KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Otosmart Bilgi Teknolojileri A.Ş. (“Şirket”) tarafından hazırlanmıştır.

Kişisel verilerin korunması, Otosmart Bilgi Teknolojileri AŞ’nin (“Şirket”) en önemli öncelikleri arasında olup, Şirketimiz bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayreti göstermektedir. Bu konunun en önemli ayağını ise işbu Otosmart Bilgi Teknolojileri A.Ş Kişisel Verilerin Korunması ve İslenmesi Politikası (“Politika”) oluşturmaktadır.

İşbu Politika çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında islenmekte ve korunmaktadır.

Tanımlar

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Özel nitelikli veri: Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
  • Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
  • Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
  • Kurul: Kişisel Verileri Koruma Kurulu.
  • Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
  • Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Tanımlar

Kişisel Verilerin İslenmesi

Kişisel verileriniz Kanunun 4. Maddesi gereğince;

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyularak işlenmektedir.

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak islenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirketimiz tarafından islenmektedir.

Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politikanın (“Özel Nitelikli Kişisel Verilerin işlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

  1. Kanunlarda Açıkça Öngörülmesi

Kanunlarda açıkça öngörülen hallerde kişisel veriler islenebilecektir. Bu durumda Şirketimiz, ilgili hukuki düzenlemeler çerçevesinde kişisel verileri işlemektedir.

  1. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin islenmesinin zorunlu olması halinde veri sahibinin kişisel verileri islenebilecektir.

  1. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

  1. Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

  1. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibi tarafından herhangi bir şekilde kamuoyuna açıklanmış̧ olan ve alenileştirilme sonucu herkesin bilgisine açılmış̧ olan kişisel veriler alenileştirme amacı ile sınırlı olarak Şirketimiz tarafından işlenebilecektir.

  1. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

  1. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Şirketimiz ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla Şirketimiz tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Şirketimiz öncelikle işleme faaliyeti sonucunda elde edeceği meşru menfaati belirler ve kişisel verilerin işlenmesinin veri sahibinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Kişisel verilerin bir kısmı, ‘özel nitelikli kişisel veriler’ olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. Hukuka aykırı olarak islendiğinde kişilerin mağduriyetine sebep olma veya ayrımcılığa maruz kalma riski nedeniyle, bu verilere özel önem atfedilmiştir.

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika ’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü̈ idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, veri sahibinin açık rıza vermesi halinde veya açık rıza aranmaksızın kanunlarda açıkça öngörülen hallerde islenebilmektedir.
  2. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, veri sahibinin açık rıza vermesi halinde

Veya açık rıza aranmaksızın kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

Kişisel Verilerin İşlenme Amaçları

Kanun ve ilgili diğer mevzuatlara uygun şekilde işbu Politika ‘da detaylandırılan kişisel veriler ve özel nitelikli kişisel verilerin islenme şartları kapsamında Şirketimizin kişisel veri işleme amaçları aşağıdaki gibidir:

  • Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde,
  • Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası,
  • Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi,
  • Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
  • Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini Şirket’in insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,
  • Müşteri memnuniyeti ve/veya tecrübesine yönelik aktivitelerin planlanması ve/veya icrası,
  • Kampanya ve/veya promosyon ve/veya tanıtım süreçlerinin planlanması ve/veya icrası,
  • Pazarlama faaliyetlerine konu yapılacak kişilerin tüketici davranışı kriterleri doğrultusunda tespiti ve/veya değerlendirilmesi,
  • Kişiye özel pazarlama (segmentasyon ve profilleme dahil) ve/veya tanıtım aktivitelerinin tasarlanması ve/veya icrası,
  • Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım ve/ veya pazarlama aktivitelerinin tasarlanması ve/veya icrası,
  • Dijital ve/veya diğer mecralarda müşteri kazanım ve/veya mevcut müşterilerde değer yaratımı üzerine geliştirilecek aktivitelerin tasarlanması ve/veya icrası,
  • Pazarlama amacıyla veri analitiği çalışmalarının planlanması ve/veya icrası,
  • Pazarlama amacıyla veri analitiği ve/veya veri zenginleştirme çalışmalarının planlanması ve/veya icrası,
  • Şirketimizce sunulan diğer ürünlerle ilgili çapraz satış aktivitelerinin planlanması ve/veya icrası,
  • Ürün ve hizmetlerin satış ve/veya pazarlaması için pazar araştırması faaliyetlerinin planlanması ve/veya icrası,
  • Şirketimizin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,
  • Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve/veya icrası,
  • Ürün ve/veya hizmetlerin başvuru süreçlerinin oluşturulması ve/veya takibi,
  • Ürün ve/veya hizmetlerin kullandırma süreçlerinin oluşturulması ve/veya takibi,
  • Ürün ve/veya hizmetlere erişim ve/veya kullanımda müşterinin kullanacağı kanallara uygun araçların ve/veya bilgilerin müşteriye sağlanması süreçlerinin planlanması ve/veya icrası,
  • Müşteri ilişkileri yönetimi süreçlerinin planlanması ve/veya icrası,
  • Satış̧ sonrası servis hizmetleri aktivitelerinin (ekspertiz, bakım vb.) planlanması ve/veya icrası,
  • Ürün ve/veya hizmetlerin aktivasyon süreçlerinin yürütülmesi,
  • Dijital ve/veya diğer mecralarda toplanan müşteri talep ve/ veya şikâyetlerinin değerlendirilmesi, takibi ve/veya yönetimi,
  • Üyelik oluşturulması,
  • Ürünlerin/hizmetlerin ödeme işlemlerinin takibi,
  • Ürün ve/veya hizmetlerin satış̧ süreçlerinin planlanması ve/veya icrası,
  • Ürün/hizmet garanti sürecinin oluşturulması ve/veya takibi,
  • Ürün ve hizmetlerle ilgili güvenlik tedbirlerinin alınmasına yönelik faaliyetlerin planlanması ve/veya icrası,
  • Talep ve siparişlerin alınması, sisteme girişlerinin yapılması ve/ veya takibi,
  • Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
  • Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası,
  • Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini,
  • İletişim için adres ve diğer gerekli bilgileri kaydetmek,
  • Mesafeli Satış Sözleşmesi ve Tüketicinin Korunması Hakkında Kanun’un ilgili maddeleri tahtında akdettiğimiz sözleşmelerin koşulları, güncel durumu ve güncellemeler ile ilgili müşterilerimiz ile iletişime geçmek, gerekli bilgilendirmeleri yapabilmek, akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek,
  • Elektronik veya kâğıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
  • Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
  • Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat çerçevesinde müşterilerimize e-posta veya kısa mesaj yoluyla bilgi vermek,
  • Müşteri memnuniyetini artırmak, Platformdan müşterilerimizi tanıyabilmek ve müşteri çevresi analizinde kullanabilmek, çeşitli pazarlama          ve reklam faaliyetlerinde kullanabilmek ve bu kapsamda anlaşmalı kuruluşlar aracılığıyla elektronik ortamda ve/veya fiziki ortamda anketler düzenlemek,
  • Anlaşmalı kurumlarımız ve çözüm ortaklarımız tarafından müşterilerimize öneri sunabilmek, hizmetlerimizle ilgili müşterilerimizi bilgilendirebilmek,
  • Hizmetlerimiz ile ilgili müşteri şikâyet ve önerilerini değerlendirebilmek,
  • Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek amaçlarıyla işlenmektedir.

