Kişisel Veri Saklama ve İmha Politika Metni

1. Giriş

1. Amaç

İbilet Bilet Dağıtım ve Basım Tic. A.Ş Veri Saklama ve İmha Politikası’nın amacı; şirketimizin ticari faaliyetleri nedeniyle kullanılan kişisel verilerin, T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak uygun olarak korunması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasları düzenlemektir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler bu Politikaya uygun olarak gerçekleştirilir.

2. Kapsam

Politika, şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu işgörenler, işgören adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların işgörenlerine ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve faaliyetleri kapsar.

İlgili kişinin tanımlanamayacağı şekilde anonim hale gelen istatistiki veriler ve tüzel kişileri tanımlayan veriler kişisel veri olarak kabul edilmemektedir ve bu politika kapsamında değildir.

3. Tanımlar

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini;

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili Kullanıcı: Veri Sorumlusu’nun organizasyonu içinde yer alan tüm işgörenler ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri;

İlgili Kullanıcı (Özel Yetkili): İlgili kullanıcıdan farklı olarak, prosedür veya ilgili kişinin isteği üzerine silinen ancak yasal nedenlerle henüz yok edilmeyen kişisel verilere erişime yetkisi olan, bu verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesini sağlamak üzere özel olarak yetkilendirilen veri işleyenleri;

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini;

İbilet veya Şirket: İbilet Bilet Dağıtım ve Basım Tic. A.Ş.’yi,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu;

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı;

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;

Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;

Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri;

Kurul: Kişisel Verileri Koruma Kurulunu;

Kurum: Kişisel Verileri Koruma Kurumunu;

Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;

Politika : Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı;

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi;

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.

2. Kişisel Veri Yönetim Yapısı - Görev ve Sorumluluklar

Şirketin bütün yöneticileri ve icra organları, ilgili birimlerinde Kişisel Verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir. Yöneticiler bu amaçla; birim işgörenlerin eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur. İlgili Kullanıcıların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıkları artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:

Yönetim Kurulu Başkanı: Veri sorumlusu Temsilcisi sıfatıyla, kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasından sorumludur.

Mali ve İdari İşler Koordinatörü: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, eğitim ve bilgilendirmeden sorumludur.

Teknik Müdür: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasından sorumludur.

Yönetim Kurulu Üyeleri: Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesinden sorumludur.

İlgili Kullanıcı ve Veri İşleyenler: Veri işleme ve saklanması ile ilgili işlemlerin usul ve yasaya

uygun olmasından sorumludur.

Özel Yetkili İlgili Kullanıcı : Prosedür veya ilgili kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilememesinden sorumludur.

3. Veri Kayıt ve Saklama Ortamları

Şirket tarafından işlenen kişisel veriler, aşağıda yazılı olan ortamlarda hukuka uygun olarak gerekli tedbirler alınarak güvenli bir şekilde saklanır.

1. Elektronik Ortamlar

Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), yazılımlar (ofis yazılımları, portal, vb.), bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.), kişisel bilgisayarlar (masaüstü, dizüstü), mobil cihazlar (telefon, tablet vb.), optik diskler (cd, dvd vb.), çıkartılabilir bellekler (usb, hafıza kart vb.), yazıcı, tarayıcı, fotokopi makinesi, kamera kayıt sistemleri plaka tanıma sistemleri.

2. Fiziki Ortamlar

Kâğıt, manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), yazılı, basılı, görsel ortamlar, birim dolapları, arşiv.

4. Kişisel Verilerin Saklanması

Şirket’in hizmet sunumu ve bilet satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu işgörenler, işgören adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların işgörenlerine ait bu politikada ve veri envanterinde işlendiği ve işleme amacı açıklanan kategori ve kişi gruplarına ait kişisel veriler, ilgili mevzuata ve Kişisel Verileri Koruma Kurulu’nun ilke kararları ve yönlendirmelerine uygun güvenlik önlemleri altında, amaçla bağlantılı, sınırlı ve ölçülü olarak uygun süre boyunca saklanır.

-Saklamayı Gerektiren Sebepler

a) Kişisel verilerin saklama sürelerinin belirlenmesinde hükümleri dikkate alınan yasal düzenlemeler:

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
4857 sayılı İş Kanunu,
6493 Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
6502 Tüketicinin Korunması Hakkında Kanun
5589 Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun
Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği
Mesafeli Sözleşmelere Dair Yönetmelik
Ticari Reklam ve İlanlara İlişkin İlkeler ve Uygulama Esaslarına Dair Yönetmelik
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik ,
ve ticari faaliyetin yürütülmesi işlerini düzenleyen diğer yasal düzenlemeler ile bu düzenlemelere dayanan diğer mevzuat hükümleri.

b) Şirketin ticari faaliyeti kapsamında işlenen kişisel veriler, ilgili Kanunlarda belirtilen süre boyunca, eğer Kanun’da saklama süresi belirlenmemiş ise şirketin güvenlik ve işleyişine uygun olarak bu politika ile belirlenen süre boyunca saklanır.

