1. POLİTİKANIN AMACI:
İşbu Saklama ve İmha Politikası (“Politika”), CAN OSGB EĞİTİM VE DANIŞMANLIK A.Ş (“Şirket”) tarafından, veri sorumlusu sıfatıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu kanuna dayanılarak çıkarılan Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) gereği kişisel verilerin saklanması ve imhası faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek ve ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlamak amacıyla hazırlanmıştır.
2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Arşiv Dolapları: Şirketteki her bir birimin tamamlanmış ve arşivlenmiş faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolaplar.
Birim Dolapları: Şirketteki her bir birimin aktif faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolaplar.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel Verilerin kişisel verilerin oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği elektronik ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamlar.
File Server: Kullanıcıların Masaüstü, Belgeler, Favoriler gibi sık kullanılan dosyalarının merkezi bir yerden yönetilmesini sağlayan sunucu.
Firewall: Şirket dışından gelebilecek saldırıları önlemek ve kullanıcıların bu tür saldırılara maruz kalmaması için hem mail hem de internet alanında güvenlik sağlayan donanımsal bir cihaz. Ayrıca internet erişim kısıtlamaları da bu cihaz üzerinden ayarlanmaktadır.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi veya yok edilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu KVKK
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Saklama Tablosu: Kişisel verilerin Şirket bünyesinde saklanacağı süreleri gösteren tablo.
Kişisel Verilerin İşlenmesi: Kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Logo Yazılım: Muhasebe departmanının muhasebe işlerini kontrol ettiği ve verilerini girdikleri yazılım.
Kurul: 6698 sayılı Kanun ile kurulmuş Kişisel Verileri Koruma Kurulu
Kurum: 6698 sayılı Kanun ile kurulmuş Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha: KVKK‘dayer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme veya yok etme işlemi.
Üzerine Yazma (Karartma): Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Koruma Komitesi: Şirket tarafından kurulan Veri Koruma Komitesi
Veri Sorumlusu: CAN OSGB EĞİTİM VE DANIŞMANLIK A.Ş
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Ziyaretçi: İnternet sitelerimizi bilgi teknolojileri sistemlerimize uygun olarak ziyaret eden gerçek kişiler.
3. SORUMLULUK VE GÖREV DAĞILIMLARI
Şirket’in tüm çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, izlenmesi ve denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi, hukuka uygun olarak saklanması ve imha edilmesi amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınmasından sorumludur.
Şirket Yönetim Kurulu tarafından, KVKK düzenlemelerine uygun hareket edilmesi için Şirket Sorumlu Müdürü, İş Güvenliği Uzmanı ve İşyeri Hekimi’nden müteşekkil Veri Koruma Komitesi oluşturulmuştur.
A. Veri Koruma Komitesi
Veri Koruma Komitesi Üyeleri; Şirket’in kişisel veri prosedürlerini ve politikalarını oluşturmak ve geliştirmek üzere seçilmiştir. Komite üyeleri, görev ve sorumluluklarını yerine getirebilmek adına gerekli yetki ve kaynaklara sahiptir.
Veri Koruma Komitesi, kişisel veriler ile ilgili iş ve işlemlerin KVKK ile uyumlu olarak yürütüldüğü konusunda dilediği zaman ve usulde denetleme yapmaya ve denetim esnasında aksaklık tespit edilmesi halinde bu aksaklıkları Şirket Yönetim Kurulu’na bildirmekle yetkilidir.
Veri Koruma Komitesi, Şirket içerisinde farkındalığı arttırmak için kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek amacıyla;
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusundaki iyileştirme yöntemlerine ilişkin önerilerini Şirket Yönetim Kurulu’na iletmek,
Veri sahibinin başvurusuna karşı cevap hazırlamak,
Veri sahibinin, verinin imhasına ilişkin taleplerine karşı, işbu Politika’da yer alan usulde açıklamada bulunmak,
Şirket tarafından imzalanmış ve imzalanacak sözleşmelerin, kişisel verilerin korunması ve işlenmesine ilişkin mevzuat hükümlerine uygunluğunu sağlamak ile görevlidir.
