Kvkk Veri Saklama Ve İmha Politikası
KVKK VERİ SAKLAMA VE İMHA
POLİTİKASI
GİRİŞ
Kişisel Veri
Saklama ve İmha Politikası (“Politika”); Akyacht Yatçılık Sanayi ve
Ticaret Anonim Şirketi’nin (“Şirket”) kişisel veri işlediği süreçlere
dâhil olan ve Türkiye’de faaliyet gösteren tüm iştirak, müdürlük, birim ve
çalışanları ile üçüncü tarafları ve Şirket’in kişisel veriler üzerinde
uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır. İşbu Politika
sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır.
Mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi
veya yürürlükten kaldırılması durumunda Şirket, Politika’yı yeni mevzuata
uyumlu olacak şekilde güncelleyerek değiştirecektir.
TANIMLAR
İşbu Politika’nın
uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;
|
Alıcı grubu |
Veri sorumlusu tarafından kişisel verilerin
aktarıldığı, gerçek veya tüzel kişilerin oluşturduğu gruptur. |
|
İlgili kullanıcı |
Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri
sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesidir. |
|
KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. |
|
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen, kişisel verilerin bulunduğu her türlü ortamdır. |
|
Kişisel veri işleme envanteri |
Şirketin iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel
verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri
konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri
amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen
kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdığı envanterdir. |
|
Kurul |
Kişisel Verileri Koruma Kurulu’dur. |
|
Periyodik imha |
KVKK’da yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda, işbu Politika’da belirtilen belirli
zaman aralıklarında Şirket tarafından re’sen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
|
Sicil |
Veri Sorumluları
Sicilidir. |
|
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt sistemidir. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişidir. |
|
Yönetmelik |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Haline Getirilmesi Hakkında Yönetmelik’tir. |
AMAÇ VE KAPSAM
İşbu
Politika, KVKK’nin 7. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer
alan, kişisel verilerin imhasından sorumlu olan gerçek veya tüzel kişiler
hakkında uygulanır ve Şirket ile Şirket’in sözleşme ile sorumlu kıldığı üçüncü
kişiler tarafından uyulması gereken esasları belirler.
Yönetmelik
uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak,
uhdesinde bulunan kişisel verileri kişisel veri envanterine uygun bir şekilde
saklamak ve gerektiğinde imha etmek için işbu Politika’yı hazırlamak ve uygun
hareket etmek ile yükümlüdür.
Kişisel verilerin
saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
a)
KVKK’nin 4’üncü maddesindeki genel ilkelere uyulacaktır.
b)
Şirket, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin
Yönetmelik, KVKK ve ilgili mevzuata uygun olarak imha edildiği anlamına
gelmeyeceğini kabul etmektedir.
c)
Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale
getirirken, KVKK’nin 12. maddesinde yer alan güvenlik tedbirlerine, ilgili
mevzuatta yer alan hükümlere, Kurul’un alacağı kararlara ve bu Politika’ya
uygun hareket edeceğini kabul, beyan ve taahhüt eder.
d)
Şirket, bünyesinde bulundurduğu kişisel verilerin, amacı tamamen veya kısmen
otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında, işbu
Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere
uygunluk sağlayacağını taahhüt eder.
e)
Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı
olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik
ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, kişisel
verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili oluşturulan
teknik kılavuzlarda tarif edilir.
f)
Şirket, kişisel verileri saklama ve imha süreçlerinde hazır bulunacak
çalışanları olacaksa, bunların unvan, birim ve görev tanımlarını belirler.
ORTAMLAR VE GÜVENLİK
TEDBİRLERİ
4.1. Kişisel Verilerin
Saklandığı Kayıt Ortamları
Şirket
nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki
yükümlülüklerimize uygun bir kayıt ortamında tutulur. Şirket, işbu Politika ile
kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak
ortaya çıkabilecek diğer ortamlardaki kişisel verileri, Politika’nın kapsamına
dâhil etmeyi kabul eder. Şirket her halde veri sorumlusu sıfatıyla hareket
etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması
Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak
işlemek ve korumaktadır.
a) Şirket
adına kullanılan bilgisayarlar/sunucular,
b) Ağ
cihazları,
c) Ağ
üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk
sürücüleri,
d) Mobil
telefonlar ve içerisindeki tüm saklama alanları,
e) Kâğıt,
f) Optik
diskler,
g) Taşınabilir
diskler ve flash hafızalar,
h) Bulut
ortamlar.
a.
