Arama

ÜNİVERSAL EKONOMİ VE FİNANSAL CANLANDIRMA DANIŞMANLIK HİZMETLERİ REKLAM VE TANITIM ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1)POLİTİKANIN AMACI

Üniversal Ekonomi ve Finansal Canlandırma Danışmanlık Hizmetleri Reklam ve Tanıtım A.Ş. (“Şirket”) olarak Kişisel verilerinizi önemsiyor, kişisel verilerinizi her aşamada usulüne ve mevzuata uygun olarak işliyor, muhafaza ediyor ve imha ediyoruz. Şirketimiz hukuki sorumlulukları gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile uymayı taahhüt etmektedir.

İşbu Politika; Şirket’in kişisel verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını ve 3. partileri kapsamaktadır.

İşbu Politika; Şirket’in kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.

İşbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır.

Konuyla alakalı yeni mevzuatlar ile belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Şirket politikasını ilgili mevzuatlara uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.

İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Şirket uygulayacağı adımları, gerek görülmesi durumunda Kurul’a da danışarak, yeniden belirleyecektir.

Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22. maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır.

Yukarıdaki düzenlemeye dayanarak, bu Politika Şirket’in faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.

2)POLİTİKANIN KAPSAMI

Bu Politika Şirket’de görev yapmakta olan çalışanların, çalışan adaylarının, ziyaretçilerin, müşterilerin, tedarikçilerin, iş ve çözüm ortaklarının  ve üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.

3) TANIMLAR

Kanun / KVKK Kişisel Verilerin Korunması Kanunu
Kurul / Kurum Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Kişisel Verilerin İmha Edilmesi Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
İlgili Kişi 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanan kişisel veri sahipleri
İlgili Kullanıcılar Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ( ŞİRKETİ’)
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Kurul Kişisel Verileri Koruma Kurulu
Komite Kişisel Verileri Koruma Komitesi

4) POLİTİKAYA ESAS ALINAN GENEL İLKELER

Kişisel veriler, ancak 6698 sayılı KKK’de ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Doğru ve gerektiğinde güncel olma,

b) Belirli, açık ve meşru amaçlar için işlenme,

c) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

5) POLİTİKANIN İÇERDİĞİ KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam, aşağıdakilerle sınırlı olmamak üzere kayıt ortamı kapsamına girer.

  • Bilgisayarlar/sunucular, b) Ağ cihazları, c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri d) Bulut sistemleri, e) Mobil telefonlar ve içerisindeki tüm saklama alanları, f) Kâğıt, g) Mikrofiş, h) Yazıcı, Parmak izi okuyucu gibi çevre birimler, i) Manyetik bantlar, j) Optik diskler, k) Flash hafızalar

6) POLİTİKANIN UYGULANIŞI

Şirket, kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve VERBİS’te belirtilen süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirket’in Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerinin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır.

Şirket , organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez. Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; ya kişisel verilerin anonim hale getirilerek arşivlenmesi ya da başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır.

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. ŞİRKET tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.  ŞİRKET, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

8) KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve  ŞİRKET’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda ŞİRKET’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. VERBİS sicilinde bu hususta detaylı açıklamalar yer almaktadır.

Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı  ŞİRKET tarafından seçilir. İlgili kişi ŞİRKET’ye başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa ŞİRKET talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

Kişisel veriler; aksine bir kesinleşmiş mahkeme kararı veya ihtiyati tedbir kararı bulunmadıkça aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise imha edilecektir:

Genel dava zamanaşımı süresini düzenleyen 6098 sayılı Türk Borçlar Kanunu’nun 146. maddesi gereği 10 yıl
Sair ilgili mevzuat gereği İlgili mevzuatta öngörülen süre kadar
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü gerektiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda 5237 sayılı Türk Ceza Kanunu’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı ve 5352 sayılı Adli Sicil Kanunu’nda belirtilen süre kadar
Diğer hususlar VERBİS sicilinde belirtilen süreler

9) SORUMLULUKLAR

ŞİRKET içerisinde 6698 sayılı KVKK’nın Yönetmelik ve işbu Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve sair surette ŞİRKET nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanacaktır. İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılacaktır.

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve sair  ŞİRKET nezdinde kişisel veri işleyen herkes için bağlayıcı olacaktır.

ŞİRKET çalışanlarının Politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunulan bir üst amire bildirilecektir. Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, Personel Daire Başkanlığı tarafından yapılacak değerlendirme sonrasında gerekli işlem yapılacaktır. Politika gereklerinin yerine getirilmesi için ŞİRKET tarafından gerekli tüm güvenlik önlemleri alınmaktadır.

10)İDARİ VE TEKNİK TEDBİRLER

ŞİRKET tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.

– Kişisel Verilerin korunmasına ilişkin mevzuata etkin uyum sağlamak amacıyla nihai sorumluluk Yönetim Kurulu’nda olmak üzere Yönetim Kurulu tarafından Kişisel Veri Koruma Komitesi Kurulması,

– Bilgi Güvenliği Politikası’nın hazırlanması,

– İç Denetim birimi tarafından KVKK yükümlülüklerine uyumun periyodik olarak denetlenmesi,

– Erişim yetki kısıtlamalarının öngörülmesi,

– Veri minimizasyonunun sağlanması,

– Veri saklama sürelerinin tespit edilmesi,

–  ŞİRKET’in tüm iş birimleri ile gerçekleştirilen/gerçekleştirilecek toplantı/eğitimlerle farkındalık yaratılması,

– Çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,

–  ŞİRKET’in iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,

– Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,

– Tüm üçüncü taraf ve çalışanlarla yapılan sözleşmelere Kişisel Verilerin Korunması’na İlişkin hükümlerin eklenmesi.

–  ŞİRKET internet sitesinde, ilgili kişilerin kişisel verileri ile ilgili başvurularının alınması amacıyla gerekli yönlendirmelerin yapılması,

Kişisel Veri Koruma Komitesi:

PERSONEL GÖREV SORUMLULUK
Muhasebe Müdürü/Yöneticisi KVKK Uygulama Sorumlusu Firma dahilinde KVKK sürecinin yönetilmesi, gerekli kontrollerin yapılması, birimler arasında eşgüdümün sağlanması, saklama ve imha süreçlerinin yönetimi.
İnsan Kaynakları Müdürü//Yöneticisi KVKK Uygulama Sorumlusu Görevi dahilinde olan KVKK süreçlerinin yürütülmesi, verilerin saklama süre ve yöntemine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel verilerin imhası sürecinin yönetilmesi
Bilgi İşlem Müdürü/Yöneticisi KVKK Uygulama Sorumlusu Görevi dahilinde olan KVKK süreçlerinin yürütülmesi, verilerin saklama süre ve yöntemine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel verilerin imhası sürecinin yönetilmesi

11) YÜRÜRLÜK                                              

Politika yayınlanma tarihi itibari ile yürürlüğe girecektir. Politikanın Şirket genelinde duyurulması ve gerekli güncellemelerin yapılması Kişisel Verileri Koruma Komitesi’nin sorumluluğundadır.