1. GİRİŞ VE POLİTİKANIN HAZIRLANMA AMACI
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Yakup Duran Şahıs Şirketi (“AHŞAP TÜRK” veya “ŞİRKET”), gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirket; Şirket çalışanları, müşteriler, tedarikçiler, çalışan adayları, üye ve ziyaretçiler dahil tüm ilgili kişilere ait kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını amaçlamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin tüm işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan iş bu politikaya uygun olarak gerçekleştirilir.
2. KAPSAM
Şirket çalışanları
Çalışan adayları
Müşteriler
Tedarikçiler
Üyeler
Ziyaretçiler
Hukuki uyuşmazlık yaşanan kişi
ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamında olup, Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde iş bu Politika uygulanır.
3. TANIMLAR
Kısaltma |
Tanım |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul |
Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
VERBİS |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği veri kayıt sistemi. |
Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik |
28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
4. KAYIT ORTAMLARI
İlgili kişiye ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta KVK Kanunu hükümleri olmak üzere, ilgili mevzuata uygun olarak uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik Ortamlar:
Şirket bilgisayarları
E-Posta sunucuları
Taşınabilir bellekler
Muhasebe programları
Sosyal medya hesapları
Telefon
Elektronik Olmayan Ortamlar:
Kâğıt, belge ve dosyalar
Yazılı, basılı, görsel ortamlar
Kilitli Dolaplar
5. İLKELER
Şirket, kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket etmektedir:
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde; Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
Şirket tarafından kişisel verilerin işlenmesi esnasında, ilgili kişilerin hakları korunmaktadır. Kişisel veriler, KVKK m.4’te yer alan genel ilkelere uygun şekilde toplanmakta ve işlenmektedir.
Kişisel verilerin imha edilmesi ile ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere 10 (on) yıl süreyle saklanmaktadır.
Şirket tarafından aksine bir karar alınmadıkça, kişisel verileri imha yöntemlerinden uygun olanı Şirket tarafından seçilmektedir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine imha edilmektedir. Bu hususta ilgili kişi tarafından Şirkete başvurulması halinde;
İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
6. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından işlenen kişisel veriler ilgili mevzuat gereği, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ve açık rıza işlenme şartları kapsamında elektronik veyahut elektronik olmayan ortamlarda güvenli bir biçimde KVK Kanunu ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
6.1 Saklamaya İlişkin Açıklamalar
Şirket tarafından işlenen kişisel verilerin muhafaza süreleri KVK Kanunu m.4/2.d “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi dikkate alınarak belirlenmiştir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
6.1.1 Saklamayı Gerektiren Hukuki Sebepler
Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Avrupa Birliği Genel veri Koruma Tüzüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu
6098 sayılı Türk Borçlar Kanunu
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
6502 sayılı Tüketicinin Korunması Hakkında Kanun
213 sayılı Vergi Usul Kanunu
6102 sayılı Türk Ticaret Kanunu
193 sayılı Gelir Vergisi Kanunu
4857 sayılı İş Kanunu
5271 sayılı Ceza Muhakemesi Kanunu
1136 sayılı Avukatlık Kanunu
5510 Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
6331 sayılı İş Sağlığı ve Güvenliği Kanunu
6100 sayılı Hukuk Muhakemeleri Kanunu
4721 sayılı Türk Medeni Kanunu
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
6.1.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda muhafaza eder.
