1 - AMAÇ
Gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu Uluslararası Sözleşmeler ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve işleme şartlarının tamamının ortadan kalkması durumunda silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla işbu politika hazırlanmıştır.
Faaliyetlerimiz sırasında edindiğimiz tüm kişisel verilere ilişkin verinin işlenmesi, saklanması, aktarılmasına ilişkin işlemleri Kişisel Verilerin İşlenmesi ve Korunması Politikasına (“Politika”) göre gerçekleştirmekteyiz. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verinin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü, etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almaktayız. İşbu Politika, ticari veya sosyal sorumluluk ve benzeri faaliyetlerimiz sırasında paylaşılan kişisel verilerin KVKK ‘da anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri açıklamaktadır.
TANIMLAR
Ağ : Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden dolayı birbirine bağlandığı yapıya ağ denir.
Ağ cihazları : Ağ yapılarını oluşturmak için kullanılan cihazlardır.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Bilgi güvenliği : Bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek anlamına gelir.
Bulut sistemi : Bulut sistemi, verilerin uzaktan korunması, yönetilmesi için kullanıcıların ağ üzerinden erişebildiği bir sistem modelidir.
DDos : Sisteme kaldırabileceğinden fazla yük yükleyerek cevap veremez hale getiren
siber saldırıdır.
DDos Mitigator : DDos saldırısını engellemek üzere verilen hizmet
Doğrudan tanımlayıcılar : Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
İlgili kişi : Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
KVKK : 24.3.2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Karartma :Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri saklama ve imha politikası : Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli
olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Korelasyon : İki değişken arasındaki ilişkiyi değerlendirme yöntemidir.
Log : Bilgisayarlarda yapılan işlemin kaydedildiği belgelere denir
Maskeleme : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
Optik media : Optik medyalar, içeriği dijital biçimde tutan ve bir lazer tarafından yazılan ve okunan depolama ortamlarıdır.
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Zeroday : Daha önceden bilinmeyen veya tespit edilmemiş ancak ciddi saldırılara yol açacak zafiyetler barındıran yazılım ve donanım kusurlarıdır.
2 - KAYIT ORTAMLARI
İlgili kişilere ait kişisel veriler FİRMAMIZ (bundan böyle “Şirket’’ olarak ifade edilecektir) tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.
ELEKTRONİK ORTAMLAR |
ELEKTRONİK OLMAYAN ORTAMLAR |
Sunucular (Etki alanı, yedekleme, e-posta (Exchange) veri tabanı, web, dosya paylaşım, vb.)
ü Yazılımlar (ofis yazılımları, intranet, CRM, pdks, EBYS ü Bilgi güvenliği cihazları (güvenlik, günlük kayıt dosyasantivirüs vb. ) ü Kişisel bilgisayarlar (Masaüstü, dizüstü) ü Mobil cihazlar (telefon, tablet vb.) ü Optik diskler (CD, DVD vb.) ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü Yazıcı, tarayıcı, fotokopi makinesi |
ü Kâğıt ü Manuel veri kayıt sistemleri (anket formlarziyaretçi giriş defteri) ü Yazılı, basılı, görsel ortamlar |
3 - KİŞİSEL VERİLERİN SAKLANMASI
3.1. Kişisel Verilerin Saklandığı Ortamlar
Şirket , tamamen otomatik veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği kişisel verileri hukuka uygun olarak aşağıda yer alan ortamlarda saklamaktadır:
Elektronik Ortam:
Fiziksel Ortam:
3.2. Kişisel Verilerin Saklandığı Ortamların Güvenliğinin Sağlanması
Şirket, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
3.2.1 İDARİ VE TEKNİK TEDBİRLER
4- KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ VE TEKNİK SEBEPLER
4.1. Kişisel Verilerin Saklanmasını Gerektiren Sebepler
4.1.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler
Kişisel veriler Şirket tarafından;
Kurum faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.2. Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel Veriler;
4.2.1. Kişisel Verilerin İmhasını Gerektiren Hukuki Sebepler
Kişisel veriler Şirket tarafından;
5-KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.1. Kişisel Verilerin Silinmesi Süreci
5.2. Kişisel Verilerin Silinmesi
5.2.1. Kayıt Ortamlarına Göre Silme Yöntemleri
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir. Buna ilişkin örnekler aşağıda yer almaktadır.
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri
Şirket tarafından Bulut sisteminde bulunan veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken Şirket ilgili kullanıcılarının Bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.
b) Kâğıt Ortamında Bulunan Kişisel Veriler
Kâğıt ortamında bulunan kişisel veriler Şirket tarafından karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının Şirket tarafından kaldırılması gerekir. Anılan işlem gerçekleştirilirken Şirket, ilgili kullanıcısının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir.
ç) Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmelidir.
d) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmesi gerekir. Anılan işlem gerçekleştirilirken Şirket, ilgili kullanıcısının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir.
5.3. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
5.3.1. Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmesi gereklidir:
a) Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı Şirket tarafından belirlenerek kullanılabilir.
b) Çevresel Sistemler
Kurum veri kayıt ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
c) Kâğıt ve Mikro fiş Ortamları
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.
Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
ç) Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle Şirketin hizmet aldığı her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
Yukarıdaki ortamlara ek olarak; Şirketin arızalanan ya da bakıma gönderilen cihazlarında yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
6- ANONİM HALE GETİRİLMESİ
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.
6.1. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
6.1.1. Değer düzensizliği sağlamayan anonim hale getirme yöntemleri
Değer düzensizliği sağlamayan yöntemlerde kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır. Böylelikle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini korurlar.
6.1.2. Değer düzensizliği sağlayan anonim hale getirme şekilleri
Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır.
6.1.3 Anonim hale getirmeyi kuvvetlendirici istatistiksel yöntemler
Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya kişisel verilerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir.
7.1. Saklama ve İmha Süresi Tablosu
Kişisel Veri Kaynağı |
Süre |
Yasal Dayanak |
Çağrı Merkezi Ses Kayıtları |
3 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
Üyelik ve Rezervasyona İlişkin Kayıtlar |
10 Yıl |
6098 Sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar |
10 Yıl |
6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve Log Kayıtları |
6 Ay – En Fazla 2 Yıl |
5651 Sayılı İnternet Kanunu |
Ticari Elektronik Mail Onay Kayıtları |
Onayın geri alındığı tarihten itibaren 1 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri |
2 Yıl |
5651 Sayılı Kanun |
Müşterilere İlişkin Kişisel Veriler |
6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. |
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten sonra 10 Yıl |
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri |
10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Sözleşmeler |
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kurum İletişim Faaliyetleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İnsan Kaynakları Süreçleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Donanım ve Yazılıma Erişim Süreçleri |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Ziyaretçi ve Toplantı Kullanıcıların Kaydı |
Etkinliğin Sona ermesinden İtibaren 2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kamera Kayıtları |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) |
İş İlişkisinin sona ermesinden itibaren 5 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) |
İş İlişkisinin sona ermesinden itibaren 15 Yıl |
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin ce vaplanması |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) |
Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz |
6102 Sayılı Türk Ticaret Kanunu |
Burs ödemesi / Çalışan Avans Ödemesi |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) |
1 Yıl |
Sektörel teamüller geçerli. |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler |
10 Yıl |
6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
Sektörel Teamül |
Çalışan Memnuniyet Anketlerine İlişkin Veriler |
Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl |
Sektörel Teamül |
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler |
3 Yıl |
27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) |
Sözleşmenin Sona Ermesine Müteakip 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
Ziyaretçilerin Kişisel Verileri |
2 Yıl |
5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) |
90 Gün |
Sektörel Teamül |
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları |
En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl |
5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) |
2 Yıl |
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) |
15 Yıl |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) |
10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) |
13 Ay |
Avrupa Birliği / Sektörel Teamül Uygulaması |
Ölmüş Bir Kişinin Kişisel Verileri |
En Az 20 Yıl |
21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik |
7.2. Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
8.1. Periyodik İmha Gerektiren Durumlar
Şirket içinde kişisel verilerin imhası Kişisel Veriler Envanteri’ n de belirlenen sürelerde gerçekleştirilir ve en geç 6 (altı) aylık periyodlarla yapılır. Kişisel verilerin işlenme şartlarını ortadan kaldıran hallerden herhangi birinin gerçekleşmesi durumunda bu kişisel verilere ilişkin kayıtlar için bir sonraki imha periyodunda imha işlemi gerçekleştirilir.
