1. POLİTİKANIN AMACI VE KAPSAMI
Hazırlanan bu Kişisel Veri Saklama ve İmha Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama ve imha sürelerini belirlemek amacıyla hazırlanmıştır.
Politika, Veri Sorumlusu İş Merkezleri Yönetim ve İşletim A.Ş.’nin (“İŞMER”) faaliyetlerini kapsamaktadır.
2. TANIMLAR VE AÇIKLAMALAR
| İfade | Kanundaki Tanım |
|---|---|
| KVKK, Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
| Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
| Kurum | Kişisel Verileri Koruma Kurumu. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Politika | Kişisel Veri Saklama ve İmha Politikası. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak İş Merkezleri Yönetim ve İşletim A.Ş. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
| Komite | Hukuk ve İnsan Kaynakları Direktörü başkanlığında, üyeleri Hukuk Müşavirliği, Bölüm Müdürleri ve İSG Birim Yöneticisinden oluşan Komite. |
| Kişisel Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Çalışan | Veri sorumlusunun çalışanları. |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi. |
| Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Anonim Hale Getirme/Anonimleştirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
| Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
| Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi. |
3. SORUMLULUK VE GÖREV DAĞILIMLARI
| Görevli | Görev tanımı |
|---|---|
| Komite kararı ile görevlendirilen kişi | İmha edilecek kişisel verilerin tespit edilmesi ve dijital/fiziksel yolla imha edilmesi. |
| Komite kararı ile görevlendirilen kişi | İlgili kişilerin taleplerinin alınması, usulüne uygunluğunun kontrolü ve talebin cevaplanması. |
| Komite kararı ile görevlendirilen kişi | Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması, periyodik imha sürecinin yönetimi. |
4. KAYIT ORTAMLARI
İŞMER nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklere uygun bir kayıt ortamında tutulur.
Elektronik ortamlar;
- Yazılımlar
- Veri sorumlusunun bilgisayarları (masaüstü, dizüstü)
- Mobil cihazlar
- Yazıcı
- Bilgisayar MS dosyaları
- E-Posta sunucuları
- İnternet sitesi sunucuları
Fiziki ortamlar;
- Kurum dolapları
- Kurum arşivi
- İş yeri hekimi dolapları
- Birim dolapları
- Çekmeceler
5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Veri sorumlusu bünyesinde bulunan kişisel veriler, veri sorumlusunun hizmetlerinin sunulması, ticari faaliyetlerinin kesintisiz olarak sürdürülmesi, hukuki yükümlülüklerinin yerine getirilmesi, müşteri ilişkilerinin yürütülmesi, çalışan haklarının planlanması ve yerine getirilmesi amacıyla; aşağıda yer alan veri işleme hukuki sebepleriyle birlikte Politika’da belirtilen elektronik ya da fiziki ortamlarda güvenli ve hassas bir şekilde muhafaza edilmekte ve yine bu sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine imha edilmektedir.
- Açık rızanın varlığı
- Kanun hükmünün varlığı
- Fiili imkânsızlık nedeniyle açık rızanın alınamaması
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması
- Özel nitelikli kişisel veriler aktarılacaksa: a) sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerekli olması ve b) istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde ilgilinin açık rızası aranmaksızın.
6. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
İşbu Politika’da belirtilen kişisel verilerin güvenli olarak işlenmesi ve sonrasında saklanması için gerekli tüm teknik ve idari önlem İŞMER tarafından alınmıştır. Güvenlik için gerekli olan ve aşağıda sayılan tedbirler ihtiyaçlar uyarınca güncellenecektir.
6.1. Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri (Örn. zaman damgalı log kaydı vb.) alınmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kağıt yoluyla aktarılan kişisel veriler için güvenlik tedbirleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Taşınabilir bellek, disk, CD, DVD için şifreleme yapılmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- 5651 sayılı Kanun’a uygun olarak Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Sızma testi uygulanmaktadır.
