1. GİRİŞ

1.1 Amaç

Bu Kişisel Verilerin Saklanması ve İmhası Politikası (“ Politika ”) Serhat Saat AŞ'nin tamamına uygulanır (bundan böyle “Şirket” ) yürürlükteki mevzuat çerçevesinde ve kişisel verilerin imhasına ilişkin ulusal düzeyde kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha faaliyetlerinin yürütülmesine ilişkin çerçeve ve ilkeleri içermektedir.

Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 7. maddesinin üçüncü fıkrasında "Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir." hükmü yer almaktadır. Bu hükme ve Kanunun 22. maddesinin birinci fıkrasının (e) bendine dayanılarak, Kişisel Verileri Koruma Kurulu ("Kurul") tarafından 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") hazırlanmıştır.

Yukarıdaki düzenlemeye dayanarak, işbu Politikanın amacı, Şirket tarafından faaliyetlerin yürütülmesi sırasında işlenen kişisel verilerin Yönetmelik uyarınca silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

 

1.2.Kapsam

Şirketimizde çalışan çalışanlara, çalışan adaylarına, ziyaretçilere, işbirliği içerisinde olduğumuz üçüncü kişilere ve üçüncü kişilerin çalışanlarına ait kişisel veriler bu Politika kapsamında olup, bu Politika Şirket’in sahibi olduğu veya yönettiği kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işleme faaliyetlerine uygulanmaktadır.

 

1.3. Kısaltmalar ve Tanımlar

Kavram

Tanım

alıcı grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

Anonimleştirme

Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Elektronik ortam

Kişisel verilerin elektronik cihazlarla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Medya

Elektronik ortam hariç her türlü yazılı, basılı, görsel vb. diğer ortamlar.

İlgili kişi

Kişisel verileri işlenen gerçek kişi

İlgili kullanıcı

Verilerin teknik olarak saklanması, korunması ve yedeklenmesinden sorumlu olan kişi veya birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Yıkım

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu

kayıt ortamı

Tamamen veya kısmen otomatik olan veya otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam, herhangi bir veri kayıt sisteminin parçası olması kaydıyla

kişisel veriler

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel veri sahibi

Kişisel verileri işlenen gerçek kişi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, kullanıma sunulması, sınıflandırılması veya kullanılması. Veriler üzerinde gerçekleştirilen her türlü işlem, örneğin engelleme

Kişisel veri işleme envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetleri; kişisel verileri, kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları envanter ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri ayrıntılı olarak açıklamaktadır.

Pano

Kişisel Verileri Koruma Kurulu

Organizasyon

Kişisel Verileri Koruma Kurumu

Özel kişisel veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

periyodik yıkım

Kanunda belirtilen kişisel verilerin işlenme şartlarının tamamı ortadan kalkmışsa silme, yok etme veya anonim hale getirme işlemi kişisel veri saklama ve imha politikasında belirtilir ve tekrar eden aralıklarla resen gerçekleştirilir.

Politika

Veri sorumlularının, kişisel verilerin işlenme amacı için gerekli olan azami süreyi belirleme ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sürecini belirlerken dayanak olarak kullandıkları politika.

Kayıt

Kişisel Verileri Koruma Kurumu tarafından tutulan veri sorumluları sicili

veri işlemcisi

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılıp işlendiği kayıt sistemi

Veri sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

düzenleme

28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

 

  1. SORUMLULUK VE GÖREV DAĞILIMI

Şirketin tüm birimleri ve çalışanları, Politika kapsamında sorumlu birimler tarafından alınan teknik ve idari tedbirlerin usulüne uygun şekilde uygulanmasını, birim çalışanlarının eğitim ve farkındalığının artırılmasını, bunların izlenmesini ve sürekli denetlenmesini, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesini, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesini sağlar. Kişisel verilerin hukuka uygun olarak saklanmasını sağlamak amacıyla kişisel verilerin işlendiği tüm ortamlarda veri güvenliğinin sağlanması için teknik ve idari tedbirlerin alınması konusunda sorumlu birimlere aktif olarak destek olur.

Kişisel verilerin saklanması ve imha süreçlerinde yer alan kişilerin unvanları, birimleri ve görev tanımlarına ilişkin dağılım aşağıda yer almaktadır.

Tablo 1: Depolama ve imha süreçlerinin görev dağılımı

Başlık

Birim

İş tanımı

Bilgi Teknolojileri Sorumlusu

Bilgisayar

Kapsamına giren işlemlerin saklama süresine uygunluğunu sağlamak, periyodik imha sürecini yönetmek, Veri Sahiplerinin taleplerine yanıt vermek amacıyla gerekli denetim ve kontrolleri yapmak.

