Kişisel Verilerin Korunması Kanunu (KVKK)

1. GİRİŞ VE POLİTİKANIN HAZIRLANMA AMACI

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kalif Mimarlık Mühendislik Proje Yapı Taahhüt Üretim İthalat İhracat ve San. Ltd. Şti. (“KALİF DESIGN” veya “ŞİRKET”), gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirket; Şirket çalışanları, müşteriler, tedarikçiler, çalışan adayları, üye ve ziyaretçiler dahil tüm ilgili kişilere ait kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını amaçlamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin tüm işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan iş bu politikaya uygun olarak gerçekleştirilir.

2. KAPSAM

Şirket çalışanları

Çalışan adayları

Müşteriler

Tedarikçiler

Üyeler

Ziyaretçiler

Hukuki uyuşmazlık yaşanan kişi

ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamında olup, Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde iş bu Politika uygulanır.

3. TANIMLAR

Kısaltma

Tanım

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun/KVKK

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin

Anonim Hale

Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul

Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

VERBİS

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği veri kayıt sistemi.

Veri Sahibi/İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik

28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. KAYIT ORTAMLARI

İlgili kişiye ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta KVK Kanunu hükümleri olmak üzere, ilgili mevzuata uygun olarak uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik Ortamlar:

Şirket bilgisayarları

E-Posta sunucuları

Taşınabilir bellekler

Muhasebe programları

Sosyal medya hesapları

Telefon

Elektronik Olmayan Ortamlar:

Kâğıt, belge ve dosyalar

Yazılı, basılı, görsel ortamlar

Kilitli Dolaplar

5. İLKELER

Şirket, kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket etmektedir:

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde; Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

Şirket tarafından kişisel verilerin işlenmesi esnasında, ilgili kişilerin hakları korunmaktadır. Kişisel veriler, KVKK m.4’te yer alan genel ilkelere uygun şekilde toplanmakta ve işlenmektedir.

Kişisel verilerin imha edilmesi ile ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere 10 (on) yıl süreyle saklanmaktadır.

Şirket tarafından aksine bir karar alınmadıkça, kişisel verileri imha yöntemlerinden uygun olanı Şirket tarafından seçilmektedir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine imha edilmektedir. Bu hususta ilgili kişi tarafından Şirkete başvurulması halinde;

İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,

Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

6. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından işlenen kişisel veriler ilgili mevzuat gereği, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ve açık rıza işlenme şartları kapsamında elektronik veyahut elektronik olmayan ortamlarda güvenli bir biçimde KVK Kanunu ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

6.1 Saklamaya İlişkin Açıklamalar

Şirket tarafından işlenen kişisel verilerin muhafaza süreleri KVK Kanunu m.4/2.d “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi dikkate alınarak belirlenmiştir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

6.1.1 Saklamayı Gerektiren Hukuki Sebepler

Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

Avrupa Birliği Genel veri Koruma Tüzüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu

6098 sayılı Türk Borçlar Kanunu

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

6502 sayılı Tüketicinin Korunması Hakkında Kanun

213 sayılı Vergi Usul Kanunu

6102 sayılı Türk Ticaret Kanunu

193 sayılı Gelir Vergisi Kanunu

4857 sayılı İş Kanunu

5271 sayılı Ceza Muhakemesi Kanunu

1136 sayılı Avukatlık Kanunu

5510 Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

6331 sayılı İş Sağlığı ve Güvenliği Kanunu

6100 sayılı Hukuk Muhakemeleri Kanunu

4721 sayılı Türk Medeni Kanunu

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

6.1.2 Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda muhafaza eder.

- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 213 sayılı Vergi Usul Kanunu, Vergi Usul Kanunu Genel Tebliği, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve diğer ilgili yasal mevzuatlar kapsamında kanuni yükümlülüklerin yerine getirilmesi,

- Alışveriş işlemlerinin gerçekleştirilmesi,

- Üyelik işlemlerinin gerçekleştirilmesi,

- Alışveriş geçmişine yönelik görüntüleme hizmeti verilmesi,

- Taleplerin değerlendirilmesi,

- Sözleşme süreçlerinin yürütülmesi,

- Alışverişlere ilişkin e-fatura/e-arşiv faturanın tarafınıza gönderilebilmesi,

- Faturaların düzenlenebilmesi ve bazı durumlarda cari hesap ve mutabakat işlemlerinin yapılabilmesi,

