KVKK
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
GİRİŞ
Amaç: Sarı Ev Concept - Kişisel Verilerin Korunması
Politikası’nın amacı; şirketimizin ticari faaliyetleri nedeniyle kullanılan
kişisel verilerin, yasal mevzuata uygun olarak işlenmesi, korunması, silinmesi,
yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasları
düzenlemektir.
Kişisel
verilerin saklanması ve imhasına ilişkin iş ve işlemler bu Politikaya uygun
olarak gerçekleştirilir.
Kapsam: Kişisel Verilerin Korunması Politikamız, şirketimizin
üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim
kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları,
ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve
diğer gerçek kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel
verilerin saklanması ve imhasına yönelik iş ve faaliyetleri kapsar.
İlgili
kişinin tanımlanamayacağı şekilde anonim hale gelen istatistiki veriler ve
tüzel kişileri tanımlayan veriler kişisel veri olarak kabul edilmemektedir ve
bu politika kapsamında değildir.
TANIMLAR
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin
aktarıldığı gerçek veya tüzel kişi kategorisini;
İlgili kullanıcı: Veri Sorumlusunun organizasyonu içinde yer alan tüm
çalışanlar ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu
alanda hizmet veren üçüncü kişiler gibi veri işleyenleri;
İlgili Kullanıcı (Özel
Yetkili) : İlgili kullanıcıdan
farklı olarak, prosedür veya ilgili kişinin isteği üzerine silinen ancak yasal
nedenlerle henüz yok edilmeyen kişisel verilere erişime yetkisi olan, bu
verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar
tarafından erişilmemesini sağlamak üzere özel olarak yetkilendirilen veri
işleyenleri;
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesini;
Yasa: 6698 Sayılı Kişisel Verilerin Korunması Kanununu;
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortamı;
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgiyi;
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;
Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel
verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu
kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri
amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen
kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanteri;
Kurul: Kişisel Verileri Koruma Kurulunu;
Kurum: Kişisel Verileri Koruma Kurumunu;
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve
imha politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;
Politika: Veri sorumlularının, kişisel verilerin işlendikleri
amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve
anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı;
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından
tutulan veri sorumluları sicilini;
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel veri işleyen gerçek ve tüzel kişiyi;
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt sistemini;
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişiyi ifade eder.
Bu
Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.
KVK Yönetim Yapısı - Görev Ve
Sorumluluklar
Sarı Ev
Concept’in bütün birim yöneticileri, birimlerinde Kişisel Verilerin işlenmesi,
saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun
uygulanmasına etkin destek verir. Birim Yöneticileri bu amaçla; birim
çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri
izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve
işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri
güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına
yardımcı olur.
İlgili
Kullanıcıların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıkları
artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin
mevzuata uygun olarak yerine getirilmesine aktif destek verir.
Kişisel
verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve
görev tanımları şöyledir:
Genel Müdür: Veri sorumlusu Temsilcisi sıfatıyla, kişisel verilerin
korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın
uygulanmasından sorumludur.
İnsan Kaynakları Yöneticisi: Politikanın hazırlanması, geliştirilmesi,
yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, eğitim ve
bilgilendirmeden sorumludur.
Bilgi Sistemleri Yöneticisi: Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik
çözümlerin belirlenmesi ve uygulanmasından sorumludur.
Diğer Birim Yöneticileri: Kendi birimlerinde politikanın uygulanması ve
uygulamanın izlenmesi ve denetlenmesinden sorumludur.
İlgili Kullanıcı ve Veri
İşleyenler: Veri işleme ve
saklanması ile ilgili işlemlerin usul ve yasaya uygun olmasından sorumludur.
Özel Yetkili İlgili
Kullanıcı: Prosedür veya ilgili
kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar
korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesinden
sorumludur.
1. VERİ KAYIT VE SAKLAMA
ORTAMLARI
Elektronik Ortamlar
Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
Yazılımlar
(ofis yazılımları)
Bilgi
güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme,
günlük kayıt dosyası, antivirüs vb. )
Kişisel
bilgisayarlar (Masaüstü, dizüstü)
Mobil
cihazlar (telefon, tablet vb.)
Optik
diskler (CD, DVD vb.)
Çıkartılabilir
bellekler (USB, Hafıza Kart vb.)
