Kişisel Veri Saklama ve İmha Politikası

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI 

1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun'un ikincil düzenlemesi teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Armas Elektronik Sanayi Ve Ticaret Limited Şirketi (“Armas” veya “Şirket”) tarafından hazırlanmıştır.

Armas’ın tüm birimleri, çalışanları, yetkilileri ve temsilcileri işbu Politika’ya uymakla yükümlüdür ve Politika’ya uyum sağlamak için gerekli adımları atar.

Armas ile paylaşılan ve Armas tarafından elde edilen her türlü kişisel veri işbu Politika’nın konusunu teşkil etmektedir. İşbu Politika yalnızca gerçek kişilere ait kişisel verilere ilişkin olup, tüzel kişilere ait veriler Politika’nın kapsamına girmez.

İşbu Politika ile KVKK, Yönetmelik ve ilgili mevzuat arasında uyumsuzluk bulunması durumunda, mevzuat hükümleri uygulanır. Armas, bünyesinde bulundurduğu işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

2. TANIMLAR  

Armas tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politikanın 6.2. maddesinde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Armas tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Armas tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Armas’a başvurulması halinde;
• İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve İlgili Kişi’ye bilgi verilmektedir.
• Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
• Kişisel verileri işleme şartlarının tamamının ortadan kalkmamış olduğu anlaşılırsa; Armas bu talebi gerekçesini açıklayarak reddedebilir. Bu durumda, talebin Armas’a ulaştığı/tebliğ edildiği tarihten itibaren en geç 30 gün içinde İlgili Kişi’ye yazılı olarak veya elektronik ortamda bilgi verilir.

4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre Armas, faaliyetleri çerçevesinde Kişisel Veriler’i, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklar.

4.1Saklamayı Gerektiren İşleme Amaçları

Armas bünyesinde tutulan veri sahiplerine ait Kişisel Veriler, KVKK ve diğer ilgili mevzuat ile Kişisel Verilerin Korunması ve İşlenmesi Politikası uyarınca aşağıdaki amaçlar doğrultusunda saklanır.

• Ticari ve günlük faaliyetlerin sürdürülebilmesi,
• İşe alım, özlük dosyasının oluşturulması, izin ve devamsızlık kayıtlarının yönetimi ve takibi, işe başlama süreçleri, maaş ödemeleri gibi sözleşmesel yükümlülüklerin yerine getirilmesi,
• Çalışanın işten çıkış işlemlerinin yürütülmesi,
• Çalışanların eğitim faaliyetlerinin gerçekleştirilmesi ve takibi,
• Periyodik kontrollerin yürütülmesi,
• Muhasebe, faturalama ve ödeme kapsamındaki finans faaliyetlerinin yürütülmesi,
• Bankalar ile bilgi paylaşımı yapılması,
• Kamu kurum ve kuruluşlarına bilgi verilmesi de dâhil olmak üzere Armas’ın mevzuattan kaynaklanan yükümlülüklerinin veya diğer hukuki yükümlülüklerinin yerine getirilmesi,
• Armas’ın geçmiş, mevcut ve müstakbel çalışanları, yetkilileri, tedarikçileri, iş ortakları, ziyaretçileri, hizmet sağlayıcıları ve bunların çalışanları ile olan hukuki ve ticari ilişkilerinin yürütülmesi, bu kapsamda sözleşmeler akdedilmesi ve akdedilen sözleşmelerin ifası amacıyla ilgili taraflara dair Kişisel Verilerin işlenmesi,
• Kurumsal iletişim ve yönetim faaliyetlerinin yürütülmesi,
• Müşteri ilişkileri ile müşteri talep ve şikayetlerinin yönetimi süreçlerinin planlanması ve icrası,
• Yurt içi ve dışı satış süreçlerinin yürütülmesi,
• Yurt içi ve dışı satın alma süreçlerinin yürütülmesi,
• Şirketler hukukuna ilişkin süreçlerin icrası,
• Armas’a ilişkin dava, icra takibi, idari ve cezai soruşturma, kovuşturma ve benzeri süreçlerin takibi ile hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün icrası,
• Armas bünyesindeki veri güvenliğinin sağlanması.

1. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
2. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
3. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Armas’ın meşru menfaatleri için saklanmasının zorunlu olması,
4. Kişisel verilerin Armas’ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
5. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
6. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

4.3 İmhayı Gerektiren Sebepler

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Armas tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
5. İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Armas tarafından saklanacak kişisel veriler, işbu Politika’nın amaçları bakımından aşağıdaki kategorilere ayrılmıştır:

• Potansiyel ürün veya hizmet alan kişi verileri
• Ürün veya hizmet alan kişi verileri
• Çalışan verileri
• Çalışan adayı verileri
• Sözleşmesel ilşkinin sona erdiği eski çalışan verileri
• Stajyer
• Aile yakını verileri
• Tedarikçi yetkilisi/çalışanı verileri
• İş ortağı yetkilisi/çalışanı verileri
• Ziyaretçi

Armas tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak işlenen Kişisel Veriler’inizle ilgili olarak;

• Mevzuatta bir süre öngörülmüş ise bu süreye riayet edilir,
• İlgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda ise KVKK gereğinde tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir.

