YUNUS MARKETİŞLETMELERİ TİCARET A. Ş.
KVKK
KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKAS
1. GİRİŞ
1.1 Amaç
Bu “Kişisel Verileri Saklama ve İmha Politikası” dokümanı, bundan sonra “Politika” olarak anılacaktır, YUNUS MARKET İŞLETMELERİ TİCARET A.Ş. (bundansonra “ŞİRKET” olarak anılacaktır) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimiz; kuruluş, misyon, vizyon ve temel ilkeleri doğrultusunda aşağıda sıralanan kişilere ait kişisel verilerin başta Anayasa, uluslararası sözleşmeler, 6698 sayılıKişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Bu bağlamda;
·Çalışan
·Çalışan Adayı
·Hissedar/Ortak
·Stajyer
·Tedarikçi Çalışanı
·Tedarikçi Yetkilisi
·Ürün veya HizmetSatan Kişi
·Ürün veya HizmetAlan Kişi
·Ziyaretçi
Verilerinin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Aşağıda sıralanan kişilerin kişisel verileri bu Politika kapsamındadır. Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
·Çalışan
·Çalışan Adayı
·Hissedar/Ortak
·Stajyer
·Tedarikçi Çalışanı
·Tedarikçi Yetkilisi
·Ürün veya HizmetSatan Kişi
·Ürün veya HizmetAlan Kişi
·Ziyaretçi
1.3 Kısaltmalar veTanımlar
Alıcı Grubu : Veri sorumlusutarafından kişisel verilerinaktarıldığı gerçek
veya tüzel kişi kategorisi.
Açık Rıza : Belirli bir konuya ilişkin,bilgilendirilmeye dayanan ve özgür
iradeyle açıklananrıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
surette kimliğibelirli veya belirlenebilir bir gerçek kişiyle İlişkilendirilemeyecek hale getirilmesi.
Başvuru Formu : Kişisel veri sahiplerinin haklarını kullanmak için yapacakları
başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel VerileriKoruma Kurumunun çıkardığıVeri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğine uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.
Çalışan : Şirket personeli.
Elektronik Ortam : Kişiselverilerin elektronik aygıtlarile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam
: Elektronik ortamların dışında kalan tüm yazılı, basılı,görsel vb. diğer ortamlar.
Hizmet Sağlayıcı : Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan
gerçek veya tüzel kişi.
İlgili Kişi : Kişisel verisiişlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknikolarak depolanması, korunması ve
yedeklenmesinden sorumluolan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesiveya anonim hale getirilmesi.
Kanun : 6698 SayılıKişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatikolan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıylaotomatik olmayan yollarla işlenenkişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirliveya belirlenebilir gerçekkişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri
: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileriişleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi
Kişisel Verilerin Silinmesi
Kişisel Verilerin Yok Edilmesi
: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekildeerişilemez ve tekrar kullanılamaz hale getirilmesi.
: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul : Kişisel VerileriKoruma Kurulu
Özel Nitelikli Kişisel Veri
: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,sağlığı, cinsel hayatı,ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodikİmha : Kanunda yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika : Kişisel VerileriSaklama ve İmha Politikası
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu
adına kişisel verileri işleyen gerçekveya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerinişleme amaçlarını ve vasıtalarını belirleyen,
veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi
: Verisorumlularının Sicile başvurudave Sicile ilişkinilgili
diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihliResmi Gazetede yayımlanan Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. SORUMLULUKVE GÖREV DAĞILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idaritedbirlerin gereği gibi uygulanması, birimçalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlubirimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçleri, Kişisel Verileri Koruma Komitesi tarafından takip edilir.
3. KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenlibir şekilde saklanır.
·Kağıt
·Fiziksel Arşiv
·Dijital Arşiv
4. SAKLAMAVEİMHAYA İLİŞKİN AÇIKLAMALAR
Şirketimiz tarafından aşağıda sıralanan kişilere ait kişisel veriler Kanuna uygun olaraksaklanır ve imha edilir:
·Çalışan
·Çalışan Adayı
·Hissedar/Ortak
·Stajyer
·Tedarikçi Çalışanı
·Tedarikçi Yetkilisi
·Ürün veya HizmetSatan Kişi
·Ürün veya HizmetAlan Kişi
·Ziyaretçi
Bu kapsamdasaklama ve imhaya ilişkin detaylıaçıklamalara aşağıda sırasıylayer verilmiştir.
4.1 Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenenkişisel verinin işlendikleri amaçlabağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gereklisüre kadar muhafazaedilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
4.1.1 Saklamayı Gerektiren Hukuki Sebepler
Şirketimizde, faaliyetleri çerçevesinde işlenen kişiselveriler, ilgili mevzuattaöngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler:
·Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudandoğruya ilgili olması nedeniyle saklanması,
·Kişisel verilerin bir hakkın tesisi,kullanılması veya korunmasıamacıyla saklanması,
·Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
·Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
·Mevzuatta kişisel verilerinsaklanmasının açıkça öngörülmesi,
·Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2 Saklamayı Gerektiren Hukuki Dayanaklar
Şirketimizde, faaliyetleri çerçevesinde işlenen kişiselveriler, aşağıdaki hukuksaldayanaklar veya sözleşmeler kapsamında muhafaza edilir:
4857 Sayılı İş Kanunu
İş Sözleşmesi
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
Sosyal Güvenlik Mevzuatı
6098 Sayılı Türk Borçlar Kanunu
6698 Sayılı KişiselVerilerin Korunması Kanunu
Vergi Mevzuatı
6502 Sayılı Tüketicinin Korunması Hakkında Kanun
Türk Ticaret Kanunu
Hizmet Sözleşmesi
Satış Sözleşmesi
5651 Sayılı İnternet OrtamındaYapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
Staj Sözleşmesi
4.1.3 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişiselverileri aşağıdaki amaçlardoğrultusunda saklar.
Acil Durum YönetimiSüreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının BaşvuruSüreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan KaynaklıYükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebeİşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin TakibiVe Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin AlınmasıVe Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / HizmetSatın Alım Süreçlerinin Yürütülmesi
Mal / HizmetSatış Süreçlerinin Yürütülmesi
Mal / HizmetÜretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri YönetimiSüreçlerinin Yürütülmesi
Müşteri Memnuniyetine YönelikAktivitelerin Yürütülmesi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Reklam / Kampanya/ Promosyon Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri YönetimiSüreçlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
İnternet Sitesi İşlevlerinin Yerine Getirilmesi
İnternet Sitesi KullanımDeneyiminin İyileştirilmesi
4.2 İmhayı GerektirenSebepler
Yönetmelik uyarınca,aşağıda sayılan hallerdeveri sahiplerine ait kişisel veriler,Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
·Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
·Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
·Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
·Kişisel verileri işlemeninsadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
·İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkinyaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
·Veri sorumlusunun, ilgilikişi tarafından kişiselverilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği
cevabın yetersizbulunması veya Kanun’daöngörülen süre içindecevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
·Kişisel verilerin saklanmasını gerektiren azami süreningeçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5. TEKNİKVE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyleKanunun 6’ncı maddesidördüncü fıkrası gereği özel niteliklikişisel veriler için Şirket Yönetimi veya KVKK Komitesi tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınanteknik tedbirler aşağıdasayılmıştır:
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Bilgi teknolojileri sistemleri tedarik,geliştirme ve bakımıkapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliğihükümleri içeren disiplindüzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim, bilgi güvenliği, kullanım,saklama ve imha konularında kurumsalpolitikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılançalışanların bu alandakiyetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleriiçermektedir.
Kağıt yoluyla aktarılan kişiselveriler için ekstra güvenlik tedbirleri alınmakta ve ilgilievrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliğisorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fizikselortamlara giriş çıkışlarla ilgili gerekli güvenlikönlemleri alınmaktadır.