B. Şirket Çalışanları
Şirket çalışanları kişisel verinin işlenmesi ve korunmasına ilişkin iş ve işlemlerini işbu prosedür ve bu prosedürde referans olarak gösterilen düzenlemelere uygun olarak yürütmekle sorumludur.
Şirket çalışanları taşınabilir belleklerde kişisel veri saklayamaz.
Şirket çalışanları aydınlatma yükümlülüğünü yerine getirmeden kişisel veri işleyemez.
Şirket çalışanları kanunda belirtilmemiş ise açık rıza olmadan özel nitelikli kişisel veri işleyemez
Şirket çalışanları ihtiyaç duyulması halinde; kişisel verinin işlenme amacını, verinin nasıl korunacağını, verinin muhafaza süresini, işlenme metodunu, hukuki sebebini, aktarım yapılacaksa hangi gruplara hangi amaçla ne kadar süre ile aktarım yapılacağını, kullanacağı aydınlatma metnini, açık rızaya dayalı olarak işleme yapılacaksa açık rıza taslak metnini, işlenme amacı ortadan kalktığında kişisel verinin nasıl imha edileceğini belirtmek suretiyle Veri Koruma Komitesi’nden görüş talep edebilecektir.
4. KAYIT ORTAMLARI
İşbu Politika kapsamında kayıt ortamları, kişisel verilerin bulunduğu ortamlar anlamına gelmektedir. Şirket tarafından işlenen kişisel veriler aşağıda belirtilen ve bunlara ek olarak ortaya çıkabilecek diğer ortamlarda hukuka uygun olarak, güvenli bir şekilde saklanır.
A. Elektronik Ortamlar
- Kurumsal bilgisayarlar
- Bilgi Güvenliği Cihazları
- Ağ üzerinde veri depolama için kullanılan paylaşımlı/paylaşılmamış disk sürücüleri
- Mobil Cihazlar (telefonlar, tablet)
- File Server
- Firewall
- Logo Yazılım
B. Elektronik Olmayan Ortamlar
- Birim Dolapları
- Arşiv Dolapları
5. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ TEKNİK VE DİĞER SEBEPLER
A. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN ŞİRKET TARAFINDAN BENİMSENEN İLKELER
Şirket, Kişisel Verileri, KVKK’nın 4. Maddesinde yer alan aşağıdaki şartlara uygun olarak işler; ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder ve süre bitiminde İşbu Politika’ya uygun olarak siler veya yok eder.
- Hukuka ve Dürüstlük Kuralına Uygun Olarak
- Doğru ve Gerektiğinde Güncel Olmasını Sağlayarak
- Belirli, Açık ve Meşru Amaçlarla
- Amaçla Bağlantılı, Sınırlı ve Ölçülü Biçimde
Şirket, Kişisel Veri İşleme Faaliyetlerini, KVKK’nın 5. maddesinde düzenlenen kişisel verilerin işlenme şartlarına uygun olarak icra eder. KVKK’nın 6. maddesinde yer alan özel nitelikli kişisel verilerin kişiler açısından hassas ve korunması azami şekilde önem arz eden bilgiler olduğunun bilincindedir. Bu sebeple, Şirket özel nitelikli kişisel verilerin işleme şartlarının ve hukuka uygunluğunun varlığından emin olduktan sonra işleme faaliyetini yürütür.
Şirket, KVKK’nın 8.ve 9.maddelerinde belirlenen kişisel verilerin aktarım şartlarına uygun olarak hareket eder. Şirket üniteleri ve çalışanları kişisel verileri aktarırken, güvenli bir aktarım sağlamak, aktarma işleminde kişisel verilerin değiştirilmemesi veya kopyalanmaması ve istenen yere gönderilmesini temin etmek için gerekli önlemleri alır ve denetler.
