1.AMACI
MİHSAP YAZILIM ANONİM ŞİRKETİ (“MİHSAP”) bu Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”) ile kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanununa (“Kanun”) uygun olarak teknik ve idari korunması, kişisel verilerin işlenme şartlarının ortadan kalkması halinde, 28/10/2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hükümlerinin uygulamasını düzenlemek amacıyla çıkarılmaktadır.
2.KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, MİHSAP YAZILIM ANONİM ŞİRKETİ tarafından aşağıdaki listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
Fiziksel ortamlar:
3.SAKLAMAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, MİHSAP YAZILIM ANONİM ŞİRKETİ tarafından özellikle:
Amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler:
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, MİHSAP YAZILIM ANONİM ŞİRKETİ tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
4.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
MİHSAP YAZILIM ANONİM ŞİRKETİ, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, MİHSAP YAZILIM ANONİM ŞİRKETİ bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
4.1.Teknik Tedbirler
4.2.İdari Tedbirlerr
5.KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN ALINAN TEDBİRLER
MİHSAP YAZILIM ANONİM ŞİRKETİ ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır. MİHSAP YAZILIM ANONİM ŞİRKETİ tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
MİHSAP YAZILIM ANONİM ŞİRKETİ kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
5.1.Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Yöntemler
5.1.1.Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak MİHSAP YAZILIM ANONİM ŞİRKETİ aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli olarak silinecektir.
5.1.2.Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin aşağıdaki yöntemlerle hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
5.1.3.Kişisel Verileri Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. MİHSAP YAZILIM ANONİM ŞİRKETİ kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
MİHSAP YAZILIM ANONİM ŞİRKETİ kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmelik’in 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda MİHSAP YAZILIM ANONİM ŞİRKETİ serbesti içinde olacaktır.
6.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
MİHSAP YAZILIM ANONİM ŞİRKETİ, kişisel verileri işlendikleri amaç için Ek-1’de belirtilen süreler boyunca saklar. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler Ek-1’deki tabloda yer alan kişisel verilerin tutulması için azami süre boyunca saklanacaktır. Bu süreler; MİHSAP YAZILIM ANONİM ŞİRKETİ’nin veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.
Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda MİHSAP YAZILIM ANONİM ŞİRKETİ bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
7.PERİYODİK İMHA SÜRELERİ
Yönetmeliğin 11 inci maddesi gereğince, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.
8.PERSONEL
Kanun kapsamında MİHSAP YAZILIM ANONİM ŞİRKETİ veri sorumlusu sıfatıyla, Yönetmelik’in 11. maddesinin 1. fıkrasına dayanarak, Kanunun veri saklama ve imha süreci uygulanması bakımından yükümlülükleri yerine getirilecek personelin unvanları, birimleri ve görev tanımları Saklama ve İmha Politikası Ek-2’de yer alan tablo ile belirlenmiştir. Sınırları belirlenmiş bu kişiler Türk Ticaret Kanunu, Borçlar Kanunu ve Türk Ceza Kanunu kapsamında kendi yetki sınırları içinde gerçekleşen işlem ve eylemlerden sorumludur. Her bir departman sorumlusu, departmanlardaki ilgili kullanıcıların Kanun ve Yönetmelik çerçevesinde hazırlanan Saklama ve İmha Politikası ve Kişisel Veri Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departman sorumluları belirtilen periyodik imha sürelerinde işbu Saklama ve İmha Politikası doğrultusunda gerçekleştirdiği işlemleri MİHSAP YAZILIM ANONİM ŞİRKETİ Kişisel Verileri Koruma Komitesi Başkanı’na raporlayacaktır. Bu raporlar için yapılan çalışma sonuçlarında çıkan karar uygulamaya konulacaktır.
9.REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
Saklama ve İmha Politikası’nın değiştirilmesi, yürürlükten kaldırılması halinde yeni düzenleme MİHSAP YAZILIM ANONİM ŞİRKETİ internet sitesinden ilan edilecektir.
10.YÜRÜRLÜK
Bu Saklama ve İmha Politikası yayınlandığı tarihinde yürürlüğe girer.
EKLER
EK 1-Veri Saklama ve İmha Süreleri
EK 2- Kişisel Veri Saklama, İmha ile Görevli Personel Tablosu
EK 1 - Veri Saklama ve İmha Süreleri
Veri Kategorisi | Saklama Süresi | İmha Süresi |
---|---|---|
Kimlik | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Lokasyon | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Özlük | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki İşlem | ||
Yargı kararının kesinleşmesinden itibaren 5 yıl | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
Müşteri İşlem | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Fiziksel Mekân Güvenliği | 30 gün | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşlem Güvenliği | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Risk Yönetimi | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Finans | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mesleki Deneyim | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Pazarlama | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Görsel ve İşitsel Kayıtlar | İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sendika Üyeliği | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sağlık Bilgileri | 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Aile Bilgileri | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışma Verisi | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Web Sitesi Kullanım Verileri | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Talep/Şikayet Yönetimi Bilgisi | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İtibar Yönetimi Bilgisi | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Olay Yönetimi Bilgisi | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İmzalar | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sigorta Bilgileri | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Araç Bilgileri | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Uyum Bilgileri | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Denetim ve Teftiş | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Yabancı Oturma İzni Bilgileri | İstihdamın sonlanmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
EK 2 - Kişisel Veri Saklama, İmha ile Görevli Personel Tablosu
Personel | Görev | Sorumluluk |
---|---|---|
Personel Sorumlusu | Uygulama Sorumlusu | Görevi içindeki süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
İdari Mali İşler Sorumlusu | Uygulama Sorumlusu | Görevi içindeki süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Uygulama Sorumlusu | Görevi içindeki süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |