FİLİKA YAZILIM TEKNOLOJİLERİ A.Ş
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
- Amaç
İşbu Politika, Filika Yazılım Teknolojileri A.Ş. tarafından veri sorumlusu sıfatıyla, 6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVKK”) 7. ve 22. maddeleri uyarınca Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) kapsamında, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme ile silme, yok etme ve anonim hale getirme işlemlerinin yürütülmesinde esas alınacaktır.
İşbu Politika, Filika Yazılım Teknolojileri A.Ş. birimleri ve çalışanları nezdinde bağlayıcıdır.
İşbu Politikanın, Filika Yazılım Teknolojileri A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Bilgi Güvenliği Politakası’na uygun olarak hazırladığını temin eder.
- Terimler
İşbu Politikada kullanılan kimi terimler ve anlamları aşağıdaki gibidir:
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
- İlgili kişi: Kişisel verisi işlenen gerçek kişi.
- Azami muhafaza süresi: Kişisel verinin işleme amacına uygun olarak belirlenen saklama süresi.
- Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
- Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
- Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
- Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
- Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
- Periyodik imha: KVKK’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
- Talebe bağlı imha: İlgili kişi, KVKK’nun 13. maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi üzerine gerçekleştirilen imha işlemi.
- Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
- Kurul: Kişisel Verileri Koruma Kurulu.
- Usul ve Esaslar:
Veri sorumlusu Filika Yazılım Teknolojileri A.Ş., Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer. İmha yönteminin seçilmesinde kişisel verinin bulunduğu kayıt ortamının türü, veri kategorisi ve hassasiyeti göz önünde bulundurulur.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
- İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
- İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
- İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
- İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
- Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
- Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
- Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi, dikkate alınır.
- Kişisel Verilerin İmha Şartları
Kişisel verilerin hukuka uygun olarak işlenmesine imkan veren başka bir dayanak bulunmuyorsa, aşağıda belirtilen şartlardan biri gerçekleştiğinde kişisel veriler işbu Politika’da belirlenen usul ve esaslar uyarınca imha edilir.
- KVKK’nın 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması,
- Veri işlemenin hukuka ve dürüstlük kuralına aykırı olması,
- Filika Yazılım Teknolojileri A.Ş. Kişisel Veri İşleme Envanteri’nde belirtilen kişisel verilerin işlenmesini gerektiren amacın ortadan kalması,
- İlgili kişinin rızasını geri alması,
- İlgili kişinin imha talebinin Filika Yazılım Teknolojileri A.Ş. tarafından kabul edilmesi,
- Veri işlemeye dayanak mevzuat hükmünün ilgası ve/veya değiştirilmesi,
- Veri işlemeye dayanak sözleşmenin sonlanması veya hiç kurulmamış sayılması,
- Kişisel verilerin saklanmasına ilişkin olarak mevzuat ve/veya Filika Yazılım Teknolojileri A.Ş. tarafından belirlenen azami sürenin dolması.
- Kayıt Ortamları – Teknik ve İdari Tedbirler
1. Filika Yazılım Teknolojileri A.Ş. tarafından işlenen kişisel verilerin hukuka uygun olarak imha edilmesi için departman bazında alınan tedbirler her bir departmanı tarafından işlenen kişisel verilerin saklama ve imha süreçlerine ilişkin olarak departman bazında oluşturulan departman saklama ve imha politikaları uyarınca tespit edilmiştir.
2. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış tedbirler:
1 | Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
2 | Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
3 | Anahtar yönetimi uygulanmaktadır. |
4 | Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
5 | Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. |
6 | Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
7 | Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
8 | Çalışanlar için yetki matrisi oluşturulmuştur. |
9 | Erişim logları düzenli olarak tutulmaktadır. |
10 | Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
11 | Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
12 | Gizlilik taahhütnameleri yapılmaktadır. |
13 | Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
14 | Güncel anti-virüs sistemleri kullanılmaktadır. |
15 | Güvenlik duvarları kullanılmaktadır. |
16 | İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
17 | Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
18 | Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
19 | Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
20 | Kişisel veri güvenliğinin takibi yapılmaktadır. |
21 | Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
22 | Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
23 | Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
24 | Kişisel veriler mümkün olduğunca azaltılmaktadır. |