- Belirli bir tutarın üzerinde veya hakkında açıkça bir düzenleme bulunan belirli bir ürün satın alınması halinde ilgili mevzuat kapsamındaki yükümlülüklerimizin yerine getirilmesi,

- Satış sonrası operasyonel işlemlerin yerine getirilmesi,

- Satış sonrası destek hizmetlerimizin yerine getirilmesi,

- Satın alınan ürünlerin kargo aracılığı ile teslim edilebilmesi,

- Ürün iadesi ve ücret iadesi süreçlerinin yürütülmesi,

- Ticari iletişim izni/açık rızası verilmesi halinde genel veya size özel kişiselleştirilmiş kampanyalar, avantajlar, promosyonlar, reklamlar, bilgilendirmeler, pazarlama faaliyetleri ile müşterile yönelik ticari iletişim faaliyetlerinde (SMS, e-posta vb) bulunulabilmesi,

- İletişim kanallarımız (çağrı merkezi, e-posta, site, mobil uygulama, sosyal medya vs.) üzerinden müşteriler ile iletişime geçilmesi halinde tarafımıza iletilen olduğunuz sorun, şikayet ve istekleriniz çözümlenmesi, gerektiğinde buna ilişkin olarak müşteriler iletişime geçilebilmesi,

- Doğacak uyuşmazlıklarda mahkeme, icra dairesi, hakem heyeti gibi resmi kurum ve kuruluşlara karşı her türlü dava, cevap ve itiraz hakkının kullanılması, uyuşmazlıklara ilişkin görüşme ve anlaşma süreçlerinin yürütülmesi

- Dava ve hukuki süreçlerin takibinin yapılması,

- Güvenlik, inceleme ve soruşturma kapsamında delil teşkil etmesi,

- Faaliyetlerin mevzuata uygun yürütülmesi,

- İş akdinden kaynaklanan yükümlülüklerin ve işlemlerin yerine getirilmesi,

- Sözleşme süreçlerinin yürütülmesi,

- Çalışanlara ait özlük dosyası oluşturulması,

- Çalışanların yasal haklarının takibi,

- Çalışanların sağlık durumunun elverişli olup olmadığının tespiti,

- İletişim faaliyetlerinin yürütülmesi,

- Maaş bordrolarının düzenlenmesi ve çalışanların maaşlarının ödenmesi,

- SGK işe giriş ve ayrılış bildirgelerin yapılması,

- İzin süreçlerinin yürütülmesi,

- Çalışanlara yönelik eğitim ve bilgilendirme çalışmalarının gerçekleştirilmesi,

- Personelin kan ihtiyacı olması durumunda gerekli desteğin sağlanması,

- İşyeri hekimi tarafından çalışanların periyodik muayene işlemlerinin yürütülmesi,

- Mesai ve puantaj işlemlerinin takip edilmesi,

- Projelerin yürütülmesi ve takip edilmesi,

- Görevlendirme süreçlerinin yürütülmesi,

- Acil durum süreçlerinin yürütülmesi,

- Güvenlik, inceleme, soruşturma ve dava kapsamında delil teşkil etmesi.

- Açık pozisyonlara iş başvurularının alınması,

- Başvuran kişilerin mesleki yeterliliklerinin incelenmesi ve değerlendirilmesi,

- Aday başvurularının değerlendirme süreçlerinin yürütülmesi,

- Adaylar ile iletişime geçilebilmesi,

- Sözleşme süreçlerinin yürütülmesi.

- Satın alma süreçlerinin yürütülmesi ve takibinin yapılması,

- Tedarikçi ödemelerine yönelik muhasebe takibinin yapılması,

- Tedarikçi ilişkilerinin takibinin yapılması,

- Tedarikçiler ile iletişim faaliyetlerinin yürütülmesi,

- Tedarikçilerin bilgilerinin güncellenmesi,

- İletişim faaliyetlerinin yürütülmesi,

- Ödeme işlemlerinin gerçekleştirilmesi,

- Yetkili kamu kurum ve kuruluşlarına bilgi verilmesi.

