KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
Kişisel verilerin korunması, saklanması ve imhası VARDAR DANIŞMANLIK (bundan sonra ŞİRKET olarak anılacaktır) için büyük hassasiyet arz etmekte olup şirketimizin öncelikleri arasındadır.
Kişisel Verilerin İşlenmesi ve Korunması Politikası ile müşterilerimizin, potansiyel müşterilerimizin, web sitesi kullanıcılarının, çalışanlarımızın, çalışan adaylarımızın, ŞİRKET eski çalışanlarının, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) ve General Data Protection Regulation’da (GDPR) öngörülen düzenlemelere göre toplanması, işlenmesi ve korunması ilkeleri belirlenmektedir.
İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları açıkça belirlenmiştir. Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır.
Yukarıdaki düzenlemeye dayanarak hazırlanan bu Saklama ve İmha Politikasının amacı, ŞİRKET’in faaliyetlerinin yürütülmesi sırasında müşterilerimize, potansiyel müşterilerimize, tedarikçilerimize, web sitesi kullanıcılarına, çalışanlarımıza, çalışan adaylarımıza, ŞİRKET eski çalışanlarına, şirket hissedarlarına, şirket yetkililerine, ziyaretçilerimize ait, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
Kanun |
07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Yönetmelik |
28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel Verilerin İşlenmesi ve Korunması Politikası |
www.vardardanismanlik.com.tr adresinden ulaşılabilecek, ŞİRKET elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politika |
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Anonim Hale Getirme |
Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Çalışan |
ŞİRKET personeli |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Hizmet Sağlayıcı |
ŞİRKET ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
Kişisel Veri İşleme Envanteri
|
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirlenen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemin |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt isteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
ŞİRKET nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. ŞİRKET her halde veri sorumlusu sıfatıyla hareket etmekte ve Kişisel Verilerin Korunması Kanunu’na, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
Elektronik Ortamlar:
Elektronik Olmayan Ortamlar:
ŞİRKET tarafından; müşteri, müşteri adayı, tedarikçi, tedarikçi çalışanı, müşteri, müşteri çalışanı, çalışan, çalışan yakını, çalışan adayı, ziyaretçi verileri ile kurum veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
ŞİRKET’te ticari faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Kanunlarda böyle bir süre öngörülmemişse, ilgili veri işleme süreci ve bu süreçte işlenen verinin olası ihtilaflarda delil vasfı da göz önüne alınarak ‐ zamanaşımı def’inin ileri sürülmesi gereken bir hak olması nedeniyle‐ kanuni zamanaşımı süresi kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
çerçevesinde öngörülen saklama süreleri veya ilgili sürecin ihtilafa konu olması muhtemelse azami olarak ilgili kanundaki zamanaşımı süresi kadar saklanmaktadır. Herhangi bir ihtilafa konu olması mümkün görülmeyen süreçlerde ise ŞİRKET tarafından makul süre Veri Sorumluları Sicili Hakkında Yönetmelik, Kurul kararları ve rehberleri ışığında belirlenir.
Kişisel veriler, ŞİRKET tarafından özellikle,
için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Ayrıca, ŞİRKET’un, faaliyetleri çerçevesinde işlemekte olduğu kişisel verilere ilişkin saklama amaçları aşağıda detaylı şekilde belirtildiği şekildedir.
Kişisel veriler;
durumlarda, ŞİRKET tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ŞİRKET tarafından teknik ve idari tedbirler alınır.
ŞİRKET tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır.
ŞİRKET tarafından, işlediği Kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır;
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, ŞİRKET tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel veriler aşağıdaki yöntemlerle silinir:
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır |
Hizmet Olarak Uygulama Türü Bulut Çözümleri |
Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir. |
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yönetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Kişisel veriler, ŞİRKET tarafından aşağıda verilen yöntemlerle yok edilir:
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde veya arşiv alanlarında yakılarak geri dönülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7.1. Genel Esaslar
ŞİRKET tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
7.2 İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi ve Silme‐
Yok Etme Süreleri
İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini ŞİRKET Başvuru formunu kullanmak suretiyle yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle ŞİRKET’e iletir.
ŞİRKET, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir.
ŞİRKET talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde ŞİRKET tarafından gereği yerine getirilir. Başvurunun ŞİRKET’in hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
İlgili kişi, işbu Politika’da ŞİRKET’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
7.3 Periyodik İmha
ŞİRKET, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Yönetmeliğin 11 inci maddesi gereğince ŞİRKET, periyodik imha süresini 6 AY olarak belirlemiştir. Buna göre, ŞİRKET’te her yıl ocak ve temmuz aylarında periyodik imha işlemi gerçekleştirilir.
SÜREÇ BAZINDA SAKLAMA VE İMHA SÜRELERİ TABLOSU
Süreç |
Saklama Süresi |
İmha Süresi |
Sözleme Akdedilmesi |
Sözleşmenin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Teklif Süreci |
1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların sistem ve yazılımlara tanımlanması / tahsis / erişim yetkisi verilmesi |
İş akdi devam ettiği sürece kontrollü olarak gerçekleştirilir. |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Portallere kullanıcı tanımlama |
Hukuki ilişki devam ettiği sürece |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Etkinlik ve Toplantı Katılımcılarının Kaydı |
Sözleşmenin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mahkeme / İcra / İdari mercilerin bilgi taleplerinin cevaplanması |
İşlem tarihinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi |
İş akdinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan eğitimleri |
İş güvenliğine yönelik alınan mesleki eğitim kayıtları 15 yıl – diğer eğitimleri 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan adaylarına ilişkin veriler |
Başvuru tarihinden itibaren 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan verileri |
Çalışanlar için iş ilişkisinin sona ermesine müteakip 15 yıl, tedarikçi çalışanları için ilişkinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
KVKK Süreçleri |
İlgili sürecin tamamlanmasından itibaren 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Posta – Kargo işlem kayıtları |
1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşyeri Kamera Kayıtları |
Saklanmıyor |
Derhal imha edilir.
|
İletişim faaliyetlerine ilişkin rehber ve sair kayıtlar |
Son iletişim tarihinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Teknik bilgi talepleri, Müşteri şikayetlerinin yanıtlanması |
Son işlem tarihinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kağıt nüshası da ŞİRKET bünyesinde dosyasında saklanır.
ŞİRKET, Kanunda yapılan değişiklikler nedeniyle, şirket kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
Politika, ŞİRKET’in ……………………………………………… internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.