6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Veri Saklama, Aktarım ve İmha Politikası

İşbu Kişisel Veri Saklama, Aktarım ve İmha Politikası (“Politika”), Kişisel Verilerin Korunması Kanunu (“KVKK”) 16. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin (“Yönetmelik”) 5. Maddesi uyarınca getirilmiş bulunulan yasal zorunluluk sebebiyle Happy Place to Work Araştırma Eğitim Danışmanlık Ltd. Şti. (“Şirket” veya “HPW”) tarafından yine yukarıda sayılan Kanun ve Yönetmelik maddelerinin verdiği yetki ile hazırlanmıştır.

Şirket çalışanları, çalışan adayları, İş Ortakları, Ziyaretçiler, Müşteriler ve Müşterilerin Çalışanları ve diğer üçüncü kişilere ait kişisel veriler işbu Politika kapsamında olup Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika hükümleri uygulanacaktır.

İşbu Politika kapsamında;

Kişisel Verilerin Korunması Kanunu (“KVKK”): 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

Aydınlatma Metni: HPTW KVKK Aydınlatma Metni’ni,

Kişisel Verilerin İşlenmesi: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devredilmesi, elde edilebilir hale getirilmesi, sınıflandırılması, kullanılmasının engellenmesi dahil olmak üzere toplandıktan sonra silme, yok etme ya da anonim hale getirmeye kadar geçen süreçte yapılan her türlü faaliyeti,

İlgili Kişi: Kişisel verisi işlenen gerçek kişi’yi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan Rıza’yı,

Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel verilerin silinmesi: kişisel verilerin ilgili kullanıcılar için hiç bir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel verilerin yok edilmesi: kişisel verilerin hiç kimse tarafından hiç bir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel verilerin anonim hale getirilmesi: kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli/belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini,

Ziyaretçiler: Şirketten Hizmet almak için Web Sitesini, sosyal medya platformlarındaki ilgili sayfaları elektronik ortamda görüntüleyen, bunlara erişim sağlayan, talep veya başvuru formu iletmek suretiyle Şirketle iletişime geçen veya sesli iletişim cihazları vasıtası ile  Şirketin Hizmetleri hakkında uzaktan bilgi almak için ulaşan veya fiziksel ortamda Şirketin adresine gelerek görüşme sağlayan her gerçek kişi veya tüzel kişi temsilcisini,

Müşteriler: Şirketten Hizmet alımı gerçekleştirerek Şirket ile Sözleşme akdetmiş her tüzel kişi ve temsilcisini,

Çalışanlar: Müşteriler’e iş akdi ile istihdam ilişkisi içerisinde bulunan ve ankete katılım gösterebilecek, Hizmetler kapsamında kişisel verileri işlenebilecek her gerçek kişiyi,

İş Ortakları: Şirket’in hizmet sunumu süreçlerinde beraber çalıştığı, Şirket adına yetkilendirilenler dâhil olmak üzere birlikte ticari ilişki içinde bulunduğu diğer gerçek ve tüzel kişileri,

Üçüncü Kişi: İşbu Sözleşme’yle ilgisiz, Şirket’in sunduğu hizmetler kapsamında ilgisi olmayan her gerçek ve tüzel kişi’yi

İfade etmektedir.

Kişisel Verilerin Başlıca Edinilme Yöntemleri

Şirket kişisel verilerin güvenliğine en üst düzeyde riayet etmektedir. Şirket kendisinden hizmet alan tüzel kişilerin de KVKK konusunda tedbirli olduğu öngörüsüyle iş ve işlem gerçekleştirmektedir. Nihayetinde Kişisel Verilerin başlıca edinilme kaynağını Şirket’ten hizmet alımı gerçekleştiren tüzel kişilerin, Müşterilerin, Şirket’e kendi çalışanlarının kişisel verilerini aktarması oluşturmaktadır. Bu aktarım konusunda gerekli izinlerin alınması o ana kadar Kişisel Verileri işlemekte olan ve işlemeye devam eden Veri Sorumlusu Müşteri’nin münhasır sorumluluğundadır, HPW bu konuda kanunen bir araştırma veya teyit alma yükümlülüğünde değildir. Bununla beraber Şirket kapsamlı olarak hazırladığı KVKK Aydınlatma Metni ile web sitesine, hizmet arayüzlerine ve eğitim, seminer, ödül töreni ve sair organizasyonlarına erişen, katılım gösteren kişileri Kişisel Verilerin edinilme kaynakları, işlenme amaçları ve hukuki sebepleri, KVKK kapsamındaki hakları ve bunların kullanım yolları hususunda bilgilendirmekte ve ayrıca ilk defa kendisi vasıtası ile toplanacak Kişisel Veriler bakımından da geniş bir açıklama ve aydınlatma gerçekleştirmektedir.

