KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
ACERPRO BİLİŞİM TEKNOLOJİLERİ A.Ş.
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
1. AMACI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), Anayasamız ve 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK” ya da “Kanun”) ile yürürlükteki mevzuat hükümleri çerçevesinde, AcerPro Bilişim Teknolojileri A.Ş.’nin (Bundan sonra kısaca “AcerPro” olarak anılacaktır.), tamamına uygulanmakta ve kişisel veri imha ile ilgili kabul görmüş temel ilkelere dayanmaktadır.
İşbu Politikanın amacı, AcerPro’nun faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, kanuna ve yürürlükteki mevzuata uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
Kişisel verilerin saklanması, imhası, yok edilmesi ve anonim hale getirilmesi süreçlerine ilişkin iş ve/veya işlemler, AcerPro tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun biçimde gerçekleştirilir.
2. KAPSAM
Bu Politika AcerPro’nun çalışanlar, çalışan adayları, çalışan yakınları, ziyaretçiler, hizmet alınan kişiler, hizmet alınan çalışanları ve yetkilileri, hizmet verilen kişiler, hizmet verilen çalışanları ve yetkilileri, potansiyel hizmet alınan kişiler, potansiyel hizmet alınan çalışanları ve yetkilileri, potansiyel hizmet verilen kişiler, potansiyel hizmet verilen çalışanları ve yetkilileri, stajyer çalışanlar, şirket yetkilisi, wifi ziyaretçilerinin kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
3.TANIMLAR
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Politika : Kişisel Verileri Saklama ve İmha Politikası
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Alıcı grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Kişisel Verilerin Silinmesi : Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
4. KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
AcerPro tarafından ilgili kişilere ait kişisel veriler, başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve güvenli bir şekilde, aşağıda listelenen ortamlarda saklanmaktadır:
Elektronik ortamlar:
Sunucular(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), Yazılımlar(ofis yazılımları, portal vb.), Bilgi güvenliği cihazları(güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)Video Kaydı Cihazları, Kişisel bilgisayarlar(Masaüstü, dizüstü), Posta kutuları, Mobil cihazlar(telefon, tablet vb.) Optik diskler(CD, DVD vb.) Çıkartılabilir bellekler(USB, Hafıza Kart vb.), Yazıcı, tarayıcı, fotokopi makinesi.
Fiziksel ortamlar:
Birim Dolapları, Klasörler, Arşiv, Kâğıt, Manuel veri kayıt sistemleri(anket formları, ziyaretçi giriş defteri), yazılı, basılı, görsel ortamlar.
5. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
AcerPro tarafından; çalışanlar, çalışan adayları, çalışan yakınları, ziyaretçiler, hizmet alınan kişiler, hizmet alınan çalışanları ve yetkilileri, hizmet verilen kişiler, hizmet verilen çalışanları ve yetkilileri, potansiyel hizmet alınan kişiler, potansiyel hizmet alınan çalışanları ve yetkilileri, potansiyel hizmet verilen kişiler, potansiyel hizmet verilen çalışanları ve yetkilileri, stajyer çalışanlar, şirket yetkilisi, wifi ziyaretçilerinin kişisel verileri, Kanuna ve yürürlükteki mevzuat hükümlerine uygun olarak saklanır ve imha edilir.
Bu kapsamda; saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
5.1. Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış; 4 üncü maddesinde ise işlenen kişisel verinin hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Kanunun 5 ve 6 ncı maddelerde ise kişisel verilerin kural olarak açık rıza alınmak suretiyle; ancak istisnai hallerin varlığı halinde kanunda belirtilen işleme şartları uyarınca açık rıza alınmadan da işlenebileceği belirtilmiştir.
Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5. Maddesinde sayılı istisnai haller şu şekildedir:
· Kanunlarda açıkça öngörülmesi.
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
· Veri sorumlusu olarak hukuki yükümlülüklerimizin yerine getirilebilmesi için zorunlu olması.
· İlgili kişinin kendisi tarafından alenileştirilmiş olması.
