1. POLİTİKANIN AMACI

Bu Kişisel Verilerin Saklama ve İmha Politikası (“Politika”) 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (“KVK Kanunu”) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için PP Yapı Adi Ortaklığı (“PP Yapı”” veya “Şirket”) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

2. POLİTİKANIN KAPSAMI

İşbu Politikada PP Yapı  tarafından işlenen kişisel verilerin imhasında izlenecek esas ve yöntemler ele alınır.

Politika KVK Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.

3. TANIM VE KAVRAMLAR

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere PP Yapı organizasyonu içerisinde veya PP Yapı’dan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.  

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir birgerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

4. POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

5. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR

Aşağıda belirtilen kapsamda bir ihlal olması durumunda potansiyel güvenlik ihlal durumu kabul edilerek PP Yapı tarafından aksiyon alınacaktır. PP Yapı, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

5.1. KVK Kanununa Aykırılık

PP Yapı, kişisel verileri KVK Kanununda belirtildiği şekle aykırı olarak işlemeyecektir. PP Yapı,, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

  1. Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin Kişisel Verilerini saklamaz.
  2. PP Yapı, Özel Nitelikli Kişisel Verileri ilgili mevzuata bağlı kalarak saklar ve işler.

5.2.Veri İşleme Şartlarının Ortadan Kalkması

PP Yapı, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. PP Yapı, şartların ortadan kalktığı hallerde ilgili kişisel verileri İşbu Politikaya uygun bir şekilde imha eder.

PP Yapı,, aşağıda listelenen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

  1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
  2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. Kişisel verileri işlemenin açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. İlgili kişinin, KVK Kanununun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,
  7. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

6. KİŞİSEL VERİLERİN İMHASI YÖNTEMİ

PP Yapı nezdinde bulunan kişisel verilerin imhası için, Yönetmelik kapsamındaki imha yöntemlerinden Silme[ik1]  yöntemini benimsemiştir.

Silme işlemleri için, PP Yapı nezdinde bulunan kişisel verilere ilişkin bir erişim yetki ve kontrol matrisi oluşturularak, her bir kişisel veri için söz konusu kişisel verilere erişim ve bu verileri kontrol yetkisine sahip kişilerin belirlenmesi sağlanacaktır (“İlgili Kullanıcı/lar”).” Bu kapsamda PP Yapı, işlediği kişisel verilere ilişkin erişim yetki ve kontrol matrisinde, İlgili Kullanıcıların ancak görevleriyle ilgili olan verilere erişmesi esasını benimsemiştir. 

Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa PP Yapı  karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:

  1. Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi,
  2. Kişisel verilerin her türlü erişime kapalı olması,
  3. Kişisel verilere yalnızca gerekli durumlarda yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

PP Yapı, verileri fiziksel kayıt ortamlarında işlediği durumlarda ise yok etme yöntemini benimseyerek bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirecektir.

PP Yapı periyodik olarak sistemde sızma testi yapacak ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınacaktır.

İlgili personellere, kişisel verilerin saklanması ve imhasına ilişkin gerekli eğitimler verilecektir ve bu konuda gerekli denetimler periyodik olarak gerçekleştirilecektir.

PP Yapı, kişisel verilerin hukuka uygun olarak silinmesi ve yok edilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alacaktır.

7. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ

7.1. Silme

PP Yapı  nezdinde bulunan kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir:

  1. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi;
  2. Erişim yetki ve kontrol matrisi kullanılarak her bir kişisel veri için İlgili Kullanıcıların tespit edilmesi;
  3. İlgili Kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi ve
  4. İlgili Kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

7.2. Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

8. SAKLAMA VE İMHA SÜRELERİ

8.1. Periyodik İmha ve Yasal Saklama Süreleri

PP Yapı nezdinde bulunan kişisel veriler, mevzuat kapsamında tabi olduğu bir süre varsa bu süre ile eğer böyle bir süre öngörülmediyse her bir kişisel verinin işlendiği amaç için gerekli olan süre ile saklanmaktadır. Her hâlükârda, PP Yapı tarafından, PP Yapı nezdinde bulunan tüm kişisel veriler 6 ayda bir periyodik olarak taranacak ve silinmiş olması gerekirken sehven muhafaza edilmeye devam edilmiş olan kişisel veriler derhal silinecektir.