Şirket İçi Sorumluluk

Şirket içerisinde Kişisel Verilerin Korunması ve bunların işlenmesine ilişkin sürecin sektörel standartların üzerinde ve kanuna tam bir uyum içerisinde gerçekleştirilmesi için işbu Politikada İdari ve Teknik Tedbirler başlığında detaylı olarak bahsedilen önlemler alınmaktadır. Ancak özellikle belirtmek gerekir ki HPW içerisinde Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat ile veri güvenliği hususlarında kurum kültürünün geliştirilmesi için sürekli çalışmalar yapılmakta ve faaliyetlerin herhangi bir veri ihlali olmaksızın yürütülebilmesi için sıkı tedbirler alınmaktadır. Bu kapsamda bütün çalışanların bu Politika başta olmak üzere, Aydınlatma Metninde belirtilen hususlara ve kanundaki şartlara riayet ederek çalışmalarını yürütmeleri sağlanmaktadır. İşbu Politika güncel mevzuat değişiklikleri takip edilerek sürekli güncellenmektedir.

Kişisel Verilerin Kayıt Ortamları

Kişisel Veriler elektronik olarak yalnızca Şirket bilgisayarlarında ve bağlı Şirket maillerinde güvenlik duvarıyla ve antivirüs programlarıyla korunan ağlar ile internete bağlı cihazlarda, bu cihazla ve bilgisayar üzerindeki ofis programları üzerinde ve araştırma, raporlama ve analiz konusunda hizmet alınan İş Ortağı arayüzlerinde, anket amacıyla kullanılan iş Ortağı arayüzünde anketin yönlendirildiği kişilerin açık rızasına istinaden ve  mail servisi sunucuları ile Şirket veri tabanında tutulmaktadır. Kişisel Veriler elektronik olmayan ortamlarda yalnızca yazılı, basılı ve görsel ortamlarda saklanabilir. Elektronik olmayan ortamlarda saklanan Kişisel Veriler sadece işyerinin Şirket çalışanlarının erişimine açık bölümlerinde muhafaza edilir ve ayrıca İlgili Kişi’nin açık rızasının bulunması kaydıyla tanıtım amacıyla kullanılacaksa kamuya açık şekilde broşür, reklam panosu vb. Alanlarda görsel verilerle sınırlı olmak kaydıyla açıklanabilir.

Saklama ve İmhaya İlişkin Açıklamalar

Şirket çalışanları, çalışan adayları, İş Ortakları, Ziyaretçiler, Müşteriler ve Müşterilerin Çalışanları ve diğer üçüncü kişilere ait kişisel veriler Kanun’un izin verdiği kapsamda ve yürürlükteki bütün mevzuata uygun biçimde saklanmakta ve imha edilmektedir.

İdari ve Teknik Gizlilik Tedbirleri

Şirket, Türkiye Cumhuriyeti mevzuatına uygun Veri işleme politikasını icra edebilecek gerekli kurumsal güce ve kapasiteye sahip olduğunu kabul beyan ve taahhüt etmektedir.

Kişisel Verilerin hukuka aykırı olarak işlenmenin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi, Kişisel Verilerin korunması ve güvenliğinin sağlanması, amacıyla idari kapsamda;

1. Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

2. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

3. Kişisel Veri işlemeye başlamadan önce Şirket tarafından, İlgili Kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

4. Kişisel Veri işleme envanteri hazırlanmıştır.

5. Şirket içi periyodik ve rastgele denetimler yapılmaktadır.