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 213 sayılı Vergi Usul Kanunu, Vergi Usul Kanunu Genel Tebliği, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve diğer ilgili yasal mevzuatlar kapsamında kanuni yükümlülüklerin yerine getirilmesi,
- Alışveriş işlemlerinin gerçekleştirilmesi,
- Üyelik işlemlerinin gerçekleştirilmesi,
- Alışveriş geçmişine yönelik görüntüleme hizmeti verilmesi,
- Taleplerin değerlendirilmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Alışverişlere ilişkin e-fatura/e-arşiv faturanın tarafınıza gönderilebilmesi,
- Faturaların düzenlenebilmesi ve bazı durumlarda cari hesap ve mutabakat işlemlerinin yapılabilmesi,
- Belirli bir tutarın üzerinde veya hakkında açıkça bir düzenleme bulunan belirli bir ürün satın alınması halinde ilgili mevzuat kapsamındaki yükümlülüklerimizin yerine getirilmesi,
- Satış sonrası operasyonel işlemlerin yerine getirilmesi,
- Satış sonrası destek hizmetlerimizin yerine getirilmesi,
- Satın alınan ürünlerin kargo aracılığı ile teslim edilebilmesi,
- Ürün iadesi ve ücret iadesi süreçlerinin yürütülmesi,
- Ticari iletişim izni/açık rızası verilmesi halinde genel veya size özel kişiselleştirilmiş kampanyalar, avantajlar, promosyonlar, reklamlar, bilgilendirmeler, pazarlama faaliyetleri ile müşterile yönelik ticari iletişim faaliyetlerinde (SMS, e-posta vb) bulunulabilmesi,
- İletişim kanallarımız (çağrı merkezi, e-posta, site, mobil uygulama, sosyal medya vs.) üzerinden müşteriler ile iletişime geçilmesi halinde tarafımıza iletilen olduğunuz sorun, şikayet ve istekleriniz çözümlenmesi, gerektiğinde buna ilişkin olarak müşteriler iletişime geçilebilmesi,
- Doğacak uyuşmazlıklarda mahkeme, icra dairesi, hakem heyeti gibi resmi kurum ve kuruluşlara karşı her türlü dava, cevap ve itiraz hakkının kullanılması, uyuşmazlıklara ilişkin görüşme ve anlaşma süreçlerinin yürütülmesi
- Dava ve hukuki süreçlerin takibinin yapılması,
- Güvenlik, inceleme ve soruşturma kapsamında delil teşkil etmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
- İş akdinden kaynaklanan yükümlülüklerin ve işlemlerin yerine getirilmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Çalışanlara ait özlük dosyası oluşturulması,
- Çalışanların yasal haklarının takibi,
- Çalışanların sağlık durumunun elverişli olup olmadığının tespiti,
- İletişim faaliyetlerinin yürütülmesi,
- Maaş bordrolarının düzenlenmesi ve çalışanların maaşlarının ödenmesi,
- SGK işe giriş ve ayrılış bildirgelerin yapılması,
- İzin süreçlerinin yürütülmesi,
- Çalışanlara yönelik eğitim ve bilgilendirme çalışmalarının gerçekleştirilmesi,
- Personelin kan ihtiyacı olması durumunda gerekli desteğin sağlanması,
- İşyeri hekimi tarafından çalışanların periyodik muayene işlemlerinin yürütülmesi,
- Mesai ve puantaj işlemlerinin takip edilmesi,
- Projelerin yürütülmesi ve takip edilmesi,
- Görevlendirme süreçlerinin yürütülmesi,
- Acil durum süreçlerinin yürütülmesi,
- Güvenlik, inceleme, soruşturma ve dava kapsamında delil teşkil etmesi.
- Açık pozisyonlara iş başvurularının alınması,
- Başvuran kişilerin mesleki yeterliliklerinin incelenmesi ve değerlendirilmesi,
- Aday başvurularının değerlendirme süreçlerinin yürütülmesi,
- Adaylar ile iletişime geçilebilmesi,
- Sözleşme süreçlerinin yürütülmesi.
- Satın alma süreçlerinin yürütülmesi ve takibinin yapılması,
- Tedarikçi ödemelerine yönelik muhasebe takibinin yapılması,
- Tedarikçi ilişkilerinin takibinin yapılması,
- Tedarikçiler ile iletişim faaliyetlerinin yürütülmesi,
- Tedarikçilerin bilgilerinin güncellenmesi,
- İletişim faaliyetlerinin yürütülmesi,
- Ödeme işlemlerinin gerçekleştirilmesi,
- Yetkili kamu kurum ve kuruluşlarına bilgi verilmesi.
6.2 İmhayı Gerektiren Sebepler
Kişisel veriler;
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya iptali,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
KVK Kanunu m.5 ve m.6’da yer alan, kişisel verilerin işlenmesini gerektiren işlenme şartlarının ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
KVK Kanunu m.11 gereği ilgili kişinin hakları çerçevesinde yapılan, kişisel verilerinin silinmesi ve yok edilmesine ilişkin başvurunun Şirketimiz tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
7. ALINAN İDARİ ve TEKNİK TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için; KVK Kanunu m.12 ve m.6/4 gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
7.1. İdari Tedbirler:
Şirket idari tedbirler kapsamında;
- Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir
- Kişisel veri envanterleri hazırlanarak, mevcut risk ve tehditler belirlenmiştir.
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- Şirket, kriz yönetimi için “Kişisel Veri İhlali Olayı Müdahale Politikası ve Planı” hazırlamıştır. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede (72 saat içerisinde) ilgilisine ve Kurula bildirir.
