I.
AMAÇ
Şuayip Altay Mimarlık Mühendislik Müşavirlik
Hizmetleri Sanayi Ve Ticaret Limited. Şirketi (“Şirket”)
olarak, işbu Kişisel Veri Saklama ve İmha
Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)
ve KVKK’nın ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”)
uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel
verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin
belirlenmesi esasları ile tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin usul ve esasları belirlemek amacıyla düzenlenmiştir.
II.
KAPSAM
İşbu
Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak üyeler,
çalışan adayları, çalışanlar, şirket hissedarları, şirket yetkilileri,
ziyaretçiler, iş birliği içerisinde olunan kurumların/üyelerin çalışanları,
hissedarları ve yetkilileri ve üçüncü kişiler bulunmaktadır.
III.
TANIMLAR VE KISALTMALAR
1. Açık Rıza: Belirli bir
konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
ifade etmektedir.
2. Anonim Hale
Getirme: Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini ifade etmektedir.
3. İlgili Kişi/Veri
Sahibi:
Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.
4.
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı
Resmî Gazete’de yayımlanan, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)
5. Kişisel Veri: Kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
6.
Özel Nitelikli Veri: Kişilerin ırkı,
etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
7. Kişisel Verilerin
İşlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
8. Veri Sorumlusu: Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
9. Veri İşleyen: Veri sorumlusunun
verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek
veya tüzel kişidir.
10. Veri Kayıt Sistemi: Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
11. Veri Sorumlusu: Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
12. Başvuru Formu: Veri sahibinin
ilgili mevzuat çerçevesinde haklarını kullanmak için yapacağı başvuruyu içeren
formdur.
13. Politika: Kişisel Verilerin
Korunması ve Gizlilik Politikası (“Politika”)
14. İmha: Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesidir.
15. Periyodik İmha: Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda
kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemidir.
16. Kayıt Ortamı: Tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortamdır.
17. Yönetmelik: 28 Ekim 2017
tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik. (“Yönetmelik”)
18. Kişisel Verilerin
Silinmesi:
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
19. Kişisel Verilerin
Yok Edilmesi:
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
IV.
KAYIT ORTAMLARI
Şirket,
İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve
bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri
Politikanın kapsamına dahil etmeyi kabul eder.
1.
Şirket adına kullanılan
bilgisayarlar/sunucular,
2.
Ağ cihazları,
3.
Ağ üzerinde veri saklanması için
kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
4.
Mobil telefonlar ve içerisindeki tüm
saklama alanları,
5.
Bulut sistemleri,
6.
Kâğıt,
7.
Yazıcı
8.
Manyetik bantlar,
9.
Optik diskler,
10.
Flash hafızalar.
V.
KİŞİSEL VERİLERİN SAKLANMASINI VE
İMHASINI GEREKTİREN DURUMLAR
Veri sahiplerine ait
kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin
sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii)
çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer
ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren
sebepler aşağıdaki gibidir:
i.
Kişisel verilerin sözleşmelerin kurulması
ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
ii.
Kişisel verilerin bir hakkın tesisi,
kullanılması veya korunması amacıyla saklanması,
iii.
Kişisel verilerin kişilerin temel hak ve
özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için
saklanmasının zorunlu olması,
iv.
Kişisel verilerin Şirket’in herhangi bir
hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
v.
Mevzuatta kişisel verilerin saklanmasının
açıkça öngörülmesi,
vi.
Veri sahiplerinin açık rızasının
alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık
rızasının bulunması.
Yönetmelik uyarınca,
aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket
tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale
getirilir:
i.
Kişisel verilerin işlenmesine veya
saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya
ilgası sebebiyle gerekli olması hali,
ii.
Kişisel verilerin işlenmesini veya
saklanmasını gerektiren amacın ortadan kalkması,
iii.
Kanun’un 5. ve 6. maddelerindeki kişisel
verilerin işlenmesini gerektiren şartların ortadan kalkması,
iv.
Kişisel verileri işlemenin sadece açık
rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri
alması,
v.
İlgili kişinin, Kanun’un 11. maddesindeki
hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim
hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
vi.
