SARAYKENT PAZARLAMA TİCARETVE SANAYİ LİMİTED ŞİRKETİ
KVKK KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
Sayfa 2
İÇİNDEKİLER
1. GİRİŞ............................................................................................................................................3
1.1 Amaç .....................................................................................................................................3
1.2 Kapsam..................................................................................................................................3
1.3 Kısaltmalar ve Tanımlar..........................................................................................................3
2. SORUMLULUK VE GÖREV DAĞILIMLARI .......................................................................................4
3. KAYIT ORTAMLARI .......................................................................................................................5
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR ...............................................................................6
4.1 Saklamayı Gerektiren Hukuki Sebepler...................................................................................7
4.2 Saklamayı Gerektiren İşleme Amaçları....................................................................................7
4.3 İmhayı Gerektiren Sebepler....................................................................................................8
5. TEKNİK VE İDARİ TEDBİRLER.........................................................................................................8
5.1 İdari Tedbirler........................................................................................................................8
5.2 Teknik Tedbirler.....................................................................................................................9
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ ............................................................................................10
6.1 Kişisel Verilerin Silinmesi......................................................................................................10
6.2 Kişisel Verilerin Yok Edilmesi ................................................................................................11
6.3 Kişisel Verilerin Anonim Hale Getirilmesi..............................................................................12
7. SAKLAMA VE İMHA SÜRELERİ.....................................................................................................12
8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI ve GÜNCELLENMESİ ..............................................13
Sayfa 3
1.GİRİŞ
1.1 Amaç
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Saraykent Pazarlama Ticaret ve
Sanayi Limited Şirketi (“Şirket”) tarafından gerçekleştirilmekte olan saklama ve imha
faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla
hazırlanmıştır.Ayrıca bu Politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması
Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış bulunan ve 30224 sayılı ve 28.10.2017
tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereğince; kişisel
verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair
yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektir.
Şirket çalışanları, çalışan yakınları, çalışan adayları, eğitmen, müşterilerimiz, potansiyel
müşterilerimiz, hizmet sağlayıcıları, ziyaretçilere vb. gerçek kişilere("İlgili Kişi") ait kişisel
verilerin T.C. Anayasası, uluslararası sözleşmeler, Kanun'a ve diğer ilgili mevzuata uygun
olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını
öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin işlemler, Şirket tarafından bu doğrultuda
hazırlanmış olan bu politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
İlgili kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da
Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine
yönelik faaliyetlerde bu Politika uygulanır.
1.3 Kısaltma ve Tanımlar
Şirket : Saraykent Pazarlama Ticaret ve Sanayi Limited Şirketi
Politika :Kişisel Verileri Saklama ve I
̇mha Politikasını,
VERBİS:Veri Sorumluları Sicil Bilgi Sistemini,
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiyeilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ilebiyometrik
ve genetik verileri,
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme
amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı
Sayfa 4
ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanteri,
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,
Veri İşleyen :Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
işleyen gerçek veya tüzel kişiyi,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortamı,
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızayı,
Kurul :Kişisel Verileri Koruma Kurulu,
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini ifade eder.
2.SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm çalışanları, Politika kapsamında kişisel veri işlenen tüm ortamlarda veri
güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu
ekiplere destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev
tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Kişisel veri saklama ve imha süreçleri görev dağılımı
UNVAN BİRİM GÖREV
Şirket Müdürü Şirket yönetimi • Çalışanların politikaya uygun
hareket etmesinden sorumludur.
İnsan Kaynakları Müdürü İnsan Kaynakları • Politika’nın hazırlanması, takibi,
ve güncellenmesinden sorumlu
• Fiziksel ortamda yer alan kişisel
verilerin imha sürecinin yönetimi
Bilgi Teknolojileri Müdürü Bilgi Teknolojileri • Politika’nın uygulanmasında
ihtiyaç duyulan teknik
tedbirlerinalınmasından
sorumludur.
• Elektronik ortamda yer alan
kişisel verilerin imha sürecinin
Sayfa 5
yönetimi
İnsan Kaynakları Ekibi,
Hukuk İşleri Ekibi,
Bilgi Teknolojileri Ekibi,
Diğer Birimler • Görevlerine uygun olarak
Politikanın yürütülmesinden
sorumludur.