Muhasebe Departmanı Yöneticisi

Muhasebe

Kapsamına giren işlemlerin saklama süresine uygunluğunu sağlamak, periyodik imha sürecini yönetmek, 6100 sayılı TTK ve Vergi Mevzuatından kaynaklanan defter ve belge saklama yükümlülüklerinin devamını ve yükümlülüklerin ortadan kalkıp kalkmadığını kontrol etmek.

İnsan Kaynakları Müdürü

İnsan kaynakları

Personel kişisel verilerinin saklama sürelerine uyulmasını sağlamak, periyodik imha sürecini yönetmek, Kanunda belirtilen personelin haklarına ilişkin bilgi taleplerini almak ve yanıtlamak.

 

3. KAYIT ORTAMLARI

Kişisel veriler Kurum tarafından hukuka uygun olarak Tablo 2’de listelenen ortamlarda güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

Elektronik Medya

Elektronik Olmayan Medya

· Sunucular (Alan adı, yedekleme, e-posta, veritabanı, web, dosya paylaşımı vb.)

· Yazılımlar (ofis yazılımları) Bilgi güvenliği cihazları (güvenlik duvarı, kayıt dosyası, antivirüs vb.)

· Mobil cihazlar (telefon, tablet vb.)

· Optik diskler (CD, DVD, vb.)

· Çıkarılabilir bellekler (USB, Hafıza Kartı vb.)

· Yazıcı, tarayıcı, fotokopi makinesi

· USB, sabit disk gibi çıkarılabilir bellekler

· Masaüstü ve dizüstü bilgisayar

· Kağıt

· Manuel veri kayıt sistemleri

· Yazılı, basılı ve görsel medya

· Klasörler

· Klasörler

 

  1. DEPOLAMA VE İMHA HAKKINDA AÇIKLAMALAR

Şirket tarafından; çalışanlar, çalışan adayları, tedarikçi yetkilileri, tedarikçi çalışanları, ürün veya hizmet alıcıları, ürün veya hizmet alıcı adayları, hissedarlar/ortaklar, ziyaretçiler ve diğer üçüncü kişiler de dahil olmak üzere gerçek kişilere ait kişisel veriler KVKK’ya uygun şekilde saklanmakta ve imha edilmektedir.

Bu bağlamda depolama ve bertarafa ilişkin detaylı açıklamalar aşağıda yer almaktadır.

4.1 Depolamaya İlişkin Bilgiler

Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerinde ise kişisel verilerin işlenme şartları sayılmıştır.

Bu kapsamda, Şirket faaliyetleri çerçevesinde kişisel veriler ilgili mevzuatta öngörülen veya işleme amaçlarımız doğrultusunda gerekli süre kadar saklanmaktadır.

 

4.1.1 Depolamayı Gerektiren Yasal Nedenler

Şirket faaliyetleri kapsamında işlenen kişisel verileri ilgili mevzuatta öngörülen süre boyunca muhafaza eder. Bu kapsamda kişisel veriler;

  • Vergi Usul Kanunu Sayı 213
  • 4857 Sayılı İş Kanunu
  • 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • 6098 Sayılı Türk Borçlar Kanunu
  • 6102 Sayılı Türk Ticaret Kanunu
  • 6361 Sayılı İş Sağlığı ve Güvenliği Kanunu
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Yürürlükteki diğer ikincil mevzuatta belirtilen saklama süreleri boyunca saklanır.

4.1.2. Depolama Gerektiren İşleme Amaçları

Şirket, faaliyetleri kapsamında işlediği kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır:

  • Bilgi güvenliği süreçlerinin yürütülmesi
  • Çalışanların iş sözleşmelerinden ve mevzuattan doğan yükümlülüklerinin yerine getirilmesi
  • Denetim / Etik faaliyetlerin yürütülmesi
  • Mali ve muhasebe işlerinin yürütülmesi
  • Fiziksel alan güvenliğinin sağlanması
  • Hukuki işlerin takibi ve yürütülmesi
  • İletişim faaliyetlerinin yürütülmesi
  • İnsan kaynakları süreçlerinin yürütülmesi
  • İş sürekliliğini sağlamaya yönelik faaliyetlerin yürütülmesi
  • Lojistik Faaliyetlerin Yürütülmesi
  • Mal/hizmet satın alma süreçlerinin yürütülmesi
  • Mal/hizmet satış süreçlerinin yürütülmesi
  • Sözleşme süreçlerinin yürütülmesi
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

