Kişisel Verilerin Saklanması Ve Imhası Politikası

KİŞİSEL VERİLERİN KORUNMASI

Kişisel Verilerin Saklanması Ve Imhası Politikası

I. GİRİŞ 1.1. Politikanın Amacı

Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Kobi Uluslararası Tanıtım Ve Dağıtım Hizmetleri Sanayi Ticaret Anonim Şirketi (“Şirket” veya “Turkish Exporter”) tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (çalışan, çalışan adayları, üyeler, tedarikçiler, hissedarlar/ortaklar, şirket yetkilileri, ziyaretçiler, iş ortakları ve diğer üçüncü kişilerin) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin saklanması ve gerektiğinde silinmesi, yok hale getirilmesi ve anonim hale getirilmesine dair imha süreci esaslarının belirlenmesi bu Politika’nın amacını oluşturmaktadır.

1.2. Politikanın Kapsamı

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Şirket tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Şirket tarafından gerçekleştirilen veri işleme faaliyeti akabinde kişisel verilerin gerektiğinde silinmesi, yok hale getirilmesi ve anonim hale getirilmesine dair imha süreci usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması

İşbu Politika, yürürlükte bulunan ilgili mevzuata ve başta 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik olmak üzere, Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır. Şirket tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Şirketimiz tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.

1.4. Politikanın Yürürlüğü

Politika, Şirket’e ait internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.

II. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN HUSUSLAR 2.1. Kişisel Verilerin Saklanma Süreleri

Kişisel veriler Kanun’un 4. maddesinin (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenen ve Şirketimiz nezdinde tutulan kişisel verileriniz, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Şirketimiz tarafından verilerin saklanması ve imha süreçlerine ilişkin süreler, Ek-2-Kişisel Verileri Saklama Süreleri’nde yer almaktadır. Şirketimiz tarafından Ek-2’de belirtilen süreler haricinde periyodik imhanın gerçekleştirileceği zaman aralığı azami 6 ay ile sınırlı tutulmuştur.

Şirketimiz, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesinde gösterilen genel ilkeler ile 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.

Tarafımızca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir.

Verilerin saklanması ve imhasına ilişkin Şirket tarafından görevlendirilen kişisel veriler uzmanı personel, kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.

2.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü

Şirket tarafından işlenmiş kişisel veriler, Kanun’un 7. maddesi ile Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında; çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.

a) Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.

b) Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

c) Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verileriniz anonim hale getirilmek üzere Şirketimiz tarafından gerekli her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilmektedir.

2.3. Kişisel Veri Kayıt Ortamları

Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.

Veri sahibi ilgili kişilere ilişkin kişisel veriler, Şirketimiz tarafından 6098 Sayılı KVKK hükümleri başta olmak üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde aşağıda belirtilen veri kayıt ortalarında saklanmaktadır:

a) Teknik kayıt ortamları:

• Bilgisayar ortamı,

• Merkezi sunucular,

• Optik diskler(CD, DVD vb.),

• Çıkartılabilir bellekler(USB, Hafıza Kart vb.),

• Bilgi güvenliği cihaz ve yazılımları,

• Tamamen veya kısmen otomatik veri kayıt sistemleri(Kart okuyucu, yüz tanıma makine ve araçlarının sunucuları.)

b) Teknik olmayan veri kayıt ortamları:

• Kâğıtlar,

• Manuel veri kayıt sistemleri

• Yazılı, basılı, görsel ortamlar,

• İlgili departmanların dolapları.

2.4. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri

Şirketimiz tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.

Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi (2), ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.

Kişisel verilerin silinmesinde izlenen yol şu şekildedir:

● Bulut veya uygulama türü çözümlerde silme komutu verme,

● Kağıt ortamında bulunan verilerde karartma, kesilme veya görünemez hale getirme,

● Taşınabilir medyada bulunan verilerde uygun yazılımlar kullanarak silme işlemi.

Kişisel verilerin yok edilmesinde izlenen yol şu şekildedir:

● Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi suretiyle fiziksel yok etme,

● Kağıt veya elektronik ortamda yapılan diğer yok etme işlemleri.

2.5. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler

Şirket tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta;

• Kanun’un 4.maddesinde yer alan genel ilkeler,

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

• Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması,

• Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,

• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesinin gerektiren haklı bir nedenin olmaması

gibi amaç ve sebeplerle imha edilmektedir.