Şirket bünyesinde işbu politika prosedürleri ve formlarını yönetmek üzere, şirket üst
yönetiminin kararı gereğince “Bilgi Güvenliği Komitesi” oluşturulmuştur.
3.KAYIT ORTAMLARI
İlgili Kişilere ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda
KVKK hükümleri, ilgili mevzuatlar ve uluslararası veri güvenliği hususları dikkate alınarak
güvenli bir şekilde saklanmaktadır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar Fiziksel Ortamlar
Sayfa 6
• Sunucular
• Etki alanı,
• Yedekleme sistemi,
• E-posta sistemi,
• Veritabanı,
• Web uygulaması,
• Dosya paylaşım
• Yazılımlar
• SAP sistemleri,
• Muhasebe yazılımları,
• CRM Yazılımı
• ERP Yazılımı
• Bilgi güvenliği Sistemleri
• Güvenlik duvarı,
• Saldırı tespit ve engelleme,
• Günlük kayıt dosyası,
• antivirüs
• Kişisel bilgisayarlar
• Masaüstü,
• Dizüstü,
• Mobil cihazlar
• Telefon,
• Tablet,
• Optik diskler
• CD, DVD
• Kaset
• Çıkartılabilir bellekler
• USB bellek,
• Hafıza Kart
• Harici Disk
• Yazıcı, tarayıcı, fotokopi makinesi
• Birim Dolapları
• Manuel veri kayıt sistemleri (anket formları, ziyaretçi
giriş defteri)
• Yazılı, basılı, görsel ortamlar
• Arşiv
4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; İlgili Kişilere ait kişisel veriler kanuna uygun olarak saklanır ve imha
edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda yer verilmiştir.
Sayfa 7
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış,
Kanunun 4 üncü maddesinde işlenen kişisel verinin;
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilmesi ilkelerine uygun olması gerektiği belirtilmiştir.
Kanunun 5. ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.
Buna göre, Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, KVKK ve diğer ilgili
mevzuat hükümlerine göre uygun süre kadar saklanır.
4.1 Saklamayı Gerektiren Hukuki Sebepler
İlgili Kişilere ait kişisel verileri saklamayı gerektiren
• Ticari faaliyetlerin sürdürülebilmesi,
• Hukuki yükümlülüklerin yerine getirilebilmesi,
• Çalışan haklarının ve yan haklarının planlanması ve ifası ile
• Müşteri ilişkilerinin yönetilebilmesi amacıyla
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması
nedeniyle saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in
meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• İlgili Kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri
sahiplerinin açık rızasının bulunması şeklinde gerçekleştiğinde fiziki veya elektronik
ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatlarda belirtilen sınırlar
çerçevesinde saklama süreleri kadar saklanmaktadır.
4.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar:
• İnsan kaynakları süreçlerini yürütmek,
• Kurumsal iletişimi sağlamak,
• Kurum güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek,
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
Sayfa 8
• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu
temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri
buna göre düzenlemek ve gerekmesi halinde güncellemek,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin
yerine getirilmesini sağlamak,
• Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
• Yasal raporlamalar yapmak,
• Çağrı merkezi süreçlerini yönetmek,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine
getirmek.
4.3 İmhayı Gerektiren Sebepler
Kişisel veriler;
• Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi
veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
• Veri sorumlusunu, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya
anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı
yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula
şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
durumlarında, veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da
re’sen silinir, yok edilir veya anonim hale getirilir.
5.TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve
erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için
KVKK’nın 12. maddesindeki ilkeler çerçevesinde,Şirket tarafından teknik ve idari tedbirler
alınır.
5.1 İdari Tedbirler
Şirket tarafından alınan idari tedbirler:
Sayfa 9
• Veri güvenliğine ilişkin çalışanların iş sözleşmelerine gizlilik maddeleri eklenmiştir.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak IK disiplin
prosedürü hazırlanmıştır.
• Kişisel veri işlemeye başlamadan önce Şirket tarafından, İlgili Kişileri aydınlatma
yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kurum içi periyodik denetimler yapılır. Denetimler sonucunda ortaya çıkan gizlilik ve
güvenlik zafiyetleri giderilir.
• Çalışanlara KVKK ile ilgili hususlarında içeren bilgi güvenliği eğitimleri verilmektedir.
