Kişisel Verileri Saklama ve İmha Politikası
GİRİŞ, AMAÇ, KAPSAM VE TANIMLAR
GİRİŞ
Demirland Gayrimenkul Yatırım ve Geliştirme A.Ş. (“Demirland”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Şirket olarak, kişisel verilerin korunmasında insana verdiğimiz değeri temel alıyor olmamız sebebiyle kişisel verilerin korunmasına ilişkin gerekli olan tüm idari ve teknik tedbirleri alıyoruz.
POLİTİKANIN AMACI
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), tüm faaliyetlerini hukuka uygun bir şekilde gerçekleştirmeyi hedefleyen Demirland’ın, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve ilgili mevzuat uyarınca, veri sorumlusu sıfatıyla elinde bulunan kişisel verilere ilişkin yükümlülüklerimizi yerine getirmek ve veri sahiplerini; kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenme esasları ve saklama süresi, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçlerinde uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışan adayı, çalışan, kamu personeli, alacaklı, vekil, şirket yetkilisi, hekim, çalışan yakını, eğitmen, hukuki işlem tarafı, çalışanın aile bireyleri ve yakını, müşteri çalışanı, tedarikçi çalışanı, müşteri, tedarikçi, kamu görevlisi, bilirkişi, avukat, yetkili kamu kurum ve kuruluşları çalışanları, şirket yetkilisi, arabulucu, ürün veya hizmet sağlayıcı çalışanı, tedarikçi yetkilisi, müşteri yetkilisi, ürün veya hizmet sağlayıcı yetkilisi, mali müşavir, kefil, danışman, iş ortakları, ziyaretçi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı ve herhangi bir nedenle Demirland nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, Demirland tarafından Demirland Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak işlenmektedir.
POLİTİKANIN KAPSAMI
İşbu Politika, çalışan adayı, çalışan, kamu personeli, alacaklı, vekil, şirket yetkilisi, hekim, çalışan yakını, eğitmen, hukuki işlem tarafı, çalışanın aile bireyleri ve yakını, müşteri çalışanı, tedarikçi çalışanı, müşteri, tedarikçi, kamu görevlisi, bilirkişi, avukat, yetkili kamu kurum ve kuruluşları çalışanları, şirket yetkilisi, arabulucu, ürün veya hizmet sağlayıcı çalışanı, tedarikçi yetkilisi, müşteri yetkilisi, ürün veya hizmet sağlayıcı yetkilisi, mali müşavir, kefil, danışman, iş ortakları, ziyaretçi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı ile herhangi bir nedenle Demirland nezdinde kişisel verisi bulunan tüm gerçek kişileri ve bunların kişisel verilerini kapsamaktadır. Demirland, işbu Politikayı Demirland internet sitesinde yayımlamak suretiyle, Kişisel Verilerin Korunması Kanunu’nun 16. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesindeki yükümlülüğünü yerine getirerek, kişileri bilgilendirmektedir.
Demirland bünyesinde kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel verilerin tamamen veya kısmen otomatik olan yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesine yönelik faaliyetlerde işbu Politika uygulanır.
TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verinin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Kişisel Verileri Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, Politika: Kişisel Verileri Saklama ve İmha Politikası’ nı,
Sicil: Kişisel Verileri Koruma Kurulu tarafından tutulan veri sorumluları sicilini,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i,
ifade eder.
Bu Politika’da yer almayan tanımlar için Kanun ve Yönetmelik’teki tanımlar geçerlidir.
SAKLAMA VE İMHAYI GEREKTİREN SEBEPLER, KAYIT ORTAMLARI VE İMHA TEKNİKLERİ
SAKLAMA VE İMHAYI GEREKTİREN SEBEPLER
Demirland tarafından; şirket ortakları, şirket hissedarları, şirket yetkilileri, çalışan, çalışan adayları, stajyer, stajyer adayları, şirket müşterileri, müşteri adayları müşteri yetkilisi ve çalışanları, potansiyel ürün veya hizmet alıcısı, tedarikçiler, tedarikçi çalışanı, tedarikçi yetkilisi, ziyaretçiler, danışman ve üçüncü kişiler, iş ortakları, ürün veya hizmet alan kişiler ile herhangi bir nedenle Demirland nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kanun, Yönetmelik ve ilgili mevzuatta yer alan usul ve esaslara uygun olarak işlenmekte, saklanmakta ve imha edilmektedir.