Kişisel veri içeren fizikselortamların dış risklere(yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içerenortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişiselverilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimive yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veyarastgele denetimler yapılmakta ve yaptırılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Veri işleyen hizmetsağlayıcılarının, veri güvenliğikonusunda farkındalığı sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusundabelli aralıklarla denetimi sağlanmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelikprotokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel verilerelektronik posta yoluylagönderilecekse mutlaka şifreliolarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınanidari tedbirler aşağıdasayılmıştır:
Çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Çalışanların niteliği ve teknik bilgi/becerisi geliştirilmektedir.
Güvenlik politikave prosedürlerine uymayançalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
İletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmektedir
Kağıt ortamında aktarımı gerekiyorsa evrak "Gizlilik DereceliBelgeler" formatında gönderilmektedir.
Kişisel veri işlemeye başlamadan önce kurum/kuruluş tarafından, ilgili kişilere aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel verilerehukuka aykırı erişilmesi önlenmektedir.
Kişisel verilerin hukukaaykırı işlenmesi önlenmektedir.
Kişisel verilerin muhafazası sağlanmaktadır.
Kurum içi periyodikve rastgele denetimler yapılmaktadır.
Özel nitelikli kişisel verilerinişlendiği ve saklandığı ortamların güvenlik önlemleri alınmaktadır
Özel nitelikli kişisel verilerini işlenmesi süreçlerinde yer alana çalışanlara veri güvenliği konularında eğitim verilmektedir
Yetkisiz giriş çıkışlar engellenmektedir
6. KİŞİSELVERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel verilerTablo-1’de verilen yöntemlerle silinir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel | Sunucularda yer alan kişisel verilerden saklanmasını |
Veriler | gerektiren süre sona erenler için sistem yöneticisi |
| tarafından ilgilikullanıcıların erişimyetkisi kaldırılarak silme |
| işlemi yapılır. |
Elektronik Ortamda Yer | Elektronik ortamda yer alan kişisel verilerden |
Alan Kişisel Veriler | saklanmasını gerektiren süre sona erenler, veritabanı |
| yöneticisi hariç diğerçalışanlar (ilgili kullanıcılar) içinhiçbir şekilde erişilemez ve tekrarkullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sonaerenler için evrakarşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeriokunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Tablo 1: KişiselVerilerin Silinmesi
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler,Şirket tarafından Tablo-2’de verilen yöntemlerle yok edilir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Tablo 2: Kişisel Verilerin Yok Edilmesi
6.3 Kişisel Verilerin AnonimHale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7.SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerleilgili olarak;
ØSüreçlere bağlı olarakgerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Ø Veri kategorileri bazında saklama süreleriVERBİS’e kayıtta;
Ø Süreç bazındasaklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde güncellemeler saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonimhale getirme işlemi,Şirket Yönetim Kurulu veya KVKK Komitesi tarafından yapılır.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Bilgi Güvenliği | 2 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Çalışan Adayı Seçmeve Yerleştirme | İş Başvurusundan İtibaren 1 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Çalışan Özlük Dosyası Oluşturma | İş ilişkisinin sonaermesinden itibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Finans ve Muhasebe İşlerinin Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Hukuk İşleri | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
İnternet Sitesi İşlemleri | 1 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
İş Sürekliliğinin Sağlanması | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
İşyeri Güvenliğinin Sağlanması | 30 gün | Saklama süresi bitimini müteakip ilk imha periyodunda |
Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Mal/Hizmet Satış Süreçlerinin Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Staj İşlemleri | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Ücret ve AvansÖdemeleri | İş ilişkisinin sonaermesinden itibaren 10 Yıl | Saklama süresi bitimini müteakip ilk imha periyodunda |
Tablo 3: Süreç bazında saklamave imha süreleri tablosu
8.PERİYODİKİMHASÜRESİ
Yönetmeliğin 11’inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirkette her yıl aşağıdaki aylarda periyodik imha işlemi gerçekleştirilir:
·Ocak
·Temmuz