Veri Sorumlusu Kişisel Veriler Envanteri üzerinden imha edilecek kişisel verileri tespit eder ve KVK Komitesi bölüm temsilcilerine bildirir. Bölüm temsilcisi, imha edilecek basılı ve elektronik kayıtları tespit eder.
8.2.Talep Üzerine İmha Gerektiren Durumlar
İlgili kişinin Kanun’dan kaynaklı hakkını kullanarak yaptığı başvurularda veya Kişisel Verileri Koruma Kurumu’nun talebine göre imha işlemi talebinin Kuruma ulaşmasından itibaren 30 gün içinde gerçekleştirilerek ilgili kişiye cevap iletilir.
Kişisel veriler Talep Yönetim Süreci aracılığıyla gelen imha talepleri için Veri Sorumlusu, KVK Komitesi bölüm temsilcilerinden oluşturacağı ilgili çalışma grubu ile inceler ve imha edilecek kayıtları talebin Kuruma ulaşması tarihinden itibaren en geç 10(on) gün içinde tespit eder.
8.3. İmha Yönteminin Belirlenmesi
Kişisel Veriler Envanterinde, imha edilecek kişisel verinin bulunduğu ortamın türü, kritikliği ve hassasiyetine göre Kişisel Verileri Koruma Kanununda belirtilen imha yöntemlerine göre imha türüne karar verilir. Eğer yok etme işlemi gerçekleştirilecekse, işlemin ardından oluşan fiziksel atıklar, güvenli ve geri döndürülemeyecek şekilde elden çıkarılır.
Silme |
Yok Etme |
Anonim Hale Getirme |
||
Silinerek |
Parçalanarak (Shredding) |
Anonimleştirilerek |
||
Formatlanarak |
Yakılarak |
- |
||
Üzerine yazılarak |
- |
- |
||
Manyetik alan ile |
- |
- |
||
Fiziksel İmha Türleri |
Dijital İmha Türleri |
|
||
Parçalanarak (Shredding) |
Formatlanarak |
|
||
Yakılarak |
Anonimleştirilerek |
|
||
Üzerine yazılarak |
Üzerine yazılarak |
|
||
Manyetik alan ile |
Silinerek |
|
||
Ortamlara göre imha yöntemi aşağıda örneklendirilmiştir;
Kişisel Veri İçeren Ortam |
İmha Çeşidi |
İmha Yöntemi |
Kâğıt |
Fiziksel İmha |
Parçalanarak |
CD, DVD, Disket vb. |
Fiziksel İmha |
Parçalanarak |
Taşıyıcı Bellek, SD Kart (USB) |
Dijital İmha |
Formatlanarak |
Veri Tabanı |
Dijital İmha |
Anonimleştirilerek, Silinerek |
Harici/Dahili Disk |
Dijital İmha |
Formatlanarak, Parçalanarak |
Elektronik Yazışma (E-posta vb.) |
Dijital İmha |
Silinerek |
8.4. İmhanın Gerçekleştirilmesi
İmhası gerçekleştirilecek kişisel veriler,
Veri Sorumlusu, imha edilecek kişisel verileri veri işleyen taraflara da bildirerek ilgili taraflarda bulunan kayıtlarında imhasını sağlar.
8.5. Tespit Edilen Kişisel Verilerin Tamamının İmha Edildiğinden Emin Olunması
Veri Sorumlusu; Kişisel verilerin tamamının, planlanan zaman aralığında ve tespit edilen kayıtlarla imhayı KVK Komitesi tarafından imha edildiğini kontrol eder. Kişisel verilerin imhasının gerçekleştirilmesinin ardından İmha Ekibi, Kişisel Veri İmha Tutanağı ‘nu doldurur ve Veri Sorumlusu’ nun onayını alır. Bu form Veri Sorumlusu tarafından diğer hukuki yükümlülükler saklı kalmak üzere en az 10 (On) yıl süreyle saklanır.