- Saklamayı Gerektiren İşleme Amaçları
Demirland, Demirland’ın Kişisel Verileri İşleme ve Koruma Politikası’nda belirtilen ilkelere, kişisel veri işleme şartlarına ve ilgili mevzuatta yer alan usul ve esaslara uygun olarak işlenebilmektedir. Demirland tarafından usulüne uygun yöntemlerle toplanan kişisel verileriniz iş ilişkisi, ürün, hizmet veya ticari faaliyetler kapsamında veya sizlerle olan ilişkiler dâhilinde,
işlenmelerini gerektiren aşağıdaki amaçlar çerçevesinde ve bu amaçlar ile bağlantılı, sınırlı ve ölçülü şekilde, genel ilkelere uygun olarak işlenebilmekte ve saklanabilmektedir.
Saklamayı gerektiren işlenme amaçları;
-
Çalışan adayların başvuru süreçlerinin yürütülmesi
-
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
-
Sözleşme süreçlerinin yürütülmesi
-
İnsan kaynakları süreçlerinin planlanması
-
Faaliyetlerin mevzuata uygun yürütülmesi
-
Lojistik faaliyetlerinin yürütülmesi
-
Mal/hizmet satış süreçlerinin yürütülmesi
-
Hukuk işlerinin takibi ve yürütülmesi
-
Finans ve muhasebe işlerinin yürütülmesi
-
Taşınır / taşınmaz mal ve kaynakların güvenliğinin temini
-
İş faaliyetlerinin yürütülmesi / denetimi
-
Mal ve hizmet satın alım süreçlerinin yürütülmesi
-
Ticari faaliyetlerin yürütülmesi
-
Şirket içi faaliyetlerinin yürütülmesi
-
Görevlendirme süreçlerinin yürütülmesi
-
Sigorta faaliyetlerinin yürütülmesi
-
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
-
Talep ve şikayetlerin takibi
-
İletişim faaliyetlerinin yürütülmesi
-
Fiziksel mekân güvenliğinin temini
-
Çalışanların kişisel veriler ile ilgili bilgilendirilmesi ve şirkette işlenen veriler ile ilgili aydınlatılması
-
Saklama ve arşiv faaliyetlerinin yürütülmesi
-
Web sitenin geliştirilmesi
-
Acil durum yönetimi süreçlerinin yürütülmesi
-
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
2. Saklamayı Gerektiren Hukuki Sebepler
İşbu Politika’nın 5. maddesinin “a. Saklamayı Gerektiren İşleme Amaçları” başlıklı bölümünde belirtilen amaçlarla toplanan kişisel verileriniz, Kanun’un 5. ve 6. maddesinde belirtilen aşağıdaki hukuki sebeplerle işlenebilmektedir;
-
Kanunlarda açıkça öngörülmesi,
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
-
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
3. İmhayı Gerektiren Sebepler
Kişisel verileriniz aşağıdaki hallerde Demirland tarafından, uygulanan yöntemin gerekçesi de açıklanmak suretiyle resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
-
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması,
-
Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya tamamen kaldırılması,
-
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
-
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
-
İlgili kişinin, kanun ve ilgili mevzuat uyarınca kişisel verilerinin silinmesini, yok edilmesini anonim hale getirilmesini veya kişisel verilerin aktarıldığı üçüncü kişilere bildirimde bulunulmasına ilişkin yaptığı başvurunun Demirland tarafından kabul edilmesi,
-
Demirland’ın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, Demirland’ın verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içerisinde cevap verilmemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
-
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
KİŞİSEL VERİLERİN KAYIT ORTAMLARI
Demirland, ilgili kişilere ait kişisel verileri aşağıdaki tabloda belirtilen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklamaktadır. Kayıt ortamları aşağıda Tablo 1’de yer almaktadır:
Tablo 1: Kayıt Ortamları
Elektronik Ortamlar
Elektronik Olmayan Ortamlar
-
Ağ cihazları,
-
Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri Yazılımlar (ofis yazılımları)
-
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
-
Bulut ortamları
-
Çıkartılabilir diskler (USB, hafıza kartı vb.)
-
Kâğıt
-
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
-
Yazılı, basılı, görsel ortamlar
-
Birim dolapları
-
Arşiv
-
Dosya sunucusu
-
Doküman yönetim sistemi
-
E mail sunucusu
-
E arşiv sistemi
-
Kamera sistemleri
-
Kişisel bilgisayarlar (masaüstü, dizüstü)
-
Loglar
-
Mobil cihazlar (telefon, tablet vb.)
-
Optik diskler (CD, DVD, vb.)
-
Sunucular (Etki alanı, yedekleme, e- posta, veri tabanı, web, dosya paylaşım, vb.)
-
Yazıcı, tarayıcı, fotokopi makinesi
-
Ziyaretçi kayıt sistemi
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Demirland tarafından, Kişisel Verilerin İşlenmesi ve Korunması Politikası ile işbu Politika çerçevesinde, kanunlara uygun olarak temin edilen kişisel veriler, işbu Politika’nın 5. Maddesinin “a. Saklamayı Gerektiren İşleme Amaçları” başlıklı bölümünde belirtilen amaçların ortandan kalkması ve ilgili mevzuatta ve/veya Politika’da belirtilen saklama sürelerinin sona ermesi halinde, Demirland, tarafından re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olan yöntem Demirland’ın, tarafından seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.
-
-
Kişisel Verilerin Silinmesi
-
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Demirland’ın, tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 2’de belirtilen yöntemlerle silinir;
Tablo 2: Kişisel Verilerin Silinmesi
Kişisel Veri Kayıt Ortamı
Açıklamalar
Bulut Ortamında Bulunan Kişisel Veriler
Bulut sisteminde veriler silme komutu verilerek silinir ve veriye erişme yetkisi olan kullanıcıların varsa geri getirme yetkileri kaldırılır.
Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel veriler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel veriler evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak
/silinerek karartma işlemi de uygulanır.
Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel veriler silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde veriye erişme yetkisi olan kullanıcıların erişim yetkisi kaldırılarak
silme işlemi yapılır.
Taşınabilir Ortamlarda Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel veriler sistem yöneticisi tarafından şifreli olarak saklanır ve veri silineceği zaman tekrar geri getirilemeyecek şekilde
biçimlendirilerek güvenli ortamlarda saklanır.
Veri Tabanında
Kişisel verilerin bulunduğu ilgili satırların veri tabanı
komutları ile (DELETE vb.) silinir.
Şirket Bilgisayarlarında
Kişisel veriler kimlik doğrulama ile erişim sağlanır ve işletim sistemi komutları kullanılarak silinir.
-
-
Kişisel Verilerin Yok Edilmesi
-
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Demirland, tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 3’te belirtilen yöntemlerle yok edilir;
Tablo 3: Kişisel Verilerin Yok Edilmesi
Kişisel Veri Kayıt Ortamı
Açıklamalar
Bulut Ortamında Bulunan Kişisel Veriler
Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere
tekrar ulaşılamaz.
Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel veriler hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel veriler hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilir.
Optik Medya Ve Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemleri uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz
bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
c. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Demirland, tarafından işlenen kişisel veriler bulundukları kayıt ortamlarından aşağıda Tablo 4’te belirtilen yöntemlerle anonim hale getirilir;
Tablo 4: Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Veri Kayıt Ortamı
Açıklamalar
Bölgesel Gizleme
Kişisel verilerin toplu olarak bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesidir.
Değişkenleri Çıkarma
İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da
birkaçının çıkarılmasıdır.
