1. Politikanın Amacı
Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (buradan sonra “KVKK” olarak anılacaktır) dayalı olarak çıkarılmış olan ve 30224 sayılı resmi gazetede 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (buradan sonra “YÖNETMELİK” olarak anılacaktır) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve YÖNETMELİK’te belirtilen sair yükümlülüklerin yerine getirilmesi için Sanal Yazılım Bilgisayar Sanayi ve Ticaret Ltd. Şti. (buradan sonra “SANAL” olarak anılacaktır) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.
2. Politikanın Kapsamı
İşbu politika, SANAL nezdinde tutulan, KVKK ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm SANAL çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, dış hizmeti sağlayıcılarını ve SANAL’ın sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsar.
İşbu politika, KVKK’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsar.
İşbu politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.
3. Tanımlar
- Anonim hale getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
- KVK: Kişisel verilerin korunması.
- Kişisel veri saklama tablosu: Kişisel verilerin SANAL nezdinde tutulacağı süreleri gösteren tablo.
- İlgili kişi: KVKK’da kişisel verisi işlenen gerçek kişiyi ifade etmek için kullanılan ifade.
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
- Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
- Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
- Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
- Periyodik imha: KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
- Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
- Kişisel Verileri Koruma Komitesi: KVKK gerekliliklerinin yerine getirilmesinden, sorumlu SANAL’ın kurduğu komite.
4. Politika ile Düzenleme Altına Alınan Kayıt Ortamları
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
5. Kişisel Verileri Koruma Komitesi'nin Görev ve Yetkileri
- Kişisel Verileri Koruma Komitesi, politikanın ilgili iş birimlerine duyurulmasından ve gereklerinin SANAL birimlerince yerine getirilmesinin takibinden sorumludur.
- Kişisel Verileri Koruma Komitesi, kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar.
- Kişisel Verileri Koruma Komitesi, KVKK ve ikincil düzenlemeleri ile Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.
6. Kişisel Verilerin İşlenme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar
- Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya KVKK'nın 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, YÖNETMELİK'in 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
- Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sorumlusu SANAL birimleri işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı (6) aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. İlgili kişinin başvurusu ya da Kişisel Verileri Koruma Kurulu’nun veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yaparlar.
- Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sorumlusu, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre, silinmesine, yok edilmesine veya anonim hale getirilmesine karar verir. Tereddüt duyulan durumlarda ilgili veri sorumlusu iş biriminden görüş alınarak işlem yapılır. Merkezi bilgi sistemlerinde yer alan çok paydaşlı veri sahipliği bulunan kişisel verilerin imhasına yönelik karar alınması gerektiğinde ise Kişisel Verileri Koruma Komitesi’nin görüşü alınır ve söz konusu kişisel veri hakkında işbu politikaya göre verinin, saklanmasına veya silinmesine, yok edilmesine veya anonim hale getirilmesine ilgili veri sorumlusu iş birimi tarafından karar verilir.
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanır.
- YÖNETMELİK'in 7.4 maddesi uyarınca, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uygulanan yöntemler politikanın yürürlüğe girmesinden sonra yayınlanır ve açıklanır.
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde KVKK'nın 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.
- Bir kişisel verinin sahibi gerçek kişi, KVKK'nın 13. maddesine istinaden SANAL’a başvurarak kendisine ait kişisel verilerin silinmesini, imhasını veya anonim hale getirilmesini talep ettiğinde, ilgili veri sorumlusu iş birimi, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, imha eder veya anonim hale getirir. Bu durumda detayları ISO 27001 Bilgi Güvenliği Yönetim Sisteminde imha politikasında belirlendiği şekilde ve başvuru tarihinden itibaren en geç otuz (30) gün içinde talebi sonuçlandırılır ve ilgili kişiye Genel Müdür tarafından atanan KVK İrtibat Kişisi aracılığıyla bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili veri sorumlusu iş birimi bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde YÖNETMELİK kapsamında gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, kişisel veri sahiplerinin verilerinin silinmesi veya imha edilmesine yönelik talepleri SANAL tarafından KVKK'nın 13. maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç otuz (30) gün içerisinde yazılı olarak ya da elektronik ortamda bildirilir.
- Kişisel verilerin silinmesi ya da imha edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilir. Söz konusu kanallar dışında yapılacak taleplerde ilgili kişiler kimlik tespitinin ya da doğrulamasının yapılabileceği kanallara yönlendirilir.
7. Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
- İşbu politika tüm çalışanlara ve SANAL’ın internet sitesinden duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, müşteriler, aracılar, dış hizmet sağlayıcıları ve sair SANAL nezdinde kişisel veri işleyen herkes için bağlayıcıdır.
- SANAL çalışanlarının politikanın gereklerini yerine getirip getirmediğinin takibi KVK İrtibat Kişisinin sorumluluğundadır. Politikaya aykırı davranış tespit edildiğinde konu derhal KVK İrtibat Kişisi tarafından şirket yönetimine bildirilir.
- Politikaya aykırı davranan çalışan hakkında, şirket yönetimi tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılır.
- Politika gereklerinin yerine getirilmesi için SANAL tarafından; ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi ve KVKK kapsamında gerekli tüm güvenlik önlemleri alınır.
8. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alacak Kişiler ve Sorumlulukları
SANAL içerisinde; KVKK, YÖNETMELİK ve politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, müşteriler, aracılar, danışmanlar, dış hizmet sağlayıcıları ve sair surette SANAL nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanır.
İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sorumlusu iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılır.
9. Kişisel Verileri Saklama ve İmha Süreleri
Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo Ek: 1’de yer alır. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınır. Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo, SANAL kişisel veri envanterinde yer alan süreçlerin sahibi iş birimlerince, tereddüt halinde Kişisel Verileri Koruma Komitesi değerlendirmeleri de alınarak güncellenir.
10. Periyodik İmha Süreleri
Periyodik imha süresi veri sorumlusu ilgili iş birimleri tarafından tespit ve tayin edilir; ancak her hâlükârda bu süre altı (6) ayı geçemez. İlk periyodik imha süreci 08.09.2020’de başlar.
11. Yürürlük
İşbu politika yayınlanma tarihi itibari ile yürürlüğe girer. İşbu politikanın SANAL genelinde duyurulması ve gerekli güncellemelerin yapılması Kişisel Verileri Koruma Komitesi’nin sorumluluğundadır.
EK- 1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo
Kişisel veriler aksine bir kesinleşmiş mahkeme kararı veya ihtiyati tedbir kararı bulunmadıkça Politikanın 6. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise imha edilir:
| İlgili Taraf | Saklanan Veri | Saklanma Süresi |
|---|---|---|
| İnternet sitesi ziyaretçisi | İnternet sitesi çerezleri (cookies) | Doksan (90) gün (işlevsellik çerezleri site kullanıldığı müddetçe) |
| İnternet sitesi ziyaretçisi | SANAL ile internet sitesindeki dijital formlar aracılığıyla paylaşılan kimlik bilgisi ve iletişim bilgisi içeren veriler | İki (2) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| İnternet sitesi ziyaretçisi | Çevrimiçi ziyarete ilişkin trafik verisi | 5651 sayılı İnternet Kanunu gereği iki (2) yıl |
| Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen bildirimlere esas ve bildirimlere esas olmayan; kimlik, felsefi inanç/din/mezhep ve diğer inançlar (eski tip kimlikler için), iletişim, görsel ve işitsel kayıt, sağlık verileri, ceza ve mahkumiyet, özlük ve mesleki deneyim bilgisi içeren veriler | 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve 6331 sayılı İSG kanunu gereğince hizmet akdinin devamında ve veri sorumlusunun meşru menfaatleri nedeniyle iş ilişkisinin sona ermesinden itibaren on beş (15) yıl |
| Çalışan | Çalışanların finansal işlemlerinin sürdürülmesi için; finans ve kimlik bilgisi içeren veriler | İş ilişkisinin sona ermesinden itibaren on beş (15) yıl |
| Çalışan | Bilgi güvenliği süreçlerinin yürütülmesinde; kimlik ve iletişim bilgisi içeren veriler | İş ilişkisinin sona ermesinden itibaren on beş (15) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Çalışan | İç/dış eğitim faaliyetlerinin yürütülmesinde; kimlik bilgisi içeren veriler | İş ilişkisinin sona ermesinden itibaren on beş (15) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Veli / Vasi / Temsilci | Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesinde; kimlik verileri | İş ilişkisinin sona ermesinden itibaren on beş (15) yıl |
| Çalışan Adayı | Çalışan adaylarının başvuru süreçlerinin yürütülmesinde; kimlik, görsel ve işitsel kayıt, iletişim, mesleki deneyim ve özlük bilgisi içeren veriler | En fazla altı (6) ay olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar |
| Tedarikçi yetkilisi | İş ortakları ile SANAL arasındaki ticari ilişkinin yürütümüne dair sözleşmelerde yer almak üzere; kimlik ve iletişim bilgisi içeren veriler | İş ilişkisinin sona ermesinden itibaren on beş (15) yıl |
| Müşteri adayı | Ürün/hizmet pazarlama süreçlerinin yürütülmesinde; kimlik, mesleki deneyim ve iletişim bilgisi içeren veriler | İki (2) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Müşteri adayı/müşteri | Sözleşme süreçlerinin yürütülmesinde; kimlik ve iletişim bilgisi içeren veriler | Sözleşmenin sona ermesinden itibaren on (10) yıl |
| Müşteri | İş ortaklarının sunduğu hizmetlere başvurulmasında; kimlik, felsefi inanç/din/mezhep ve diğer inançlar (eski tip kimlikler için), mesleki deneyim ve iletişim bilgisi içeren veriler | Hizmetin sona ermesinden itibaren on (10) yıl Yıl |
| Müşteri | Mal/hizmet satış süreçlerinin yürütülmesinde; kimlik, mesleki deneyim ve iletişim bilgisi içeren veriler | Sözleşmenin sona ermesinden itibaren on beş (15) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Müşteri | Talep/şikayetlerin takibinde; kimlik ve iletişim bilgisi içeren veriler | Hizmetin sona ermesinden itibaren on (10) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Müşteri | Alım/sipariş/kullanım bilgilerinin arşivlenmesinde; kimlik ve iletişim bilgisi içeren veriler | Hizmetin sona ermesinden itibaren on beş (15) yıl + veri sorumlusunun meşru menfaatleri nedeniyle on (10) yıl |
| Müşteri | Fatura ve tahsilat gibi finans ve muhasebe işlerinin yürütülmesinde; kimlik, iletişim ve finans bilgisi içeren veriler | Her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca on (10) yıl |