KVKK Politikamız
ODAK
VERİ DANIŞMANLIK LİMİTED ŞİRKETİ
KİŞİSEL
VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
1.
TANIMLAR VE KISALTMALAR
Alıcı Grubu |
Veri sorumlusu
tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisidir. |
Açık Rıza |
Belirli bir konuya
ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Çalışan |
Odak Veri Danışmanlık
Limited Şirketi personelidir. |
Elektronik Ortam |
Kişisel verilerin
elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği
ve yazılabildiği ortamlardır. |
Elektronik Olmayan (Fiziki) Ortam |
Elektronik ortamların
dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır. |
Hizmet Sağlayıcı |
Odak Veri Danışmanlık
Limited Şirketi ile sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel
kişilerdir. |
İlgili Kişi |
Kişisel verisi
işlenen gerçek kişilerdir. |
İmha |
Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
Kanun |
6698 Sayılı Kişisel
Verilerin Korunması Kanunu’dur. |
Kayıt Ortamı |
Tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortama verilen addır. |
Kişisel Veri |
Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemlerdir. |
Kurul |
Kişisel Verileri
Koruma Kurulu’dur. |
Kurum |
Kişisel Verileri
Koruma Kurumu’dur. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
Periyodik İmha |
Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda
kişisel verilerin saklanması ve imhası politikasında belirtilen ve tekrar
eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemidir. |
Politika |
Odak Veri Danışmanlık
Limited Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası’dır. |
VERBİS |
Kişisel Verileri
Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’dir. |
Veri İşleyen |
Veri sorumlusunun
verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen
gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi |
Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumlusu |
Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu
Politika için Odak Veri Danışmanlık Limited Şirketi’ni ifade eder. |
Odak Veri Danışmanlık |
Odak Veri Danışmanlık
Limited Şirketi’ni ifade eder. |
Şirket |
Odak Veri Danışmanlık
Limited Şirketi’ni ifade eder. |
Kuruluş |
Odak Veri Danışmanlık
Limited Şirketi’ni ifade eder. |
2.
AMAÇ VE KAPSAM
Odak Veri Danışmanlık Limited Şirketi Kişisel
Verilerin Saklanması ve İmhası Politikası, Odak Veri Danışmanlık’ın veri
sorumlusu sıfatıyla işlemiş olduğu kişisel verilerin, kaydedilme safhası için
benimsediği ilkeler ile bu kişisel verilerin saklanması ve imhası süreçlerinde
uyguladığı usul ve esasları düzenlemek amacıyla hazırlanmıştır.
Odak Veri Danışmanlık, kişisel verilerin işlenmesi
süreçlerinin Kanun’a uygun olması ve himayesinde bulunan kişisel verilerin
güvenle korunması konularında azami hassasiyet göstermektedir. Bu doğrultuda
kişisel verilerin korunması alanındaki gerek yerel gerekse uluslararası mevzuat
ve sözleşmelere uygun olarak kişisel veri işleme süreçlerini sürekli
iyileştirme gayretindedir.
2.2.
KAPSAM
Bu politikanın kapsamı, Odak Veri Danışmanlık’ın
kişisel verilerin kaydedilmesi safhasında riayet ettiği ilkeler ile bu kişisel
verilerin güvenliğinin sağlanmasında ve imhasında benimsediği usul ve esaslardır.
Bu kapsamda, Odak Veri Danışmanlık tarafından gerçekleştirilen her türlü
kişisel veri işleme faaliyeti ile kişisel verilerin güvenliğinin sağlanması
adına alınacak tedbirlerde ve imha sürecinin yapılandırılması işlemlerinin
tamamında işbu politikaya bağlı kalınacaktır.
3.
SORUMLULUK VE GÖREV DAĞILIMLARI
Odak Veri Danışmanlık bünyesinde bulunan tüm
birimler ve çalışanlar; kuruluşun Kişisel Verilerin Korunması Kanunu ve ilgili
mevzuata uyum kapsamında benimsenen politika ve prosedürlerin uygulanmasında,
kişisel verilerin güvenliği için alınmakta olan idari ve teknik tedbirlerin
uygulanmasında, kişisel verilerin hukuka aykırı olarak işlenmesinin
önlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde
ve kişisel verilerin ilgili imhası sürecinde kuruluş politika ve
prosedürlerinin uygulanmasında aktif rol alır.