III.KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI 3.1.Kişisel Veri Sahibinin Hakları

6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,

• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

• 7. maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,

• Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme

haklarınız bulunmaktadır.

3.2. Kişisel Veri Sahibinin Haklarını Kullanması

İlgili kişi veri sahibi tarafından Kanun’un uygulanması ile ilgili talepler, kvk@turkishexporter.net irtibat e-posta adresine veya Musalla Bağları Mahallesi, Kule Caddesi, No:2/28, Selçuklu/Konya adresine yazılı biçimde Şirket’e iletilmelidir. Başvuru taleplerinde Şirket tarafından internet sitesinde yayımlanan “İlgili Kişi Başvuru Formu” nun kullanılması gerekmektedir.

3.3. Şirketimizin Başvurulara Cevap Vermesi

İlgili kişinin, Şirketimize başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

• Kişisel verileri işleme şartlarının tamamının ortadan kalkmış olduğunun tespit edilmesi halinde; talebe konu kişisel veriler en geç otuz gün içinde silinecek, yok edilecek veya anonim hale getirilecek olup ilgili kişiye bilgi verilecektir.

• Kişisel verileri işleme şartlarının tamamının ortadan kalkmış olmakla birlikte talebe konu olan kişisel verilerin üçüncü kişilere aktarılmış olduğunun tespit edilmesi halinde; Şirketimiz bu durumu üçüncü kişiye bildirecek ve üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin edecektir.

• Kişisel verileri işleme şartlarının ortadan kalkmamış olduğunun tespit edilmesi halinde; talep Şirketimiz tarafından Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilecek olup ret cevabı ilgili kişiye tebliğden itibaren en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.

EK – 1: Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,

Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

Kurul :Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Yönetmelik: 30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i

ifade eder.

EK – 2: Kişisel Verileri Saklama Süreleri

Kişisel Veri Kaynağı	Süre	Yasal Dayanak
Üyeliğe İlişkin Kayıtlar	10 Yıl	6098 Sayılı Kanun
Müşteri İşlem Bilgileri (Müşterilerin Talep / Şikayet / Önerilerine İlişkin Çağrı Kayıtları vb.)	10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Müşterilere İlişkin Kişisel Veriler	3 yıl	6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar	10 Yıl	6102 Sayılı Kanun, 213 Sayılı Kanun
Tedarikçilere İlişkin Kişisel Veriler	Hukuki İlişki Sona Erdikten Sonra 10 Yıl	6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Sözleşmeler	Sözleşmenin Sona Ermesinden İtibaren 10 Yıl	6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi Ad ve Soyadı, İmza Sirküleri vb.)	Sözleşmenin Sona Ermesinden İtibaren 10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Vergisel Kayıtlara İlişkin Kişisel Veriler	5 Yıl	213 Sayılı Vergi Usul Kanunu
İnsan Kaynakları Süreçleri	Hukuk İlişkinin Sona Ermesinden İtibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler	İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.)	İş İlişkisinin Sona Ermesinden İtibaren 15 Yıl	6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: Özgeçmiş, Başvuru Formu vb.)	1 Yıl	Sektörel Teamüller Geçerlidir.
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler	İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl	Sektörel Teamüller Geçerlidir.
Ziyaretçilerin Kişisel Verileri	2 Yıl	5651 Sayılı Kanun
Çağrı Merkezi Ses Kayıtları	3 Yıl	6563 Sayılı Kanun ve İlgili Mevzuat
Ticari Elektronik E-Mail Onay Kayıtları	Onayın Geri Alındığı Tarihten İtibaren 1 Yıl	6563 Sayılı Kanun, 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)	90 Gün	Sektörel Teamüller Geçerlidir.
İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri	2 Yıl	5651 Sayılı Kanun
Çerezler ve Log Kayıtları	6 Ay – En Fazla 2 Yıl	5651 Sayılı İnternet Kanunu
Çevrim İçi Ziyaretçilere İlişkin Trafik Bilgileri	2 Yıl	5651 Sayılı Kanun
Kişisel Verileri Koruma Kurulu İşlemleri	10 Yıl	6698 Sayılı Kanun