Ortamların
Güvenliğinin Sağlanması
Şirket, kişisel verilerin güvenli bir şekilde saklanması ile
hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel
veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve
idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla
kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine
uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
4.2.1. Teknik Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili
verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki
teknik tedbirleri almaktadır:
·
Kişisel verilerin
tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli
sistemler kullanılmaktadır.
·
Kişisel verilerin
tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
·
Bilişim sistemleri
üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve
araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit
edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
·
Kişisel verilerin
tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin,
kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin
verilmekte ve tüm erişimler kayıt altına alınmaktadır.
·
Şirket bünyesinde kişisel verilerin tutulduğu ortamların
güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
·
Kişisel verilerin güvenli bir biçimde
saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları
kullanılmaktadır.
4.2.2. İdari Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili
verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari
tedbirleri almaktadır:
·
Kişisel verilere erişimi
olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel
hayatın gizliliği konularında farkındalıklarının artırılması ve
bilinçlendirilmesi için çalışmalar yapılmaktadır.
·
Bilgi güvenliği, özel
hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip
etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti
alınmakta veya personel istihdam edilmektedir.
·
Kişisel verilerin teknik
ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili
üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta,
ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli
tüm özen gösterilmektedir.
4.2.3. Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve
işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve
Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler
yapmaktadır.
Şirket içi denetimler
sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit
edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da
sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni
olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket
bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
KİŞİSEL VERİLERİN
SAKLAMA NEDENLERİ
Şirket bünyesinde tutulan kişisel veriler Kanun ve Kişisel
Veriler Politikamız ve Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması
Politikamız (ilgili politikalara akyacht.net veya akyacht.com adresinden ulaşabilirsiniz) uyarınca, burada belirtilen
amaç ve nedenlerle saklanmaktadır.
6. KİŞİSEL VERİLERİN
İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen
kapsamda bir ihlal olması durumunda Potansiyel Güvenlik İhlal durumu kabul
edilerek Şirket tarafından ilgili güvenlik ihlal süreçleri işletilecek, bunlara
ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul
ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu
rapor ve bildirimlerin yapılması için Şirket’in ihlal yönetimi süreçleri
uygulanacaktır.
6.1. KVKK’ye Aykırılık
Şirket, kişisel
verileri KVKK’de belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
Şirket, KVKK’nin 5
ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar
mevcut olmadığı sürece;
a) KVKK’de
belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel
verilerini saklamayacaktır.
b) İstisna
kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan
kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu kişisel
verileri saklamayacak ve imha edecektir.
6.2. Kişisel Veri
İşleme Şartlarının Ortadan Kalkması
Şirket, veri
işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri
işleyen ilgili tüm çalışanları ile paylaşır.
Çalışanlar, veri
işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam
etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile Şirket içi
oluşturulmuş KVKK Denetim Birimi ve Hukuk Birimleri eşliğinde denetimi yapılır,
işbu Politika’ya uygun şekilde imha işlemi gerçekleştirilir.
Şirket aşağıda
listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme
şartlarının ortadan kalktığını kabul eder:
a) İlgili
mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin
değiştirilmesi veya yürürlükten kaldırılması,
b) Taraflar
arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması,
sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden
dönülmesi,
c) Kişisel
verilerin işlenmesini gerektiren amacın ortadan kalkması,
d) Kişisel
verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
e) Kişisel
verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde,
ilgili kişinin rızasını geri alması,
f) İlgili
kişinin, KVKK’nin 11’inci maddesinin (e) ve (f) bentlerindeki hakları
çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun
başvurunun Şirket tarafından kabulü,
g) Şirket,
ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan
başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’de öngörülen
süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu
talebin Kurul tarafından uygun bulunması,
h) Kişisel
verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut
olmaması.
7. KİŞİSEL VERİLERİN
İMHASI
Kişisel
verilerin imhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir.
Şirket
bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi
sistemleri ve uygulama sahipleri, İç Denetim Ekibi, Hukuk Birimi ve konuyla
ilgili olabilecek diğer kişi ya da bölümler kişisel verilerin imhası için
uygulanacak yönteme bu imhanın nedenine bağlı olarak yazılı karar verir. Bu
yazılı karar gereğince işbu Politika’nın ilgili maddelerinde yer alan imha
yöntemlerinden biri, Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok
Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır.
