6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
UYARINCA
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Veri Saklama ve İmha Politikası

I. TANIMLAR ve KISALTMALAR
Alıcı Grubu:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
Envanter:
Kişisel Veri İşleme Envanteri’dir.
İlgili Kullanıcı:
Verilerin teknik olarak depolanması, korunması
ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha:
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
KVKK:
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt Ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır. Veri sorumlularının iş süreçlerine bağlı olarak Kişisel Veri İşleme Envanteri
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanterdir.
Kurul:
Kişisel Verileri Koruma Kurulu’dur.
Kurum:
Kişisel Verileri Koruma Kurumu’dur. Özel Nitelikli Kişisel Veri :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Periyodik İmha:
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Politika:
MİPAR METAL SANAYİ VE TİCARET LİMİTED ŞİRKETİ
(“MİPAR METAL”) Kişisel Veri Saklama ve İmha Politikası
Sicil:
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicilidir.
Veri Kayıt Sistemi:
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Yönetmelik:
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

II. AMAÇ
İşbu Politika’nın amacı KVKK ve Yönetmelik hükümleri uyarınca kişisel verilerin silinmesinden, yok edilmesinden veya anonimleştirilmesinden sorumlu olan gerçek veya tüzel kişilerin tabi olacakları hüküm ve koşulların belirlenmesi ile, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, silme, yok etme ve anonim hale getirme işlemleri bakımından MİPAR METAL ile MİPAR METAL’in sözleşmeye dayalı olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirlenmesidir.

III. KAPSAM
1. Bu Politika MİPAR METAL nın kişisel verilerin işlendiği departmanları ile çalışanlarını ve MİPAR METAL’ın veri paylaşımında bulunduğu iş ortaklarını , üçüncü kişi ve kurumları kapsamaktadır.
2. Bu Politika, MİPAR METAL’ın kişisel veriler üzerinde uygulayacağı saklama ve imha faaliyetlerine ilişkin bilgi verecek ve bu amaçla uygulanacaktır.
3. KVKK ve Yönetmelik dahil, kişisel verilere ilişkin mevzuatın değişmesi veya güncellenmesi durumunda , MİPAR METAL politikasını değişen mevzuata uyumlu olacak şekilde güncelleyecektir.
4. İşbu Politika ’nın MİPAR METAL tarafından uygulanmasında hukuki bir engel olması,
uyumsuzluk ortaya çıkması ve/veya yeni düzenlemeler ışığında güncelleme ihtiyacı doğması halinde, MİPAR METAL, Politika ve uygulamasını yeniden belirleyebilecektir.

IV. MİPAR METAL’İN TAAHHÜTLERI
MİPAR METAL kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
1. MİPAR METAL, kişisel verilerin korunmasında KVKK’nun 4.1 maddesinde yer alan genel ilkelere uygun olarak hareket edeceğini kabul, beyan ve taahhüt eder.
2. MİPAR METAL, kişisel verileri saklarken , silerken , imha ederken veya anonim hale getirirken, KVKK’nun 12. maddesinde2 yer alan güvenlik tedbirlerine ve Yönetmelik başta olmak üzere ilgili mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara uygun hareket edeceğini kabul, beyan ve taahhüt eder.
3. MİPAR METAL, bünyesinde bulundurduğu kişisel verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında bu Politika’da belirtilen hüküm ve koşullara ve bunlara bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
1 Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
2 Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza 2 Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. gerekli denetimleri yapmak veya yaptırmak zorundadır.

V. KAYIT ORTAMLARI
Aşağıda belirtilen kayıt ortamlarında yer alan kişisel veriler, bu Politika kapsamında kabul edilir. Buna göre MİPAR METAL adına kayıtlı veya MİPAR METAL tarafından kullanılan;
1. Bilgisayarlar ve sunucular
2. Ağ cihazları
3. Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri
4. Bulut sistemleri
5. Mobil telefonlar ve içerisindeki tüm saklama alanları
6. Kağıt
7. Mikrofiş
8. Biometrik Veri Okuyucuları
9. Manyetik bantlar,
10. Optik diskler
11. Flash hafızalar
Kisisel verilerin kayıt ortamları olarak kabul edilir.