Odak Veri Danışmanlık tarafından çalışanları
arasından atanan “KVKK Uyumluluk Temsilcisi”, kuruluşun tüm birim ve
çalışanlarının kuruluş politika ve prosedürlerine uygun faaliyet göstermesini
sağlar ve periyodik olarak denetler. KVKK Uyumluluk Temsilcisi, tespit ettiği
aykırılıkları raporlandırarak birim amirlerine ve kuruluş genel müdürüne bildirir.
Odak Veri Danışmanlık bünyesinde bulunan birim
amirleri, birimlerinin kuruluşun kişisel verilerin korunması alanındaki
politika ve prosedürlerine uygunluğunu ve bu uygunluğun sürekliliğini sağlar.
KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine birim amirleri derhal
ilgili aykırılığı giderir.
Odak Veri Danışmanlık genel müdürü, kuruluş
bünyesindeki tüm birim ve çalışanların kuruluşun kişisel verilerin korunması
alanındaki politika ve prosedürleri ile bu alanla ilgili mevzuata uygun
davranmasını sağlar. Bu kapsamda temin edilmesi gereken ürün ve hizmetlerin
teminini sağlar ve gerekli görevlendirmeleri yapar. KVKK Uyumluluk Temsilcisi’nin
aykırılık bildirimi üzerine genel müdür ilgili aykırılığın giderilip
giderilmediğini denetler.
Odak Veri Danışmanlık; genel müdür, birim amirleri
ve KVKK Uyumluluk Temsilcisi aracılığıyla, hizmet aldığı üçüncü kişilerin
kişisel verilerin korunması alanında yükümlülüklerini yerine getirmesi ve veri
güvenliğine ilişkin tedbir planlama ve uygulamalarını yapması amacıyla
farkındalığını arttırıcı faaliyet ve bildirimler gerçekleştirir.
4.
KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER
4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK
İŞLENMESİ
Odak Veri Danışmanlık tarafından kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi faaliyetlerinde; aşağıda bahsi geçen
(4.1.1.) temel ilkelere, (4.1.2.) işleme şartlarına ve (4.1.3.) özel nitelikli
kişisel verilerin işlenme şartlarına uygun davranılmaktadır.
4.1.1.
KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK
Odak Veri Danışmanlık tarafından kişisel verilerin
işlenmesi kapsamındaki tüm faaliyetlerde aşağıda sıralanarak açıklanan ilkeler
benimsenmektedir:
4.1.1.1.
Kişisel Verileri Hukuka ve Dürüstlük Kuralına Uygun Olarak İşleme;
Odak Veri Danışmanlık, kişisel verilerin işlenmesi
faaliyetlerinde evrensel insan haklarına, T.C. Anayasası’na, kişisel verilerin
korunması alanındaki mevzuata ve dürüstlük kurallarına uygun davranmaktadır.
4.1.1.2.
İşlenen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama;
Odak Veri Danışmanlık, işlenen kişisel verilerin
ilgili kişi bakımından doğru ve güncel olmasını sağlamak amacıyla gerekli idari
ve teknik tedbirleri almakta ve bu doğrultuda gelebilecek bildirimler için
iletişim kanalları öngörerek düzenli olarak kontrollerini sağlamaktadır.
4.1.1.3.
Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme;
Odak Veri Danışmanlık, kişisel veri işleme
faaliyetleri kapsamındaki amaçlarını veri işleme faaliyeti başlamadan belirlemekte
ve ilgili kişiye bildirmektedir. Bu amaçların belirlenmesinde ve
bildirilmesinde hukuk normlarına uygun hareket etmektedir.
4.1.1.4. Kişisel Verilerin İşlendiği Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olarak
Kullanılmasını Temin Etme;
Odak Veri Danışmanlık, işlenen kişisel verilerin
işlenme amacıyla bağlantılı, sınırlı ve ölçülü olması yönünde gerekli
çalışmaları yapmaktadır. Bu kapsamda işlenen kişisel verilerin mümkün olduğunca
azaltılması gerekliliğine uygun hareket etmekte ve kişisel verileri ileride
kullanılabileceği varsayımına binaen işlememektedir. İlgili kişiye bildirilen
veri işleme amacı dışında herhangi bir kişisel veri işleme faaliyeti
gerçekleştirilmemektedir.
