’dur.
Periyodik imha KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, işbu Politika’da belirtilen belirli zaman aralıklarında Şirket tarafından re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Sicil Veri Sorumluları Sicilidir.
Veri kayıt sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

3. AMAÇ VE KAPSAM

İşbu Politika, KVKK’nin 7. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan, kişisel verilerin imhasından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanır ve Şirket ile Şirket’in sözleşme ile sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirler.

Yönetmelik uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri kişisel veri envanterine uygun bir şekilde saklamak ve gerektiğinde imha etmek için işbu Politika’yı hazırlamak ve uygun hareket etmek ile yükümlüdür.

Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır: a) KVKK’nin 4’üncü maddesindeki genel ilkelere uyulacaktır.
b) Şirket, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, KVKK ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.
c) Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, KVKK’nin 12. maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurul’un alacağı kararlara ve bu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
d) Şirket, bünyesinde bulundurduğu kişisel verilerin, amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında, işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
e) Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili oluşturulan teknik kılavuzlarda tarif edilir.
f) Şirket, kişisel verileri saklama ve imha süreçlerinde hazır bulunacak çalışanları olacaksa, bunların unvan, birim ve görev tanımlarını belirler.

4. ORTAMLAR VE GÜVENLİK TEDBİRLERİ

4.1. Kişisel Verilerin Saklandığı Kayıt Ortamları

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Şirket, işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri, Politika’nın kapsamına dâhil etmeyi kabul eder. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

a) Şirket adına kullanılan bilgisayarlar/sunucular,
b) Ağ cihazları,
c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
d) Mobil telefonlar ve içerisindeki tüm saklama alanları,
e) Kâğıt,
f) Optik diskler,
g) Taşınabilir diskler ve flash hafızalar,
h) Bulut ortamlar.

4.2. Ortamların Güvenliğinin Sağlanması

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.


4.2.1. Teknik Tedbirler

Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

  • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
  • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
  • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
  • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
  • Şirket bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

  • 4.2.2. İdari Tedbirler

    Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:

  • Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
  • Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmakta veya personel istihdam edilmektedir.
  • Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.

  • 4.2.3. Şirket İçi Denetim

    Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
    Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.


    5. KİŞİSEL VERİLERİN SAKLAMA NEDENLERİ

    Şirket bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız ve Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikamız (ilgili politikalara https://intercityfilo.com/ adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.


    6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR

    Aşağıda belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik İhlal durumu kabul edilerek Şirket tarafından ilgili güvenlik ihlal süreçleri işletilecek, bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu rapor ve bildirimlerin yapılması için Şirket’in ihlal yönetimi süreçleri uygulanacaktır.


    6.1. KVKK’ye Aykırılık

    Şirket, kişisel verileri KVKK’de belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
    Şirket, KVKK’nin 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

    a) KVKK’de belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamayacaktır.
    b) İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu kişisel verileri saklamayacak ve imha edecektir.

    6.2. Kişisel Veri İşleme Şartlarının Ortadan Kalkması

    Şirket, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri işleyen ilgili tüm çalışanları ile paylaşır. Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile Şirket içi oluşturulmuş KVKK Denetim Birimi ve Hukuk Birimleri eşliğinde denetimi yapılır, işbu Politika’ya uygun şekilde imha işlemi gerçekleştirilir. Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

    a) İlgili mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
    b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
    c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
    d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
    e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
    f) İlgili kişinin, KVKK’nin 11’inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun Şirket tarafından kabulü,
    g) Şirket, ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’de öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
    h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

    7. KİŞİSEL VERİLERİN İMHASI

    Kişisel verilerin imhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir. Şirket bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi sistemleri ve uygulama sahipleri, İç Denetim Ekibi, Hukuk Birimi ve konuyla ilgili olabilecek diğer kişi ya da bölümler kişisel verilerin imhası için uygulanacak yönteme bu imhanın nedenine bağlı olarak yazılı karar verir. Bu yazılı karar gereğince işbu Politika’nın ilgili maddelerinde yer alan imha yöntemlerinden biri, Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır.

    Kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili Şirket ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar. Kişisel verilerin imhasının takibi Şirket içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek alır.


    7.1.Kişisel Verilerin Silinmesi

    Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

    Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Şirket kişisel verilere erişim ve yetkilendirme anlamında Şirket’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dahilinde güncellemelerini yapar ve ilgili kullanıcıları tespit eder. İlgili Kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit edilir. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.


    7.2. Kişisel Verilerin Yok Edilmesi

    işisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme işlemi, Şirket ‘in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Kağıt ortamı için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir. Ayrıca, Şirket bu kapsamda Üçüncü Taraflardan imha hizmeti alabilir.


    7.3. Kişisel Verilerin Anonimleştirilmesi

    Anonim hale getirme işlemi, Şirket’in kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

    Şirket, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesini engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar. Verilerin anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.


    8. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ

    Kişisel verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.

    Şirket, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

    İmha sürecinde Şirket veri imha talimatına uygun olarak kayıtlar oluşturulur. Özel nitelikli kişisel verilerin silinmesi sürecinde elektronik ortamdaki imha süreci sertifikalandırılır. Kişisel verilerin imhası sırasında Şirket vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:

    Silme Yöntemleri

    Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
    Karartma : Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
    Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
    Yazılımdan güvenli olarak silme : Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

    Yok Etme Yöntemleri

    Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
    Fiziksel yok etme : Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
    Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
    Fiziksel yok etme : Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
    De-manyetize etme (degauss) : Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
    Üzerine yazmaManyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
    Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
    Yazılımdan güvenli olarak silme : Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

    Anonimleştirme Yöntemleri

    Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
    Değişkenleri çıkarma : İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.
    Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.
    Bölgesel gizleme : Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
    Genelleştirme : Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
    Alt ve üst sınır kodlama / Global kodlama : Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilmesidir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.
    Mikro birleştirilme : Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
    Veri karma ve bozma : Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

    Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.


    9.SAKLAMA VE İMHA SÜRELERİ

    VERİ SAHİBİ

    VERİ KATEGORİSİ

    AZAMİ VERİ SAKLAMA SÜRESİ

    ÇalışanSosyal Güvenlik Kurumuna gerçekleştirilen bildirimlere(işe giriş bildirgesi, prim ve hizmet belgeleri, eksik gün bildirimleri, tahakkuklar, işten ayrılış bildirgesi gibi) esas verileri içerir, ücret ve yan hak hesap ve tediye belgeleri, işe giriş tarihini belgeler işe alım evrakları, ücret ve yan hakları, işe giriş ve ayrılış tarihini içerir kayıtlarOlası bir hizmet/ücret tespiti talebi ile Sosyal Güvenlik Kurumunun alacak talebine istinaden hizmet akdinin devamı ve hitamından itibaren de 10(on) yıl müddetle muhafaza edilir.
    ÇalışanÖzlük kayıtlarıHizmet akdinin devamında ve hitamını takip eden takvim yılı başından itibaren 10(on) yıl süreyle saklanmaktadır.
    Çalışanİşyeri Kişisel Sağlık Dosyası İçeriğindeki VerilerHizmet akdinin devamında ve hitamından itibaren 15(onbeş) yıl müddetle muhafaza edilir.
    İş Ortağı/Çözüm Ortağı/Danışmanİş Ortağı/Çözüm Ortağı/Danışman ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileriİş Ortağı/Çözüm Ortağı/Danışmanın, Şirket'le olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
    ZiyaretçiŞirket'e ait fiziki mekana girişte alınan kamera kayıtları.3 ay süre ile saklanır.
    Çalışan AdayıÇalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgilerEn fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.
    Stajyer(öğrenci)Stajyer'e ait staj dosyasında yer alan kimlik, iletişim, finans, fotoğraf bilgileri.Staj ilişkisinin devamında ve hitamını takip eden takvim yılı başından itibaren 10(on) yıl süreyle saklanmaktadır.
    MüşteriMüşteri'ye ait ad, soyad, T.C.K.N., adres, iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri, işlem geçmişiMüşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
    MüşteriKamera görüntüleri3 ay süre ile saklanır.
    Müşteri AdayıPotansiyel Müşteri ile Şirket arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları2 yıl süre ile saklanır.
    Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi vs)Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri Şirketin İşbirliği İçinde Olduğu Kurum/Firmaların, Şirket'le olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

    *Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.