PP Yapı’nın saklama, imha ve periyodik imha süreleri işbu Politikanın ekinde yer alan Kişisel Veri Saklama ve İmha Sürelerine İlişkin Tabloda yer almaktadır (EK 1).

Silinen ve yok edilen verilere ilişkin işlemlerin kaydı 3 yıl süre ile saklanacaktır.

9. PERSONEL

PP Yapı’nın  kişisel verilerin saklanması ve imha süreçlerinde yer alan personelinin unvanları, birimleri ve görev tanımları işbu İmha Politikasının ekinde (EK 2) yer almaktadır.

10. VERİ SAHİPLERİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRECİ

Veri sahiplerinin PP Yapı’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

11. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

PP Yapı,, işbu İmha Politikasında zaman zaman faaliyetlerin gerektirdiği ölçüde veya yasal açıdan gerekli olan değişiklikleri yapabilir. Söz konusu değişiklikler, değişikliğe uğramış olan İmha Politikası metninin … [ik2]  paylaşılması ile birlikte geçerlilik kazanacaktır.

EK 1: Saklama ve imha sürelerine ilişkin tablo

KİŞİSEL VERİSAKLAMA SÜRESİİMHA SÜRESİ
Kişisel Veri Kanun kapsamında alınan açık rıza beyanları/kayıtlarıİznin iptal edilmesine kadarVeri sahibinin imha başvurusunu takiben 30 gün içinde
Mailing Kayıtları, Kurumsal Satış ve İletişimİznin iptal edilmesine kadarVeri sahibinin başvurusunu takiben 30 gün içinde
Sözleşmesel işlemler ile ilgili kişisel veri içeren belgeler/kayıtları ve Kişisel Veri içeren sözleşmelerin muhafaza edilmesiHukuki ilişkinin kurulmasından itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Genel Kurul ve Yönetim Kurul İşlemleri ile ilgili kişisel veri içeren belgeler/kayıtlarıİşlem tarihinden itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hissedar/Ortak Kişisel VerilerHukuki ilişkinin bitiş tarihinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
VekaletnameHukuki ilişkinin kurulmasından itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
 Finansal işlemlerin yürültmesi için gerekli kişisel veri, bilgiler ve kişisel veri içeren belgeler/kayıtlarıİşlem tarihinden itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
irtibata geçilmesi halinde iletişimin takibi İşlem tarihinden itibaren 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket içi eğitim kayıtlarıİş ilişkisinin sona ermesine müteakip 5 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Bordrolamaİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşe alım ve Personel özlük Dosyalarıİş ilişkisinin sona ermesine müteakip 5 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel özel sağlık ve ferdi kaza sigorta poliçelerinin hazırlanması organizasyonuİş ilişkisinin sona ermesine müteakip 5 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanlara araç tahsisiHukuki ilişkinin bitiş tarihinden itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş sağlığı ve güvenliği uygulamalarıİş ilişkisinin sona ermesine müteakip 5 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanların ofis binasına Giriş Çıkış Kayıtlarıİş ilişkisinin sona ermesine müteakip 5 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi ve Toplantı Katılımcılarının KaydıEtkinliğin sona ermesini takiben 2 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde

EK 2: Saklama ve imha süreçlerinde yer alan personeline ilişkin tablo

Genel MüdürVeri Sorumlusu İrtibat KişisiKişisel veri saklama ve imha politikası uygulama sorumlusu  
IT UzmanıIT DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Finans ve İdari YöneticisiMali İşler DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Pazarlama İletişimi Müşteri İlişkileri  Direktörü Yöneticisi METAMüşteri İlişkileri Kurumsal İletişim DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Satış YöneticisiSatış DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
IK Yöneticisi – TürkiyeIK DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
İdari İşler ve Kalite Müdürü.Kalite Kontrol ve İdari İşler DepartmanıKişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Satın Alma DirektörüResepsiyon  Kişisel veri saklama ve imha politikası uygulama sorumlusu   Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi