Veri Saklama, Anonimleştirme ve İmha Politikası
MARJİN, DERİ ÜRÜNLERİ SANAYİ TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ SAKLAMA, ANONİMLEŞTİRME VE İMHA POLİTİKASI
- AMAÇ
Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22’nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanmıştır.
Bu politikanın amacı, Marjin Deri Ürünleri Sanayi Ticaret Limited Şirketi (“Şirket”) tarafından işbu politikanın dayanağı yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi ve korunması ile işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
- KAPSAM
Bu Politika şirketimiz bünyesinde görev yapmakta olan çalışanların, çalışan adaylarının, hissedar/ortaklarının, ziyaretçilerin, işbirliği içerisinde olduğumuz üçüncü kişiler ile çalışanlarının (iş ortakları, tedarikçiler ve bunların çalışanları) ve ürün/hizmet alan üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
- TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
- KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
- Elektronik Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), Yazılımlar (ofis yazılımları, portal), Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.), Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi
- Elektronik Olmayan Ortamlar
Kağıt, Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), Yazılı, Basılı, Görsel Ortamlar
- SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketin politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir;
· Kanunlarda açıkça öngörülmesi.
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
· İlgili kişinin kendisi tarafından alenileştirilmiş olması.
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
- İMHA TEKNİKLERİ
- Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Şirket organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez. Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin anonim hale getirilerek arşivlenmesi veya başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır.
- Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
- TEKNİK VE İDARİ TEDBİRLER
Yönetmelik uyarınca, işbu Politikanın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, Şirket tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
· Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
· Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
· Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
· Erişim logları düzenli olarak tutulmaktadır. |
· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
· Gizlilik taahhütnameleri yapılmaktadır. |
· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
· Güncel anti-virüs sistemleri kullanılmaktadır. |
· Güvenlik duvarları kullanılmaktadır. |
· İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
· Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
· Kişisel veri güvenliğinin takibi yapılmaktadır. |
· Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
· Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
· Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
· Kişisel veriler mümkün olduğunca azaltılmaktadır. |
· Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
· Mevcut risk ve tehditler belirlenmiştir. |
· Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
· Saldırı tespit ve önleme sistemleri kullanılmaktadır. |
· Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. |
· Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
- SAKLAMA VE İMHA SÜRESİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.
Söz konusu süreler şirket envanterinde gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. İlgili kişi Şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir
VERİ KATEGORİSİ |
SAKLAMA SÜRESİ |
Kimlik |
10 Yıl |
İletişim |
10 Yıl |
Özlük |
10 Yıl |
Hukuki İşlem |
10 Yıl |
Müşteri İşlem |
10 Yıl |
Fiziksel Mekan Güvenliği |
1 Yıl |
İşlem Güvenliği |
10 Yıl |
Finans |
10 Yıl |
Mesleki Deneyim |
10 Yıl |
Görsel ve İşitsel Kayıtlar |
10 Yıl |
Sağlık Bilgileri |
15 Yıl |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
10 Yıl |
- YÜRÜRLÜK
Bu Politika, 13.05.2020 tarihli olup, aynı tarihte yürürlüğe girmiştir. Politika, Marjin Deri Ürünleri Sanayi Ticaret Limited Şirketi’nin internet sitesinde yayımlanmaktadır ve kişisel veri sahiplerinin talebi üzerine kişilerin erişimine sunulmaktadır.