    9.1.Periyodik İmha ve Yasal Saklama Süreleri

    Yasal saklama ve imha sürelerini dolduran fiziksel ve elektronik veriler, periyodik olarak imha edilir. Şirket, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder.

    Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Periyodik imha sırasında baz alınacak yasal saklama süreleri, Şirketin Kişisel Veri Envanteri’nde belirlenmiştir. İmha işlemi, imha yükümlülüğünün doğmasını takiben ilk Periyodik imha sırasında uygulanır.

    İmha edilen kişisel verilere ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar üç yıl süre ile saklanır.


    9.2.Veri Sahiplerinin Talep Etmesi Durumunda İmha Süreci

    Veri sahiplerinin Şirket’e başvurarak kendisine ait kişisel verilerin imhasını talep ettiği durumlarda Şirket, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder. Söz konusu kontrol sonucunda;

  • Kişisel verileri işleme şartlarının tamamının ortadan kalktığı anlaşılırsa, talebe konu kişisel veriler işbu Politika’da belirtilen karar ve yöntemlere uygun olarak en geç otuz gün içinde imha edilir ve ilgili kişiye bilgi verilir.
  • Kişisel verileri işleme şartlarının ortadan kalktığı ve talebe konu olan kişisel verilerin üçüncü kişilere aktarıldığı anlaşılmışsa, Şirket bu durumu ilgili üçüncü kişiye bildirir ve üçüncü kişi nezdinde, Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
  • Veri sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Şirket bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi Süreci oluşturulur.


    9.3. İmha İşleminin Hukuka Uygunluğunun Denetimi

    Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

    Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.


    9.3.1. Teknik Tedbirler

  • Şirket, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
  • Şirket, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
  • Şirket, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
  • Şirket, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

  • 9.3.2. İdari Tedbirler

  • Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
  • Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
  • Şirket, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
  • Şirket, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
  • Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

  • 10.SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME

    Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Şirket, kişisel verileri saklama ve imha süreçlerinde görev alanlar ve iş tanımları aşağıdaki gibidir;

    KVKK Ekibi: Kişisel verilerin saklanması ve imhası konusunda Şirketin ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve eklerinin güncel tutulmasını sağlar, gerekli durumlarda Şirketin ilgili birimleri ile yakın çalışarak Politika’nın KVKK’ye ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.

    Hukuk Birimi: Kişisel verilerin saklanması ve imhası ile ilgili hukuki konularda danışmanlık yapar ve ilgili mevzuat değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar. Politika’nın mevzuata uygun olarak yürütülmesini temin eder.

    Bilgi teknolojileri: Politika’da belirtilen karar ve yöntemler ışığında ilgili imha ve saklama süreçlerinin mevzuata uygun şekilde gerçekleştirilmesini sağlar.

    Şirket’in ilgili iş birimleri: Kişisel verilerin saklanması ve imhası konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini belirtir ve bu Politika nezdinde yürütülmesi aksiyonların takibini yapar.

    Unvan Görev Tanımı
    Kişisel Veri Komitesi Yöneticisi Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.
    KVK Uzmanı (Teknik ve İdari) İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

    11.POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER


    11.1.KVKK, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Şirket Politika’yı yeni mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.


    11.2.Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet/ Portal üzerinden çalışanlarının erişimine sunacaktır.


    POLİTİKA’NIN YÜRÜRLÜK TARİHİ İşbu Politika Aralık 2018'de yürürlüğe girmiştir.