-Saklamayı Gerektiren İşleme Amaçları

Şirketin ticari faaliyeti kapsamında işlenen kişisel verilerin saklanma amaçları şöyledir:

Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
İşgörenler İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
İşgörenler İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

5. Veri Güvenliği

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Şirket tarafından Kanun’un 6. maddesinin dördüncü fıkrası ile 12. maddesi gereğince Kurul tarafından belirlenerek ilan edilen yönlendirmeler çerçevesinde teknik ve idari önlemler alınır.

Veri güvenliği ile ilgili teknolojilerin güncellenmesi, değişmesi, gelişmesi ve yeni teknolojilerin gelişimi takip edilerek, güvenlik seviyesi daha yüksek versiyon veya yeni program ve teknolojiler uygulanır.

1. Teknik Önlemler

Saklanan kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

Sızma testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 işgören izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

Erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için idari ve teknik önlemleri alınmaktadır.

Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri

kullanılmaktadır.

Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

İşgörenlerin sağlığı ile ilgili özel nitelikli kişisel verilere İşyeri Hekimliği tarafından erişilebilmekte ve işyeri sağlık biriminde saklanmaktadır.

Özel nitelikli kişisel veri işleme süreçlerinde yer alan işgörenlere yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar, kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

2. İdari Önlemler

Kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

İşgörenlerin niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin, erişilmesinin önlenmesi, muhafazasının sağlanması, iletişim teknikleri, teknik bilgi becerinin gelişimi, bilgi güvenliği ile ilgili eğitimler verilmektedir.

Şirket Etik Kodu ve diğer gizlilik ve olağandışı özen gerektiren durumlarla ilgili bilgilendirme, bilinçlendirme ve eğitsel çalışmalar yapılmakta, bu kurallara uyulacağına ilişkin taahhütler alınmaktadır.

Güvenlik politika ve prosedürlerine uymayan işgörenlere yönelik uygulanacak yaptırımlar işyerinin mevcut disiplin hükümleri yönetmeliğinde güncellenmiştir.

Kişisel veri işlemeye başlamadan önce İbilet tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

Şirket içi periyodik ve rastgele denetleme/ kontroller yapılmaktadır.

İşgörenler ve iş yapılan firmalardan gizlilik ve kişisel verilerin korunması ile ilgili taahhütnameler alınmaktadır, veri güvenliği içeren sözleşmeler yapılmaktadır.

Kağıt yolu ile aktarılan kişisel veriler için güvenlik önlemi alınmakta, evrak gizlilik dereceli evrak formatında gönderilmektedir.

Kişisel veri içeren ortamlara giriş çıkışlarla ilgili güvenlik önlemleri alınmaktadır.

Kişisel veri içerin ortamların iç ve dış risklere karşı güvenliği sağlanmaktadır.

6. Kişisel Verilerin İmhası

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle saklama süreleri sonunda imha (hiçbir şekilde erişilemez ve kullanılamaz hale getirme) edilir.

6.1. İmhayı Gerektiren Sebepler

Şirketin ticari faaliyeti kapsamında işlenen kişisel verilerin imha sebepleri şöyledir:

Veri işlenmesine esas teşkil eden yasal hükümlerin ortadan kalkması veya değişmesi,

Veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

Kişisel verileri işlemenin sadece açık rıza koşuluna bağlı olduğu durumlarda, ilgili kişinin açık rızasını geri alması,

Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,

İlgili kişinin başvuru veya şikâyeti üzerine Koruma Kurulu tarafından kişisel verilerin imha edilmesine karar verilmesi, Kişisel verilerin saklanmasını gerektiren sürenin dolması ve kişisel verileri daha uzun süre saklanmasını gerektirecek bir durumun olmaması.

6.1.1. Şirket Bulut Çözümleri

Şirketin bulut veya benzer sanal depolama sisteminde bulunan ve depolanan verilerden silinmesi gerekenler, silme komutu verilerek silinir, veritabanı yöneticisi dışında kalan kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

6.1.2. Kağıt Ortamında Bulunan Kişisel Veriler

Fiziki dosya ve kağıt ortamında bulunan kişisel veriler, Veri Sorumlusu tarafından arşiv ve saklama işlemleri için görevlendirilen İlgili Kullanıcı dışında diğer ilgili kullanıcılar, veri işleyenler ve işgörenler için kâğıt kırpma makineleri gibi imha araçları ile geri döndürülemeyecek şekilde hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, evrak üzerindeki kişisel verilerin kesilmesi veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılıp karartılarak ilgili kullanıcılara görünemez hale getirilir.

6.1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosyalar işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde veritabanı yöneticisi dışında kalan kullanıcıların erişim hakları kaldırılarak erişimleri engellenir.

6.1.4. Taşınabilir Medyada Bulunan Kişisel Veriler

Kalıcı veri saklayıcıları ve flash tabanlı saklama ortamlarındaki kişisel veriler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır bu ortamlara uygun yazılımlar kullanılarak silinir.