4.1.1.5. Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşleme
Amacıyla Bağlantılı Olan Sürelerle Muhafaza Etme;
Odak Veri Danışmanlık, işlemiş olduğu kişisel
verilerin saklanma sürelerini mevzuatta öngörülen süreler veya işleme amacıyla
bağlantılı olan sürelerle muhafaza etmektedir. Anılan sürelerin sona ermesi
veya kişisel veri işlemeye dayanak olan sebebin ortadan kalkması hallerinde
ilgili kişisel veriler silmek, yok etmek veya anonim hale getirmek suretiyle
imha edilmektedir.
4.1.2. KİŞİSEL VERİLERİN
İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK
Odak Veri Danışmanlık tarafından kişisel verilerin işlenmesi
faaliyetlerinde, Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanan şartlara
uygun davranılmaktadır:
4.1.2.1.
İlgili Kişinin Açık Rızası Şartına Uygun Olarak Kişisel Veri İşleme;
Odak Veri Danışmanlık tarafından kişisel veri sahibinin,
hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer
bırakmayacak şekilde açık ve yalnızca ilgili olan işlemle sınırlı olan rızası
ile kişisel veri işlenmektedir.
4.1.2.2.
Kanunlarda Açıkça Öngörülmüş Olmasına Dayanarak Kişisel Veri İşleme;
Odak Veri Danışmanlık tarafından kanunlarda açıkça
öngörülmesi halinde, kanunda öngörülen amaç ve sürelerle sınırlı olarak kişisel
veri işlenmektedir.
4.1.2.3.
Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel
Veri İşlemenin Zorunlu Olması Hukuki Sebebine Dayalı Kişisel Veri İşleme;
Odak Veri Danışmanlık tarafından kişisel veri
sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı
hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel
verilerin işlenmesi zorunlu ise bu hukuki sebebe dayanılarak kişisel veri
işlenmektedir.
4.1.2.4.
Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla
Sözleşme Tarafının Kişisel Verisini İşleme;
Odak Veri Danışmanlık tarafından bir sözleşmenin
kurulması veya edimin yerine getirilmesiyle doğrudan ilişki içerisinde olan
sözleşme tarafına ait kişisel veriler işlenmektedir.
4.1.2.5.
Odak Veri Danışmanlık’ın Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu
Olan Kişisel Verileri İşleme;
Odak Veri Danışmanlık tarafından hukuki yükümlülüğü
bulunan bir faaliyetin yerine getirilmesi için zorunlu olan kişisel veriler,
hukuki yükümlülüğün gerektirdiği amaç,
şekil ve süre ile sınırlı olarak işlenmektedir.
4.1.2.6.
Kişisel Veri Sahibi Tarafından Alenileştirilmiş Kişisel Verileri İşleme;
Odak Veri Danışmanlık tarafından kişisel veri
sahibince alenileştirilmiş olan kişisel veriler, alenileştirilme amacına uygun
olarak işlenmektedir.
4.1.2.7.
Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Kişisel Verileri
İşleme;
Odak Veri Danışmanlık tarafından bir hakkın tesisi,
kullanılması veya korunması için zorunlu olan kişisel veriler, ilgili zorunlulukla
paralel olarak işlenmektedir.
4.1.2.8.
Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla, Kişisel Veri
İşlemenin Odak Veri Danışmanlık’ın Meşru Menfaatleri İçin Zorunlu Olması
Sebebine Dayanarak Kişisel Verileri İşleme;
Odak Veri Danışmanlık tarafından, meşru menfaatleri
için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak
ve özgürlüklerine zarar verilmeyecek ise kişisel veriler işlenebilmektedir.
Burada meşru menfaat ile veri sahibinin temel hak ve özgürlükleri arasında
denge ve orantılılık kriterleri dikkate alınmaktadır.
4.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA
UYGUNLUK
Odak Veri Danışmanlık tarafından Kurul’un belirlemiş
olduğu gerekli önlemler alınarak özel nitelikli kişisel veriler işlenebilmektedir.
4.1.3.1.
Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Odak Veri Danışmanlık tarafından sağlık ve cinsel
hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti
ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri);
veri sahibinin açık rızası ile veya kanunlarda öngörülen hallerde işlenebilmektedir.
4.1.3.2.
Sağlık Verilerinin İşlenmesi
Odak Veri Danışmanlık tarafından kişisel sağlık
verileri, aşağıda sıralanan şartlardan birinin varlığı halinde
işlenebilmektedir:
Kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hali,
Kişisel veri sahibinin açık rızasının varlığı hali.