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. Maddesinde sayılı istisnai haller ise şu şekildedir:
Sağlık ve cinsel hayat dışındaki kişisel veriler için:
· Kanunlarda öngörülen hâller.
Sağlık ve cinsel hayata ilişkin kişisel veriler için: (Bu amaçlarla işlenen kişisel veriler ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenecekse açık rıza aranmamaktadır. Aksi halde aşağıda bulunan istisnai durumlar olsa dahi açık rıza alınması şarttır.)
· Kamu sağlığının korunması,
· Koruyucu hekimlik,
· Tıbbî teşhis,
· Tedavi ve bakım hizmetlerinin yürütülmesi,
· Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
Buna göre; AcerPro’nun faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen sebeplerle işlenmekte ve ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.
5.1.1. Saklamayı Gerektiren İşleme Amaçları
AcerPro tarafından saklamayı gerektiren sebepler aşağıdaki gibidir:
· Ürün/Hizmet Satın Alım Teklif Alma Süreçlerinin Yürütülmesi
· Ürün /Hizmet Satış Teklif Alma Süreçlerinin Yürütülmesi
· Ürün / Hizmet Satış Süreçlerinin Yürütülmesi
· Ürün / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· Ürün /Hizmet Kalite ve Kontrol Süreçlerinin Yürütülmesi
· Ürün /Hizmet Üretim ve Organizasyon Süreçlerinin Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Sözleşme Süreçlerin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Yetkili Kurum ve Kuruluşlara Bilgi Verilmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· İş Sağlığı ve Güvenliği Süreçlerinin Yürütülmesi
· Görevlendirme Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· İletişim Faaliyetlerinin Yürütülmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Firmaya Gelen Evrak, Kargo ve Malzemelerin Kontrol Altında Tutulması ve Takibi
5.2. İmhaya İlişkin Açıklamalar
Yönetmelik uyarınca, aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, AcerPro tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Kişisel verilerin;
· İşlenmesine veyahut saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
· İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
· İşlenmesinin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
· İşlenmesinin Kanun’un 5. ve 6. Maddelerindeki istisnalara dayanması halinde bu istisnaların ortadan kalkması,
· Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
· Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
· Saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
6. KİŞİSEL VERİLERİN İMHA EDİLMESİNDE UYGULAMA
AcerPro kişisel verileri işlendikleri amaç için gerekli olan süre boyunca saklar. AcerPro’nun faaliyetleri kapsamında işlemekte olduğu kişisel verilerle ilgili olarak; tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde yer alır. Söz konusu saklama süreleri üzerinde, gerekmesi halinde AcerPro tarafından güncellemeler yapılabilecektir.
AcerPro ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, Politikanın 6.1. maddesi doğrultusunda, kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde, silinen verilere hiçbir şekilde tekrardan erişilemeyecektir ve kullanılamayacaktır.
AcerPro tarafından, kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen tekniklerin bir veya birkaçı kullanılabilir.
6.1. Kişisel Verilerin İmha Teknikleri
6.1.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. AcerPro silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbiri almaktadır. Kişisel verilerin silinmesi tekniği olarak AcerPro, aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
· Bulut Ortamlar: Bulut sisteminde bulunan veriler ‘Delete’ komutu ile silinecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilecektir.
· Kağıt Ortamlar: Kağıt ortamında bulunan kişisel veriler karartma yöntemi ile çizilerek, boyanarak, kesilerek veya silinerek işlem uygulanacaktır.
· Sunucular: Dosya işletim sisteminde bulunan kişisel veriler, dosyanın işletim sistemindeki ‘Delete’ komutu ile kişisel veri silinecek veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılacaktır.
· Taşınabilir Medyalar: Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanacak ve bu ortamlara uygun yazılımlar kullanılarak silinecektir.
· Veri Tabanları: Veri tabanlarında kişisel bilgilerin bulunduğu satırlar yahut sütunlar ‘Delete’ komutu ile silinecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilecektir.
Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli olarak silinecektir.