Genelleştirme
Genelleştirme yöntemi ile birçok kişiye ait kişisel verilerin bir araya
getirilip, ayırt edici bilgileri kaldırılarak, herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Maskeleme
Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti
içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Veri Değiş Tokuşu
Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ, PERİYODİK İMHA SÜRELERİ
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
-
Kişisel Verileri Saklama Süresi
Demirland’ın, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, ilgili mevzuatta bir süre öngörülmüşse bu süre kadar kişisel veriler muhafaza edilmektedir. İlgili mevzuatta bir süre öngörülmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Belirlenen saklama süreleri sona erdikten sonra kişisel verilerin imhasında uygulanacak yöntem belirlenerek kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Tablo 5: Kişisel Verileri Saklama Süreleri
Verisi İşlenen Kişi Grubu
Veri Kategorisi
Veriyi Saklama Süresi
Kamu Personeli, Çalışan, Hukuki İşlem Tarafı, Vekil, Çalışan Yakını, Şirket Yetkilisi
Kimlik
İşçinin İş Akdinin Sona Ermesinden İtibaren 10 Yıl
Hekim, Çalışan
Kimlik, İmza
İş Akdinin Sona Ermesinden
İtibaren 15 Yıl
Çalışan
Özlük, Sağlık, Mesleki Deneyim, Referans Bilgisi,
Beden Bilgisi,
İş Akdinin Sona Ermesinden İtibaren 15 Yıl
Çalışan, Çalışan Yakını
Eğitim, Görsel ve İşitsel Veri
İşçinin İş Akdinin Sona Ermesinden İtibaren 10 Yıl
Çalışan
Finans, Hukuki İşlem, Özlük
İşçinin İş Akdinin Sona Ermesinden İtibaren 10 Yıl
Avukat, Çalışan
İletişim, Finans
İşçinin İş Akdinin Sona Ermesinden İtibaren 10 Yıl
Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Bilirkişi, Avukat, Hukuki İşlem Tarafı, Çalışan, Arabulucu, Şirket Yetkilisi, Kefil, Ürün veya Hizmet
Sağlayıcı,
Kimlik
İşlenmesinden İtibaren 15 Yıl
Avukat, Hukuki İşlem Tarafı, Çalışan, Arabulucu, Şirket Yetkilisi
İletişim
İşlenmesinden İtibaren 15 Yıl
Avukat,
Müşteri İşlem
İşlenmesinden İtibaren 15 Yıl
Şirket Yetkilisi, Çalışan
Görsel ve İşitsel Veri
İşlenmesinden İtibaren 15 Yıl
Hukuki İşlem Tarafı
Finans
İşlenmesinden İtibaren 15 Yıl
Yetkili Kamu Kurum ve Kuruluşları Çalışanları,
Bilirkişi, Avukat
Meslek
İşlenmesinden İtibaren 15 Yıl
Bilirkişi, Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Avukat,
Şirket Yetkilisi, Hukuki İşlem Tarafı, Çalışan, Arabulucu, Ürün veya Hizmet Sağlayıcı,
Kefil
İmza
İşlenmesinden İtibaren 15 Yıl
Eğitmen, Çalışan, Hukuki İşlem Tarafı, Yetkili Kamu Kurum ve Kuruluşları, Çalışanları, Müşteri Çalışanı, Şirket Yetkilisi, Müşteri, Müşteri Yetkilisi, Tedarikçi
Çalışanı, Tedarikçi Yetkilisi Tedarikçi, Ürün veya Hizmet Sağlayıcı Çalışanı, Ürün veya Hizmet Sağlayıcı Yetkilisi, Ürün veya Hizmet Sağlayıcı, Arabulucu, Mali Müşavir,
Tedarikçi,
Kimlik
İşlenmesinden itibaren 10 yıl
Şirket Yetkilisi
Müşteri, Müşteri Yetkilisi, Müşteri Çalışanı, Tedarikçi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Hukuki İşlem Tarafı, Ürün veya Hizmet Sağlayıcı, Mali Müşavir, Ürün veya Hizmet Sağlayıcı,
Çalışanı
İletişim
İşlenmesinden itibaren 10 yıl
Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Çalışan, Müşteri,
Tedarikçi
Müşteri İşlem
İşlenmesinden itibaren 10 yıl
Ürün veya Hizmet Sağlayıcı Yetkilisi, Müşteri Yetkilisi, Şirket Yetkilisi, Tedarikçi