4.1.4. KİŞİSEL VERİLERİN AKTARILMASINDA AKTARIM ŞARTLARINA UYGUNLUK
Odak Veri Danışmanlık tarafından gerçekleştirilen
kişisel veri aktarım faaliyetlerinde Kanun’un 8. ve 9. maddelerine uygun
davranılmaktadır.
4.1.4.1.
Kişisel Verilerin Yurtiçine Aktarılması
Odak Veri Danışmanlık tarafından kişisel veriler,
Kanun’un 8. maddesi uyarınca 4.1.2.’de bahsi geçen kişisel veri işleme
şartlarına uygun olarak yurtiçine aktarılabilmektedir.
4.1.4.2.
Kişisel Verilerin Yurtdışına Aktarılması
Odak Veri Danışmanlık tarafından Kanun’un 9. maddesi
uyarınca kişisel veriler; 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına
uygun olarak işlenmesi ve aktarım yapılacak ülkenin Kurul tarafından ilan
edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli
korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kurul’un
izninin bulunması halinde yurtdışına aktarılabilmektedir.
4.2.
KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI
Odak Veri Danışmanlık tarafından Kanun’un 10.
maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve
Esaslar Hakkında Tebliğ uyarınca, kişisel veri sahipleri, kişisel verilerinin
elde edilmesi sırasında sunulan aydınlatma metinleri vasıtasıyla
bilgilendirilmektedir. Bu aydınlatma metinlerinde; kuruluş unvanı, kişisel veri
işleme amacı, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği,
kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un
10. maddesinde sayılan haklarına yer verilmektedir.
4.3.
İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI
Odak Veri Danışmanlık tarafından kişisel veri
sahiplerince Kanun’un 11. maddesi kapsamındaki haklarının kullanılması amacıyla
Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ’e uygun olarak yapılan başvurular en kısa sürede ve en geç otuz gün
içerisinde yanıtlanmaktadır.
5.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
5.1.
KAYIT ORTAMLARI
Odak Veri Danışmanlık tarafından işlenen kişisel
veriler Tablo-1’de listelenen kayıt ortamlarında gerekli güvenlik önlemleri
alınmak suretiyle saklanır.
Tablo-1: Kişisel Veri Saklama Ortamları
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Sunucular: Server, Yedekleme
Cihazları, E-posta, Veri Tabanı, Web, Dosya Paylaşım vb. Yazılımlar: Ofis Yazılımları, İş Takip
ve Muhasebe Programları vb. Bilgi Güvenliği Cihazları: Antivirüs,
Firewall vb. Kişisel Bilgisayarlar Mobil Cihazlar: Telefon, Tablet vb. Optik Diskler: CD, DCD, VCD vb. Taşınabilir Bellekler: USB, Hafıza
Kartı vb. Yazıcı, Tarayıcı, Fotokopi Makinesi |
Kağıt Manuel Veri Kayıt Sistemleri: Form,
Ajanda, Ziyaretçi Defteri vb. Yazılı, basılı, görsel ortamlar
|
5.2.
KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ
Odak Veri Danışmanlık tarafından çalışanlar, çalışan
adayları, stajyerler, ziyaretçiler, hizmet alınan üçüncü kişiler ve bu
kişilerin çalışanları, müşteriler ve bu kişilerin çalışanları, hissedarlar ile
kurum ve kuruluş çalışanlarının kişisel verileri Kanun’a uygun olarak saklanır
ve imha edilir.
5.2.1.
SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Odak Veri Danışmanlık tarafından yürütmüş olduğu
faaliyetler çerçevesinde 4.1.2. ve 4.1.3’te sayılan şartlara (hukuki sebeplere)
uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar
muhafaza edilir. Bu kapsamda kişisel veriler;
·
6698 sayılı Kişisel Verilerin Korunması
Kanunu,
·
6098 sayılı Türk Borçlar Kanunu,
·
6102 sayılı Türk Ticaret Kanunu,
·
5510 sayılı Sosyal Sigortalar ve Genel
Sağlık Sigortası Kanunu,
·
4857 sayılı İş Kanunu,
·
6331 sayılı İş Sağlığı ve Güvenliği
Kanunu,
·
213 sayılı Vergi Usul Kanunu,
·
5434 sayılı Emekli Sağlığı Kanunu,
·
2828 sayılı Sosyal Hizmetler Kanunu,
·
İş Sağlığı ve Güvenliği Hizmetleri
Yönetmeliği,
·
İşyeri Bina ve Eklentilerinde Alınacak
Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
·
Bu kanunlar uyarınca yürürlükte olan
diğer ikincil düzenlemeler,
·
Kurul karar ve görüşleri ile
politikaları,
·
İlgili ticari teamüller
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
5.2.2.