6.1.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. AcerPro kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin yok edilmesi tekniği olarak AcerPro aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
· Fiziksel Olarak Yok Etme (Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi)
· Üzerine Yazma Yöntemiyle Yok Etme (Manyetik medya ve yeniden yazılabilir optik medya üzerine en az bir kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi)
· De-manyetize Etme Yöntemiyle Yok Etme (Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması.)
· Kağıt İmha ve Kırpma Makinesi Aracılığıyla Yok Etme
6.1.3. Kişisel Verileri Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. AcerPro kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi tekniği olarak AcerPro, aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
· Kayıtları Çıkartma (Veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmesi.)
· Bölgesel Gizleme (Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi ile verilerin anonim hale getirilmesi.)
· Gürültü Ekleme (Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/-) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.)
· Değişkenleri çıkarma (İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılması yoluyla verilerin anonim hale getirilmesi.)
· Genelleştirme (İlgili Kişisel Veriyi özel bir değerden daha genel bir değere çevirme işlemiyle kişisel verinin anonim hale getirilmesi.)
· Alt ve Üst Sınır Kodlama (Belli bir değişkendeki değerlerin düşük veya yüksek olanlarının bir araya toplanması ve bu değerlere yeni bir tanımlama yapılarak ilerlenmesiyle kişisel verinin anonim hale getirilmesi.)
· Global Kodlama (Belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde, seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtların bu yeni tanım ile değiştirilmesiyle kişisel verinin anonim hale getirilmesi.)
· Örnekleme (Kümeden alınan alt kümenin açıklanması veya paylaşılmasıyla kişisel verinin anonim hale getirilmesi.)
· Mikro Birleştirme (veri kümesindeki bütün kayıtların öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılması, daha sonra ise her alt kümenin belirlenen değişkene ait değerinin ortalamasının alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilmesiyle kişisel verinin anonim hale getirilmesi.)
· Veri Değiş Tokuşu (Kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleriyle kişisel verinin anonim hale getirilmesi.)
7. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ İLE PERİYODİK İMHA SÜRELERİ
7.1. Kişisel Verileri Saklama ve İmha Süreleri
AcerPro, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Söz konusu süreler işbu politikanın eki olan tabloda gösterilmektedir. Söz konusu saklama süreleri üzerinde, gerekmesi halinde AcerPro tarafından güncellemeler yapılabilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı AcerPro tarafından seçilmektedir.
7.2. Periyodik İmha Süreleri
6698 sayılı KVKK m.7 gereğince, yasal mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel veriler periyodik olarak imha edilir.
AcerPro, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için yılda iki kez olmak üzere 6 aylık zaman aralıkları ile gerçekleştirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl süreyle saklanır.
8. SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER
AcerPro tarafından, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme, saklama ve imha süreçlerini olması gerektiği gibi yönetmek üzere sorumlu olacak kişi veya kişiler atanır.
Bu doğrultuda; kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şu şekildedir:
| UNVAN | BİRİM | SAKLAMA SÜRESİ |
|---|---|---|
| Birim Müdürü/Yöneticisi | Tüm Birimler | Politikanın uygulanmasından periyodik saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
| Sistem ve Güvenlik Müdürü | Sistem ve Güvenlik Birimi | Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve desteğin sunulmasından, gerekli bilgilerin ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
| Kalite Müdürü | Kalite Birimi | Politikanın yürütülmesinden; bu kapsamda şirket içi koordinasyonun sağlanmasından ve periyodik imha süreci yürünce kişisel verilerin imha sürecinin ilgili birim müdürleriyle yönetiminden sorumludur. |
| Muhasebe Müdürü | Muhasebe Birimi | Kurum ve Kurul ile olan ilişki ve yazışmaların takibinden sorumludur. |
9. VERİ GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK ALINAN TEDBİRLER
AcerPro, “veri sorumlusu” sıfatıyla, Kanun’un 12. maddesine uygun olarak; işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta, buna ilişkin gereken denetimleri yapmak veya yaptırmaktadır.