4.2. İmhayı Gerektiren Nedenler

Kişisel veriler;

  • İşlemenin dayanağını oluşturan ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  • İşleme veya depolamayı gerektiren amaç ortadan kalkar,
  • Kişisel verilerin işlenmesinin yalnızca açık rızaya dayalı olarak gerçekleştiği hallerde ilgili kişinin açık rızasını geri alması gerekmektedir,
  • Marina Vista, KVKK’nın 11. maddesi uyarınca ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin olarak ilgili kişi tarafından yapılan başvuruyu kabul eder,
  • Şirketin, ilgili kişinin kişisel verilerinin silinmesini veya yok edilmesini talep ederek yaptığı başvuruyu reddetmesi, verilen cevabı yetersiz bulması veya KVKK'da öngörülen süre içerisinde cevap vermemesi hâlinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun görülmesi ve
  • Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olup, kişisel verilerin daha uzun süre saklanmasını haklı gösterecek bir durum bulunmamaktadır.

Bu gibi durumlarda ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya resen silinir, yok edilir veya anonim hale getirilir.

  1. TEKNİK VE İDARİ ÖNLEMLER

KVKK'nın 12. maddesi ve KVKK'nın 6. maddesinin 4. fıkrası uyarınca Kurul tarafından özel nitelikli kişisel veriler için belirlenen ve duyurulan yeterli tedbirler çerçevesinde, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirler şirket tarafından alınmaktadır.

5.1. Teknik Önlemler

Şirketimizin işlediği kişisel verilerle ilgili olarak aldığı tedbirler aşağıda sıralanmıştır;

  • Ağ güvenliği ve uygulama güvenliği sağlanır.
  • Kişisel verilerin ağ üzerinden aktarımında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanır.
  • Bilgi teknolojileri sistemlerinin tedarik, geliştirme ve bakımı kapsamında güvenlik tedbirleri alınmaktadır.
  • Çalışanlar için yetki matrisi oluşturuldu.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılıyor.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik tedbirleri alınmış olup, bunların uygulanması sürekli olarak takip edilmektedir.
  • Şifreleme yapıldı.

5.2. İdari Önlemler

Şirketimizin işlediği kişisel verilerle ilgili olarak aldığı tedbirler aşağıda sıralanmıştır;

  • Görev değişikliği yapan veya işten ayrılan çalışanların bu alandaki yetkileri kaldırılır.
  • Kişisel verilerin bulunduğu fiziksel ortamlara giriş-çıkışlara ilişkin gerekli güvenlik tedbirleri alınmaktadır.
  • Kişisel verilerin bulunduğu fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel verilerin bulunduğu ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılır.

 

  1. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen sürenin veya işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen veya ilgili kişinin başvurusu üzerine aşağıda belirtilen teknikler kullanılarak ilgili mevzuata uygun şekilde imha edilmektedir.

6.1. Kişisel Verilerin Silinmesi

Kişisel veriler Tablo-3’te belirtilen yöntemlerle silinir.

Tablo 3: Kişisel verilerin silinmesi

Veri Kayıt Ortamı

Açıklama

Fiziksel ortamdaki kişisel veriler

Fiziksel ortamda bulunan kişisel veriler, ilgili kullanıcıların hiçbir şekilde erişemeyeceği şekilde karartma yöntemi kullanılarak veya belgenin güvenli bir ortamda saklanması suretiyle silinir.

Sunuculardaki Kişisel Veriler

Sunucularda saklanma süresi dolan kişisel veriler için sistem yöneticisi ilgili kullanıcıların erişim yetkilerini kaldırır ve siler.

Veritabanlarındaki kişisel veriler

İlgili kullanıcıya roller ve yetkiler atanarak veritabanındaki kişisel verilere erişimi engellenir.

Merkezi sunucularda bulunan kişisel veriler

İlgili kullanıcının, kişisel verileri içeren dosyanın bulunduğu dizine erişim hakları kaldırılır.

Taşınabilir cihazlarda (USB, Hard disk, CD, DVD gibi) bulunan kişisel veriler

İlgili kullanıcının dosyaya erişimi engellenir.