VI. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HALLER
1. Kişisel Verilerin Saklanmasını Gerektiren Haller
MİPAR METAL, kişisel verileri, ilgilinin açık rızası veya KVKK’da yazılı durumlarda ilgilinin açık rızası bulunmaksızın , mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla , verilerin işleme amacının gerektirdiği süre boyunca , KVKK ’da belirtilen ilkelere uygun olarak saklar.
Özel nitelikli kişisel verilerin ise kural olarak ilgilinin açık rızası bulunmaksızın saklanması veya diğer herhangi bir şekilde işlenmesi mümkün olmamakla beraber, KVKK’da sayılan haller ve süreçlerde işleme söz konusudur. Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının ortadan kalkması veya ilgili kişinin talebi üzerine ve yasal bir engelin bulunmaması koşulu ile veriler silinir, yok edilir veya anonimleştirilerek saklanır. İmha etme, silme veya anonimleştirme hususlarında mevzuat hükümleri ve Kurul kararlarına uyulur. MİPAR METAL’in kişisel verileri saklama süreleri Politika’nın ekinde yer alan tablolarda belirtildiği gibi olup, bu Politika gibi , söz konusu tablolarda yer alan bilgiler de MİPAR METAL’ in uygun gördüğü zamanlarda güncellenebilecektir.
2. Kişisel Verilerin İmhasını Gerektiren Haller;
MİPAR METAL, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için her türlü teknik ve idari tedbirleri alacak ve aşağıda belirtilen durumlarda kişisel verileri imhası işlemelerini yerine getirecektir.
2.1. Kanuna Aykırılık
MİPAR METAL, kişisel verileri KVKK’da belirtildiği şekle aykırı olarak saklamayacağını ve/ veya diğer herhangi bir şekilde işlemeyeceğini , değişen mevzuat doğrultusunda saklanması hukuka aykırı hale gelen verileri Kanun, Yönetmelik, Kurul kararları ve işbu Politika hükümlerine uygun şekilde imha edeceğini kabul ve taahhüt eder.
2.2. Veri İşleme Koşullarının Ortadan Kalkması
MİPAR METAL, veri işleme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu ilgili çalışanları ve tedarikçileri vasıtasıyla kullanacaktır. MİPAR METAL veri işleme koşullarının ortadan kalkması halinde veri işleme faaliyetine son verecektir. Aşağıda belirtilen durumlarda veri işleme koşullarının ortadan kalktığını kabul edilir:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
f) İlgili kişinin, KVKK’nın 11. maddesinin3 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,
g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi
3 İlgili kişinin hakları
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
e) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
MİPAR METAL, veri işleme koşullarının ortadan kalktığı durumlarda ilgili verileri bulundukları kayıt ortamında ve işbu Politika’ya uygun bir şekilde imha edecektir.

VII. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin imhası, üç farklı şekilde sağlanabilir. Bunlar verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
MİPAR METAL, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen , işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik ’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silip , yok edecektir . MİPAR METAL silinen verilerin ilgili kullanıcılar için erişilmez ve tekrar kullanılamaz olması için gerekli teknik ve idari tedbirleri alacaktır.
2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu suretle MİPAR METAL verileri, tekrar geri getirilmesi mümkün olmayacak hale getirecektir . Bu işlemler sırasında MİPAR METAL’e çalışanları ve ilgili departman ve çalışanları tarafından yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise MİPAR METAL gerekli her türlü teknik ve idari tedbiri alacaktır.
3. Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, MİPAR METAL ‘in kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonimleştirilmesi MİPAR METAL içerisinde veri işleme ve veri güvenliği ile görevlendirilmiş birimleri tarafından, ilgili departmanların da desteğini almak suretiyle yerine getirilecektir.
MİPAR METAL, kişisel verilerin anonimleştirilmesinde tek yönlü fonksiyon ve şifreleme yöntemleri kullanabilecek ve kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbiri alacaktır.