Yazıcı,
tarayıcı, fotokopi makinesi
Fiziki Ortamlar
Kâğıt
Manuel
veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
Yazılı,
basılı, görsel ortamlar
2. KİŞİSEL VERİLERİN İMHASI
İlgili
mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama
süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine
yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle
imha edilir.
2.1. İmhayı Gerektiren
Sebepler
Şirketin
ticari faaliyeti kapsamında işlenen kişisel verilerin imha sebepleri şöyledir:
Veri
işlenmesine esas teşkil eden yasal hükümlerin ortadan kalkması veya değişmesi,
Veri
işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel
verileri işlemenin sadece açık rıza koşuluna bağlı olduğu durumlarda, ilgili
kişinin açık rızasını geri alması,
KVK
Kanununun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel
verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul
edilmesi,
İlgili
kişinin başvuru veya şikâyeti üzerine Koruma Kurulu tarafından kişisel
verilerin imha edilmesine karar verilmesi,,
Kişisel
verilerin saklanmasını gerektiren sürenin dolması ve kişisel verileri daha uzun
süre saklanmasını gerektirecek bir durumun olmaması.
2.2. Kişisel Verilerin
Silinmesi
İşlenen
ve korunan kişisel veriler aşağıda düzenlenen yöntemlerle silinir, yok edilir
ve anonim hale getirilir.
2.2.1. Bulut Çözümleri
Bulut
sisteminde bulunan ve depolanan verilerden silinmesi gerekenler, silme komutu
verilerek silinir, veritabanı yöneticisi dışında kalan kullanıcılar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
2.2.2. Kağıt Ortamında
Bulunan Kişisel Veriler
Fiziki
dosya ve kağıt ortamında bulunan kişisel veriler, Veri Sorumlusu tarafından
arşiv ve saklama işlemleri için görevlendirilen İlgili Kullanıcı dışında diğer
ilgili kullanıcılar, veri işleyenler ve çalışanlar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, evrak üzerindeki
kişisel verilerin kesilmesi veya geri döndürülemeyecek ve teknolojik çözümlerle
okunamayacak şekilde sabit mürekkep kullanılıp karartılarak ilgili
kullanıcılara görünemez hale getirilir.
2.2.3. Merkezi Sunucuda Yer
Alan Ofis Dosyaları
Dosyalar
işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın
bulunduğu dizin üzerinde veritabanı yöneticisi dışında kalan kullanıcıların
erişim hakları kaldırılarak erişimleri engellenir.
2.2.4. Taşınabilir Medyada
Bulunan Kişisel Veriler
Flash
tabanlı saklama ortamlarındaki kişisel veriler, sistem yöneticisi tarafından
şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme
anahtarlarıyla güvenli ortamlarda saklanır bu ortamlara uygun yazılımlar
kullanılarak silinir.
2.2.5. Veri Tabanları
Veri
tabanları üzerindeki kişisel verilerin bulunduğu satırlar, veri tabanı
silme komutları ile silinir.
2.3. Kişisel Verilerin Yok
Edilmesi
2.3.1. Fiziksel Ortamda Yer
Alan Kişisel Veriler
Kâğıt
ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler, kâğıt kırpma makineleri gibi imha araçları ile geri döndürülemeyecek
şekilde yok edilir.
2.3.2. Optik / Manyetik
Medyada Yer Alan Kişisel Veriler
Optik
medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir
cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle
üzerindeki veriler okunamaz hale getirilir.
2.4. Kişisel Verilerin Anonim
Hale Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel
verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu
veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka
verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından
uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir
bir gerçek kişiyle ilişkilendirilemez hale getirilir.
3. Veri Sahibinin Kişisel
Verilerinin Silinmesi ve Yok Edilmesi Talebi
Veri
Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun
belirleyeceği diğer yöntemlerle iletir.
Veri
sahibinin başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede
ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca
bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas
alınabilir. Başvurunun yapılan bir işleme hatasından kaynaklanması durumunda
ücret alınmaz veya alınmış ise iade edilir.
Veri
sahibine; talebinin kabul edildiği veya talebinin reddedildiği gerekçesi
açıklanarak bildirilir. Bildiri yazılı olarak veya elektronik ortamda yapılır.
