Kişisel Veri Saklama ve İmha Politikası
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1.Giriş…………………………………………………………………………………………2
1.1. Amaç…………………………………………………………………………………..…2
1.2.Kapsam…………………………………………………………………………………..2
2.Tanımlar……………………………………………………………………………………2
3.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar Kişiler……………...2
4.Kayıt Ortamları……………………………………………………………………………3
5.Saklama ve İmhaya İlişkin Açıklamalar………………………………………………3
5.1.Saklamayı Gerektiren İşleme Amaçları…………………………………………….4
5.2.İmhayı Gerektiren Sebepler…………………………………………………………..4
6.Teknik ve İdari Tedbirler…………………………………………………………………4
6.1.Kişisel Verilerin Güvenli Olarak Saklanması ve Hukuka Aykırı Olarak
İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
6.1.1.Teknik Tedbirler……………………………………………………………………...4
6.1.2.İdari Tedbirler………………………………………………………………………...5
6.2.Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve
İdari Tedbirler………………………………………………………………………………..5
6.2.1.Kişisel Verilerin Silinmesi…………………………………………………………..5
6.2.2.Kişisel Verilerin Yok Edilmesi……………………………………………………...6
7.Saklama ve İmha Süreleri……………………………………………………………….6
8.Periyodik İmha Süresi…………………………………………………………………...8
9.Politikanın Güncellemesi………………………………………………………………..8
10.Politikanın Yürürlük Tarihi…………………………………………………………….8
1.Giriş
1.1. Amaç
İşbu kişisel verileri saklama ve imha politikası (“Politika”) AGADIGITAL ELEKTRONİK
MAĞAZACILIK VE TİCARET ANONİM ŞİRKETİ (“Şirketimiz”) işlediği kişisel verilerin 6698
Sayılı Kişisel Verilerin Korunması Kanunu(“KVKK”)ve diğer ilgili tüm mevzuat kapsamında
saklama ve imha faaliyetlerinin usul ve esaslarını belirlemek amacıyla hazırlanmıştır. İşbu
saklama ve imha politikası Şirketimizin www.agakulche.com adresinde yayımlanmıştır.
1.2.Kapsam
İşbu politika Şirketimiz nezdinde çalışanların, çalışan adaylarının, stajyerlerin, ziyaretçilerin,
müşterilerin ve diğer kişisel verileri işlenen tüm gerçek kişilerin işlenen verilerinin
saklanmasını ve imhasını kapsar.
2.Tanımlar
a)Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisini,
b)İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde
veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
c)İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç)Kanun:24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
d)Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortamı,
f)Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç
için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme
işlemi için dayanak yaptıkları politikayı,
g)Kurul: Kişisel Verileri Koruma Kurulunu,
ğ)Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
ı)Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini,
i)Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
j)Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi
Hakkında Yönetmeliği ifade eder.
3.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar Kişiler
Şirketimizce işlenen kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve imhası ile
Politika kapsamında teknik ve idari tedbirlerin uygulanması için Tablo 1’de yer alan birimler
görevlendirilmiştir.
Birim | Unvan | Görev |
IT |
IT Sorumlusu
|
Görevi nezdindeki işlenen kişisel verilerin saklama ve imha sürelerine riayet ve politikanın uygulanmasındaki teknik süreçlerden sorumludur.
|
İnsan Kaynakları |
İnsan Kaynakları Müdürü |
Görevi nezdindeki işlenen kişisel verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumludur. |
Mali İşler |
Muhasebe Müdürü |
Görevi nezdindeki işlenen verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumludur. |
Veri Sorumlusu Temsilcisi |
Politikanın gereği gibi uygulanması için diğer görevli birimleri denetlemek, kişisel verileri işleme ile ilgili süreçleri ve işbu politikayı yönetmek, sicile ilişkin iş ve işlemleri yapmakla yükümlüdür. |
|
İrtibat Kişisi |
Görevi nezdindeki işlenen verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumlu olmakla birlikte kurum ile iletişimin sağlanması, veri sahipleri ile irtibatın sağlanmasından sorumludur. |
4.Kayıt Ortamları
Kişisel veriler Şirketimizce elektronik (masaüstü, dizüstü bilgisayarlar, telefon, tablet gibi
mobil cihazlar, CD, DVD gibi optik diskler, USB gibi çıkarılabilir bellekler, yazıcı, tarayıcı,
fotokopi makinası, e-posta, web, ofis yazılımları) ve/veya fiziki (kağıt, anket defteri, ziyaretçi
defteri) ortamlarda politikaya uygun olarak tutulur.