Kişisel
verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili Şirket
ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar.
Kişisel
verilerin imhasının takibi Şirket içerisindeki ilgili veri sahibi iş biriminin
sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi
kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek
alır.
7.1.Kişisel Verilerin
Silinmesi
Tamamen veya
kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu
kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
Herhangi bir veri
kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen
kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde
bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Şirket
kişisel verilere erişim ve yetkilendirme anlamında Şirket’in mevcut durumda
bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki
matrisleri dahilinde güncellemelerini yapar ve ilgili kullanıcıları tespit
eder. İlgili Kullanıcıların erişim, geri
getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit
edilir.
Şirket, kişisel
verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar
kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir
kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.
7.2. Kişisel Verilerin
Yok Edilmesi
Kişisel
verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok
etme işlemi, Şirket ‘in verileri fiziksel kayıt ortamlarında işlediği
durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün
olmayacak hale getirmekle yükümlüdür.
Kağıt
ortamı için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma
makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük
parçalara bölünerek yok edilecektir. Ayrıca, Şirket bu kapsamda Üçüncü
Taraflardan imha hizmeti alabilir.
7.3. Kişisel Verilerin
Anonimleştirilmesi
Anonim
hale getirme işlemi, Şirket’in kişisel verileri tamamen veya kısmen otomatik
yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesidir.
Şirket,
ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak
ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesini engelleyerek
bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek
kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar.
Verilerin
anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi
yöntemler kullanabilir.
8. KİŞİSEL VERİLERİN
İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel
verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri
İşbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika
içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla
yükümlüdür.
Şirket,
Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması
Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi
doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen
süreler içinde re’sen siler, yok eder veya anonim hale getirir.
İmha
sürecinde Şirket veri imha talimatına uygun olarak kayıtlar oluşturulur. Özel
nitelikli kişisel verilerin silinmesi sürecinde elektronik ortamdaki imha
süreci sertifikalandırılır. Kişisel verilerin imhası sırasında Şirket vereceği
yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı
gerçekleştirir:
Silme Yöntemleri
|
Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri |
||
|
Karartma |
: |
Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak
silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün
olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri
döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep
kullanılarak görünemez hale getirilmesi şeklinde yapılır. |
|
Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme
Yöntemleri |
||
|
Yazılımdan güvenli
olarak silme |
: |
Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir
daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen
verilere tekrar ulaşılamaz. |
Yok Etme Yöntemleri
|
Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri |
||
|
Fiziksel yok etme |
: |
Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir
araya getirilemeyecek şekilde yok edilir. |
|
Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri |
||
|
Fiziksel yok etme |
: |
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması
veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.
Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir
metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması
sağlanır.
|
|
De-manyetize etme
(degauss) |
: |
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki
verilerin okunamaz biçimde bozulması işlemidir. |
|
Üzerine yazma |
: |
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez
0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve
kurtarılmasının önüne geçilir.
|
|
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri |
||
|
Yazılımdan güvenli
olarak silme |
: |
Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde
dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde
kişisel verileri kullanılır hale getirmek için gerekli şifreleme
anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar
ulaşılamaz. |
Anonimleştirme
Yöntemleri
Anonimleştirme, kişisel
verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesidir.
|
Değişkenleri
çıkarma |
: |
İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi
herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya
da bir kaçının çıkarılmasıdır.
Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği
gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin
bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
|
Bölgesel gizleme |
: |
Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu
içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek
bilgilerin silinmesi işlemidir.
|
|
Genelleştirme |
: |
Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici
bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
|
|
Alt ve üst sınır
kodlama / Global kodlama |
: |
Belli bir değişken için o değişkene ait aralıklar tanımlanarak
kategorilendirilmesidir. Değişken sayısal bir değer içermiyorsa bu halde
değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori
içinde kalan değerler birleştirilir. |
|
Mikro
birleştirilme |
: |
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir
sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere
ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin
ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile
değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar
bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi
zorlaştırılır.
|
|
Veri karma ve
bozma |
: |
Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka
değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır
ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
|
Şirket, kişisel verilerin anonim hale getirilmesi için ilgili
verinin niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da
birkaçını kullanır.