25 | Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
26 | Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
27 | Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır |
28 | Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
29 | Mevcut risk ve tehditler belirlenmiştir. |
30 | Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
31 | Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. |
32 | Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. |
33 | Saldırı tespit ve önleme sistemleri kullanılmaktadır. |
34 | Sızma testi uygulanmaktadır. |
35 | Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. |
36 | Şifreleme yapılmaktadır. |
37 | Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır. |
38 | Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
39 | Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
40 | Veri kaybı önleme yazılımları kullanılmaktadır. |
- Saklama Süreleri ve İmha Yöntemi
6.1 Filika Yazılım Teknolojileri A.Ş. tarafından işlenen kişisel verilerin azami saklama süreleri, işlemeye dair hukuki dayanakları ve imha yöntemleri aşağıdaki şekildedir:
Veri Kategorisi | Saklama Süresi | Hukuki Dayanak | İmha Yöntemi | |
Kimlik Bilgileri | Aktif kullanım sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
İletişim Bilgileri | Aktif kullanım sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
Özlük Bilgileri | Aktif istihdam ilişkisi sona erdikten sonra 10 yıl | KVKK Madde 5/2 (ç): Hukuki yükümlülük | Silme | |
Hukuki İşlem Bilgileri | Aktif hukuki süreç tamamlandıktan sonra 10 yıl | KVKK Madde 5/2 (ç): Hukuki yükümlülük; Madde 5/2 (e): Bir hakkın tesisi, kullanılması veya korunması | Silme | |
Müşteri İşlem Bilgileri | Aktif kullanım sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
Fiziksel Mekan Güvenliği Bilgileri | 1 yıl | KVKK Madde 5/2 (f): Meşru menfaat; Madde 5/2 (e): Bir hakkın tesisi, kullanılması veya korunması | Silme | |
Risk Yönetimi Bilgileri | İlgili sözleşme sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
Finans Bilgileri | İlgili sözleşme sona erdikten sonra 10 yıl | KVKK Madde 5/2 (ç): Hukuki yükümlülük | Silme | |
Mesleki Deneyim Bilgileri | İlgili sözleşme sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
Görsel ve İşitsel Kayıtlar | İlgili sözleşme sona erdikten sonra 10 yıl | KVKK Madde 5/2 (f): Meşru menfaat | Silme | |
Sağlık Bilgileri | Aktif istihdam ilişkisi sona erdikten sonra 10 yıl | Madde 5/2 (ç): Hukuki yükümlülük | Silme | |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Bilgisi | Aktif istihdam ilişkisi sona erdikten sonra 10 yıl | Madde 5/2 (ç): Hukuki yükümlülük | Silme |
Filika Yazılım Teknolojileri A.Ş.’nin kişisel veri işleyen her bir departmanı tarafından işlenen kişisel verilerin saklama ve imha süreçlerine ilişkin olarak departman bazında oluşturulan departman saklama ve imha politikaları uyarınca veri kategorilerini ve bunlara ilişkin açıklamaları, ilgili departmanların azami saklama sürelerini, hukuki d
6.2 Periyodik İmha Süresi
Filika Yazılım Teknolojileri A.Ş. kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı 5 (beş) yıldır.
6.3 İlgili Kişinin Talebi
İlgili kişinin KVKK’nın 13. maddesi kapsamında gerçekleştirdiği başvurular talebin Filika Yazılım Teknolojileri A.Ş.’ya ulaşmasından itibaren en geç otuz (30) gün içinde sonuçlandırılır ve ilgili kişiye talebin sonucu hakkında gerekçesi de açıklanmak suretiyle bilgi verilir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Filika Yazılım Teknolojileri A.Ş. bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca KVKK’nın 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve red cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. Yapılacak inceleme doğrultusunda imha edilmek üzere tespit edilen kişisel veriler öncelikli olarak imha edilir ve bu durumdan ilgili kişi uygun yöntemle haberdar edilir.
- Sorumlular
Aşağıdaki tabloda Filika Yazılım Teknolojileri A.Ş.’nin faaliyetleri kapsamında kişisel verilerin saklanması ve imha edilmesi süreçlerinde departmanlar arası koordinasyon ve süreç yönetiminde sorumlu pozisyonlar belirtilmektedir.
Kişi | Birim | Unvan | Görev |
– | Bilgi Teknolojileri | Bilgi Teknolojileri Yöneticisi | Yönetici |
– | Ürün Yönetimi | Ürün Yöneticisi | Yönetici |
Kişisel veri saklama ve imha faaliyetleri Filika Yazılım Teknolojileri A.Ş. çalışanları veya Filika Yazılım Teknolojileri A.Ş. dışı üçüncü tarafların desteğiyle gerçekleştirilebilir. Bu faaliyetlerin Filika Yazılım Teknolojileri A.Ş. dışı üçüncü tarafların desteğiyle gerçekleştirilmesi halinde Filika Yazılım Teknolojileri A.Ş. ile ilgili taraflar arasında kişisel verilerin gizliliği ve korunmasına ilişkin gerekli sözleşmeler mevcut olmalıdır.
- Politikada Yapılan güncelleme Değişiklikler
Bu Politikada yer alan hükümler Filika Yazılım Teknolojileri A.Ş. tarafından gerek görüldüğü veya ilgili mevzuat tarafından gerekli kılındığı takdirde mevzuat hükümlerine uygun olarak değiştirilebilir. Aşağıdaki tablo, işbu Politika’da gerçekleştirilen değişiklikleri göstermektedir.
Değişiklik | Birim | Belge Numarası | Tarih |
---|---|---|---|
– | |||
– | |||
– | |||
– |