Söz konusu sürelerin sona ermesi halinde Kişisel Veriler silinir, yok edilir ya da anonim hale getirilir.

Armas tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinde [Ek-1] yer alan “Saklama ve İmha Süreleri Tablosu”ndan ulaşabilirsiniz. Kişisel Veriler ile ilgili süreç bazında saklama süreleri “Kişisel Veri İşleme Envanteri”nde, veri kategorileri bazında saklama süreleri VERBİS’e kayıtta yer alır.

Kişisel verinin saklama süresinin dolması veya İlgili Kişi’den gelen herhangi bir talep olmasa dahi, bir kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalktığının anlaşılması halinde ilgili kişisel veri sebeplerin ortadan kalkmasını takip eden ilk periyodik imha işleminde silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin periyodik imhası, her 6 (altı) ayda bir gerçekleştirilir. Ancak Kurul tarafından telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde kişisel verilerin periyodik olarak imhasına ilişkin olarak daha kısa bir sürenin belirlenmesi durumunda bu süreye uyulur.

İlk periyodik imha …/…/…. tarihinde yapılacaktır.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler ile KVKK’nın 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde, Armas tarafından tüm idari ve teknik tedbirler alınır.

            İdari Tedbirler:

Armas idari tedbirler kapsamında;

1. Armas’ın çalışanları, yetkilileri ve temsilcileri, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve imha edilmesi konusunda eğitilir ve bilgilendirilir.
2. Saklanan Kişisel Veriler’e Armas bünyesinde erişim sadece iş tanımı gereği erişmesi gerekli veya yetkili olan personel ile sınırlandırılır.
3. Kişisel Veriler’in saklanması veya diğer bir şekilde işlenmesi için üçüncü kişilerden hizmet alınması veya üçüncü kişilerle iş birliği yapılması halinde, bu kişilerle yapılan sözleşmelerde; kişisel verilerin hukuka uygun şekilde saklanmasına, güvenliğinin sağlanmasına ve imhasına ilişkin hükümlere yer verilir.
4. İşlenen Kişisel Veriler’in hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
5. Kişisel Veri işlemeye başlamadan önce Armas tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
6. Kişisel Veri işleme envanteri hazırlanmıştır.
7. Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir. 

            Teknik Tedbirler:

Armas teknik tedbirler kapsamında;

1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
2. Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
3. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
4. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
6. Güvenlik duvarları kullanılmaktadır.
7. Güncel anti-virüs sistemleri kullanılmaktadır.
8. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
9. Kişisel veri güvenliğinin takibi yapılmaktadır.
10. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
11. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
12. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
13. Kişisel veriler mümkün olduğunca azaltılmaktadır.
14. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
15. Şifreleme yapılmaktadır.
16. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
17. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
18. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
19. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
20. Mevcut risk ve tehditler belirlenmiştir.
21. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
22. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
23. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
24. Anahtar yönetimi uygulanmaktadır.
25. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
26. Çalışanlar için yetki matrisi oluşturulmuştur.
27. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
28. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklara denetimi sağlanmaktadır.
29. Veri kaybı önleme yazılımları kullanılmaktadır.

Veri sahiplerine ait kişisel veriler, Armas tarafından kişisel verinin tür ve özelliklerine göre çeşitlilik göstermek üzere; kağıt ve Armas dolaplarında KVKK hükümleri başta olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanları, birimleri ve görev tanımları aşağıdaki gibidir: 

Armas tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Armas tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir

a. Kişisel Verilerin Silinmesi ve Yok Edilmesi;

Armas tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

Kişisel Verilerin Silinmesi:

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

• Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
• Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

Kişisel Verilerin Yok Edilmesi:

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında Armas; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

Kişisel Veriler’in anonim hale getirilmesi, Kişisel Veri’lerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel Veriler’in anonim hale getirilmiş olması için; Kişisel Veriler’in, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

İşbu Politika, ıslak imzalı (basılı kağıt) olarak Armas bünyesinde saklanır ve talep halinde kişisel veri sahiplerinin erişimine sunulur. İşbu Politika, gerek duyulan hallerde ve ihtiyaç halinde güncellenir.

Armas tarafından hazırlanan işbu Politika …/…/….. tarihinde yürürlüğe girmiştir.

EK-1 SAKLAMA VE İMHA SÜRELERİ TABLOSU

Armas tarafından işlenen verilere ait saklama ve imha süreleri, Kişisel Veri İşleme Envanteri’nde süreç bazında tespit edilmiştir.