Yetkilisi,
Görsel ve İşitsel Veri
İşlenmesinden itibaren 10 yıl
Arabulucu, Tedarikçi,
Yetkilisi, Tedarikçi
Finans
İşlenmesinden itibaren 10 yıl
Şirket Yetkilisi
Eğitim
İşlenmesinden itibaren 10 yıl
Şirket Yetkilisi, Mali Müşavir
Meslek
İşlenmesinden itibaren 10 yıl
Hukuki İşlem Tarafı, Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Müşteri Çalışanı, Çalışan, Şirket Yetkilisi, Ürün veya Hizmet Sağlayıcı Çalışanı, Tedarikçi Yetkilisi, Müşteri
Yetkilisi, Ürün veya Hizmet
Sağlayıcı Yetkilisi, Ürün veya Hizmet Sağlayıcı, Mali
İmza
İşlenmesinden itibaren 10 yıl
Müşavir, Tedarikçi Çalışanı, Tedarikçi
Çalışan Adayı, Çalışan, Stajyer, Müşteri, Müşteri Çalışanı, Tedarikçi, Tedarikçi Çalışanı, Danışman, İş Ortakları, Tedarikçi Yetkilisi, Müşteri Yetkilisi, Şirket Yetkilisi, Ürün veya Hizmet,
Sağlayıcı Yetkilisi
Kimlik
İşlenmesinden İtibaren 5 Yıl
Çalışan Adayı, Çalışan, Stajyer, Müşteri, Müşteri Çalışanı, Tedarikçi, Tedarikçi Çalışanı, Danışman, İş Ortakları
İletişim
İşlenmesinden İtibaren 5 Yıl
Müşteri Çalışanı
Müşteri İşlem
İşlenmesinden İtibaren 5 Yıl
Tedarikçi Yetkilisi, Müşteri Yetkilisi, Şirket Yetkilisi, Ürün veya Hizmet Sağlayıcı Yetkilisi, Çalışan, Yetkili
Kamu Kurum ve Kuruluşları
Çalışanları,
İmza
İşlenmesinden İtibaren 5 Yıl
Çalışan
Kimlik, İmza
İşlenmesinden İtibaren 3 Yıl
Web Sitesi Ziyaretçileri
Çerezler
İşlenmesinden İtibaren 1 Yıl
Çalışan, Müşteri Çalışanı, Ürün veya Hizmet Sağlayıcı Yetkilisi, Tedarikçi Çalışanı,
Kimlik, İletişim
İşlenmesinden İtibaren 1 Yıl
Şirket Yetkilisi
Kimlik
İşlenmesinden İtibaren 1 Yıl
Ürün veya Hizmet Sağlayıcı Yetkilisi, Ürün veya Hizmet Sağlayıcı, Arabulucu, Müşteri Yetkilisi, Şirket Yetkilisi, Tedarikçi Yetkilisi, Müşteri, Tedarikçi, Müşteri Çalışanı, Tedarikçi Çalışanı, Eğitmen, Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Mali Müşavir, Hukuki İşlem
Tarafı, Çalışan
Kimlik
İşlenmesinden İtibaren 1 Yıl
Ürün veya Hizmet Sağlayıcı Yetkilisi, Ürün veya Hizmet Sağlayıcı, Müşteri Yetkilisi, Şirket Yetkilisi, Tedarikçi Yetkilisi, Müşteri, Tedarikçi,
Müşteri Çalışanı, Tedarikçi Çalışanı, Mali Müşavir, Hukuki İşlem Tarafı
Çalışan
Kimlik, İletişim
İşlenmesinden İtibaren 1 Yıl
Eğitmen, Arabulucu, Yetkili Kamu Kurum ve Kuruluşları,
Çalışanları,
Kimlik
İşlenmesinden İtibaren 1 Yıl
Çalışan, Tedarikçi Yetkilisi, Müşteri, Tedarikçi, Tedarikçi
Çalışanı
Müşteri İşlem
İşlenmesinden İtibaren 1 Yıl
Çalışan, Hukuki İşlem Tarafı
Hukuki İşlem
İşlenmesinden İtibaren 1 Yıl
Ürün veya Hizmet Sağlayıcı Yetkilisi, Müşteri Yetkilisi, Şirket Yetkilisi, Tedarikçi
Yetkilisi, Tedarikçi Çalışanı
Görsel ve İşitsel Veri
İşlenmesinden İtibaren 1 Yıl
Arabulucu, Tedarikçi,
Tedarikçi Yetkilisi
Finans
İşlenmesinden İtibaren 1 Yıl
Şirket Yetkilisi
Eğitim
İşlenmesinden İtibaren 1 Yıl
Meslek
Mali Müşavir, Şirket
Yetkilisi
İşlenmesinden İtibaren 1 Yıl
Hukuki İşlem Tarafı, Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Müşteri Çalışanı Müşteri Yetkilisi, Çalışan, Şirket Yetkilisi, Ürün veya Hizmet Sağlayıcı Çalışanı, Ürün veya Hizmet Sağlayıcı Yetkilisi, Ürün veya Hizmet Sağlayıcı, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Mali
Müşavir
İmza
İşlenmesinden İtibaren 1 Yıl
Çalışan Adayı
Kimlik, İletişim, Mesleki Deneyim, İmza, Referans,
Eğitim, Özlük
İşlenmesinden İtibaren 3 Ay
