Kapat
TR EN
TR EN

Saklama ve İmha Politikası

Kişisel Verileri Saklama ve İmha Politikası

1. Amaç

İşyeri Kişisel Verileri Saklama ve İmha Politikasının amacı, İşyerinin tedarikçileri, ziyaretçileri, çalışanları, çalışan adayları, müşteri çalışanları, işbirliği içinde bulunulan diğer kurum çalışanları ile ilgili üçüncü kişilere ait kişisel verileri içeren verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası standartlarının, Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30224 sayı ve 28.10.2017 tarihli Kişisel verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslar dikkate alınarak belirlenmesidir.

2. Kapsam

Bu politikadaki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan her türlü bilgi ve belgenin silinmesi, yok edilmesi veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını kapsar.

3. Kayıt Ortamları

İşyerinde Kişisel Veriler fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına alınmaktadır.

4. Kişisel Verilerin İmhası

Kişisel Verilerin imhası, verilerin silinmesi, yok ydilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye veya gizli bilgiye ulaşabilmenin mümkün olmamasıdır. İşyeri, Kişisel Verilerin hukuka uygun olarak Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

4.1. Kişisel Verilerin Silinmesi

Bilgi güvenliği standartları dikkate alınarak tamamen veya kısmen otomatik yollarla işlenen Kişisel Verilerin silinmesi; söz konusu Kişisel Verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

4.2. Kişisel Verilerin Yok Edilmesi

Elektronik veya fiziksel veriler, saklama süresi sonunda veya ilgili kişinin talebi üzerine, tekrar bir araya getirilemeyecek şekilde yok edilmektedir.

4.3. Kişisel Verilerin Anonimleştirilmesi

Anonim Hale Getirme işlemi, İşyerinin Kişisel Verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

İşyeri, işbu Politika kapsamında kişisel verileri anonimleştirerek işleyebilir.

5. UYUM

5.1. Azami Saklama Süreleri ve Kişisel Veri Saklama Süre Tablosu

İşyeri, Kişisel Veri Envanteri tablosu içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. İşyeri, Politika içerisindeki prensipleri dâhilinde bu tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun olarak verileri işleyeceğini taahhüt eder.

İşyeri, Kişisel Veri Envanteri tablosunda yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler.

  1. İlgili veri kategorisiyle alakalı olarak işleme amacıyla İşyerinin faaliyet gösterdiği ve dahil olduğu tüm sektörlerde genel teamül olarak ne kadar süre gerekli olduğu,
  2. İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
  3. İlgili veri kategorisinin işlenme amacına bağlı olarak İşyerinin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
  4. İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken ne kadar süre devam edeceği,
  5. Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  6. İşyerinin hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri içeren verilerin ne kadar süre saklamak zorunda olduğu,
  7. İşyerinin ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zaman aşımı süresinin ne kadar olduğu,

İşyeri, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Kişisel Veri İşleme Envanteri’nde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin mevcut olması durumunda veya İşyeri tarafından öğrenilmesi üzerine, azami sürelere bakılmaksızın kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvuru üzerine veya İşyeri tarafından söz konusu kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:

  1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
  5. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  7. İşyerinin, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  9. Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
5.2. Bilgi Güvenliği ve Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler

İşyeri, Bilgi güvenliği verileri ve kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi, kişisel verilerinin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirlerinin almakta yükümlü olmakla birlikte, gerektiğinde imha etmekte ve ilgili kişilere duyurmak ve uygulanmasını sağlamakla yükümlüdür.

Alınan idari ve teknik tedbirler, Veri Envanteri tablosunda belirtilmiştir. Önlemler VERBİS Sicil sorgulama adresinden de yayınlanmaktadır.

5.3. Periyodik İmha

İşyeri, Kişisel Veri İşleme Envanterine paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak altı (6) ayda bir kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.

6. Kişisel Veri İmha Organizasyonu (Ünvanlar, Birimler ve Görev Tanımları)

Kişisel Veri imha süreçlerinin yönetimi İşyeri Yöneticisi kontrolündedir.

7. Saklama ve İmha Sürelerini Gösteren Tablo

Saklama süreleri Kişisel Veri envanteri tablosunda belirlenmiş ve VERBİS’e kaydedilmiştir.

Kişisel Veri ve Bilgi Güvenliği Olay İhlal Bildirim Formu İndirmek için tıklayın