SAKLAMAYI GEREKTİREN AMAÇLAR
Odak Veri Danışmanlık tarafından, yürütmüş olduğu
faaliyetler çerçevesinde 4.1.’de öngörülen ilke ve şartlara uygun olarak
işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
·
Acil durum ve bilgi güvenliği
süreçlerinin yürütülmesi,
·
Çalışan ve çalışan adayları için insan
kaynakları ve iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
·
Denetim, etik ve eğitim faaliyetlerinin
yürütülmesi,
·
Erişim yetkilerinin ve görevlendirme
faaliyetlerinin yürütülmesi,
·
Faaliyetlerin mevzuata uygun
yürütülmesi,
·
Finans, muhasebe, pazarlama, hizmet veya
ürün alım/satım, destek ve bağlılık süreçlerinin yürütülmesi,
·
İletişim faaliyetlerinin yerine
getirilmesi,
·
Saklama ve arşiv faaliyetlerinin
yürütülmesi,
·
Sözleşme süreçlerinin yürütülmesi,
·
Sponsorluk ve sosyal sorumluluk
faaliyetlerinin yürütülmesi,
·
Talep ve şikayetlerin takibi,
·
Taşınır mal ve fiziksel mekan
güvenliğinin sağlanması,
·
Yetkili kişi veya kurumlara bilgi verilmesi
ve doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılması,
·
Yönetim faaliyetinin yürütülmesi,
·
Ziyaretçi kayıtlarının oluşturulması
amaçlarıyla işlenebilmektedir.
5.3.
KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER
Odak Veri Danışmanlık tarafından işlenen kişisel
veriler;
·
İşlenmesine esas teşkil eden ilgili mevzuat
hükümlerinin değiştirilmesi veya ilgası,
·
İşlenmesini veya saklanmasını gerektiren
amacın ortadan kalkması,
·
Kişisel verileri işlemenin sadece açık
rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını
geri alması,
·
Kanunun 11 inci maddesi gereği ilgili
kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine
ilişkin yaptığı başvurunun Odak Veri Danışmanlık tarafından kabul edilmesi,
·
İlgili kişi tarafından; kişisel
verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile
yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya Kanun’da
öngörülen süre içinde cevap verilmemesi hallerinde; Kurul’a şikâyette bulunulması
ve bu talebin Kurul tarafından uygun bulunması,
·
Kişisel verilerin saklanmasını
gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre
saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine veya
resen silinir, yok edilir veya anonim hale getirilir.
6.
KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER
Odak Veri Danışmanlık tarafından; kişisel veri
işlenmesi faaliyetlerine ilişkin tüm süreçler yeniden yapılandırılmış olup
kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak
işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak
imha edilmesi amaçlarıyla, mevzuat ve Kurul kararlarınca gerekli görülmüş idari
ve teknik tedbirlerin alınmasında azami gayret gösterilmektedir. Kişisel
verilerin güvenliğinin sağlanmasına verilen öneme binaen Odak Veri Danışmanlık
bünyesinde aşağıda öngörülen idari ve teknik tedbirler alınmaktadır.
6.1.
İDARİ TEDBİRLER
Odak Veri Danışmanlık tarafından işlenen kişisel
verilerin korunması için alınan idari tedbirler şöyledir:
·
Çalışanların kişisel verilerin korunması
alanında farkındalıklarının ve tutumlarının geliştirilmesine yönelik, kişisel
verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka
aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının
sağlanması, iletişim teknikleri, teknik bilgi ve beceri, 6698 sayılı Kanun ve ilgili
diğer mevzuat hakkında eğitimler verilmektedir.
·
Yürütülen faaliyetlerde işlenen kişisel
verilere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
·
Güvenlik politika ve prosedürlerine
uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
·
Kişisel veri işlemeye başlamadan önce
Kuruluş tarafından ilgili kişileri aydınlatma yükümlülüğü yerine
getirilmektedir.
·
Kişisel veri işleme envanteri
hazırlanmıştır.
·
Kişisel verilerin korunması alanındaki
mevzuata ve kuruluş politika ve prosedürlerine uyumluluğun tespitine ilişkin
kurum içi periyodik ve rastgele denetimler yapılmaktadır.