- Kişisel verilerin aktarılması ile ilgili olarak, kişisel verilerin aktarıldığı 3. gerçek/tüzel kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
- Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın yöneticisi tarafından yöneticiye bildirilir. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında, gerekli işlem yapılır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılmaktadır.
- Çalışanlar için bilgi güvenliği ve veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Şirket tarafından hazırlanan sözleşmeler ile iş sözleşmelerine yönelik kişisel veri güvenliğine ilişkin hükümler eklenmiştir.
- Şirket içi periyodik ve rastgele denetim faaliyetleri gerçekleştirilmektedir.
- Özel nitelikli kişisel veri güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Şirket’in akdettiği iş sözleşmelerine kişisel verilerin korunmasına ilişkin madde veya bölümler (klozlar) yer almaktadır.
- Şirket e-postalarında kullanılmak üzere KVK Uyarı Metni hazırlanmıştır.
7.2. Teknik Tedbirler:
Şirket teknik tedbirler kapsamında;
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Parola Politikası olarak güçlü ve kompleks olacak şekilde en az 8 karakter büyük-küçük harf, rakam ve özel karakterler mevcuttur.
9. KİŞİSEL VERİLERİN İMHASI
Şirket kişisel verileri, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirket tarafından işbu politikaya göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Saklama süreleri sözleşmesel bir ilişki varsa, tarafların sözleşmeden kaynaklanan yükümlülüklerinin sona ermesiyle birlikte, diğer faaliyetler bakımından işlem tamamlandıktan ve kesin sonucu alındıktan sonra başlar.
Kişisel veriler, hukuki bir ihtilaf veya dava süreci olması halinde, hukuki süreç tamamlanana kadar saklanır.
10. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
Saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde ise, uygun yöntemi gerekçesini açıklayarak seçer. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere 10 (on) yıl süreyle saklanır.
10.1 Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m.4/b hükmünde “İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” şeklinde tanımlanmıştır.
Kişisel veriler aşağıda yer alan tabloda verilen yöntemlerle silinir.
10.1 Kişisel Verilerin Silinmesi Tablosu
VERİ KAYIT ORTAMI |
AÇIKLAMA |
Sunucularda yer alan kişisel veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç, diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için, evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
10.2 Kişisel Verilerin Yok Edilmesi:
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel veriler aşağıda yer alan tabloda verilen yöntemlerle yok edilir.
Kişisel Verilerin Yok Edilmesi Tablosu
VERİ KAYIT ORTAMI |
AÇIKLAMA |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
10.3 Kişisel Verilerin Anonim Hale Getirilmesi:
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Bununla birlikte Şirket, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi tekniklerinde Kurum’un yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni” (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf) dikkate almakta ve bu rehberde yayınlanan örneklerden uygun olanını seçmektedir.
11. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde “Şirket” tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için; re’sen silme, yok etme veya anonim hale getirme işlemi “Şirket” tarafından yerine getirilir.
Süreç Bazında Saklama ve İmha Süreleri Tablosu
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
Çalışanların Özlük Dosyalarının Oluşturulması Maaş Ödemelerinin Gerçekleştirilmesi |
Sözleşmenin/Hukuki İşlemin sona erme tarihinden itibaren 10 yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Kariyer.net Üzerinden İş Başvurularının Alınması |
1 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Gelen Siparişler Doğrultusunda Müşteri Verilerinin İşlenmesi Faturaların Kesilmesi Ödeme Makbuzlarının Kesilmesi |
İlgili Kişi ile Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
İSG Uzmanı ve İş Yeri Hekiminin Kişisel Verilerinin İşlenmesi (Hizmet Alımı) |
İlgili Kişi ile Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
İşyeri Hekimi Tarafından Çalışanların Periyodik Muayene/Hasta Muayene İşlemlerinin Yürütülmesi İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi |
İş akdinin sona ermesinden itibaren 15 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Gerçek Kişi ve Şahıs Şirketi Tedarikçilerin Kişisel Verilerinin İşlenmesi, Faturaların Kesilmesi |
10 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Dava, İcra, Arabuluculuk dosyalarında vs. yargılama süreçlerinde işlenen kişisel veriler |
Davanın kesinleşmesi akabinde 10 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Kamera Kaydı Alınması |
7 GÜN |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
Reklam ve pazarlama kapsamında müşterilere e-posta gönderilmesi |
2 Yıl |
Saklama Süresinin Bitimini Takip Eden İlk Periyodik İmha Süresinde |
12. PERİYODİK İMHA SÜRESİ
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m.11 gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirkette saklanır.
14. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika Şirket tarafından, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
15. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshası Şirket tarafından edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve saklanır.