KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Kapsamında kişisel verisini işlediğimiz veri sahiplerinin verilerinin ne kadar süre sistemimizde tutulduğunu ve imha koşulları, süreleri hakkında bilgilendirmek isteriz. Veri sorumlusu olarak AR HUKUK DANIŞMANLIK ’ta söz konusu saklama ve imha politikası uygulanacaktır.

 

Tanımlar

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Veri İşleyen: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul:Kişisel Verileri Koruma Kurulu.

Periyodik İmha:Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Kişisel Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

 

İlkeler

 Öncelikle ofis olarak gereklere uygun bir veri saklama yöntemi ve aracı kullandığımızı belirtmek isteriz.

*  6698 sayılı yasaya ve yönetmeliklere ve 108+ sözleşmesine ve Kişisel Verilerin Korunması Kurulu Kararlarına aykırı bir imha politikası benimsenmemiştir.  

*Öncelikli olarak yetkisiz erişim, değiştirme veya yayımlama yanında kazara veya yetkisiz tahribe karşı otomatik veri dosyalarında yer alan kişisel verilerin korunması için uygun güvenlik önlemleri alınmıştır.

*Hem kazara kayıp veya tahrip gibi doğal tehlikelere karşı, hem de yetkisiz erişim, verilerin dolandırıcılık amacıyla kötüye kullanımı gibi insan kaynaklı tehlikelere ya da bilgisayar virüslerinin bulaşmasına karşı dosyaları koruyacak uygun önlemler alınmıştır.

*Kişisel verilerin korunması politikamız ve aydınlatma metninde belirttiğimiz alanlarda topladığımız kişisel verileriniz güvenli alanda kayıt altına alınmakta, saklanmakta ve hukuki yükümlülükler gereği saklama faaliyetimiz hariç en az 3 yıl saklanmaktadır.

*6698 sayılı Kanun ve Yönetmelik tarafımıza kişisel verilerin imha yöntemi sürecini seçme ve yönetme hakkı tanımıştır. Kişisel verinin türüne göre veri sorumlusu imha yöntemini kendisi belirleyecektir. İlgili kişinin talebi olması durumunda ise uygun yöntem gerekçe açıklayarak seçilecektir. Veri sorumlusu veriyi imha etmeden önce ilgili kişinin kayıtlı e-posta adresine ya da kayıtlı adresine bildirim yapacak ve verinin hangi yöntemle imha edileceği bilgisini verecektir.

*Kişisel veriler imha edilirken de bu süreçte gerekli idari ve teknik tedbirler alınacaktır. İmha edildikten sonra kayıt altına alınacak ve güvenli bir ortamda en az 3 yıl saklanacaktır. Hukuki yükümlülükler dolayısı ile tutulacak süre hükümleri saklıdır.

*Ofisimizde aktif olmayan müşteri, çalışan adayı, çalışan, taşeron ve tedarikçi verileri kanunda tutulma süreleri hariç olmak üzere derhal imha edilecek ve imha edildiğine dair bilgi ile imha yöntemi ilgili kişiye uygun yöntemle bildirilecektir.

* Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Ofis tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

*İlgili kişi de ofisten verilerinin silinmesini talep edebilecektir. Bu durumda ofis en geç 30 gün içerisinde başvuruya yanıt verir ve verilerin aktarıldığı gruplar da başvuru hakkında bilgilendirilecek ve silme şartları oluştu ise veri silinecektir. Silinme şartları oluşmayan kişisel verilerin neden silinmediği ile ilgili gerekçeli olarak ilgili kişiye yanıt verilecek ve ne zaman silineceği bilgisi de verilecektir.

 

 

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

 

İlgili kişinin kişisel verileri,

 

1-      Sözleşme ilişkilerinin kurulması ve yürütülmesi,

2-      Yetkili kamu kurum ve kuruluşlarının talebi,

3-      İşçi, işveren ilişkilerinin yönetilmesi, iş sağlığı ve güvenliğinin korunması, işçinin performans değerlendirilmesi, iş sözleşmelerinin kurulması,

4-      İşyerinin ve çalışanların güvenliğinin sağlanması,

5-      Tedarik ve taşeron sözleşmelerinin kurulması ve sürdürülmesi,

6-      Dava, icra, danışmanlık süreçlerinin yürütülmesi,nedenleri ile

 

İşlenmekte ve saklanmaktadır. Saklama faaliyeti kanundan doğan saklama zorunlulukları için öngörülen süreden fazla değildir. 

            Bu amaçla;

 

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Ofis’in meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Ofis’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

 

Hususlarına dikkat edilmektedir.

 

Verileriniz ;

 

*Saklama süresi doldu ise ya da mevzuattan dolayı saklama koşullarında değişiklik nedeni ile zorunluluk ortadan kalktı ise,

* İşleme amacının ortadan kalkması,

* Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

*İlgili kişinin açık rızası ile işlenen kişisel verilerde ilgili kişinin açık rızasını geri alması,

 *İlgili kişinin KVKK m.11 kapsamında yaptığı başvurunun kabulü,

 *Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve Kurul tavsiyesi ile,

*Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması halinde silinir ve imha edilir.

 

Saklama ve İmha Süreleri

 

Saklama ve imha süreleri belirlenirken Ofis 6698 sayılı yasa ve Yönetmelik kapsamında aşağıda yer alan kriterleri değerlendirir:

*İlgili sektörde genel teamül gereği kabul edilen süre,

*İşlemeyi gerekli kılan ve ilgili kişi ile tesis edilen hukuki ilişkinin devam edeceği süre,

*Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

*Saklamanın yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

*Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

*Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,