·
Çalışanlara yönelik bilgi güvenliği
eğitimleri verilmektedir.
·
Kişisel veri içeren fiziksel ortamlara
giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
·
Çalışanlar için görevlendirme, yetki ve
erişim prosedürü hazırlanarak çalışanlar arasında kişisel veri içeren alanlara
erişim konusunda yetkilendirmeler yapılmıştır.
·
Erişim, bilgi güvenliği, kullanım,
saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya
başlanmıştır.
·
Görev değişikliği olan ya da işten
ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
·
İmzalanan sözleşmelerde veri güvenliği
hükümlerine yer verilmektedir.
·
Kağıt yoluyla aktarılan kişisel veriler
için ekstra güvenlik tedbirleri alınmaktadır.
·
Kişisel veri güvenliği politika ve
prosedürleri belirlenmiştir.
·
Kişisel veri güvenliği sorunları hızlı
bir şekilde raporlanmaktadır.
·
Kişisel veri içeren fiziksel ortamların
dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
·
Kişisel veriler mümkün olduğunca
azaltılmaktadır.
·
Kişisel veriler yedeklenmekte ve
yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
·
Özel nitelikli kişisel veri güvenliğine
yönelik protokol ve prosedürler belirlenmiş olup uygulanmaktadır.
·
Veri işleyen hizmet sağlayıcılarının,
veri güvenliği konusunda farkındalığı sağlanmaktadır.
6.2.
TEKNİK TEDBİRLER
Odak Veri Danışmanlık tarafından işlenen kişisel
verilerin korunması için alınan teknik tedbirler şöyledir:
·
Kuruluşun bilişim sistemleri teçhizatı,
yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
·
Çevresel tehditlere karşı bilişim
sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece
yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan
izleme sistemi, yerel alan ağını oluşturan anahtarların fiziksel güvenliğinin
sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal
(güvenlik duvarları, yazılımları engelleyen sistemler vb.) önlemler
alınmaktadır.
·
Kurum içerisinde erişim prosedürleri
oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz
çalışmaları yapılmaktadır.
·
Güvenlik açıkları takip edilerek uygun
güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
·
Kişisel verilerin işlendiği elektronik
ortamlarda güçlü parolalar kullanılmaktadır.
·
Kişisel verilerin güvenli olarak
saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
·
Elektronik olan veya olmayan ortamlarda
saklanan kişisel verilere erişim, erişim prensiplerine göre
sınırlandırılmaktadır.
·
Özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar şifreleme yöntemleri
kullanılarak muhafaza edilmekte, şifreler güvenli ortamlarda tutulmakta,
ortamların güvenlik güncellemeleri sürekli takip edilmektedir.
·
Özel nitelikli kişisel veriler e-posta
yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya
KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi
ortamlar yoluyla aktarılması gerekiyorsa şifrelenmekte ve şifreler farklı
ortamda tutulmaktadır.
·
Görev değişikliği olan ya da işten
ayrılan çalışanların ilgili alandaki yetkileri kaldırılmaktadır.
·
Güncel anti-virüs sistemleri
kullanılmaktadır.
·
Ağ güvenlik duvarları kullanılmaktadır.
·
Kurum içi periyodik ve/veya rastgele
denetimler yapılmakta ve yaptırılmaktadır.
7.
KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
Odak Veri Danışmanlık tarafından işlenen kişisel
veriler, ilgili mevzuatta öngörülen veya işlenme amacıyla bağlantılı olan
saklama sürelerinin sona ermesini takip eden periyodik imha süresinde imha
edilir. İmha teknikleri silme, yok etme veya anonim hale getirmedir.
7.1.
KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesinde kullanılan yöntemler
şunlardır:
Sunucularda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili
kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, veri tabanı yöneticisi (kuruluşun bilişim
hizmetini sağlayan kişi) hariç diğer çalışanlar (ilgili kullanıcılar) için
silmek suretiyle hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilir.
Fiziksel ortamda yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim
yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek
karartma işlemi de uygulanır.
Taşınabilir medyada yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve
erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla
güvenli ortamlarda saklanır.
7.2.
KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesinde kullanılan
yöntemler şunlardır:
Fiziksel ortamda yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinden
geçirilerek veya yakılarak geri döndürülemeyecek şekilde yok edilir.