• Saklanan kişisel verilere Ş irket içi erişimi iş tanımı gereği erişmesi gerekli personel ile
sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem
derecesi de dikkate alınır.
5.2 Teknik Tedbirler
Şirket tarafından alınan teknik tedbirler:
• Sızma (Penetrasyon) testleri ile bilişim sistemlerine yönelik risk, tehdit ve zafiyetler
ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile
kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24
çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin
sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik
duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen
sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik
kontroller yapılmaktadır.
• Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili
raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz
olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu
durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve
altyapı oluşturulmuştur.
Sayfa 10
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri
güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri
kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
• Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit
RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli
kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,
verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik
ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar
güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik
güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak
yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel
ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz
giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak
kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir
bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle
şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel
ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN
kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı
yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler
tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli”
formatta gönderilmektedir.
6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Kişisel veriler ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan
saklama süresinin sonunda, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine
yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
Sayfa 11
Tablo 3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan
Kişisel Veriler
• Sunucularda yer alan kişisel veriler saklanmasını gerektiren süre
sona erenler için;
• Sistem yöneticisi tarafından dosya veya dosyanın bulunduğu
dizin üzerinde ilgili kullanıcıların erişim yetkisi kaldırılarak
silme işlemi yapılır.
Veri tabanlarında Yer
Alan Kişisel Veriler
• Veri tabanlarında yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer
çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilir.
• Veri tabanlarında ilgili satırların veri tabanı komutları ile
silinmesi
Fiziksel Ortamda Yer
Alan Kişisel Veriler
• Fiziksel ortamda tutulan kişisel verilerden saklanmasını
gerektiren süre sona erenler için;
• Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Ayrıca, üzeri okunamayacak şekilde
çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada
Bulunan Kişisel Veriler
• Flash tabanlı saklama ortamlarında tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler
• Sistem yöneticisi tarafından flash ortamında bulunan verilerin
uygun yazılımlar kullanılarak silinmesi
Bulut Sisteminde Bulunan
Kişisel Verileri
• Bulut sisteminde bulunan kişisel verilerin saklanmasını
gerektiren süre sona erenler için
• Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan
Kişisel Veriler
• Kâğıt ortamında yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler için, kâğıt
öğütücücihazlarda geri döndürülemeyecek şekilde yok
Sayfa 12
edilir.
Optik / Manyetik Medyada
Yer Alan Kişisel Veriler
• Optik medya ve manyetik medyada yer alan kişisel
verilerden saklanmasını gerektiren süre sona erenlerin
eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca,
manyetik medya özel bir cihazdan geçirilerek yüksek
değerde manyetik alana maruz bırakılması suretiyle
üzerindeki veriler okunamaz hale getirilir.
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya
üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla
dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi
gerekir.
KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum
Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.
7. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
➢ Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle
ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
➢ Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
yer alır.
Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden
yararlanılmaktadır:
• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise
bu süreye riayet edilir.
• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona
ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir
süre öngörülmemiş olması durumunda sırasıyla;
Sayfa 13
o Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak,
kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur.
Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu
verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının
Şirketin nezdindeki önem derecesine göre belirlenir.
o Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu
örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı
sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık
teşkiledebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
o Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan
istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir.
Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler
tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya
da anonim hale getirilir.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale
getirme işlemi Bilgi Teknolojileri Müdürü tarafından yerine getirilir.
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak
belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi
gerçekleştirilir.
8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI ve
GÜNCELLENMESİ
Şirket işbu politika ile ortaya koymuş olduğu esasların şirket içerisinde uygulanmasını temin
etmektedir. Kişisel verilerin korunması konusunda ortaya konulan işbu politika prosedürler
ve formaları ile de bağı kurularak, şirketin benzer amaçlarla farklı politika esaslarıyla
işlettiği süreçler arasında uyumluluk da sağlanmaktadır.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda
saklanır. Basılı kâğıt nüshası da İnsan Kaynakları Müdürlüğü dosyasında tutulur.
Politika, ihtiyaç duyulduğunda veya en az yılda bir defa gözden geçirilir ve gerekli olan
bölümler güncellenir.
Şirket tarafından hazırlanan işbu Politika …/…./20….tarihinde yürürlüğe girmiştir.
Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu
doğrultuda güncellenecektir.
I
̇şbuPolitika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.