Kişisel Veri Saklama ve İmha Politikası
Veri saklama ve imha faaliyetlerine ilişkin usul ve esaslarımız.
1. Giriş
1.1 Amaç
Kişiler Veri Saklama ve İmha Politikası, Şirket tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; çalışanlar, çalışan adayları, hizmet sağlayıcıları ve diğer üçüncü kişilere ait verilerin Türkiye Cumhuriyeti Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanun’u ile ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Politika, Şirket’in çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verileri kapsar. Şirket’in sahip olduğu ya da Şirket tarafından yönetilen kişiler verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3 Tanımlar
Politika kapsamında kullanılan ve aşağıda yer verilen terim ve kavramların karşılığı şöyledir:
- Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
- Açık Rıza: Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
- Çalışan: Şirket çalışanı.
- Çalışan Adayı: Şirket’te çalışmak amacıyla başvuru yapan ancak henüz iş sözleşmesi akdedilmemiş üçüncü kişi.
- Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
- Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlar.
- Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
- İlgili Kişi: Kişisel verisi alınan gerçek kişi.
- İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi ya da kişiler.
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
- İnternet Sitesi: www.datakod.com
- Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Envanter: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya dini inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
- Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirlenen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
- Politika: Kişisel Verileri Saklama ve İmha Politikası.
- Şirket: Datakod Yazılım A.Ş.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
- Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
- VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
2. Sorumluluk ve Görev Dağılımları
Şirketin birimleri ve çalışanları, Politika kapsamında alınan teknik ve idari tedbirlerin uymakla yükümlüdür. Politikanın uygulanması, geliştirilmesi, yürütülmesi ve çalışanların eğitilmesi konularında aşağıda yer verilen birimler sorumluluk üstlenmiştir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimler ve görev tanımlarına ait dağılım şu şekildedir:
| UNVAN | BİRİM | GÖREV |
|---|---|---|
| İnsan Kaynakları Sorumlusu | İnsan Kaynakları Birimi | Çalışanların politikaya uygun hareket etmelerinden sorumludur. |
| Finans Birimi Sorumlusu | Finans Birimi | Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur. |
| Bilişim Birimi Sorumlusu | Bilişim Birimi | Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
3. Kayıt Ortamları
Şirketimiz, Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır:
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|---|---|
| Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım) | Kâğıt |
| Yazılımlar (Ofis yazılımları, portal vb.) | Manuel veri kayıt sistemleri (Anket formları, ziyaretçi giriş defteri) |
| Bilgi güvenliği cihazları (Güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs programı vb.) | Yazılı, basılı, görsel ortamlar |
| Kişisel bilgisayarlar (Masaüstü bilgisayar, dizüstü bilgisayar) | |
| Mobil cihazlar (telefon, tablet vb.) | |
| Optik diskler (CD, DVD vb.) | |
| Çıkartılabilir bellekler (USB, Hafıza Kartı vb.) | |
| Yazıcı, tarayıcı, fotokopi makinesi |
4. Saklama ve İmhaya İlişkin Açıklamalar
Şirket tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin açıklamalar aşağıda başlıklar hâlinde yapılacaktır.
4.1 Saklamaya İlişkin Açıklamalar
Kanun'un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngürülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Kişisel verileri işleme şartları Kanun’un 5. ve 6. maddelerinde sayılmıştır.
Buna göre Şirket’in faaliyetleri çerçevesinde kişisel veriler, mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
4.1.1 Saklamayı Gerektiren Hukukî Sebepler
Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
- 4857 sayılı İş Kanunu
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- Fiziksel mekan güvenliğinin temini.
- Ziyaretçi kayıtlarının oluşturulması ve takibi.
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi.
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi.
- Çalışan adayı, stajyer, öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi.
- Geçici işçi alımı faaliyetlerinin yürütülmesi.
- Eğitim faaliyetlerinin yürütülmesi.
- Mal ve / veya hizmet satın alım ve satış süreçlerinin yürütülmesi.
- Sözleşme süreçlerinin yürütülmesi.
- Mal ve / veya hizmet satışı sonrası destek hizmetlerinin yürütülmesi.
- Saklama ve arşiv faaliyetlerinin yürütülmesi.
- İleride doğabilecek hukuki uyuşmazlıklara ilişkin delil teminini sağlamak.
4.2 İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
- Şirketin, ilgili kişi tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde, Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5. Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanun’un 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili alınan teknik tedbirler aşağıda sayılmıştır:
- Sızma testleri ile Şirketimizin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkartılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analiz sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınmasını sağlamakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler ve erişim denemeleri kontrol altında tutulmaktadır.
- Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kuruma bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan ve olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bir RSA algoritmasıyla şifrelenmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilmektedir.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket için periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
6. Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıda gösterilen yöntemlerle silinir:
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek karartma işlemi de uygulanır. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Harici bellek ortamında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından aşağıda gösterilen yöntemlerle yok edilir:
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirketimiz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirketimiz, kişisel verileri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:
- Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri: mikro birleştirme, veri değiş-tokuşu, gürültü ekleme, tekrar örnekleme.
- Anonim Hale Getirmeyi Kuvvetlendirici İstatiksel Yöntemler: K-Anonimlik, L-Çeşitlilik, T-Yakınlık
7. Saklama ve İmha Süreleri
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Saklama süreleri, gerekmesi hâlinde ilgili birim tarafından güncellenir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi ilgili birim tarafından yerine getirilir. Bu kapsamda Şirketimiz, kişisel verileri EK-1’de yer alan Saklama ve İmha Süreleri Tablosu’nda belirtilen azami süreler boyunca saklamakta ve imha etmektedir:
8. Periyodik İmha Süreleri
Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri imha etmektedir. Bu kapsamda Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri, veri içeriğine göre 1 yıl, 5 yıl ve 10’ar yıllık periyotlar halinde imha işlemine tabi tutmaktadır. Anılan süre, her hal ve koşulda Yönetmelik’in 11’inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.
9. Yürürlük
İşbu Politika 30.09.2020 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilir.
EK-1: Saklama ve İmha Süreleri Tablosu
| VERİ TÜRÜ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
|---|---|---|
| 6102 sayılı Türk Ticaret Kanunu’nun ilgili hükümlerine göre tutulması zorunlu olan ticari defterler ile e-postalar ve şirket içi yazışmalar | 10 yıl | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Sözleşmeler | Sözleşmenin sona ermesini takip eden 10 yıl boyunca | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Müşteri Kayıtları | Müşteri ile ticari ilişkinin sona ermesini takip eden 10 yıl boyunca | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Çalışan Kayıtları | Çalıştıkları süre boyunca | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Eski Çalışan Kayıtları | İşten ayrılmalarını takip eden 10 yıl boyunca | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Çalışan Adaylarına İlişkin Kayıtlar | Başvuruyu takip eden 2 yıl boyunca | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Muhasebe ve Finans Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Şirket İçi Şikayetler ve İlgili Belgeler | 10 yıl | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Hukuk Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden periyodik imha süresinde |
| Resmi Yazışmalar | Süresiz | - |
| Vergi Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden periyodik imha süresinde |
Doğru Başlangıç Noktası Doğru SoruylaBulunur
İhtiyacın hangi katmanda yoğunlaştığı netleştiğinde, doğru modül de görünür
hale gelir. İlk adım seçenek çoğaltmak değil; asıl ihtiyacı doğru okumaktır.