6.2. Kişisel Verilerin İmhası

Şirket olarak kişisel verileri hukuka uygun şekilde imha etmek için kullandığımız yöntemler aşağıdaki gibidir:

Tablo 4: Kişisel Verilerin İmhası

Veri Kayıt Ortamı

Açıklama

Fiziksel ortamdaki kişisel veriler

Kağıt ortamında saklanan ve kullanım süresi dolan kişisel veriler, kağıt imha makinelerinde geri döndürülemeyecek şekilde imha edilmektedir.

Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemlerde bulunan kişisel veriler

Kişisel veri barındıran cihazlar; yakma, küçük parçalara ayırma ve eritme gibi fiziksel işlemlerle yok edilir. Ayrıca cihaz üzerindeki kişisel veriler demanyetizasyon yöntemi ile okunamaz hale getirilerek yok edilir. Bununla; özel yazılımlarla var olan veriler üzerine rastgele veri girişi yapılması sonucunda eski veriler yok edilir ve kurtarılması engellenir.

6.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Kişisel verilerin anonim hale getirilebilmesi için; Kişisel verilerin veri sorumlusu veya üçüncü kişiler tarafından geri gönderilmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi gerekir.

  1. DEPOLAMA VE İMHA SÜRESİ

Şirket tarafından faaliyetleri kapsamında işlenen kişisel veriler hakkında;

  • Kişisel Veri İşleme Envanteri’nde, süreçlere bağlı olarak yürütülen faaliyetler kapsamındaki tüm kişisel veriler için kişisel veriye dayalı saklama süreleri yer almaktadır;
  • VERBIS’te veri kategorilerine göre saklama süreleri kayıt altına alınmaktadır;
  • İşbu Kişisel Veri Saklama ve İmha Politikası’nda süreç bazlı saklama sürelerine yer verilmektedir.

Kişisel verilerin imha işlemi, Şirket tarafından her ilişkiye uygun olarak ilgili mevzuatta belirlenen saklama sürelerine uygun olarak gerçekleştirilir. Saklama süresi sona eren kişisel veriler, Şirket tarafından belirlenen periyodik imha süreleri içerisinde silinir, yok edilir veya anonim hale getirilir.

Tablo 5: İşleme Göre Depolama ve İmha Süreleri Tablosu

DÖNEM

DEPOLAMA SÜRESİ

YIKIM SÜRESİ

İnsan kaynakları çalışan süreçlerinin yürütülmesi

Çalışanın iş akdinin feshedildiği tarihten itibaren 10 yıl

Depolama süresinin bitimini takip eden ilk 6 aylık periyodik imha süresince;

Sözleşmesel ilişkilerin yürütülmesi

Sözleşmenin sona ermesinden itibaren 10 yıl

Depolama süresinin bitiminden sonraki ilk periyodik imha sırasında

Biyometrik Veriler

İş ilişkisinin sona ermesinden itibaren 1 ay

Depolama süresinin bitiminden sonraki ilk periyodik imha sırasında

Kamera Kayıtları

Kayıttan 15 gün sonra

Depolama süresinin bitiminden sonraki ilk periyodik imha sırasında

Muhasebe ve Finans Süreçleri

uygulamak

kaydedilecek

10 yıl sonra

Depolama süresinin bitiminden sonraki ilk periyodik imha sırasında

Saklama süresi sona eren kişisel veriler için resen silme, yok etme veya anonim hale getirme işlemi “2. SORUMLULUK VE GÖREV DAĞILIMI” başlığı altında listelenen birimler tarafından yapılır.

  1. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11. maddesi uyarınca Şirket tarafından periyodik imha süresi [6] ay olarak belirlenmiştir. Buna göre Şirket her yıl Haziran ve Aralık aylarında periyodik imha gerçekleştirmektedir.

  1. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik olarak iki farklı ortamda yayınlanır ve web sitesinde kamuoyuna duyurulur. Basılı kağıt kopyası da İnsan Kaynakları Departmanında dosyalanır.

  1. POLİTİKANIN GÜNCELLEME SÜRESİ

Politika ihtiyaç duyuldukça ve süreçler değiştikçe güncellenir.

  1. POLİTİKANIN YÜRÜRLÜĞE GİRİŞİ VE İPTALİ

Bu Politika, Şirketin internet sitesinde yayımlandığı tarihte yürürlüğe girmiş sayılır.

Politikanın feshine karar verilmesi halinde, Politikanın eski imzalı nüshaları iptal edilerek şirket kaşesi ve şirket yetkilisinin imzasıyla (iptal kaşesi veya yazılı iptal ile) imzalanır ve İnsan Kaynakları Departmanı tarafından en az 5 yıl süreyle saklanır.