Veri Saklama ve İmha Politikası

  • Home
  • Veri Saklama ve İmha Politikası

MOBİSİS TEKNOLOJİ ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

  1. POLİTİKA’NIN HAZIRLANMA AMACI VE KAPSAMI

Kişisel Verilerin Korunması Mobisis Teknoloji Anonim Şirketi (“Şirket” veya ”Şirketimiz”) için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, Şirketimizin temel yapı taşlarından biridir. Bu bakımdan Şirketimiz, faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Türkiye Cumhuriyeti Anayasası olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve sair mevzuata uygun şekilde hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası’nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir. İş bu Politika ile Şirketimiz, Kanun kapsamındaki kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin saklanması ve imha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesi hedeflemiştir. İşbu Politika, Şirketimizin Kanun kapsamındaki veri işleme faaliyetlerine konu olan tüm kişisel verileri kapsamaktadır. Ayrıca, işbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

  • KİŞİSEL VERİ KAYIT ORTAMLARI

Şirketimiz, Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır:

  • Şirket veri tabanlarımız, (Ortak klasör, paylaşım klasörü, idari klasör)
  • Şirket programlar (Zoho, Mikro)
  • E-posta hesapları,
  • Masaüstü bilgisayarları,
  • Tablet bilgisayarları,
  • Şirket çalışanlarının araçları, cep telefonları, tabletleri,
  • Yedekleme alanları,
  • Kâğıt dosyalar vb.
  • TANIMLAR

İş bu Politika’da içerik aksini gerektirmedikçe:

“Açık Rıza”                                       Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

“İlgili Kullanıcı”                               Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler,

“İmha”                                               Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

“Kayıt Ortamı”                                   Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,

“Kişisel Veri”                                   Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi Tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir),

“Kişisel Veri Sahibi”                        Kişisel verisi işlenen gerçek kişi,

“Kişisel Verilerin İşlenmesi”           Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

“Kurul”                                            Kişisel Verileri Koruma Kurulu,

“Özel Nitelikli Kişisel Veri”             Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,

“Periyodik İmha”                            Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,

“Veri Sorumlusu”                            Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi

Anlamına gelmektedir.

  • KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
  • Saklamayı Gerektiren Hukuki Sebepler

Şirketimiz, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri işlemektedir. Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 4857 sayılı İş Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 5237 Sayılı Türk Ceza Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

  • Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • Çalışanlar İçin Şirketimizin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Sosyal Güvenlik Kurumu (SGK) kaydının yapılabilmesi ve yürürlükteki 4857 Sayılı İş Kanunu ve 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması, veri sahibinin nitelik bakımından verdiği bilginin doğruluğunun temini amacıyla,
  • Kurumsal iletişimi sağlamak,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  • Çalışanların İş Faaliyetlerinin Yürütülmesi / Denetimi,
  • Çalışanların Ücret Politikasının Yönetimi, maaş ve diğer alacakların ödemesinin yapılması,
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi, (AGİ vs.)
  • İş Sağlığı/Güvenliği Faaliyetlerinin Yürütülmesi,
  • İnsan Kaynakları Süreçlerinin Planlanması,
  • Fiziksel Mekân Güvenliğinin Temini, (Kamera kaydı, vesikalık fotoğraf istenmesi vs.)
  • Finans ve/veya Muhasebe İşlerinin Takibi Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası,
  • Denetim/İç Denetim Faaliyetlerinin Yürütülmesi,
  • İletişim Faaliyetlerinin Yürütülmesi,
  • Lojistik Faaliyetlerinin Yürütülmesi,
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
  • İmhayı Gerektiren Sebepler ve UYGULAMA

Kişisel Veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Şirketimizin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya yok edilir.