- Şifreleme yapılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
6.2. İdari Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri saklama ve imha politikası ve prosedürleri oluşturulmuştur.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veri işlemeye başlamadan önce İŞMER tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Veri Sorumluluları Sicil Bilgi Sistemine (VERBİS) bildirim yapılmıştır.
7. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
7.1. Kişisel Verilerin Silinmesi
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için sorumlu kişiler hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
|---|---|
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sorumlu kişi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
7.2. Kişisel Verilerin Yok Edilmesi
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili kâğıt ile yırtılarak veya yakılarak geri döndürülemeyecek şekilde yok edilir. |
|---|---|
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, geri döndürülemeyecek bir şekilde imha edilir. |
7.3. Kişisel Verilerin Anonim Hale Getirilmesi
| Değer Düzensizliği Sağlamayan Anonimleştirme Yöntemleri | Verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılarak anonimleştirilir. Böylelikle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini koruması sağlanır. (Değişkenleri çıkarma, kayıtları çıkarma, bölgesel gizleme, genelleştirme, alt ve üst sınır kodlama, global kodlama, örnekleme) |
|---|---|
| Değer Düzensizliği Sağlayan Anonimleştirme Yöntemleri | Mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılarak anonimleştirilir. Veri kümesindeki değerler değişiyor olsa dahi toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilir. (Mikro birleştirme, veri değiş tokuşu, gürültü ekleme) |
| Anonimleştirmeyi Güçlendirici İstatiksel Yöntemler | Anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirilir ve anonimlik güçlendirilir. (K-Anonimlik, L-Çeşitlilik, T-Yatkınlık) |
8. SAKLAMA VE İMHA SÜRELERİNE İLİŞKİN TABLO
Veri sorumlusu bünyesinde bulunan kişisel veriler; ilgili kanunlarda ve mevzuatta öngörülmesi durumunda bu mevzuatta belirtilen süre boyunca saklanmaktadır. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve belirlediğimiz saklama süresinin de sonuna gelinmiş ise, kişisel veriler imha edilir.
Saklama süresi dolan kişisel veriler ilk periyodik imha işleminde imha edilir.
Süreç / Saklama Süresi
| Süreç | Saklama Süresi |
|---|---|
| Çalışan adayı başvuruları (işe alınmayan) | Başvurunun olumsuz sonuçlanması (+adayın açık rıza vermemesi halinde başvurunun olumsuz sonuçlanmasını müteakip derhal, açık rıza vermesi halinde başkaca bir pozisyon için gelecekte yeniden değerlendirilmek üzere başvuru tarihinden itibaren 2 yıl) |
| Personel özlük dosyaları | Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 10 yıl |
| İş Sağlığı ve Güvenliği faaliyetleri kapsamında çalışana ait işlenen kişisel veriler (kimlik + iletişim + sağlık + eğitim) | Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 10 yıl |
| İş kazası | Sözleşmesel ilişki varsa: Herhangi bir sebeple sözleşmenin sona ermesinden itibaren 15 yıl Sözleşmesel ilişki yoksa: Herhangi bir sebeple kazanın meydana gelmesinden itibaren 15 yıl |
| Ziyaretçi ve Toplantı Katılımcılarının Kaydı | Etkinliğin Sona Ermesini Takiben 2 Yıl |
| Kamera Kayıtları | Kaydın tutulduğu andan itibaren 30 Gün geçmesi ile otomatik olarak silinir (Herhangi bir adli vakanın tespit edilmesi halinde kayıt 1 yıl süreyle yedeklenir ve akabinde Politika hükümlerine göre imha edilir) |