6. Şirket çalışanlarına yönelik bilgi güvenliği eğitimleri verilmektedir.

7. Şirket, topladığı, sakladığı ve işlediği Kişisel Verileri ve İlgili Kişi hakkında edinilebilecek diğer bilgileri, söz konusu İlgili Kişinin haberi, bilgisi ya da aksi bir talimatı olmaksızın, üçüncü kişilerle kesinlikle paylaşmamakta, faaliyet dışı hiçbir nedenle ticari amaçla kullanmamakta ve de satmamaktadır. 

Şirket, Kişisel Verilerinin yetkisiz veya yasalara aykırı bir şekilde işlenmesini, imha edilmesini, kaybolmasını, değiştirilmesini, zarar görmesini veya açıklanmasını önlemek amacıyla uygun teknik güvenlik önlemlerini alacaktır.

Kişisel Verilerin hukuka aykırı olarak işlenmenin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi, Kişisel Verilerin korunması ve güvenliğinin sağlanması, amacıyla teknik kapsamda;

1. Toplanan Kişisel Veriler ve İlgili Kişi hakkında edinilebilecek diğer bilgiler genel kullanıma açık olmayan güvenli bir ortamda saklanır.

2. Kişisel Veriler, yüksek gizlilik ve koruma önlemlerine sahip ağlar üzerinden veya VPN protokolü ile şifrelenmiş şekilde gerçekleştirilmektedir. Aktarıma konu dosyalar ayrıca şifrelenmekte ve her bir şifre tek aktarım için özel olarak oluşturulmaktadır.

3. Sızma testleri ile Şirket’in bilişim sistemlerine yönelik risk, tehdit ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

4. Bilişim sistemlerinin sürekliliğini ve güvenliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

5. Bilişim sistemlerine erişim hususunda Şirket çalışanları, yöneticileri, sahipleri bakımından yetki matrisi bulunmaktadır.

6. Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

7. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.

8. Kişisel Verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

9. Kişisel Verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

10. Şirket, silinen Kişisel Verilerin erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

11. Kişisel Verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu İlgili Kişiye ve Kişisel Verilerin Korunması Kurulu’na bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

12. Bilgi ve Bilişim Güvenliği sistemleri güncel halde tutulmaktadır.

13. Kişisel Verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

14. Kişisel Verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma sistemleri kullanılmaktadır.

15. Kişisel Verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

16. Elektronik olan veya olmayan ortamlarda saklanan Kişisel Verilere erişim sınırlandırılmaktadır.

Kişisel Verilerin işlenmesi hakkında temel prensiplerimiz;

Kişisel verilerinizi toplarken, saklarken ve işlerken riayet ettiğimiz temel prensiplerimiz şunlardır;

1. Hukuka, mevzuata ve dürüstlük kurallarına uygun olarak Kişisel Veri İşlenmesi süreçlerini işletmek,

2. Kişisel verilerinizi doğru ve gerektiğinde güncel tutarak işlemek,

3. Sunduğumuz hizmetlerin amacına uygun olarak ve sadece bunlarla sınırlı kalarak verileri  toplamak saklamak ve işlemek,

4. Kanunun ve ilgili mevzuatın zorunlu kıldığı süre kadar toplanan ve işlenen kişisel verileri saklamak, ilgili yasal sürelerin dolmasıyla beraber bu verileri anonimleştirmek ya da silmek.

5. Kişisel Verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazası için kanunen gerekli ve ayrıca sektörel standartlar doğrultusunda mümkün olan en kapsamlı teknik ve idari tedbirleri almak,

6. Veri İhlali durumunda İlgili Kişiyi ve Kişisel Verilerin Korunması Kurumu’nu en geç 72 (yetmiş iki) saat içerisinde ihlalin niteliği, kapsamı ve nedenleri ile ilgili bilgilendirmek,

7. Toplanan, saklanan ve işlenen tüm kişisel veriler gizlidir ve Şirket bu gizliliğe riayet etmektedir. Kişisel verilere şirket içinde ancak yetki verilmiş kişiler ulaşabilir. Şirketimiz tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve Müşterilerimizin ve Çalışanlarının mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü kişilerin özenle seçilmesi ve Şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır.