B. SAKLAMA
a. Saklamayı Gerektiren Amaçlar
Şirket faaliyetleri çerçevesinde elde ettiği kişisel verileri, ilgili mevzuatta öngörülen ve aşağıda sayılan amaçlar doğrultusunda saklar:
- Çalışanlar: SGK işe girişlerinin yapılması ve evraklarının düzenlenmesi, işten ayrılırken çalışma belgesinin düzenlenmesi, iletişim faaliyetlerinin yürütülmesi, hukuki taleplerin yönetilmesi, işe uygunluğun değerlendirilmesi, özlük dosyası oluşturulması, maaş ve diğer ödemelerin yapılması, izin haklarının takibi ve işverenin muhtemel uyuşmazlıklarda haklarının korunması, hukuki yükümlülük kapsamında personelden imza alınması, davaların takibi, icra kararlarının uygulanması, AGİ ödemesi ve ücret politikasının belirlenmesi, BES ödemelerinin yapılması, üretim ve organizasyon süreçlerinin yönetimi, iş sağlığı ve güvenliği kapsamında evrakının düzenlenmesi, SGK’ya bildirim, muhtasar beyanname düzenlenmesi, çalışan kişinin tanınması, işe uygunluğunun tespiti, kimlik doğrulaması, İSG mevzuatına uygunluğun tespiti, İSG mevzuatı kapsamında risk analizi ve yönetimi, İSG eğitimlerine katılımın tespiti, iş sağlığı ve güvenliğinin temini, fiziksel mekan güvenliğinin sağlanması, mesai takibi, kurum içi iletişimin kurulması, bilgi güvenliği süreçlerinin yönetimi, kurumsal mail takibi, iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi,finans ve muhasebe işlemlerinin yürütülmesi amaçlarıyla işlenmektedir.
- Çalışan Adayları: Çalışan adayı seçme süreçlerinin ve iletişim faaliyetlerinin yürütülmesi, işe uygunluğunun değerlendirilmesi amaçlarıyla işlenmektedir.
- Müşterilerin Çalışanları/ Yöneticileri/ Temsilcileri : Akdedilmiş olan sözleşmelerin kurulması ve ifası, ödeme ve tahsilat işlemlerinin gerçekleştirilmesi, , talep veya şikayetlerin sonuçlandırılması ile müşteri ilişkilerinin yönetimi, kampanya performanslarının ölçümlenmesi, pazar araştırması faaliyetlerinin yürütülmesi, hukuk süreçlerinin ve davaların takibi, resmi kurum veya kuruluşlara bilgi verilmesi veya taleplerinin yerine getirilmesi, iç kontrol, denetim ile Şirket içi ve dışı raporlama faaliyetlerinin gerçekleştirilmesi, kurumsal iletişim faaliyetlerinin yürütülmesi ve açık rızanızın bulunması halinde kişiye özel pazarlama veya tanıtım aktivitelerinin gerçekleştirilmesi ile pazarlama amacıyla veri analitiği çalışmalarının yapılması, çapraz satış aktivitelerinin gerçekleştirilmesi, kampanya, promosyon veya tanıtım süreçlerinin ve müşteri memnuniyeti veya tecrübesine yönelik aktivitelerin yürütülmesi, ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket tarafından ve/veya Şirket nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası, Şirket tarafından ve/veya Şirket nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket’in ve Şirket ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası amaçlarıyla işlenmektedir.
b. Saklanmaya İlişkin Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için Şirket tarafından teknik ve idari tedbirler alınır.
aa. Teknik Tedbirler
- Teknik konularda bilgili personel istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Şirket’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlanması, yangın söndürme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınır.
- Şirket tarafından silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulur.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.
- Özel Nitelikli Kişisel Veri İşleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için yeterli güvenlik önlemleri alınır, verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik ve gaz kaçağı, yangın, yıkım tehlikesi, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olur ve yetkisiz giriş ve çıkışları engeller.
bb. İdari Tedbirler
- Çalışanların farkındalığının geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilir.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılır.
- Kişisel veri işlemeye başlamadan önce aydınlatma yükümlülüğü yerine getirilir.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte; Şirket ile çalışanlar arasındaki sözleşmelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.
