Kişisel Veri Saklama ve İmha Politikası

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonimleştirme süreçleri hakkında bilgilendirmek amacıyla Veri Sorumlusu sıfatıyla MEDAR Araştırma ve Danışmanlık Ltd. Şti. (“Şirket”) tarafından hazırlanmıştır.

1. TANIMLAR:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her tür ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her tür işlem.

Kişisel Verilerin Anonim Hâle Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Kanun: Kişisel Verilerin Korunması Kanunu

Yönetmelik: 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hâle getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek ve tüzel kişi.

2. İLKELER:

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

  1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
  2. Kişisel verilerin silinmesi, yok edilmesi, anonim hâle getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
  3. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hâle getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi hâlinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  4. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hâlinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması hâlinde;
  1. İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır.
  2. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

3. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLER:

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

  1. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  2. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  3. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
  4. Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  5. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  6. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hâle getirilir:

  1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hâli,
  2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hâllerde, ilgili kişinin rızasını geri alması,
  5. İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hâllerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

4. SAKLAMA VE İMHA SÜRELERİ:

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin herhangi bir süre öngörülmemiş olması durumunda sırasıyla:

  1. Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama temel alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tâbi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem, verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
  2. Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu, örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hâle getirilir.
  3. Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi hâlinde veriler silinir, yok edilir ya da anonim hâle getirilir.

Şirket tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinden (EK-1) ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla (her yıl Haziran ve Aralık aylarında) işbu Politika’da yer verilen usullere uygun olarak anonim hâle getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER

Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari, mali, hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması hâlinde toplanılacak olan kişisel veriler işlenmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

Şirket idari tedbirler kapsamında;

  1. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  3. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  4. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
  5. Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  6. Kişisel verilerin bulunduğu ortama göre; elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı yeterli güvenlik önlemlerinin alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

Teknik Tedbirler:

Şirket teknik tedbirler kapsamında;

  1. Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  2. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
  3. Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  4. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
  5. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  6. Kişisel verilerin yok edilmesini, geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
  7. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her tür dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.
  8. Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
  9. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
  10. Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
  11. Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.
  12. Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını;

Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini;

Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veyasFTPyöntemiyleaktarmanınsağlanmasını,

Kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

6. POLİTİKANIN YÜRÜRLÜĞÜ, İHLALİ VE YAPTIRIMLAR

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

Çalışanların Politika’nın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politika’ya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Veri Sorumlusu’na bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında gerekli idari işlem yapılacaktır.

Bu Politika 08.11.2023 tarihli olup, aynı tarihte yürürlüğe girmiştir. Politika, MEDAR Araştırma ve Danışmanlık Ltd. Şti.’nin internet sitesi olan www.medararastirma.com.tr’da yayımlanmaktadır ve kişisel veri sahiplerinin talebi üzerine kişilerin erişimine sunulmaktadır.

EK-1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

Kişisel veriler, İşbu Politika'nın 4. Maddesindeki hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hâle getirilecek veya yok edilecektir.

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise; mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu hâlde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise o süre uygulama alanı bulacaktır.

Süreç

Saklama Süresi

İmha Süresi

İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.)

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)

İş ilişkisinin sona ermesini müteakip 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

SGK mevzuatı kapsamında tutulan veriler

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İlgili mevzuat gereği toplanan sair veriler

İlgili mevzuatta öngörülen süre kadar

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması

Dava zaman aşımı müddetince

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İnternet Sitesi ziyaretçi verileri

Kayıt altına alınmasını müteakip 2 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Siteye üye olan müşterilere ait veriler

Kayıt altına alınmasını müteakip 2 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde