1. POLİTİKANIN AMACI
Bu Kişisel Verilerin Saklama ve İmha Politikası (“Politika”) 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (“KVK Kanunu”) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için PP Yapı Adi Ortaklığı (“PP Yapı”” veya “Şirket”) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.
İşbu Politikada PP Yapı tarafından işlenen kişisel verilerin imhasında izlenecek esas ve yöntemler ele alınır.
Politika KVK Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.
3. TANIM VE KAVRAMLAR
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere PP Yapı organizasyonu içerisinde veya PP Yapı’dan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.
Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir birgerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
4. POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
5. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen kapsamda bir ihlal olması durumunda potansiyel güvenlik ihlal durumu kabul edilerek PP Yapı tarafından aksiyon alınacaktır. PP Yapı, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
5.1. KVK Kanununa Aykırılık
PP Yapı, kişisel verileri KVK Kanununda belirtildiği şekle aykırı olarak işlemeyecektir. PP Yapı,, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
- Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin Kişisel Verilerini saklamaz.
- PP Yapı, Özel Nitelikli Kişisel Verileri ilgili mevzuata bağlı kalarak saklar ve işler.
5.2.Veri İşleme Şartlarının Ortadan Kalkması
PP Yapı, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.
Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. PP Yapı, şartların ortadan kalktığı hallerde ilgili kişisel verileri İşbu Politikaya uygun bir şekilde imha eder.
PP Yapı,, aşağıda listelenen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
- Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
- Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel verileri işlemenin açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, KVK Kanununun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
6. KİŞİSEL VERİLERİN İMHASI YÖNTEMİ
PP Yapı nezdinde bulunan kişisel verilerin imhası için, Yönetmelik kapsamındaki imha yöntemlerinden Silme[ik1] yöntemini benimsemiştir.
Silme işlemleri için, PP Yapı nezdinde bulunan kişisel verilere ilişkin bir erişim yetki ve kontrol matrisi oluşturularak, her bir kişisel veri için söz konusu kişisel verilere erişim ve bu verileri kontrol yetkisine sahip kişilerin belirlenmesi sağlanacaktır (“İlgili Kullanıcı/lar”).” Bu kapsamda PP Yapı, işlediği kişisel verilere ilişkin erişim yetki ve kontrol matrisinde, İlgili Kullanıcıların ancak görevleriyle ilgili olan verilere erişmesi esasını benimsemiştir.
Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa PP Yapı karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:
- Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi,
- Kişisel verilerin her türlü erişime kapalı olması,
- Kişisel verilere yalnızca gerekli durumlarda yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
PP Yapı, verileri fiziksel kayıt ortamlarında işlediği durumlarda ise yok etme yöntemini benimseyerek bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirecektir.
PP Yapı periyodik olarak sistemde sızma testi yapacak ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınacaktır.
İlgili personellere, kişisel verilerin saklanması ve imhasına ilişkin gerekli eğitimler verilecektir ve bu konuda gerekli denetimler periyodik olarak gerçekleştirilecektir.
PP Yapı, kişisel verilerin hukuka uygun olarak silinmesi ve yok edilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alacaktır.
7. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
7.1. Silme
PP Yapı nezdinde bulunan kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir:
- Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi;
- Erişim yetki ve kontrol matrisi kullanılarak her bir kişisel veri için İlgili Kullanıcıların tespit edilmesi;
- İlgili Kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi ve
- İlgili Kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
7.2. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
8. SAKLAMA VE İMHA SÜRELERİ
8.1. Periyodik İmha ve Yasal Saklama Süreleri
PP Yapı nezdinde bulunan kişisel veriler, mevzuat kapsamında tabi olduğu bir süre varsa bu süre ile eğer böyle bir süre öngörülmediyse her bir kişisel verinin işlendiği amaç için gerekli olan süre ile saklanmaktadır. Her hâlükârda, PP Yapı tarafından, PP Yapı nezdinde bulunan tüm kişisel veriler 6 ayda bir periyodik olarak taranacak ve silinmiş olması gerekirken sehven muhafaza edilmeye devam edilmiş olan kişisel veriler derhal silinecektir.
PP Yapı’nın saklama, imha ve periyodik imha süreleri işbu Politikanın ekinde yer alan Kişisel Veri Saklama ve İmha Sürelerine İlişkin Tabloda yer almaktadır (EK 1).
Silinen ve yok edilen verilere ilişkin işlemlerin kaydı 3 yıl süre ile saklanacaktır.
9. PERSONEL
PP Yapı’nın kişisel verilerin saklanması ve imha süreçlerinde yer alan personelinin unvanları, birimleri ve görev tanımları işbu İmha Politikasının ekinde (EK 2) yer almaktadır.
10. VERİ SAHİPLERİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRECİ
Veri sahiplerinin PP Yapı’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
11. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
PP Yapı,, işbu İmha Politikasında zaman zaman faaliyetlerin gerektirdiği ölçüde veya yasal açıdan gerekli olan değişiklikleri yapabilir. Söz konusu değişiklikler, değişikliğe uğramış olan İmha Politikası metninin … [ik2] paylaşılması ile birlikte geçerlilik kazanacaktır.
EK 1: Saklama ve imha sürelerine ilişkin tablo
KİŞİSEL VERİ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Kişisel Veri Kanun kapsamında alınan açık rıza beyanları/kayıtları | İznin iptal edilmesine kadar | Veri sahibinin imha başvurusunu takiben 30 gün içinde |
Mailing Kayıtları, Kurumsal Satış ve İletişim | İznin iptal edilmesine kadar | Veri sahibinin başvurusunu takiben 30 gün içinde |
Sözleşmesel işlemler ile ilgili kişisel veri içeren belgeler/kayıtları ve Kişisel Veri içeren sözleşmelerin muhafaza edilmesi | Hukuki ilişkinin kurulmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Genel Kurul ve Yönetim Kurul İşlemleri ile ilgili kişisel veri içeren belgeler/kayıtları | İşlem tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hissedar/Ortak Kişisel Veriler | Hukuki ilişkinin bitiş tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Vekaletname | Hukuki ilişkinin kurulmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Finansal işlemlerin yürültmesi için gerekli kişisel veri, bilgiler ve kişisel veri içeren belgeler/kayıtları | İşlem tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
irtibata geçilmesi halinde iletişimin takibi | İşlem tarihinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket içi eğitim kayıtları | İş ilişkisinin sona ermesine müteakip 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bordrolama | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşe alım ve Personel özlük Dosyaları | İş ilişkisinin sona ermesine müteakip 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel özel sağlık ve ferdi kaza sigorta poliçelerinin hazırlanması organizasyonu | İş ilişkisinin sona ermesine müteakip 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanlara araç tahsisi | Hukuki ilişkinin bitiş tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin sona ermesine müteakip 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların ofis binasına Giriş Çıkış Kayıtları | İş ilişkisinin sona ermesine müteakip 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi ve Toplantı Katılımcılarının Kaydı | Etkinliğin sona ermesini takiben 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
EK 2: Saklama ve imha süreçlerinde yer alan personeline ilişkin tablo
Genel Müdür | Veri Sorumlusu İrtibat Kişisi | Kişisel veri saklama ve imha politikası uygulama sorumlusu |
IT Uzmanı | IT Departmanı | Kişisel veri saklama ve imha politikası uygulama sorumlusu Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Finans ve İdari Yöneticisi | Mali İşler Departmanı | Kişisel veri saklama ve imha politikası uygulama sorumlusu Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Müşteri İlişkileri | Kişisel veri saklama ve imha politikası uygulama sorumlusu Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi | |
Satış Yöneticisi | Satış Departmanı | Kişisel veri saklama ve imha politikası uygulama sorumlusu Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
IK Yöneticisi | IK Departmanı | Kişisel veri saklama ve imha politikası uygulama sorumlusu Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |