KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
I. GİRİŞ 1.1.Politikanın Amacı
Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında
Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Kobi Uluslararası
Tanıtım Ve Dağıtım Hizmetleri Sanayi Ticaret Anonim Şirketi (“Şirket” veya “Forie”) tarafından
elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (çalışan, çalışan
adayları, üyeler, tedarikçiler, hissedarlar/ortaklar, şirket yetkilileri, ziyaretçiler, iş ortakları ve
diğer üçüncü kişilerin) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin
korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini
gerçekleştirmesi, elde edilen kişisel verilerin saklanması ve gerektiğinde silinmesi, yok hale getirilmesi ve
anonim hale getirilmesine dair imha süreci esaslarının belirlenmesi bu Politika’nın amacını oluşturmaktadır.
1.2.Politikanın Kapsamı
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Şirket
tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul
edildiğinden hareketle Şirket tarafından gerçekleştirilen veri işleme faaliyeti akabinde kişisel verilerin
gerektiğinde silinmesi, yok hale getirilmesi ve anonim hale getirilmesine dair imha süreci usul ve esaslarının
oluşturulması bu Politika’nın kapsamını belirlemektedir.
1.3. Politikanın ve İlgili Mevzuatın
Uygulanması
İşbu Politika, yürürlükte bulunan ilgili mevzuata ve başta 6698 sayılı Kişisel Verilerin Korunması Hakkında
Kanun, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 Sayılı Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik olmak üzere, Kurul tarafından yayımlanan yönetmelik,
tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır. Şirket tarafından Politika’nın yayım
tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle
uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından
yayımlanan bilumum tebliğ, karar ve rehberler Şirketimiz tarafından takip edilmekte, Politika ile öngörülen
kurallar güncel tutulmaktadır.
1.4. Politikanın Yürürlüğü
Politika, Şirket’e ait internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.
II. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN HUSUSLAR 2.1. Kişisel Verilerin
Saklanma Süreleri
Kişisel veriler Kanun’un 4. maddesinin (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda veri
işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenen ve Şirketimiz nezdinde tutulan
kişisel verileriniz, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte; kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya
çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
Şirketimiz tarafından verilerin saklanması ve imha süreçlerine ilişkin süreler, Ek-2-Kişisel Verileri Saklama
Süreleri’nde yer almaktadır. Şirketimiz tarafından Ek-2’de belirtilen süreler haricinde periyodik
imhanın gerçekleştirileceği zaman aralığı azami 6 ay ile sınırlı tutulmuştur.
Şirketimiz, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesinde
gösterilen genel ilkeler ile 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.
Tarafımızca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt
altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir.
Verilerin saklanması ve imhasına ilişkin Şirket tarafından görevlendirilen kişisel veriler uzmanı personel,
kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.
2.2.
Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü
Şirket tarafından işlenmiş kişisel veriler, Kanun’un 7. maddesi ile Kişisel Verileri Koruma Kurulu tarafından
hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren
sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte
veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında;
çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri
kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik
bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin
kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma
ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.
a)Kişisel
verilerin silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir.
Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her
türlü teknik ve idari tedbirler alınmaktadır.
b)Kişisel verilerin yok edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle
ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
c)Kişisel verilerin anonim hale
getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verileriniz anonim hale getirilmek üzere Şirketimiz tarafından gerekli her türlü teknik ve idari
tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale
getirilmektedir.
2.3. Kişisel Veri Kayıt Ortamları
Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.
Veri sahibi ilgili kişilere ilişkin kişisel veriler, Şirketimiz tarafından 6098 Sayılı KVKK hükümleri başta olmak
üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde
aşağıda belirtilen veri kayıt ortalarında saklanmaktadır:
a) Teknik kayıt ortamları:
•Bilgisayar ortamı,
•Merkezi sunucular,
•Optik diskler(CD, DVD vb.),
•Çıkartılabilir bellekler(USB, Hafıza Kart vb.),
•Bilgi güvenliği cihaz ve yazılımları,
•Tamamen veya kısmen otomatik veri kayıt sistemleri(Kart okuyucu, yüz tanıma makine ve araçlarının sunucuları.)
b) Teknik olmayan veri kayıt ortamları:
•Kâğıtlar,
•Manuel veri kayıt sistemleri
•Yazılı, basılı, görsel ortamlar,
•İlgili departmanların dolapları.
2.4. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Teknikleri
Şirketimiz tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri
aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı
değişiklik gösterebilmektedir.
Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin
belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için
ilgili kullanıcıların tespit edilmesi (2), ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi
yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili kullanıcıların kişisel veriler kapsamındaki erişim,
geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.
Kişisel verilerin silinmesinde izlenen yol şu şekildedir:
●Bulut veya uygulama türü çözümlerde silme komutu verme,
●Kağıt ortamında bulunan verilerde karartma, kesilme veya görünemez hale getirme,
●Taşınabilir medyada bulunan verilerde uygun yazılımlar kullanarak silme işlemi.
Kişisel verilerin yok edilmesinde izlenen yol şu şekildedir:
●Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi suretiyle fiziksel yok etme,
●Kağıt veya elektronik ortamda yapılan diğer yok etme işlemleri.