Taşınabilir medyada yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz
haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca
manyetik medya, özel bir cihazdan geçirilerek yüksek değerde manyetik alana
maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
7.3.
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel
verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel
verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu
veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka
verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından
uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir
bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Odak Veri Danışmanlık tarafından işlenen kişisel
veriler anonim hale getirilmek suretiyle de imha edilebilmektedir.
8.
SAKLAMA VE İMHA SÜRELERİ
Odak Veri Danışmanlık tarafından işlenen tüm kişisel
verilerin imhası, yukarıda gösterilen (5.2.) saklama sebep ve amaçları
doğrultusunda ilgili mevzuatta öngörülen veya işlendikleri amaçla bağlantılı
olarak saklanmasının ardından ilgili kişinin talebiyle veya resen imha
edilmektedir. İmha işlemlerinin usulü ile imha görevlileri ve yetkilileri
kuruluş içi Kişisel Veri İmha Prosedürü ile detaylı olarak düzenlenmektedir.
Odak Veri Danışmanlık tarafından işlenen tüm kişisel
verilerin birim ve faaliyet bazlı saklama süreleri Odak Veri Danışmanlık
Kişisel Veri Envanteri’nde, kişisel veri kategorileri bazlı saklama süreleri
VERBİS bildiriminde yer almaktadır.
İşbu politikada Tablo-2 ile kişisel verilerin ilgili
kişi ve işlenme faaliyeti bazlı saklama süreleri ifade edilmiştir.
Tablo-2: Kişisel Verilerin Saklama ve İmha Süreleri
KİŞİSEL VERİ KAYNAĞI |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN TÜM
KAYITLAR |
10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
MÜŞTERİLERE İLİŞKİN KİŞİSEL VERİLER |
HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
TEDARİKÇİLERE İLİŞKİN KİŞİSEL VERİLER |
HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
SÖZLEŞMELER |
SÖZLEŞMENİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
SÖZLEŞMEDEN KAYNAKLI İLİŞKİLERDE İŞLENEN KİŞİSEL
VERİLER |
SÖZLEŞME İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
FATURA, İRSALİYE VB. |
10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
İNSAN KAYNAKLARI SÜREÇLERİ |
FAALİYETİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
PERSONEL ÖZLÜK DOSYASINDA TUTULAN ÖZLÜK BİLGİLERİ |
İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde
|
PERSONEL BORDRO, GİRİŞ ÇIKIŞ, YILLIK İZİN, FAZLA
ÇALIŞMA GİBİ BİLGİLER |
İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
PERSONELDEN İSG KAPSAMINDA TOPLANAN VERİLER |
İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
PERSONEL MAHKEME/İCRA DOSYASI BİLGİLERİ |
İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
PERSONEL KVKK MUVAFAKATNAMELERİ |
İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
İŞ/STAJ BAŞVURUSU KAPSAMINDA ALINAN BİLGİLER |
BAŞVURU KABUL EDİLMEMİŞSE BAŞVURU TARİHİNDEN
İTİBAREN 1 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
KAMERA KAYITLARI |
2 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
VERİ SORUMLUSUNA BAŞVURU FORMU |
BAŞVURU VE VARSA KURUMA İNTİKAL EDEN ŞİKAYET
SÜRECİNİN SONA ERMESİNİ TAKİBEN 10 YIL |
Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde |
9.
PERİYODİK İMHA ZAMANLARI
Odak Veri Danışmanlık tarafından, Kişisel Verilerin
Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11.
maddesi uyarınca periyodik imha süresini 6 ay olarak belirlemiştir. Bu kapsamda
her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilmektedir.
10.
POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI
İşbu Politika, basılı kağıt ortamında kuruluş genel
müdürünce onaylı şekilde en az 5 yıl süreyle muhafaza edilir. Ayrıca Politika
elektronik ortamda kuruluş kalite dokümanları arasında muhafaza edilir.
Politika ayrıca Odak Veri Danışmanlık tarafından
internet sitesinde (www.odakveri.com) yayımlanarak kamuya duyurulur.
Politika ihtiyaç duyuldukça gözden geçirilir ve
güncellenir.
Politikanın yürürlükten kaldırılması kuruluş genel müdürünün kararıyla gerçekleşir. Politikanın yürürlükten kalkması veya güncelliğini yitirmesi halinde eski nüshalar genel müdür onayıyla iptal edilir.