Şirket Yetkilisi, Müşteri, Çalışan,
Hukuki İşlem Tarafı
Kimlik
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl
Şirket Yetkilisi, Çalışan, Hukuki İşlem Tarafı
İletişim, İmza
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl
Yetkili Kamu Kurum ve Kuruluşları Çalışanları, Şirket
Yetkilisi
İmza
Şirket Faaliyetlerinin Sona Ermesinden İtibaren 10 Yıl
b. Kişisel Verileri İmha Süresi
Demirland, kişisel verilerle ilgili olarak, zamanaşımı süresini kesen ya da durduran herhangi bir hukuki durum olmadığı takdirde silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanun’un 13. maddesi uyarınca Demirland’a başvurarak, kendisine ait kişisel verilerin anonim hale getirilmesini, silinmesini veya yok edilmesini talep ettiğinde;
-
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, Demirland talebe konu kişisel verileri, talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.
-
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Demirland, bu durumu üçüncü kişiye bildirir ve üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
-
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Demirland tarafından Kanun’un 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
PERİYODİK İMHA
Demirland, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, işleme şartları ortadan kalkmış olan kişisel verileri iş bu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süresi 6 aydır. Buna göre Demirland, her yıl Haziran ve Aralık aylarında periyodik imha işlemini gerçekleştirir.
DÖRDÜNCÜ BÖLÜM TEKNİK VE İDARİ TEDBİRLER
-
TEKNİK VE İDARİ TEDBİRLER
Demirland, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’da belirtilen yükümlülüklere uygun olarak ve özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde gerekli teknik ve idari tedbirleri almaktadır.
-
Teknik Tedbirler
Demirland tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda belirtilmiştir:
-
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
-
Anahtar yönetimi uygulanmaktadır.
➢ Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
-
Güncel anti-virüs sistemleri kullanılmaktadır.
-
Güvenlik duvarları kullanılmaktadır.
-
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
-
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
-
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
-
Kişisel veriler mümkün olduğunca azaltılmaktadır.
-
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
-
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
-
Mevcut risk ve tehditler belirlenmiştir.
-
Şifreleme yapılmaktadır.
-
İdari Tedbirler
Demirland’ın tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda belirtilmiştir:
-
Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli önlemleri almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
-
Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, veri güvenliğinin sağlanması, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmektedir.
-
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
-
Erişim, bilgi güvenliği, kullanım, veri işleme, koruma, saklama ve imha konuları gibi veri güvenliği konularında kurumsal politika ve prosedürler hazırlanmış ve uygulanmaya başlanmıştır.
-
İlgili kişilerin, Kanun’un 11. maddesindeki haklarını kullanabilmesi için Başvuru Formu hazırlanmaktadır.