2.5. Kişisel Verilerin İmha Edilmesini
Gerektiren Sebepler
Şirket tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta;
•Kanun’un 4.maddesinde yer alan genel ilkeler,
•İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
•Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık
rızasını geri alması,
•Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması,
•Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,
•Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
•Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesinin gerektiren
haklı bir nedenin olmaması
gibi amaç ve sebeplerle imha edilmektedir.
III.KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU
HAKLARIN KULLANILMASI 3.1.Kişisel Veri Sahibinin Hakları
6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:
•Kişisel verilerinizin işlenip işlenmediğini öğrenme,
•Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
•Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
•Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
•Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
•7. maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
•Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin
işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
•İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun
ortaya çıkmasına itiraz etme,
•Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini
talep etme
haklarınız bulunmaktadır.
3.2. Kişisel Veri Sahibinin Haklarını Kullanması
İlgili kişi veri sahibi tarafından Kanun’un uygulanması ile ilgili talepler, kvk@turkishexporter.net irtibat
e-posta adresine veya Musalla Bağları Mahallesi, Kule Caddesi, No:2/28, Selçuklu/Konya adresine yazılı biçimde
Şirket’e iletilmelidir. Başvuru taleplerinde Şirket tarafından internet sitesinde yayımlanan “İlgili Kişi
Başvuru Formu” nun kullanılması gerekmektedir.
3.3. Şirketimizin Başvurulara Cevap Vermesi
İlgili kişinin, Şirketimize başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep
ettiğinde;
•Kişisel verileri işleme şartlarının tamamının ortadan kalkmış olduğunun tespit edilmesi halinde; talebe konu
kişisel veriler en geç otuz gün içinde silinecek, yok edilecek veya anonim hale getirilecek olup ilgili kişiye
bilgi verilecektir.
•Kişisel verileri işleme şartlarının tamamının ortadan kalkmış olmakla birlikte talebe konu olan kişisel
verilerin üçüncü kişilere aktarılmış olduğunun tespit edilmesi halinde; Şirketimiz bu durumu üçüncü kişiye
bildirecek ve üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin edecektir.
•Kişisel verileri işleme şartlarının ortadan kalkmamış olduğunun tespit edilmesi halinde; talep Şirketimiz
tarafından Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilecek olup ret cevabı
ilgili kişiye tebliğden itibaren en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.
EK – 1: Tanımlar
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya
da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,
muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen
her türlü işlemi,
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için
gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak
yaptıkları politikayı,
Kurul :Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Yönetmelik: 30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında
Yönetmelik’i
ifade eder.
EK – 2: Kişisel Verileri Saklama Süreleri
Kişisel Veri Kaynağı |
Süre |
Yasal Dayanak |
Üyeliğe İlişkin Kayıtlar |
10 Yıl
|
6098 Sayılı Kanun
|
Müşteri İşlem Bilgileri (Müşterilerin Talep / Şikayet / Önerilerine İlişkin Çağrı Kayıtları
vb.) |
10 Yıl
|
6098 Sayılı Türk Borçlar Kanunu
|
Müşterilere İlişkin Kişisel Veriler |
3 yıl
|
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun
|
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar |
10 Yıl
|
6102 Sayılı Kanun, 213 Sayılı Kanun
|
Tedarikçilere İlişkin Kişisel Veriler |
Hukuki İlişki Sona Erdikten Sonra 10 Yıl
|
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
|
Sözleşmeler |
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl
|
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
|
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi Ad ve Soyadı,
İmza Sirküleri vb.) |
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl
|
6098 Sayılı Türk Borçlar Kanunu
|
Vergisel Kayıtlara İlişkin Kişisel Veriler |
5 Yıl
|
213 Sayılı Vergi Usul Kanunu
|
İnsan Kaynakları Süreçleri |
Hukuk İlişkinin Sona Ermesinden İtibaren 10 Yıl
|
4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
|
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler |
İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl
|
4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
|
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler
(Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği
faaliyetlerine ilişkin kayıtlar vb.)
|
İş İlişkisinin Sona Ermesinden İtibaren 15 Yıl
|
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
|
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler
(Örn: Özgeçmiş, Başvuru Formu vb.)
|
1 Yıl
|
Sektörel Teamüller Geçerlidir.
|
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler |
İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl
|
Sektörel Teamüller Geçerlidir.
|
Ziyaretçilerin Kişisel Verileri |
2 Yıl
|
5651 Sayılı Kanun
|
Çağrı Merkezi Ses Kayıtları |
3 Yıl
|
6563 Sayılı Kanun ve İlgili Mevzuat
|
Ticari Elektronik E-Mail Onay Kayıtları |
Onayın Geri Alındığı Tarihten İtibaren 1 Yıl
|
6563 Sayılı Kanun, 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve
Ticari Elektronik İletiler Hakkında Yönetmelik
|
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler
(Kamera Kayıtları)
|
90 Gün
|
Sektörel Teamüller Geçerlidir.
|
İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik
Bilgileri |
2 Yıl
|
5651 Sayılı Kanun
|
Çerezler ve Log Kayıtları |
6 Ay – En Fazla 2 Yıl
|
5651 Sayılı İnternet Kanunu
|
Çevrim İçi Ziyaretçilere İlişkin Trafik Bilgileri |
2 Yıl
|
5651 Sayılı Kanun
|
Kişisel Verileri Koruma Kurulu İşlemleri |
10 Yıl
|
6698 Sayılı Kanun
|