- Şirket, KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi esnasında veri sahiplerini bilgilendirir. İlgili kişiden elde edilmemiş olan kişisel verilerin, ilgili kişi ile iletişim amacıyla kullanılacak olması halinde ilk iletişim esnasında aydınlatma yükümlülüğü yerine getirilir.
- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rıza alınması işlemleri ayrı ayrı tatbik edilir.
C. İMHA
Şirket tarafından KVKK’nın 7.maddesi ve Yönetmelik hükümleri gereğince kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir veya yok edilir.
a. İmhayı Gerektiren Durumlar
Yönetmelik uyarınca, aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, Şirket tarafından re ’sen yahut talep üzerine silinir veya yok edilir:
- Şirket tarafından kabul edilmesi,
- ’in, ilgili kişi tarafından kişisel verilerinin imha edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
b. İmha İçin Alınan Teknik ve İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
c. İmha Yöntemleri
Kişisel verilerin imhası; verilerin silinmesi veya yok edilmesi şeklinde sağlanabilir. Veri Koruma Komitesi mevzuata uygun olarak seçenekleri değerlendirmesi sonucunda ortak bir karar alarak kişisel verinin hangi yöntem kullanılarak imha edileceğini belirler. İlgili kişinin talebi neticesinde imha işlemi yapılacaksa, ilgili kişiye seçilen imha yöntemi gerekçesi ile açıklanır.
aa. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket erişim yetki ve kontrol matrisi veya benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıları ve ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerini ve yöntemlerini tespit eder.
Fiziksel Ortamında Bulunan Kişisel Veriler: Üzeri çizilerek veya boyanarak karartma işlemi uygulanmak suretiyle silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Elektronik Ortam’da yer alan ve saklama süresi sona eren kişisel veriler: Bu verileri depolayan, koruyan veya yedekleyen sorumlular hariç ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir, kullanıcılar bilgilendirilir.
Taşınabilir belleklerde kişisel veri saklanamaz.
bb. Kişisel Verilerin Yok Edilmesi
Fiziksel yok etme: Üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir. Ortamlardaki kişisel veriler kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana kağıt ortamlarda bulunan kişisel verilerin yok edilebilmesi için kâğıt imha veya kırpma makinaları ile verinin anlaşılmaz boyutta ve geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilmesi sağlanır. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları ortama göre fiziksel yok etme veya üzerine yazma yöntemlerinden biri ya da birkaçı kullanılarak yok edilmesi gerekmektedir.
Veri kayıt ortamı sabit olan yazıcı, güvenlik kameraları gibi çevre birimleri: fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
6. SAKLAMA VE İMHA SÜRELERİ TABLOSU
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Şirket İşlemleri (tüm operasyonel, ticari, teknik, idari, finansal, hukuki işlemler ve digital onaylar, e-posta vb tüm işlemler) | İşlemlerin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bir sözleşmenin kurulması veya ifası için işlenmesi gerekli olan veya bu kapsamda işlenen diğer veriler | Türk Borçlar Kanunu gereğince Sözleşmenin sona erdiği tarihten itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kurumsal iletişim, reklam ve tanıtım faaliyetleri | Faaliyetin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan kaynaklarına ilişkin faaliyet ve süreçler | Faaliyet ve sürecin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların sağlık verileri | İş Sağlığı ve Güvenliği mevzuatı gereğince işten ayrılma tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
İş başvuru formları | 2 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İlgili mevzuatında özel saklama süresi öngörülen diğer veriler | İlgili mevzuatında öngörülen saklama süresi boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Rızaya dayalı olarak işlenen kişisel veriler | İlgilinin kişisel verisinin silinmesi yönündeki talebine kadar | İlgilinin talebinden itibaren 30 gün içinde |
7. PERİYODİK İMHA SÜRELERİ:
Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Yönetmeliğin 11. maddesi gereğince Şirket periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre Şirket kişisel verileri imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler veya yok eder. Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemini gerçekleştirir.
Silme ve yok etmeye ilişkin işlem kayıtları 3 yıl süre ile saklanır.
8. GÜNCELLEME BİLGİSİ:
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.