Alınmış olan teknik ve idari tedbirlerin tamamı işbu Politikada yer almaktadır.
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, AcerPro bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
9.1. Teknik Tedbirler:
· Güncel anti-virüs sistemleri kullanılmaktadır.
· Güvenlik duvarları kullanılmaktadır.
· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
· Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
· Anahtar yönetimi uygulanmaktadır.
· Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
· Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
· Bilgi sistemleri güncel tutulmaktadır.
· Erişim logları düzenli olarak tutulmaktadır.
· Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
· Çalışanlar için yetki matrisi oluşturulmuştur.
· Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
· Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
· Mevcut risk ve tehditler belirlenmiştir.
· Şifreleme yapılmaktadır.
· Saldırı tespit ve önleme sistemleri kullanılmaktadır.
· Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
9.2 İdari Tedbirler:
· Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
· Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
· Kişisel verilerin hukuka aykırı işlenmesinin önlenmesi için çalışmalar yapılmaktadır.
· Kişisel veri işleme envanteri hazırlanmıştır.
· İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
· Kişisel veri güvenliğinin takibi yapılmaktadır.
· Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
· Gizlilik taahhütnameleri yapılmaktadır.
· İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
· Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
· Kişisel veriler mümkün olduğunca azaltılmaktadır.
· Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
· Şirket içi periyodik ve/veya rastgele denetimler yapılmaktadır ve/veya yaptırılmaktadır.
· VERBİS sistemine kayıt yapılmıştır.
· Özel nitelikli kişisel veri güvenliğine yönelik protokoller ve prosedürler belirlenmiştir ve uygulanmaktadır.
· Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
· E-Posta sorumluluk reddi oluşturulmuştur.
10. İLGİLİ KİŞİNİN BAŞVURUSU
KVKK’nın 11. maddesine göre “ilgili kişinin” hakları şunlardır:
· Kişisel verilerinin işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
· Kişisel verilerin silinmesini veya yok edilmesini isteme,
· Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Bu doğrultuda ilgili kişi AcerPro’dan talep ile veya www.acerpro.com.tr adresinden temin edilebilecek başvuru formunu, kimliğini tespit edici belgelerle AcerPro’ya, kalite@acerpro.com.tr e-posta adresine güvenli elektronik imzalı olarak yahut Çifte Havuzlar Mah. Eski Londra Asfaltı Cad. No: 151/1C/208 Esenler/İSTANBUL posta adresine posta göndererek veyahut kurulun belirlediği ve belirleyeceği diğer yöntemlerle başvurarak, kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
|
FAALİYET |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
|---|---|---|
| Çalışan Özlük İşlemlerinin Yürütülmesi | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışan İzinlerinin Ayarlanması ve Kontrolü | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışanlara Yönelik Performans Değerlendirmesi Yapılması | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışanların Masraf Süreçlerinin Yönetilmesi | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışanlara Zimmetlenen Materyallerin Kontrolünün Sağlanması | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kolay İK Sisteminin Kullanılması | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Özlük Dosyası Oluşturma | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilerin İzinlerinin Ayarlanması ve Kontrolü | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Performans Değerlendirmesi Yapılması | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Masraf Süreçlerinin Yönetilmesi | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Masraf Süreçlerinin Yönetilmesi | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Zimmetlenen Materyallerin Kontrolünün Sağlanması | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilerin Kolay İK Sisteminin Kullanılması | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan Firma Çalışmalarının Faaliyetlerini Takibi | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Alınan (Dedike) Kişilere Yönelik Sözleşmesel İşlemlerin Yürütülmesi | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| PrimeApps (İK) Sisteminin Kullanılması | Hizmet Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| PrimeApps (İK) Sisteminin Kullanılması | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hotspot Hesabının Oluşturulması (WIFI) | 5651 sayılı Kanun gereğince 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Berqun