5.Saklama ve İmhaya İlişkin Açıklamalar
Kişisel veriler Şirketimiz tarafından kanunun 4. maddesinde belirtilen “hukuka ve dürüstlük
kurallarına uygun olma, doğru ve gerektiğince güncel olma, belirli açık ve meşru amaçlar için
işlenme, işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri doğrultusunda
işlenmektedir.
5.1.Saklamayı Gerektiren İşleme Amaçları
İnsan kaynakları süreçlerini yürütmek,
Şirketimizin güvenliğini sağlamak,
Hukuki ve cezai uyuşmazlıkları ispat etmek,
Çalışma koşulları ile iş sağlığı ve güvenliği esaslarına uygun hareket edebilmek,
Mahkeme kararlarını yerine getirebilmek,
Mevzuattan doğan yükümlülükleri yerine getirebilmektir.
Ayrıca Şirket’imiz tarafından işlenen tüm kişisel verilerin hangi amaçlarla işlendiğine ilişkin detaylı bilgi verbis.kvkk.gov.tr adresinden sicil sorgulama bölümüne Şirket ünvanımız yazılarak edinilebilir.
5.2.İmhayı Gerektiren Sebepler
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirketimiz
tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
Şirketimizin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmamasıdır.
6.Teknik ve İdari Tedbirler
6.1.Kişisel Verilerin Güvenli Olarak Saklanması ve Hukuka Aykırı Olarak İşlenmesi ve
Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
6.1.1.Teknik Tedbirler
Şirketimiz kişisel verilerin güvenli olarak saklanması ve 3. kişiler tarafından erişilmesini
engellemek amacıyla aşağıdaki teknik tedbirleri almaktadır:
Şirketimiz tarafından kişisel verilerin işlendiği ortamların güncel tutulabilmesi amacıyla teknolojik gelişmeler takip edilmektedir.
Bilişim sistemlerinin güvenliğinin sağlanması için belirli aralıklarla gerekli sızma testleri yapılmaktadır.
Şirketimizde verilerin sızmasını engelleyici teknik altyapı temin edilmektedir.
Şirketimiz nezdinde verileri kaydeden birimlerde çalışan personelden gizlilik taahhüdü alınmaktadır.
Kişisel verilerin işlendiği ortamlarda sağlam şifreleme ve/veya kilitleme yöntemleri kullanılmaktadır.
Kişisel verilerin tutulduğu ortamlarda güvenlik sistemleri kullanılmaktadır.
6.1.2.İdari Tedbirler
Şirketimiz kişisel verilerin güvenli olarak saklanması ve 3. kişiler tarafından erişilmesini
engellemek amacıyla aşağıdaki idari tedbirleri almaktadır:
Saklanan kişisel verilere erişim ancak Şirketimizin ilgili personelleri nezdinde sınırlıdır.
Şirketimizce işlenen kişisel verilerin hukuka aykırı yollarla 3. kişilerce ele geçirilmesi halinde bu durumu en kısa sürede Kurul’a bildireceğine ilişkin tedbirler alınmıştır.
Şirketimiz kişisel verilerin aktarılması durumunda aktarılan kişiler ile ilgili gerekli sözleşmeleri yapar ve/veya diğer gerekli önlemleri alır.
Kişisel verilerin hukuka uygun işlenmesi ve saklanması için verileri işleyen personele gerekli eğitimler verilmektedir.
Şirketimiz verilerin saklanmasına ilişkin gerekli denetimleri yapar. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
6.2.Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, Şirketimiz tarafından re’sen veya ilgili kişinin başvurusu üzerine yine
ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir;
6.2.1.Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir. Şirketimiz aşağıda yer verilen silme işlemlerinden hepsi yahut
gerektiğinde bir veya bir kaçı ile silme işlemini gerçekleştirmektedir.
Sunucularda Yer Alan Kişisel Veriler: Bu kişisel verilerden saklanmasını gerektiren süre
sona erenler için ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Fiziksel Ortamda Tutulan Kişisel Veriler:Kâğıt ortamında bulunan kişisel verilerden
silinmesi gereken kısmın mümkün olan durumlarda kâğıttan kesilmesi, mümkün değilse
karartma yöntemi kullanılarak silinmesi işlemidir. Kâğıt üzerinde yer alan kişisel veriler üzeri
okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır.
Elektronik Ortamda Tutulan Kişisel Veriler:Geri getirme yetkisi olmaksızın silme komutu
verilerek silinir.
Taşınabilir Bellekte Yer Alan Kişisel Veriler:Şifrelenerek ve erişim yetkisi sadece sistem
yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
6.2.2.Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez,
geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Şirketimiz aşağıda yer verilen
yok etme işlemlerinden hepsi yahut gerektiğinde bir veya bir kaçı ile yok etme işlemini
gerçekleştirmektedir.
Fiziksel Ortamda Tutulan Kişisel Veriler:Kâğıt ortamında bulunan kişisel veriler, kâğıt imha
veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri
birleştirilemeyecek şekilde küçük parçalara bölünür.
Dijital Ortamda Tutulan Kişisel Veriler:Optik medya ve manyetik medyada yer alan kişisel
verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline
getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle
verilerin erişilmez kılınması sağlanır.
6.2.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir. Anonim hale getirme, bir veri topluluğundaki tüm doğrudan ve/veya dolaylı
tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin
engellenmesidir. Bu sayede belli bir kişiyi işaret etmeyen veriler anonim hale getirilmiş
olur.Şirketimiz aşağıda yer verilen anonim hale getirme işlemlerinden hepsi yahut
gerektiğinde bir veya bir kaçı ile anonim hale getirme işlemini gerçekleştirmektedir.
Tanımlayıcıları Çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi
herhangi bir şekilde tespit etmeye yarayacak tanımlayıcıların bir ya da bir kaçının
çıkarılmasıdır.
Gizleme: Kişisel veri kümesinde istisna durumda olan ve ilgili kişinin ayırt edilmesini
sağlayan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme:Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak
istatistiki veri haline getirilmesi işlemidir.
7.Saklama ve İmha Süreleri
Şirketimiz tarafından işlenen kişisel verileriniz tablo 2’de belirtilen süre boyunca saklanır ve
saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilir.
Tablo 2:
Kişisel Veri |
Saklama Süresi |
İmha Süresi |
Kimlik |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
İletişim |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Lokasyon |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Özlük |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Hukuki İşlem |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Müşteri İşlem |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Fiziksel Mekan
Güvenliği(Kamera Kaydı) |
İşlenmesinden itibaren
30 gün |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
İşlem Güvenliği |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Risk Yönetimi |
İşlenmesinden itibaren
10 yıl |
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Finans |
İşlenmesinden itibaren 10 yıl
|
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde |
Mesleki Deneyim
İşlenmesinden itibaren
10 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
Pazarlama
İşlenmesinden itibaren
10 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
Görsel ve İşitsel Kayıtlar
İşlenmesinden itibaren
Görsel Kayıtlar:10 yıl
İşitsel Kayıtlar:2 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
Felsefi İnanç, Din, Mezhep ve
Diğer İnançlar
İşlenmesinden itibaren
10 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
Sağlık Bilgileri
İşlenmesinden itibaren
10 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
Ceza Mahkumiyeti ve
Güvenlik Tedbiri
İşlenmesinden itibaren
15 yıl
Saklama süresinin bitimini
takip eden ilk periyodik imha
süresinde
8.Periyodik İmha Süresi
Kanunda ve işbu Politikada yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda; Şirketimiz ilgili kişisel verileri Yönetmeliğin 11 inci maddesi gereğince 6
ay aralıklarlare’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.Buna
göre, Şirketimizde işbu politikanın yürürlük tarihinden başlamak üzere her yıl Haziran ve
Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9.Politikanın Güncellemesi
İşbu Politika zaman zaman güncellenebilir. Bu nedenle, Politika’nın en güncel versiyonuna
ulaşmak için, www.agakulche.com adresi ziyaret edilebilir.
10.Politikanın Yürürlük Tarihi
İşbu Politika, Şirketimize ait
www.agakulche.com
web sitesinde yayınlanmasının ardından
yürürlüğe girmiş kabul edilir.