4. Saklama ve İmha Süreleri
4.1. Prosedürel saklama ve
imha süreleri
Şirket
faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere
bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle
ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri
kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç
bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer
alır.
Yasal
düzenlemeler veya ihtiyaçlar çerçevesinde saklama sürelerinde güncellemeler ve
değişiklikler yapılır.
Saklama
süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale
getirme işlemi yetkilendirilen İlgili Kullanıcı / Özel Yetkili Kullanıcı
tarafından yerine getirilir.
Saklama
ve imha süresinin belirlenmesinde;
İşlenen
kişisel verinin iş sözleşmesi ile kurulan ilişki kapsamında yürütülen
süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi göz önüne alınarak,
iş sözleşmesinin sona ermesinden itibaren 10 yıl saklanması,
İşlenen
kişisel verinin ticari sözleşmeler ile kurulan her tür ticari ilişki kapsamında
yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi göz önüne
alınarak, ticari ilişkinin sona ermesinden itibaren 10 yıl saklanması,
İşlenen
kişisel verinin dolaylı olarak iş veya ticari sözleşmesi ile kurulan ilişki
kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı
süresi göz önüne alınarak, hukuki ilişkinin sona ermesinden itibaren 10 yıl
saklanması,
İşlenen
kişisel verinin herhangi bir ticari alışveriş ile doğrudan ilgisi olmaması, irtibat
kurulma, ziyaret, tanışma, teklif verme, iş veya staj için başvurma gibi
amaçlarla verilmesi ve sonrasında iş veya ticari ilişkiye dönüşmemesi halinde 2
yıl saklanması,
Güvenlik
kayıtlarının otomatik olarak altı ay içinde silinmesi, herhangi bir olay veya
görüntüye ihtiyaç olması nedeniyle başka bir amaç ve hukuki nedene bağlı olarak
saklanması gereken bölümlerin kesilerek, ilgili hukuki neden ve amacın tabi
olduğu zamanaşımı süresine uygun olarak saklanması,
İlkeleri
temel alınmış ve saklama süreleri buna göre belirlenmiştir.
4.2. Veri Sahibinin Başvurusu
Durumunda Silme ve Yok Etme Süreleri
Veri
Sahibinin kendisine ait kişisel verilerin silinmesini veya yok edilmesi için
başvurması durumunda;
a) Kişisel verileri işleme şartlarının tamamı ortadan
kalkmışsa; başvuru konusu kişisel veriler silinir, yok edilir veya anonim hale
getirilir. İlgili kişinin talebi en geç 30 gün içinde sonuçlandırılır ve ilgili
kişiye bilgi verilir.
b) Kişisel verileri işleme şartlarının tamamı ortadan
kalkmış ve başvuru konusu kişisel veriler üçüncü kişilere aktarılmışsa, durum
veri aktarılan üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
kapsamında gerekli işlemlerin yapılmasını sağlanır.
c) Kişisel verileri işleme şartlarının tamamı ortadan
kalkmamışsa, ilgilinin isteği gerekçesi açıklanarak reddedilebilir ve ret
cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik
ortamda bildirilir.
4.3. İmha Periyotları
Saklama
süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler altı ayda
bir imha edilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında
gerçekleştirilir.
5. Politikanın Yayınlanması
ve Saklanması
Politika,
ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı
ortamda oluşturulur. Elektronik ortamda oluşturulan internet sayfasında ilan
edilir. Basılı kâğıt olarak oluşturulan dosyasında saklanır.
6. Politikanın Güncellenme
Periyodu
Şirket
faaliyetleri ve işlenen kişisel veri gruplarında olabilecek değişiklikler,
yasal mevzuatta yapılacak değişikler ve Kişisel Verileri Koruma Kurulu ilke
kararları takip edilerek, ortaya çıkan ihtiyaca göre politika gözden geçirilir
ve gerekli olan bölümler güncellenir, değiştirilir veya yeniden oluşturulur.
7. Politikanın Yürürlüğü ve
Yürürlükten Kaldırılması
Politika,
Verbis Sistemine kayıt olduğunda yürürlüğe girer. Politika metni ve içeriğinde
değişiklik olması durumunda, eski nüsha 5 yıl saklanmak üzere arşive
kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski
metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.
SARI EV
CONCEPT.