9.SAKLAMA VE İMHA
SÜRELERİ
|
VERİ SAHİBİ |
VERİ KATEGORİSİ |
AZAMİ VERİ SAKLAMA SÜRESİ |
|
Çalışan |
Sosyal Güvenlik Kurumuna gerçekleştirilen
bildirimlere(işe giriş bildirgesi, prim ve hizmet belgeleri, eksik gün
bildirimleri, tahakkuklar, işten ayrılış bildirgesi gibi) esas verileri
içerir, ücret ve yan hak hesap ve tediye belgeleri, işe giriş tarihini
belgeler işe alım evrakları, ücret ve yan hakları, işe giriş ve ayrılış
tarihini içerir kayıtlar |
Olası bir hizmet/ücret tespiti talebi ile Sosyal Güvenlik Kurumunun
alacak talebine istinaden hizmet akdinin devamı ve hitamından itibaren de
10(on) yıl müddetle muhafaza edilir. |
|
Çalışan |
Özlük kayıtları |
Hizmet akdinin devamında ve hitamını takip eden takvim
yılı başından itibaren 10(on) yıl süreyle saklanmaktadır. |
|
Çalışan |
İşyeri Kişisel Sağlık Dosyası İçeriğindeki
Veriler |
Hizmet akdinin devamında ve hitamından
itibaren 15(onbeş) yıl müddetle muhafaza edilir. |
|
İş Ortağı/Çözüm Ortağı/Danışman |
İş Ortağı/Çözüm Ortağı/Danışman ile Şirket
arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi,
finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm
Ortağı/Danışman çalışanı verileri |
İş Ortağı/Çözüm Ortağı/Danışmanın,
Şirket'le olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk
Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile
saklanır. |
|
Ziyaretçi |
Şirket'e ait fiziki mekana girişte alınan
kamera kayıtları. |
3 ay süre ile saklanır. |
|
Çalışan Adayı |
Çalışan Adayına ait özgeçmiş ve işe başvuru
formunda yer alan bilgiler |
En fazla 2 yıl olmak üzere özgeçmişin
güncelliğini kaybedeceği süre kadar saklanır. |
|
Stajyer(öğrenci) |
Stajyer'e ait staj dosyasında yer alan
kimlik, iletişim, finans, fotoğraf bilgileri. |
Staj ilişkisinin devamında ve hitamını
takip eden takvim yılı başından itibaren 10(on) yıl süreyle saklanmaktadır. |
|
Müşteri |
Müşteri'ye ait ad, soyad, T.C.K.N., adres,
iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri,
işlem geçmişi |
Müşteri'nin, satın almış olduğu her bir
ürün/hizmetin sunulmasından itibaren
Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre
ile saklanır. |
|
Müşteri |
Kamera görüntüleri |
3 ay süre ile saklanır. |
|
Müşteri Adayı |
Potansiyel Müşteri ile Şirket arasındaki
ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses
kayıtları |
2 yıl süre ile saklanır. |
|
Şirketin İşbirliği İçinde Olduğu
Kurum/Firmalar (Tedarikçi vs) |
Şirketin İşbirliği İçinde Olduğu
Kurum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses
kayıtları, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri |
Şirketin İşbirliği İçinde Olduğu
Kurum/Firmaların, Şirket'le olan iş/ticari ilişkisi süresince ve sona
ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82
uyarınca 10 yıl süre ile saklanır. |
*Mevzuat uyarınca daha
uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak
düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması
halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul
edilir.
9.1.Periyodik İmha ve
Yasal Saklama Süreleri
Yasal
saklama ve imha sürelerini dolduran fiziksel ve elektronik veriler, periyodik
olarak imha edilir. Şirket, imha yükümlülüğünün ortaya çıktığı tarihi takip
eden ilk periyodik imha işleminde, kişisel verileri imha eder.
Periyodik
imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir.
Periyodik imha sırasında baz alınacak yasal saklama süreleri, Şirketin Kişisel
Veri Envanteri’nde belirlenmiştir. İmha işlemi, imha yükümlülüğünün doğmasını
takiben ilk Periyodik imha sırasında uygulanır.
İmha
edilen kişisel verilere ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar
üç yıl süre ile saklanır.