-
İmha işlemlerinin hukuka ve Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığı denetlenmekte ve gereken önlemler alınmaktadır.
-
İmha işlemlerini yapacak çalışanların bilgi güvenliği, kişisel veri ve özel hayatın gizliliği konularında farkındalıklarının arttırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
-
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
-
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
-
Kamera sistemleri bulunan tüm yerlere Kamera Sistemleri Aydınlatma Metinleri tablo şeklinde asılmaktadır.
-
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
-
Kişisel veri işleme envanteri hazırlanmıştır.
➢ Kişisel veri işlemeye başlamadan önce, Şirket politikalarında yer alan ilgili kişilere ilişkin Aydınlatma Metinleri hazırlanarak aydınlatma yükümlülüğü yerine getirilmektedir.
-
Kişisel verilerin işlenme şartları kapsamında açık rıza metinleri hazırlanmaktadır.
-
Kişisel veriler mümkün olduğunca azaltılmaktadır.
-
Şirket bünyesinde çalışan personellerin İş Sözleşmeleri KVKK ile uyumlu hale getirilmektedir.
-
Şirket ile üçüncü kişiler arasında gizlilik taahhütnameleri yapılmaktadır.
-
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
BEŞİNCİ BÖLÜM DİĞER HÜKÜMLER
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
İşbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanmakta ve www.demirland.com internet sitesinde kamuya açıklanmaktadır. Basılı kâğıt nüshası da Demirland İrtibat Kişisi/Kişisel Verileri Koruma Komisyonu tarafından dosyasında saklanır.
POLİTİKA’NIN GÜNCELLEME PERİYODU
İşbu Politika, ihtiyaç duyulduğunda Demirland tarafından gözden geçirilir ve ilgili bölümler güncellenerek www.demirland.com internet sitesinde yayınlanır. İşbu Politika’da yapılan değişiklikler derhal ilgili bölümlere işlenir ve değişikliklere ilişkin açıklamalar aşağıdaki Tablo 6’ya eklenir. Güncelleme periyodu aşağıda Tablo 6’da yer almaktadır:
Tablo 6: Güncelleme Periyodu
GÜNCELLEME TARİHİ
DEĞİŞİKLİKLERİN KAPSAMI
01.12.2022
Demirland Kişisel Veri Saklama ve İmha Politikası’nın hazırlanarak yayınlanması
PERSONEL UNVAN, BİRİM VE GÖREV TANIMI
Demirland bünyesinde kişisel veri saklama ve imha sürecinde yer alan personelin unvan, birim ve görev tanımları aşağıdaki gibidir:
Tablo 7: Personel Unvan, Birim ve Görev Tanımları
Unvan
Birim
Görev Tanımı
Bilgi İşlem Yöneticileri
Bilgi İşlem Departmanı
Kişisel veri saklama ve imha sorumlusu.
Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin kurallara uygun yönetimi.
İdari İşler Yöneticileri
İdari İşler Departmanı
Kişisel verileri saklama ve imha sorumlusu. Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin kurallara
uygun yönetimi.
İnsan Kaynakları Yöneticileri
İnsan Kaynakları Departmanı
Kişisel verileri saklama ve imha sorumlusu. Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin kurallara
uygun yönetimi.
Muhasebe Yöneticileri
Mali İşler Departmanı
Kişisel verileri saklama ve imha sorumlusu. Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin kurallara
uygun yönetimi.
Pazarlama ve Satış Yöneticileri
Pazarlama ve Satın alma Departmanları
Kişisel verileri saklama ve imha sorumlusu. Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin kurallara
uygun yönetimi.
YÜRÜRLÜK
İşbu politikanın yürürlük tarihi …./…../2022’dir. İşbu Politika, Demirland’ın internet sitesinde süresiz olarak yayımlanır. Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politika’nın ıslak imzalı eski nüshaları ilgili birim tarafından iptal edilerek imzalanır ve 5 yıl süre ile saklanır.
Orjinal belgeye erişmek için "PDR İndir" butonuna tıklayarak bilgisayarınıza indirebilirsiniz.