6.1.5. Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.2. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6.3. Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi

Kişisel Veri Sahibi, Kanun’un uygulanmasıyla ilgili taleplerini, Kanun’un 11. maddesi uyarınca yazılı olarak veya belirleyeceği diğer yöntemlerle iletir. Kişisel Veri Sahibi’nin, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından belirlenecek ücret esas alınabilir. Başvurunun yapılan bir işleme hatasından kaynaklanması durumunda ücret alınmaz veya alınmış ise iade edilir. Veri sahibine; talebinin kabul edildiği veya talebinin reddedildiği gerekçesi açıklanarak bildirilir. Bildiri yazılı olarak veya elektronik ortamda yapılır.

7. Saklama ve İmha Süreleri

7.1. Prosedürel saklama ve imha süreleri

Şirket faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri Saklama ve İmha Politikasında yer alır. Tüm kişisel veri grupları, kendilerine yönelik işleme amacının ortadan kalkmasından itibaren en geç ilk periyodik imha süresinde silinir, anonimleştirilir veya imha edilir.

Yasal düzenlemeler veya ihtiyaçlar çerçevesinde saklama sürelerinde güncellemeler ve değişiklikler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi yetkilendirilen İlgili Kullanıcı / Özel Yetkili Kullanıcı tarafından yerine getirilir.

Saklama ve imha süresinin belirlenmesinde; İşlenen kişisel verinin iş sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, iş sözleşmesinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin ticari sözleşmeler ile kurulan her tür ticari ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, ticari ilişkinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin dolaylı olarak iş veya ticari sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, hukuki ilişkinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin herhangi bir ticari alışveriş ile doğrudan ilgisi olmaması, irtibat kurulma, ziyaret, tanışma, teklif verme, iş veya staj için başvurma gibi amaçlarla verilmesi ve sonrasında iş veya ticari ilişkiye dönüşmemesi halinde 2 yıl saklanması,

Güvenlik kayıtlarının otomatik olarak altı ay içinde silinmesi, herhangi bir olay veya görüntüye ihtiyaç olması nedeniyle başka bir amaç ve hukuki nedene bağlı olarak saklanması gereken bölümlerin kesilerek, ilgili hukuki neden ve amacın tabi olduğu zamanaşımı süresine uygun olarak saklanması, ilkeleri temel alınmış ve saklama süreleri buna göre belirlenmiştir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Veri Tipi Saklama Süresi İmha Süresi
Kimlik Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özlük Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mesleki Deneyim, Çalışma ve İzin Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekan Güvenliği Bilgileri Veri işleme tarihinden itibaren 6 ay Saklama süresi bitiminde derhal
İşlem Güvenliği Bilgileri İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık Bilgisi İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkumiyeti ve Güvenlik Tedbiri Bilgisi İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep ve Şikayet Yönetimi Bilgisi İş sözleşmesinin sona ermesinden itibaren (hukuki ilişki) + 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

7.1. İmha Periyotları

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 11. madde hükmünce saklama süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler altı ayda bir imha edilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında gerçekleştirilir.

7.2 İmha Periyodu Diğer İlkeleri

Yukarıda yer alan sürelerin yanında hukuki ilişki ve işlemin niteliğine bağlı olarak;

Fiziksel mekan güvenliği bilgileri konusunda herhangi bir olay veya görüntüye ihtiyaç olması nedeniyle başka bir amaç ve hukuki nedene bağlı olarak saklanması gereken bölümlerin kesilerek, ilgili hukuki neden ve amacın tabi olduğu zamanaşımı süresine uygun olarak saklanması,

İşlenen kişisel verinin herhangi bir ticari alışveriş ile doğrudan ilgisi olmaması, irtibat kurulma, ziyaret, tanışma, teklif verme, iş veya staj için başvurma gibi amaçlarla verilmesi ve sonrasında iş veya ticari ilişkiye dönüşmemesi halinde 2 yıl saklanması,

İşlenen kişisel verinin dolaylı olarak iş veya ticari sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, hukuki ilişkinin sona ermesinden itibaren 10 yıl saklanması ilkeleri benimsenmiştir.

8. Politikanın Yayınlanması ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda oluşturulur. Elektronik ortamda oluşturulan internet sayfasında ilan edilir. Basılı kâğıt olarak oluşturulan nüsha, dosyasında saklanır.

9. Politikanın Güncellenme Periyodu

Şirket faaliyetleri ve işlenen kişisel veri gruplarında olabilecek değişiklikler, yasal mevzuatta yapılacak değişikler ve Kişisel Verileri Koruma Kurulu ilke kararları takip edilerek, ortaya çıkan ihtiyaca göre politika gözden geçirilir ve gerekli olan bölümler güncellenir, değiştirilir veya yeniden oluşturulur.

10. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması

Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Politika metni ve içeriğinde değişiklik olması durumunda, eski nüsha, üzerine “iptal” kaşesi vurularak 5 yıl saklanmak üzere arşive kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.