15.yıl
TİKO YAZILIM A.Ş.
KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI
1. BÖLÜM: AMAÇ
TİKO YAZILIM A.Ş., sosyal ve hukuki sorumlulukları gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde, firmamızın tamamına uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir.
Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) yedinci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22. maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır.
Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, firmanın faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
2. BÖLÜM: KAPSAM
Bu Politika firmamızda görev yapmakta olan kurucuların, ortakların, çalışanların, çalışan adaylarının, ziyaretçilerin, iş birliği içerisinde olduğumuz üçüncü kişilerin ve üçüncü kişilerin çalışanlarının tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
3. BÖLÜM: TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Tiko Yazılım A.Ş. personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Tiko Yazılım A.Ş. ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
4. BÖLÜM: İDARİ VE TEKNİK TEDBİRLER
Yönetmelik uyarınca, işbu Politika’nın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, firmamız tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
- Kişisel Verilerin korunmasına ilişkin mevzuata etkin uyum sağlamak amacıyla nihai sorumluluk Yönetim Kurulu’nda olmak üzere Yönetim Kurulu tarafından Kişisel Veri Komitesi Kurulması,
- Bilgi Güvenliği Politikası’nın hazırlanması,
- İç Denetim birimi yahut hukuk müşavirliği tarafından KVKK yükümlülüklerine uyumun periyodik olarak denetlenmesi,
- Erişim yetki kısıtlamalarının öngörülmesi,
- Veri minimizasyonunun sağlanması,
- Veri saklama sürelerinin tespit edilmesi,
- Firmamızın tüm iş birimleri ile gerçekleştirilen/gerçekleştirilecek toplantı/eğitimlerle farkındalık yaratılması,
- Çalışanlara yönelik Kanun’a uyum süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,
- Firmamızın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,
- Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,
- Tüm üçüncü taraf çalışanlarla yapılan sözleşmelere Kişisel Verilerin Korunması’na İlişkin hükümlerin eklenmesi,
- Firmamızın internet sitesinde, ilgili kişilerin kişisel verileri ile ilgili başvurularının alınması amacıyla gerekli yönlendirmelerin yapılması,
- Sistem güvenliğine yönelik süreçlerin geliştirilmesi ve bunun benzeri tüm güvenlik önlemlerinin alınması.
5. BÖLÜM: UYGULAMA
TİKO YAZILIM A.Ş., kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Firmamızın Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler ve aşağıda yer alan tablodaki iş sözleşmeleri ve güvenlik kamera kayıtlarına ilişkin istisnalar hariç olmak üzere Veri Sorumluları Sicil Bilgi Sistemi’nde bildirimi yapıldığı süre kadar saklanır.
5.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
TİKO YAZILIM A.Ş., kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. TİKO YAZILIM A.Ş., organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
- a) Kişisel verilerin anonim hale getirilerek arşivlenmesi veya
- b) Başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması kaydıyla kişisel veriler silinmiş sayılacaktır.
5.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
TİKO YAZILIM A.Ş., kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. TİKO YAZILIM A.Ş. tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. TİKO YAZILIM A.Ş., kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
6. BÖLÜM: SAKLAMA VE İMHA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak da saklama süresi belirlenebilmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve TİKO YAZILIM A.Ş. tarafından belirlenen saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda TİKO YAZILIM A.Ş.’ye yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Veri sorumlusu tarafından toplanan bilgilerin neler olduğu ve bunların saklanmasına ilişikin söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, mevzuatın öngördüğü periyodlarda silinir, yok edilir ya da anonim hale getirilir.
Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı veri sorumlusu tarafından seçilir.
İlgili kişi TİKO YAZILIM A.Ş.’ye başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa, Veri Sorumlusu, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
(veri kategorilerinin numaraları, VERBİS sisteminde göründüğü şekliyle yazılmıştır.)
| Veri Kategorisi | Veri Saklama Süresi |
|---|---|
| 1-Kimlik | Aktiflik + 10 Yıl |
| 2-İletişim | Aktiflik + 10 Yıl |
| 3-Lokasyon | Aktiflik + 10 Yıl |
| 4-Özlük | Sözleşme Bitimi + 10 Yıl |
| 5-Hukuki İşlem | Süreç Bitimi + 10 Yıl |
| 6-Müşteri İşlem | İş İlişkisi Süresince |
| 7-Fiziksel Mekan Güvenliği | 3 Hafta |
| 8-İşlem Güvenliği | İşlem Süreci + 10 Yıl |
| 9-Risk Yönetimi | İş İlişkisi Süreci + 2 Hafta |
| 10-Finans | Sözleşme + 10 Yıl |
| 11-Mesleki Deneyim | Sözleşme + 10 Yıl |
| 12-Pazarlama | İş İlişkisi Süreci + 2 Hafta |
| 13-Görsel ve İşitsel Kayıtlar | İşlem Süreci + 10 Yıl |
| 21-Sağlık Bilgileri | Sözleşme + 10 Yıl |
| 23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | Sözleşme + 10 Yıl |
7.SORUMLULUKLAR
Kişisel Verilerin, veri sorumlusu firmanın tüm faaliyetleri için toplanmasından veya işlenmesinden, işbu Politika ile tutarlı yönergelerin tesis edilmesinin sağlanmasından, mevzuat ve sözleşme sorumluluklarının yerine getirilmesinden nihai olarak TİKO YAZILIM A.Ş. Yönetim Komitesi sorumludur.
Tüm iş birimleri kendi yürüttükleri süreçlerle ilgili olarak KVKK’na uyum amacıyla kişisel verilerin işlenmesi, saklanması ve imha edilmesi için gerekli tedbirleri almaktan sorumludur.
Hukuk ve Uyum Direktörlüğü, KVKK uyum süreçlerini koordine etmek ve kişisel verilerin işlenmesi, saklanması ve imha edilmesi için gerekli önlemlerin alınmasını sağlamakla sorumludur. Ayrıca şirketimiz bünyesinde Kanun kapsamında hukuk müşavirinin de dahil olduğu veri sorumlusu olarak Kişisel Veri Komitesi kurulmuştur. Komitenin temel sorumluluğu Kanun ve ilgili mevzuat uyarınca şirketin yükümlülüklerini takip ve koordine ederek gerekli tedbirlerin alınmasını sağlamak ve işbu direktörlüğü yapmaktır.
8.ONAY VE YÜRÜRLÜĞE GİRME
Bu Politika TİKO YAZILIM A.Ş. KİŞİSEL VERİ İCRA KOMİTESİ tarafından firmanın http://www.tiko.com.tr isimli internet sayfasında yayınlandığı tarihte onaylanmıştır. Bu tarih itibariyle geçerli ve bağlayıcı olacaktır.
TİKO YAZILIM A.Ş.
tikokolay
tikoeticaret