VIII. KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN TEDBİRLER
1. Saklanmasına İlişkin Alınan Tedbirler
1.1. Teknik Tedbirler
Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurulur. Kişisel verilere yalnızca yetkili çalışanlar erişebilmektedir. Yetkili çalışanların dahi erişemeyeceği kişisel veriler, anahtar ve şifre yöntemleri ile korunmaktadır . MİPAR METAL tedarikçilerinden de verilerin saklanmasında belirli standartların yerine getirilmesine ilişkin taahhütler talep etmekte, kişisel verilerin kaybolmaması ve hukuk dışı kullanılmaması için gerekli önlemleri almaktadır.
1.2. İdari Tedbirler
Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmakta, kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin yükümlülük ve sorumluluklarını ortaya koyan hükümlere yer verilir.
2. Kişisel Verilerin İmhasına İlişkin Alınan Tedbirler
2.1. Teknik Tedbirler
Veri işlenmesi ve imhasından sorumlu MİPAR METAL birimleri , silme işlemine konu teşkil edecek kişisel verileri belirler, her bir kişisel veri için ilgili kullanıcıları tespit eder. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılır ve ortadan kaldırılır.
Bulut sistemler ve merkezi sunucuda yer alan veriler silme komutu verilerek silinir. Veri tabanların da bulunan verilerin ilgili satırları veri tabanı komutları ile silinir. Bütün bu işlemlerde ilgili kullanıcının silinmiş verileri geri getirme yetkisi varsa kaldırılır.
Diğer kayıt ortamlarında bulunan veriler için silme (karartma .vs), yok etme (fiziksel yok etme, de-manyetize etme, üzerine yazma) ya da anonimleştirme yöntemlerinden biri tercih edilir. Seçilecek imha yöntemi için ilgili tüm ortamlar tespit edilir ve verinin bulunduğu sistemin türü göz önüne alınır.
2.2. İdari Tedbirler
Verilerin imhası MİPAR METAL ‘ın yalnızca yetkili çalışanları tarafından gerçekleştirilmektedir .
Kişisel verilerin korunması ve imhası ile ilgili mevzuat dahilinde çalışanlara bilgi verilir .
İş yeri dahilinde özellikle fiziksel imhaya ilişkin gerekli ekipman bulundurulur.

IX. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINDA YER ALAN BİRİMLER VE GÖREV TANIMLARI
MİPAR METAL bünyesinde kişisel verileri saklama ve imha işlemlerinden İnsan Kaynakları ve İdari İşler Müdürü yetkilidir. Diğer MİPAR METAL çalışanlarının gerçekleştirebileceği saklama ve imha işlemleri yetkili çalışanların bilgisi dahilinde ve gözetiminde gerçekleştirilir.

X. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası sırasında veri sorumlusu MİPAR METAL çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
1. Silme Komutu
Bulut sisteminde ve veri tabanlarında bulunan veriler silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi veya veri tabanı üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir. Kişisel verilerin şifreleme anahtarlarının tüm kopyaları da imha edilir. Gerekli durumlarda bulut sistemi yöneticisinden imha konusunda yardım alınır.
2.Anonimleştirme yöntemleri
Anonimleştirme söz konusu olduğunda verinin niteliği, büyüklüğü, çeşitliliği, fiziki ortamlarda bulunma yapısı, işleme sıklığı, aktarılacak tarafın güvenirliği, verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması vb. özellikler dikkate alınarak uygun yöntem seçilip anonimleştirme uygulanır.
3. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
4. Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
5. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir. Kağıt ortamında bulunan kişisel veriler de gerekli durumlarda kağıt imha veya kırpma makineleri ile yok edilir.
Yazıcı, kapı giriş turnikesi, ağ cihazları, mobil telefonlar vb. ortamlarda bulunan kişisel verilerin imhası için yukarıdaki yöntemlerden uygun olan seçilir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

XI. SAKLAMA VE İMHA SÜRELERİ
1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama süreleri ekli tabloda (Ek/1) belirtilmiştir.
Yasal ve iş bu Politikada belirtilen saklama sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak mevzuatın öngördüğü aralıklar dahilinde imha edilir.
Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıkları ile kontrol edilmek suretiyle gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin bu işlemlerin kayıtları, diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile saklanır.
2. Veri Sahiplerinin Talebi Üzerine Silme ve Yok Etme Süreci
Veri sahiplerinin MİPAR METAL ’e başvuru yaparak kendilerine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilirler . MİPAR METAL bu gibi durumlarda kişisel verileri işleme
şartlarının mevcut durumunu kontrol ederek, buna bağlı ve gerekli aksiyonları alacaktır.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. MİPAR METAL, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, MİPAR METAL ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilecektir. Bu halde MİPAR METAL ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirecektir.

XII. YÜRÜRLÜK TARİHİ VE GÜNCELLEMELER
KVKK ve Yönetmelik dahil olmak üzere ilgili mevzuatta yapılacak değişiklikler ve/veya bu mevzuatta yer alan hüküm ve koşullara uygun olarak MİPAR METAL ’in kendi süreçlerinde yapacağı değişikliklerin ardından, işbu Politika ’da da güncelleme yapılabilecektir.
MİPAR METAL, bu Politika üzerinde yaptığı güncelleme ve değişiklikler ekli tabloda belirtildiği gibidir (Ek/2).

Veri Saklama ve İmha Politikası
Bize Yazın

talep, yorum ve geri bildirimlerinizi bize yazın..

Not readable? Change text. captcha txt
0