Kişisel Veri Saklama ve İmha Politikası

POLİTİKA AMACI:

Bu politika, şirketimizin aldığı ve işlediği kişisel verilerin saklanması ve imha işlemlerinin yönetilmesine dair yaklaşımını tanımlamak amacıyla, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik baz alınarak hazırlanmıştır.

TANIMLAR:

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

SAKLAMA ve İMHA GEREKÇELERİ, SAKLAMA ve İMHA SÜRELERİ:

Şirketimiz, işlediği kişisel verileri, yasal zorunlu faaliyetlerini ve ticari faaliyetlerini yerine getirebilmek amacıyla, Kişisel Veri Envanteri ile belirlenen ve VERBİS (Veri Sorumluları Sicili)’de kamuya açık şekilde ilan edilen saklama süreleri zarfında, fiziksel ve/veya elektronik ortamlarda güvenli bir şekilde saklamaktadır. Kişisel Veri Envanteri’nde, her bir kişisel verinin, hangi ortamlarda işlendiği, saklandığı ve hangi yöntemlerle imha edildiği tanımlanmıştır. Kişisel veriler, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu ve şirket faaliyetlerimizi ilgilendiren tüm mevzuat şartlarına uygun şekilde muhafaza edilmektedir.

Kişisel veri saklama sürelerinin belirlenmesinde, kişisel verinin işlenmesindeki hukuki gerekçe veya işleme amacı dikkate alınır. Kişisel veri, yasal şartlar gereği olarak  toplanan ve işlenen bir veri ise, saklama süresi, ilgili mevzuatta yer alan süre olarak Kişisel Veri Envanteri’nde tanımlanır. Diğer veriler için ise, işleme amacına uygun şekilde, ilgili faaliyetlerin yerine getirebilmesini sağlayacak süreler belirlenir ve Kişisel Veri Envanteri’nde tanımlanır. Saklama süreleri bazen “ay”, “yıl” gibi tanımlanırken, bazı kişisel veriler için “…. Bitiminde”, “…………yapılana kadar” şeklinde tanımlanabilmektedir. Bu sebeple her bir kişisel veri için, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreye ilişkin farklı bir muhafaza süresi geçerli olabilmektedir.

Kişisel veriler, VERBİS’de kamuya açık şekilde ilan edilen “Veri Güvenliği Tedbirleri” alınarak saklanmaktadır. Çalışanlar için yetki matrisi hazırlanması, eğitimler yapılması, çalışanlarla ve veri işleyenlerle gizlilik sözleşmeleri yapılması gibi idari tedbirlerin yanı sıra, güncel antivirüs sistemleri kullanımı, güvenlik duvarı kullanımı, yedekleme, şifreleme vb teknik veri güvenliği tedbirleri alınmaktadır.

Kişisel verilerin imhasında, seçilen yönteme göre, silme, yok etme, anonim hale getirme işlemi, kişisel verinin tekrar erişilmesi, geri getirilmesi, kullanılması veya veri sahibi ile ilişkilendirilmesini mümkün kılmayacak şekilde hareket edilir.

Saklama süresi dolan kişisel veriler, belirlenmiş olan imha yöntemlerine göre imha edilir ve Veri İmha Tutanağı kullanılarak işlem kayıt altına alınır. Bu kayıtlar en az 3 yıl saklanır.

Kişisel verilerin saklama ve imhasında, “Kişisel Veri Envanteri” ve “Kişisel Veriler İçin Yetki Matrisi ve Yetkilerin Yönetimi Tablosu”yla belirlenen sorumlular görev alır. İmha işlemlerinde görev alanlar, Veri İmha Tutanağı’nda kayıt altına alınır.

Şirketimiz, her 3 ayda bir (Mart, Haziran, Eylül ve Aralık ayları) kişisel verileri gözden geçirerek, saklama süresi dolan verileri tespit eder ve kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Bu süre, altı ayı geçmez.

İLGİLİ KİŞİNİN (VERİ SAHİBİNİN) TALEBİ HALİNDE KİŞİSEL VERİLERİN İMHASI

Kişisel veri sahipleri, Kişisel Verilerle İlgili Genel Aydınlatma Metni’mizde yer alan iletişim yöntemlerini kullanarak verileri hakkında bilgi talep edebilir. Bu talebin, kişisel verisinin silinmesi olması halinde:

  1. Kişisel veri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu olan kişisel veriler imha edilir. İlgili kişinin talebi en geç 30 gün içinde sonuçlandırılır ve yazılı olarak / elektronik ortamda bilgilendirilir.
  2. Kişisel veri işleme şartlarının tamamı ortadan kalkmışsa ve talebe konu veriler, veri işleyen taraflara aktarılmışsa, şirketimiz durumu Veri İşleyen’e bildirir ve imha işlemlerinin yapılmasını sağlar.
  3. Kişisel veri işleme şartlarının tamamı ortadan kalkmamışsa, şirketimiz tarafından gerekçesi açıklanarak reddedilir ve en geç 30 gün içinde ret cevabı yazılı olarak / elektronik ortamda bildirilir.