9.2.Veri Sahiplerinin
Talep Etmesi Durumunda İmha Süreci
Veri
sahiplerinin Şirket’e başvurarak kendisine ait kişisel verilerin imhasını talep
ettiği durumlarda Şirket, kişisel verileri işleme şartlarının mevcut durumunu
kontrol eder. Söz konusu kontrol sonucunda;
·
Kişisel verileri işleme şartlarının tamamının ortadan
kalktığı anlaşılırsa, talebe konu kişisel veriler işbu Politika’da belirtilen
karar ve yöntemlere uygun olarak en geç otuz gün içinde imha edilir ve ilgili
kişiye bilgi verilir.
·
Kişisel verileri işleme şartlarının ortadan kalktığı ve
talebe konu olan kişisel verilerin üçüncü kişilere aktarıldığı anlaşılmışsa,
Şirket bu durumu ilgili üçüncü kişiye bildirir ve üçüncü kişi nezdinde,
Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
·
Kişisel verileri işleme şartlarının tamamı ortadan
kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi
reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirir.
Veri
sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Şirket
bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi
Süreci oluşturulur.
9.3. İmha İşleminin
Hukuka Uygunluğunun Denetimi
Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde
re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel
Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve
İmha Politikasına uygun olarak yapar.
Şirket, imha işlemlerinin bu düzenlemelere uygun olarak
yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler
almaktadır.
9.3.1. Teknik Tedbirler
·
Şirket, işbu politikada yer alan her bir imha yöntemine uygun
teknik araç ve ekipman bulundurur.
·
Şirket, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
·
Şirket, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
·
Şirket, imha işlemini yapacak yetkin ve tecrübeli elemanlar
istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.
9.3.2. İdari Tedbirler
·
Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği,
kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının
artırılması ve bilinçlendirilmesi için çalışmalar yapar.
·
Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel
verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip
etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti
alır.
·
Şirket, teknik ya da hukuki gereklilikler nedeniyle imha
işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel
verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu
protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
·
Şirket, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama
ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp
yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
·
Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim
hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz
konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl
süreyle saklar.
10.SAKLAMA VE İMHA
SÜREÇLERİNDE YETKİLENDİRME
Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri
Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve
Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun
olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve
süreçleri denetlemekle yetkili ve görevlidir. Şirket, kişisel verileri saklama ve imha süreçlerinde görev
alanlar ve iş tanımları aşağıdaki gibidir;
KVKK
Ekibi: Kişisel verilerin saklanması ve imhası
konusunda Şirketin ilgili iş birimleriyle
beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve
eklerinin güncel tutulmasını sağlar, gerekli durumlarda Şirketin ilgili birimleri ile yakın çalışarak Politika’nın
KVKK’ye ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.
Hukuk
Birimi: Kişisel verilerin saklanması ve imhası ile ilgili hukuki
konularda danışmanlık yapar ve ilgili mevzuat
değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar.
Politika’nın mevzuata uygun olarak yürütülmesini temin eder.
Bilgi
teknolojileri: Politika’da belirtilen karar ve yöntemler
ışığında ilgili imha ve saklama süreçlerinin mevzuata uygun şekilde
gerçekleştirilmesini sağlar.
Şirket’in
ilgili iş birimleri: Kişisel verilerin saklanması ve imhası
konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini
belirtir ve bu Politika nezdinde yürütülmesi aksiyonların takibini yapar.
|
Unvan |
|
Görev Tanımı |
|
Kişisel Veri Komitesi Yöneticisi |
: |
Kanuna uyumluluk sürecinde yürütülen projelerde her
türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek;
Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri
Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve
ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
|
KVK Uzmanı (Teknik ve İdari) |
: |
İlgili kişilerin taleplerinin incelenmesi ve
değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından;
Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara
bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi
Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha
süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri
Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin
yürütülmesinden sorumludur.
|
11.POLİTİKA’DA
YAPILACAK DEĞİŞİKLİKLER
11.1.KVKK, Yönetmelik
veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi,
güncellenmesi veya yürürlükten kaldırılması durumunda, Şirket Politika’yı yeni
mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
11.2.Şirket, Politika
üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen
Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet /
Portal üzerinden çalışanlarının erişimine sunacaktır.
POLİTİKA’NIN YÜRÜRLÜK
TARİHİ
İşbu
Politika ARALIK 2023 tarihinde yürürlüğe girmiştir.