| Log Kayıtları (Donanım ve Yazılım Erişim Süreçleri) | Kaydın tutulduğu andan itibaren 2 yıl |
| Adli Sicil Kayıtları | Evrakın İncelenme Süresi İle Sınırlı |
| Hukuki İşlem | Muhaberattan Çıkış Tarihinden İtibaren 10 Yıl |
| Talep ve şikâyet yönetimi | Talep ve şikâyetin çözüme kavuştuğu tarihten itibaren 10 yıl |
| Denetim belgeleri | Denetimin türü, mahiyeti, denetim sonucunda alınacak aksiyonlar gözetilir. Her hâlükârda denetim ile ilgili hukuki gereklilik sona erdiği tarihinden itibaren 10 yıl. |
| Müşteri kayıtları | Kişi ile son müşteri işlemi tarihinden itibaren 10 yıl |
| Potansiyel müşteri kayıtları | Son olumsuz görüşme tarihinden itibaren 10 yıl |
| İmha tutanağı | İmhanın gerçekleştirilmesinden itibaren 3 yıl |
| Açık rıza ile işlenebilen kişisel veriler | Açık rızanın geri alınması |
| 5237 sayılı Türk Ceza Kanunu kapsamında soruşturmayı gerektiren haller | Ceza zamanaşımı süresi |
| Dava/icra/arabuluculuk dosyalarının tutulması | Dosyanın kesinleşmesinden itibaren 10 yıl |
| Gelen – giden evrak/ veri sorumlusu işleyişini ilgilendiren yazışmaların- evrakların takibi | Evrakın niteliğine göre işbu tabloda yer alan süreler uygulanır. |
| E-posta içerikleri | E-postalar 6 aylık periyotlar halinde gözden geçirilir. E-postada kişisel veri ihtiva eden belge ve kayıtlara bakılarak işbu tabloda yer alan süreler uygulanır. |
| Tabloda belirtilmeyen hususlar | İşbu tabloda belirtilmeyen süreçlere ait kişisel verilere yönelik saklama ve imha süreleri; kişisel veri ihtiva eden belge ve kayıtların saklanmak zorunda olduğu süre, faaliyet gösterilen sektörde teamül kabul edilen süreler, ilgili kişiler ile hukuki ilişkinin devam edeceği süre, hukuka ve dürüstlük kurallarına uygun olarak veri sorumlusunun meşru menfaatinin geçerli olacağı süre, kişisel verinin güncelliği gibi hususların göz önünde bulundurularak ve tablodan yararlanılarak belirlenir. |
| Birimler bazında saklama ve imha sürecinin işletilmesi | Saklama ve imha süreçleri işletilirken, ilgili birimden/birimlerden saklama ve imhaya konu kişisel veri veya kişisel veri ihtiva eden belge temin edilir. Saklama ve imha süreçleri ilgili birim/birimler ile koordineli bir şekilde işletilir. |
| İmhanın ertelenmesi | İşbu tabloda belirtilen saklama, silme, yok etme, anonim hale getirme zamanlarının sonuna gelindiğinde, saklama ve imhaya ilişkin değerlendirme yapılır. Değerlendirme sonucunda kişisel verinin (veya kişisel veri ihtiva eden belgenin) güncelliği, hukuki veya sözleşmesel ilişkinin ve yükümlülüklerinin devam etme durumu, kişisel veriye veya ilgili belgeye duyulan objektif ihtiyaç durumu değerlendirilerek saklama ve imha süreci işletilir veya makul bir süreye ertelenir. Bu işlem tutanak altına alınır. Tutanak, 15 yıl süre ile saklanır. |
9. PERİYODİK İMHA SÜRELERİ
Kişisel verilerin imha edilmesine ilişkin yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında (Her yılın Haziran ve Aralık aylarında) gerçekleştirilir.
10. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINDA YAPILAN GÜNCELLEME İÇERİĞİ TABLOSU
| GÜNCELLEME TARİHİ | GÜNCELLENMEDEN ÖNCE | GÜNCELLENDİKTEN SONRA |
|---|---|---|
| 24/12/2019 | - | - |
| 01.09.2025 | 24/12/2019 |
11. TUTANAK
Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere 3 yıl süre ile saklanır.
İş Merkezleri Yönetim ve İşletim A.Ş.