6.2 İmhayı Gerektiren Sebepler

Kişisel veriler;

Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya iptali,

Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

KVK Kanunu m.5 ve m.6’da yer alan, kişisel verilerin işlenmesini gerektiren işlenme şartlarının ortadan kalkması,

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

KVK Kanunu m.11 gereği ilgili kişinin hakları çerçevesinde yapılan, kişisel verilerinin silinmesi ve yok edilmesine ilişkin başvurunun Şirketimiz tarafından kabul edilmesi,

Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7. ALINAN İDARİ ve TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için; KVK Kanunu m.12 ve m.6/4 gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

7.1. İdari Tedbirler:

Şirket idari tedbirler kapsamında;

Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir

Kişisel veri envanterleri hazırlanarak, mevcut risk ve tehditler belirlenmiştir.

Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

Şirket, kriz yönetimi için “Kişisel Veri İhlali Olayı Müdahale Politikası ve Planı” hazırlamıştır. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede (72 saat içerisinde) ilgilisine ve Kurula bildirir.

Kişisel verilerin aktarılması ile ilgili olarak, kişisel verilerin aktarıldığı 3. gerçek/tüzel kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın yöneticisi tarafından yöneticiye bildirilir. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında, gerekli işlem yapılır.

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılmaktadır.

Çalışanlar için bilgi güvenliği ve veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmaktadır.

Gizlilik taahhütnameleri yapılmaktadır.

Şirket tarafından hazırlanan sözleşmeler ile iş sözleşmelerine yönelik kişisel veri güvenliğine ilişkin hükümler eklenmiştir.

Şirket içi periyodik ve rastgele denetim faaliyetleri gerçekleştirilmektedir.

Özel nitelikli kişisel veri güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Şirket’in akdettiği iş sözleşmelerine kişisel verilerin korunmasına ilişkin madde veya bölümler (klozlar) yer almaktadır.

Şirket e-postalarında kullanılmak üzere KVK Uyarı Metni hazırlanmıştır.

7.2. Teknik Tedbirler:

Şirket teknik tedbirler kapsamında;

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Parola Politikası olarak güçlü ve kompleks olacak şekilde en az 8 karakter büyük-küçük harf, rakam ve özel karakterler mevcuttur.

9. KİŞİSEL VERİLERİN İMHASI

Şirket kişisel verileri, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirket tarafından işbu politikaya göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Saklama süreleri sözleşmesel bir ilişki varsa, tarafların sözleşmeden kaynaklanan yükümlülüklerinin sona ermesiyle birlikte, diğer faaliyetler bakımından işlem tamamlandıktan ve kesin sonucu alındıktan sonra başlar.

Kişisel veriler, hukuki bir ihtilaf veya dava süreci olması halinde, hukuki süreç tamamlanana kadar saklanır.

10. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde ise, uygun yöntemi gerekçesini açıklayarak seçer. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere 10 (on) yıl süreyle saklanır.

10.1 Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m.4/b hükmünde “İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” şeklinde tanımlanmıştır.

Kişisel veriler aşağıda yer alan tabloda verilen yöntemlerle silinir.

10.1 Kişisel Verilerin Silinmesi Tablosu

VERİ KAYIT ORTAMI

AÇIKLAMA

Sunucularda yer alan kişisel veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç, diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için, evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

10.2 Kişisel Verilerin Yok Edilmesi:

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel veriler aşağıda yer alan tabloda verilen yöntemlerle yok edilir.

Kişisel Verilerin Yok Edilmesi Tablosu

VERİ KAYIT ORTAMI

AÇIKLAMA

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

10.3 Kişisel Verilerin Anonim Hale Getirilmesi:

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Bununla birlikte Şirket, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi tekniklerinde Kurum’un yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni” (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf) dikkate almakta ve bu rehberde yayınlanan örneklerden uygun olanını seçmektedir.

11. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde “Şirket” tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için; re’sen silme, yok etme veya anonim hale getirme işlemi “Şirket” tarafından yerine getirilir.

Süreç Bazında Saklama ve İmha Süreleri Tablosu

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Çalışanların Özlük Dosyalarının Oluşturulması

Maaş Ödemelerinin Gerçekleştirilmesi

Sözleşmenin/Hukuki İşlemin sona erme tarihinden itibaren 10 yıl