Veri sorumlusunun, ilgili kişi tarafından
kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi
ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması
veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a
şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
vii.
Kişisel verilerin saklanmasını gerektiren
azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı
haklı kılacak herhangi bir şartın mevcut olmaması.
VI.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Şirket, kişisel verileri
ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte,
bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse
kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde,
daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde,
kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale
getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz
konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle
saklanır.
1.
Kişisel Verilerin Silinmesi
Kişisel verilerin
silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir. Şirket, kendi organizasyonu içerisindeki ilgili iş
biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi
sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri
işlemesini engelleyecek teknik ve idari tedbirleri alır. Şirket organizasyonu
içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme
amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok
edilmez veya anonim hale getirilmez.
Kişisel verilerin
silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde
erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
a) Kişisel verilerin
anonim hale getirilerek arşivlenmesi veya
b) Başka herhangi bir
kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere
yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her
türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş
sayılacaktır.
2.
Kişisel Verilerin Yok Edilmesi
Kişisel
verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve
idari tedbirleri almakla yükümlüdür.
3.
Kişisel Verilerin Anonim Hale
Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket tarafından kişisel
verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı
grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir
bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket, kişisel
verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari
tedbirleri almakla yükümlüdür.
Anonim
hale getirme yönteminin kullanılacak olması halinde aşağıdaki süreçlerden biri
Şirket tarafından uygulanacaktır:
i.
Toplulaştırma - Birçok
veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek
hale getirilmektedir.
ii.
Veri Türetme
- Kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel
verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi
sağlanmaktadır.
iii.
Veri Karma
- Kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler
arasındaki bağın kopartılması sağlanmaktadır.
VII.
KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel
verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri
İşbu Politika’da tanımlar. Veri sahibi iş birimi, İşbu Politika içerisindeki
uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
Kişisel
verilerin imhası sırasında Şirket çalışanları aşağıdaki yöntemlerden uygun
olanı seçerek imhayı gerçekleştirir:
1. Üzerine Yazma
Manyetik
medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve
1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi
işlemidir.
2. Manyetize Etme
Manyetik
medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki
verinin okunamaz hale getirilmesi işlemidir.
3. Fiziksel Yok Etme
Optik medya
veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle
fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma
metotlarının başarısız olduğu durumlarda uygulanabilir. Ayrıca kağıt ve
mikrofiş gibi ortamlarda bulunan kişisel verilerin yok edilmesi için kağıt
kırpma işlemlerinin yerine getirilmesidir.
4. Sabit Disk İmhası
Flash
tabanlı sabit disklerin ATA, SCSI ara yüzüne sahip olanları, silme komutunu
kullanmak, silme komutu bulunmaması halinde üreticinin önerdiği yok etme
yöntemini kullanmak ya da uygun yöntemlerin birkaçı bir arada kullanılmak
suretiyle yok edilmektedir.
5. Bulut İmhası
Bulut
sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis
sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının
tüm kopyalarının imha edilmesi işlemidir.
IX.
SAKLAMA VE İMHA SÜRELERİ
1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve
dijital veriler, periyodik olarak imha edilir. Şirket, kişisel verileri silme,
yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip
eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim
hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman
aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen
verilere ilişkin işlemler diğer hukuki yükümlülüklerden ari en az 3 yıl süre
ile saklanır.
2. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri
sahiplerinin Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini
veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının
mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel
verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel
verileri siler, yok eder veya anonim hale getirir. Şirket, ilgili kişinin
talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye
bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin
yapılmasını temin eder.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirket ilgili veri
sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili
kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
X.
YÜRÜRLÜK
İşbu Politika’nın
yürürlük tarihi 04.02.2022’dir. Şirket, yasal düzenlemelere paralel olarak
Politika’da değişiklik yapma hakkını saklı tutmaktadır. Politika’nın güncel
haline web sitemizde ulaşabilirsiniz.
Şuayip Altay
Mimarlık Mühendislik Müşavirlik Hizmetleri Sanayi Ve Ticaret Limited Şirketi