Kişisel Verilerinizin Saklanma Süreleri

İşlenen Kişisel Veriler, Hizmet alımı gerçekleşmemiş olsa dahi Hizmet alımından önce edinilenler dahil olmak üzere, Müşteriler ile akdedilen Sözleşmesel ilişki herhangi bir nedenle sonlanmış olsa dahi ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,

• 6098 Sayılı Türk Borçlar Kanunu,

• 6102 Sayılı Türk Ticaret Kanunu,

• 6502 Sayılı Tüketicinin Korunması Hakkında Kanun,

• 213 Sayılı Vergi Usul Kanunu,

• 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

• 4982 Sayılı Bilgi Edinme Kanunu,

• 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik,

• 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ve Arşiv Hizmetleri Hakkında Yönetmelik,

ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Kişisel Verilerinizin Saklanmasını Gerektiren Hukuki Sebepler

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

1. İnsan kaynakları süreçlerini yürütmek.

2. Kurumsal iletişimi sağlamak.

3. Şirket Hizmet süreçleri ve Şirket ticari çıkarlarının güvenliğini sağlamak,

4. İstatistiksel çalışmalar yapabilmek.

5. İmzalanan sözleşmeler ve protokoller neticesinde hizmet, iş ve işlemleri ifa edebilmek.

6. VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, Müşteriler, Müşterilerin Çalışanları, İş Ortakları ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

7. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

8. Şirket ile iş ve ticari ilişkide bulunan gerçek ve/veya tüzel kişilerle irtibat sağlamak.

9. Yasal raporlamalar yapmak

10. Çağrı merkezi ve destek merkezi süreçlerini yönetmek.

11. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

Kişisel Verilerin Aktarımı

Şirket, kişisel verileri yalnızca KVKK’nın 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak, işleme amacına bağlı ve sınırlı bir çerçevede yurtiçinde veya yurtdışında iş ortakları ve üçüncü kişilerle paylaşabilir. Bu kapsamda:

1. Yurtiçinde Veri Aktarımı: Kişisel veriler, kanunda öngörülen işleme şartlarından en az birinin mevcut olması halinde yurtiçinde yerleşik iş ortaklarına ve diğer yetkili alıcılara aktarılabilir. Yurtiçi aktarımlar için “standart sözleşme” gibi ek bir gereklilik bulunmamaktadır.

2. Yurtdışına Veri Aktarımı: Kişisel verilerin yurtdışına aktarımı ise KVKK’nın 9. maddesi ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik çerçevesinde yapılır. Yeterlilik kararı olan ülkeler söz konusu olduğunda aktarım doğrudan yapılabilir; yeterlilik kararının bulunmadığı ülkelerde ise:

   • KVKK tarafından yayımlanmış Standart Sözleşm  metni kullanılmak suretiyle veya

   • Diğer uygun güvence yöntemlerinden biriyle, aktarım güvenliği sağlanarak veri transferi yapılabilir.

Aktarımın hukuki dayanak ve gerekçesi ne olursa olsun, aktarım süreçlerinde daima kişisel verilerin işlenmesinde genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

Kişisel Verilerin İmhası

Kişisel veriler;

1. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

3. Kişisel Verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

4. KVKK 11. (Onbirinci) maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,

5. Şirketin, İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

6. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından İlgili Kişi’nin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda Kişisel Veriler, Şirket ve/veya İş Ortakları tarafından re’sen veya İlgili Kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak imha edilir.

Kişisel Verilerin İmha Teknikleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Silinmeye İlişkin Süreçlerde;

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. Taşınabilir saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Yok Edilmeye İlişkin Süreçlerde;

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Anonim Hale Getirilmeye İlişkin Süreçlerde;

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel Verilerin anonim hale getirilmesinde şu yöntemlerden bir veya birkaçı kullanılabilir:

1. Değişkenleri Çıkartma

2. Kayıtları Çıkartma

3. Alt ve Üst Sınır Kodlama

4. Bölgesel Gizleme

5. Mikro-Birleştirme

6. Veri Değiş-Tokuşu

7. Gürültü Ekleme

8. K-Anonimlik

9. L-Çeşitlilik

10. T-Yakınlık

Periyodik İmha Süreci

Şirket tarafından, ticari ve sınai faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, veri kategorileri bazında saklama süreleri VERBİS’e kayıtta, süreç baz ında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi IT  Departmanı (Bilgi-İşlem Departmanı) tarafından yerine getirilir.

Bu kapsamda Sözleşmelerin hazırlanması sırasında toplanan kişisel veriler sözleşmenin süresinin sona ermesinden itibaren 10 yıl saklanarak ilk periyodik imha sürecinde imha edilir. Sözleşmelere ilişkin tebligat ve bildirimler vasıtasıyla edinilen Kişisel Veriler sözleşmesel ilişki sona erdikten sonraki 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Müşterilerle yapılan sözleşmeler sebebiyle fatura muhasebe işleri ile Şirketin mali yükümlülüklerine ilişkin ticari defterlere işlenecek kişisel veriler TTK 82. Maddesindeki kanuni yükümlülük gereği 10 yıllık saklama süresine tabiidir ve bu sürenin dolmasını takip eden ilk periyodik imha sürecinde imha edilecektir. Şirket iletişim faaliyetleri kapsamında toplanan kişisel veriler faaliyetlerin tamamlanmasını takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Müşteri Şikayet ve Taleplerine ilişkin kayıt edilen Kişisel Veriler talep tarihini takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Ticari Elektronik iletilere ilişkin onay kayıtları onay tarihinden itibaren 1 yıl süre ile saklanır ve takip eden ilk periyodik imha sürecinde imha edilir. İnsan kaynakları süreçlerine ilişkin toplanan kişisel veriler faaliyetin sona ermesini takip eden 10 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. İnternet Log kayıtları 5651 sayılı kanunun öngördüğü 2 yıllık saklama süresinin ardından ilk periyodik imha sürecinde imha edilecektir. Ziyaretçi, toplantı, eğitim, ödül töreni ve sair organizasyonlar kapsamında edinilen kişisel veriler etkinliğin sona ermesini takip eden 2 yılın sonunda ilk periyodik imha sürecinde imha edilecektir. Kamera kayıtları kayıt tarihini takip eden 3 ayın sonunda ilk periyodik imha sürecinde imha edilecektir.

Periyodik İmha Süreci her yıl iki defa gerçekleşecek şekilde Haziran ve Aralık aylarında yürütülür. Bu sürecin yürütülmesinden IT Departmanı sorumludur.

Politikanın Yayımı, Saklanması, Değişikliği ve Yürürlüğü

İşbu Politika elektronik ortamda ve fiziksel ortamda yayınlanır. Elektronik ortamda yayımlanan politika Şirket’ten talep edilmesi halinde İlgili Kişilerin bilgisine gecikmeksizin ve ivedilikle sunulur. Fiziksel ortamdaki nüshası şirket yetkilileri tarafından ıslak imzayla imza edildikten sonra Şirket IT Departmanı bünyesinde tutulur ve saklanır. Tadil veya yeni politika metinleri yürürlüğe girse dahi eski Politikalar yürürlükten kalkma tarihlerini takip eden 5 yıl boyunca Şirket envanterinde tutulur. İşbu Politika mevzuat değişiklikleri, kişisel veri işleme ve saklama süreçlerindeki değişiklikler, işlenen kişisel veri kategorilerinin veya saklama, aktarım ve imhaya ilişkin usul ve esasların değişmesi halinde IT Departmanı’nın önerisi üzerine Veri Güvenliği Amiri veya Şirket yetkilisi tarafından güncellenir. Güncellenmiş metin elektronik ortamda ve fiziksel ortamda imza altına alıp yayınlandığı tarih itibariyle geçerlilik kazanmış kabul edilir.