Kişisel Verilerin AKTARILMASI

Kişisel verileriniz, faaliyetlerimizi yürütebilmek için işbirliği yaptığımız program ortağı kurum, kuruluşlarla, verilerin bulut ortamında saklanması hizmeti aldığımız yurtiçi/yurtdışı kişi ve kurumlarla, müşterilerimize ticari elektronik iletilerin gönderilmesi konusunda anlaşmalı olduğumuz yurtiçi/yurtdışındaki kuruluşlarla, Bankalar arası Kart Merkeziyle, anlaşmalı olduğumuz bankalarla, ödeme hizmeti sağlayan kuruluşlarla ve sizlere daha iyi hizmet sunabilmek ve müşteri memnuniyetini sağlayabilmek için çeşitli pazarlama faaliyetleri kapsamında yurtiçi ve yurtdışındaki çeşitli ajans, reklam şirketleri ve anket şirketleriyle ve yurtiçi/yurtdışı diğer üçüncü kişilerle ve ilgili iş ortaklarımızla, hissedarlarımızla ve iştiraklerimizle ve de bir sözleşme ilişkisi kapsamında hizmet aldığımız üçüncü kişilerle ve kanunen yetkili kamu kurum ve özel hukuk tüzel kişileriyle paylaşılabilmektedir.

6698 sayılı Kanun kapsamında kişisel verilerin aktarılması da bir tür veri işleme faaliyetidir. ŞİRKET, 6698 sayılı Kanun’un 8. ve 9. maddelerinde sıralanan kişisel verilerin aktarılması şartlarının mevcudiyeti halinde kişisel verileri yurtiçinde veya yurtdışına aktarabilmektedir.

Kişisel Verilerin Yurtiçinde Aktarılması

  • 6698 sayılı Kanun’un 8. ve 9. maddelerinde sıralanan kişisel verilerin aktarılması şartlarından en az birinin varlığı halinde kişisel verileriniz, ŞİRKET tarafından yurtiçinde üçüncü taraflara aktarılabilmektedir.

Kişisel Verilerin Yurtdışına Aktarılması

  • 6698 sayılı Kanun’un 8. ve 9. maddelerinde sıralanan kişisel verilerin aktarılması şartlarından en az birinin varlığı halinde ve kişisel veri paylaşımı yapılacak ülkenin Kurul tarafından güvenli ülke olarak ilan edilmişse kişisel verileriniz ŞİRKET tarafından yurtdışında üçüncü taraflara aktarılabilmektedir.
  • Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilecek güvenli ülkelerden olmaması halinde, ŞİRKET ve ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmeleri üzerine, Kurul’un bu işleme izin vermesi ve 6698 sayılı Kanun’un 8. ve 9. maddelerinde sıralanan kişisel verilerin aktarılması şartlarından en az birinin varlığı halinde kişisel veriler yurtdışında üçüncü taraflara aktarılabilmektedir.

Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması

Kanun’un 11. maddesi uyarınca veri sahipleri, 

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. 

 

Kişisel Verilerin saklanması ve imhasına ilişkin İlkeler

  • Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
  • Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  • Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
  • İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Saklama ve İmha Süreleri

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

  • Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
  • Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
  • Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
  • Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
  • Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Şirket tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politikanın ekinden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politikanın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika ‘da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler

Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler [] sistemine işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in [] bulunan serverına kaydedilmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

Şirket idari tedbirler kapsamında;

  • Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  • Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

Teknik Tedbirler:

Şirket idari tedbirler kapsamında;

  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
  • Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  • Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  • Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
  • Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.
  • Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
  • Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
  • Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.
  • Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
  • Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını
  • Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
  • Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
  • Verilerin kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

Kişisel Verileri Koruma Komitesinin Görev ve Yetkileri

Kişisel Verileri Koruma Komitesi, Politikanın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar

  • İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
  • Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
  • Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
  • Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

EK-1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

Kişisel veriler politikanın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir:

Süreç

Saklama Süresi

İmha Süresi

İş Kanunu kapsamında saklanılan veriler (örnek. performans kayıtları vs.)

İş ilişkisinin sona ermesine müteakip 5 yıl

 Saklama süresinin bitimini takiben 180 gün içerisinde

İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)

İş ilişkisinin sona ermesine müteakip 15 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

SGK mevzuatı kapsamında tutulan veriler

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sair ilgili mevzuat gereği toplanan veriler

İlgili mevzuatta öngörülen süre kadar

Saklama süresinin bitimini takiben 180 gün içerisinde

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması

Dava zaman aşımı müddetince

Saklama süresinin bitimini takiben 180 gün içerisinde

Müşteri verileri

Kayıt altına alınmasına müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.