1. Amaç ve Kapsam
Hazırlanan bu Kişisel Verileri Saklama ve İmha Politikası (Politika), 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve diğer ilgili mevzuat uyarınca yükümlülüklerimizi yerine getirmek, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama ve imha sürelerini belirlemek amacıyla hazırlanmıştır. Kişisel verilerin saklanmasına ve imhasına ilişkin tüm prosedür Politika’ya uygun olarak gerçekleştirilecektir. Şirketimiz çalışanları, çalışan adayları, hizmet sağlayıcıları, temsilcileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Şirketimizin sahip olduğu ya da Şirketimiz tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ile kişisel veri işlenmesine yönelik tüm faaliyetlerde bu Politika uygulanacaktır.
2. Tanımlar
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
| Çalışan | Şirketimizin çalışanları. |
| Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde kişisel verileri işleyen çalışan. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kişisel verilerin yok edilmesi | Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Kurum | Kişisel Verileri Koruma Kurumu |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
| Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Politika | Faturamatik Elektronik Para Ve Ödeme Kuruluşu A.Ş. Kişisel Verileri Saklama ve İmha Politikası. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
| Veri Sorumluları Sicil Bilgi Sistemi | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
| Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
3. Kayıt Ortamları
Şirketimiz bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir şekilde Elektronik Ortam’da (CRM, MS SQL Server, E-Posta Kutusu, Microsoft Office Programları, Görüntü Kayıt Cihazları) ya da Elektronik Olmayan Ortam’da ( Birim Dolapları, Klasörler, Arşiv) muhafaza edilmektedirler.
4. Kişisel Verilerin Saklanması ve İmhasını Gerektiren Hukuki, Teknik ya da Diğer Sebeplere İlişkin Açıklama
4.1 Şirketimiz tarafından; Şirketimiz çalışanları, çalışan adayları, hizmet sağlayıcıları, temsilcileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler Kanun’a uygun şekilde, Kanun’da ve ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanırlar ve imha edilirler.
4.2 Kişisel veriler; ilgili Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması haline, Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilirler.
4.3 Kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4982 Sayılı Bilgi Edinme Kanunu ve diğer ilgili mevzuat uyarınca öngörülen saklama süreleri kadar saklanmaktadırlar.
4.4 Kişisel veriler;
- İnsan kaynakları süreçlerini yürütmek,
- Kurumsal iletişimi sağlamak,
- Kurumsal güvenliği sağlamak,
- İstatiksel çalışmalar yapabilmek,
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
- Şirketimiz ile iş ilişkisinde bliunan gerçek/ tüzel kişilerle irtibat sağlamak,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
Amaçları doğrultusunda saklanmaktadır.
4.5 Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel veriyi işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kişisel Veri Sahibi’nin/İlgili Kişi’nin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
- Şirketimizin, Kişisel Veri Sahibi/İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, Kanun'da öngörülen süre içinde cevap vermemesi veya verdiği cevabın yetersiz bulunması hallerinde; Kişisel Veri Sahibi’nin/İlgili Kişi’nin Kurul’a şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması. Durumlarında İmha edilir.
5. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış İdari ve Teknik Tedbirler
Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka uygun olarak işlenmesinin sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi amacıyla aşağıdaki teknik ve idari tedbirleri almaktadır:
5.1 Teknik Tedbirler- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel veriler yedeklenmekte ve Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- İlgili çalışanlardan gizlilik taahhütnameleri alınmıştır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Periyodik ve rastgele denetimler yapılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Çalışanlar için yetki matrisi oluşturulmuştur.
6. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
6.1. Kişisel Verilerin Silinmesi- Merkezi sunucuda yer alan kişisel veriler, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile silinmektedirler.
- Taşınabilir medyada bulunan kişisel veriler (örneğin flash tabanlı saklama ortamında bulunan veriler) ise şifreli olarak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
- Veri tabanlarında bulunan kişisel veriler, ilgili satırların/sütunların ya da tablo içerisinde yer alan hücrelerin veri tabanı komutları ile (DELETE vb.) silinmektedir.
- Fiziksel ortamda tutulan kişisel veriler, arşivden sorumlu çalışan hariç, diğer çalışanlar için erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
- Kâğıt ortamında yer alan kişisel veriler, kâğıt kırpma makinalarında geri döndürülemeyecek şekilde yok edilir.
- Optik/ manyetik medyada yer alan kişisel veriler, özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması sağlanarak yok edilir.
- Kişisel verilerin başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini demektir.
- Maskeleme yöntemi ile veri sahibinin tanımlanmasını sağlayan temel belirleyici bilgiler (örn: isim, soyisim, TCKN) çıkartılarak anonimleştirme gerçekleştirilmektedir.
- Toplulaştırma yöntemi ile kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek bir şekilde (örn: 25 ile 30 yaş aralığındaki kişilerden gelen iş başvurusunun daha fazla olması) çıkartılarak anonimleştirme gerçekleştirilmektedir.
- Veri Türetme yöntemi ile kişisel verilerin içeriğinden daha genel bir içerik oluşturularak ve kişisel verinin herhangi bir şekilde bir kişiyle bağdaştırılamayacak şekilde (örn: doğum tarihleri yerine yaş yazılması) anonim hale getirme gerçekleştirilmektedir.
7. Kişisel Verileri Saklama ve İmha Süreçlerinde Görev Alanlar
İç Sistemler (İç Kontrol ve Risk Yönetimi) : Çalışanların Politika’ya uygun hareket etmesinden sorumludur. Bilgi İşlem Müdürü: Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. Diğer Birim Müdürleri: Görevlerine uygun olarak Politika’nın yürütülmesinden sorumludurlar.
8. Periyodik İmha Süreleri
Kişisel verilerin imha edilmesine ilişkin yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır. Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
| Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
| İnsan kaynakları çalışan süreçlerinin yürütülmesi | Çalışanın işten ayrılmasından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşmesel ilişkilerin yürütülmesi | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kamera Kayıtlarının Tutulması | Kaydedildiği andan itibaren 2 ay | Saklama süresinin bitiminde kendiliğinden |
| Ziyaretçi Kayıtlarının Oluşturulması | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket Yönetim Evraklarının Tutulması | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Muhasebe ve finans Kayıtlarının Tutulması | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Talep/şikayetlerin takibi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Faaliyetlerin Mevzuata Uygun Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bilgi Güvenliği Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hukuk İşlerinin Takibi Ve Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Risk Yönetimi Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Performans Değerlendirme Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İletişim Faaliyetlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Fiziksel Mekan Güvenliğinin Temini | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Mal / Hizmet Satış Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İş Faaliyetlerinin Yürütülmesi / Denetimi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Eğitim Faaliyetlerinin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Pazarlama Analiz Çalışmalarının Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi | Kayıt alındığı andan itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
9. Politika'nın Yayımlanması ve Saklanması
Bu Politika www.faturamatik.com.tr internet sitesinde yayınlanır ve saklanır.
10. Politika'nın Güncelleme Periyodu
Bu Politika ilgili kanun ve mevzuatta gerçekleşen değişikliklerle uyumlu olarak güncellenir.