Kişisel verilerin silinmesi; Kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Sunucularda yer alanlar için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılı, elektronik ortamda yer alanlar için, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Fiziksel ortamda tutulanlar içinse evrak depolamadan sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Kişisel Verilerin Yok Edilmesi; Kâğıt ortamında yer alan kişisel veriler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Optik medya ve manyetik medyada yer alan kişisel veriler içinse eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Kişisel Verilerin Anonim Hale Getirilmesi ise; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

  • KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:

Teknik Tedbirler:

  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
    • İnternet sitesinde, ilgili kişilerin kişisel verileri ile ilgili başvurularının alınması amacıyla gerekli yönlendirmelerin ve bilgilendirmelerin yapılması,
    • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
    • Ağ ve uygulama güvenliğini denetler, güvenlik duvarını oluşturur ve güncel tutar.
    • Güncel anti-virüs sistemleri kullanılmaktadır.
    • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
    • Yedekleme sistemlerinin her türlü riske karşı önlemleri alınır.
    • Programlar ve birtakım klasörler ve şirket cihazlarına yahut şirket için kullanılan zimmetlenen cihazlarda şifreleme sistemi kullanılır.
    • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
    • Veri kaybı önleme yazılımları kullanılmaktadır.
    • Verilerin Şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
    • Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
    • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar, gerektiğinde uzaktan müdahale edilerek riskin önüne geçilir.
    • Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.

İdari Tedbirler

  • Çalışanlarımızı kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmekte ve eğitilmektedir.
    • Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz Politikalarda, şirket Çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri belirtilmektedir, bu kapsamda iş sözleşmelerine ek yükümlülükler (Gizlilik, KVK vs.) getirilmekte, buna ek olarak Gizlilik, Disiplin Politikası ile KVK Rehberi tebliğ edilmektedir.
    • Veri minimizasyonunun sağlanmaktadır.
    • Tüm üçüncü taraf (sözleşme tarafı, tedarikçiler başta olmak üzere) yapılan sözleşmelere Kişisel Verilerin Korunmasına İlişkin hükümleri eklenerek protokol ve sözleşme yapılmaktadır.
    • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
    • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
    • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  • KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

Şirketimiz, kişisel verilerin saklanması ve imha edilmesi süreçlerinde yer alan kişileri, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir. Bu kapsamda, Şirketimiz çalışanları ve görevleri dolayısıyla kişisel verileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak saklamakta ve imha etmektedir. Bu yükümlülük, ilgili kişilerin görevden ayrılmalarından sonra da devam etmektedir. Bu kapsamda, Şirketimizin saklama ve imha süreçlerinde yer alan kişilere ilişkin detaylar aşağıda açıklanmaktadır:

  • SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak süreç bazında saklama süreleri işbu Politikada yer alır. Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.

SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ
Sözleşme çerçevesinde toplanan verilerSözleşmenin sona ermesinden itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlarİş ilişkisinin sona ermesine müteakip 10 yıl  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri verileriİş ilişkisinin sona ermesinden itibaren 10 Yıl  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan kaynakları süreçlerinin yürütülmesiFaaliyetin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özlük dosyasının oluşturulması, SGK mevzuatı kapsamında tutulan verilerSözleşmenin sona ermesinden itibaren 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları1 aySaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Dava, İcra Takibi, Arabuluculuk, Tahkim DosyalarıDosya tarihinden itibaren 10 YılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamındaki veriTürk Ceza Kanunu’nun 66. ve 68. maddeleri gereği Dava zamanaşımı ve Ceza Zamanaşımı müddetinceSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sair ilgili mevzuat gereğiİlgili mevzuatta öngörülen süre kadarSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
  • PERİYODİK İMHA SÜRELERİ

Şirketimiz, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha etmektedir. Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir

  • POLİTİKANIN GÜNCELLENMESİ

İşbu Politikanın tanzim tarihinden sonra Kanun, Yönetmelik, Kurul Kararı ile herhangi bir değişiklik öngörülmesi halinde değişikliklere dair güncellemelere bu başlık altında yer verilecektir.

  1. YÜRÜRLÜK

Politika yayınlanma tarihi itibari ile yürürlüğe girecektir. Yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.