Hesabının Oluşturulması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket E-Posta Hesaplarının Oluşturulması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Anlık Haberleşme Uygulama Hesaplarının Oluşturulması | İş Akdinin Sona Ermesinden İtibaren 1 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket VPN Hesaplarının Oluşturulması | 5651 sayılı kanun gereğince 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ofise Giriş Çıkışlarının Takibi | Kamera Kaydının Alınmasından İtibaren 3 Ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bilgi Güvenliği Yönetim Sistemi | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri Memnuniyeti Süreçlerinin Yürütülmesi | Sözleşmenin Sona Ermesinden İtibaren 1 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| SGK E-Bildirge Süreçlerinin Yürütülmesi | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| SetCard Ödemelerinin Yapılması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Özel Sigorta Başvurularının Yapılması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Aile Geçim İndirimi Ödeme Süreçlerinin Yürütülmesi | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Personel Bordrolarının Hazırlanması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Maaş Ödemelerinin Yürütülmesi | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Eğitim ve Seminer Katılım Formunun Düzenlenmesi | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Personel İcra Süreçlerinin Yönetilmesi | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşkur İş Gücü Çizelgesinin Oluşturulması | İş Akdinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ürün/Hizmet Satış Süreçlerinde Fatura Oluşturulması | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ürün/Hizmet, Alım ve Satış Süreçlerinin Ödeme ve Tahsilat İşlemlerinin Kayıt Altına Alınması | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşme ve Anlaşma Süreçlerinin Yürütülmesi | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşme İmza Süreçlerinin Yürütülmesi | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Mutabakat Yapılarak BA-BS Form Hazırlama Süreçlerinin Yürütülmesi | Belgenin düzenlendiği yılın bitişinden itibaren 10. Yılın Sonu | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Arabuluculuk Sürecinin Yürütülmesi | İşten Ayrılmasından İtibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Oryantasyon Eğitimlerinin Verilmesi | İşten Ayrılmasından İtibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İş Sağlığı ve Güvenliğinin Sağlanması | Çalışanın İşten Ayrılmasından İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşyeri Personel Yönetmeliğine ve İş Yeri Etik Davranış Kurallarına Uygun Hareket Edilmesinin Kontrolü ve Takibi | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Acil Durum Planlaması | İşten Ayrılmasından İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Entegrasyon ve Test Süreçlerinin Yürütülmesi | Bilginin Kayıt Altına Alınmasından İtibaren 2 Ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bakım ve Destek Çalışmalarının Yürütülmesi | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hizmet Süreçlerinin Yürütülmesi | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İnternet/Sosyal Medya Süreçlerinin Yürütülmesi | Açık Rıza Geri Alınıncaya Kadar | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kurumsal Kimlik Oluşturma Süreçlerinin Yürütülmesi | İşten Ayrıldıktan Sonra Aynı Gün | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Elektronik İletiler için Kullanılan Bilgiler | Açık Rıza Geri Alınıncaya Kadar | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İlgili kişi, Kanun’un 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; AcerPro’nun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.
11. YÜRÜRLÜK VE GÜNCELLEME
Bu Politika web sitesinde yayımladığı tarihte yürürlüğe girmiş olup; AcerPro tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
AcerPro yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Bu doğrultuda politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Politika’nın değiştirilmiş hali veya yeni politika örneği www.acerpro.com.tr internet sitesinden ilan edilecektir.
Kurumsal
- Hakkımızda
- Vizyon ve Misyonumuz
- Yönetim Mesajı
- Kariyer
- Web Sitesi Ziyaretçi KVKK Aydınlatma Metni
- Web Sitesi Çalışan Adayı KVKK Aydınlatma Metni
- Web Sitesi Stajyer Adayı KVKK Aydınlatma Metni
- Kariyer.Net Çalışan Adayı KVKK Aydınlatma Metni
- Linkedin Çalışan Adayı KVKK Aydınlatma Metni
- KVKK İlgili Kişi Başvuru Formu
- KVKK Saklama ve İmha Politikası
- Rüşvet ve Yolsuzlukla Mücadele Politikası
- Bilgi Güvenliği Politikası
- İş Sürekliliği Politikası
- Kalite Politikası
- Kalite Belgelerimiz