1. Amaç ve Kapsam

Hazırlanan bu Kişisel Verileri Saklama ve İmha Politikası (Politika), 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve diğer ilgili mevzuat uyarınca yükümlülüklerimizi yerine getirmek, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama ve imha sürelerini belirlemek amacıyla hazırlanmıştır. Kişisel verilerin saklanmasına ve imhasına ilişkin tüm prosedür Politika’ya uygun olarak gerçekleştirilecektir. Şirketimiz çalışanları, çalışan adayları, hizmet sağlayıcıları, temsilcileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Şirketimizin sahip olduğu ya da Şirketimiz tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ile kişisel veri işlenmesine yönelik tüm faaliyetlerde bu Politika uygulanacaktır.


2. Tanımlar

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Çalışan Şirketimizin çalışanları.
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde kişisel verileri işleyen çalışan.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi.
Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Sahibi/İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verilerin yok edilmesi Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
Kurul Kişisel Verileri Koruma Kurulu.
Kurum Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika Faturamatik Elektronik Para Ve Ödeme Kuruluşu A.Ş. Kişisel Verileri Saklama ve İmha Politikası.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

3. Kayıt Ortamları

Şirketimiz bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir şekilde Elektronik Ortam’da (CRM, MS SQL Server, E-Posta Kutusu, Microsoft Office Programları, Görüntü Kayıt Cihazları) ya da Elektronik Olmayan Ortam’da ( Birim Dolapları, Klasörler, Arşiv) muhafaza edilmektedirler.


4. Kişisel Verilerin Saklanması ve İmhasını Gerektiren Hukuki, Teknik ya da Diğer Sebeplere İlişkin Açıklama

4.1 Şirketimiz tarafından; Şirketimiz çalışanları, çalışan adayları, hizmet sağlayıcıları, temsilcileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler Kanun’a uygun şekilde, Kanun’da ve ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanırlar ve imha edilirler.

4.2 Kişisel veriler; ilgili Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması haline, Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilirler.

4.3 Kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4982 Sayılı Bilgi Edinme Kanunu ve diğer ilgili mevzuat uyarınca öngörülen saklama süreleri kadar saklanmaktadırlar.

4.4 Kişisel veriler;

  • İnsan kaynakları süreçlerini yürütmek,
  • Kurumsal iletişimi sağlamak,
  • Kurumsal güvenliği sağlamak,
  • İstatiksel çalışmalar yapabilmek,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
  • Şirketimiz ile iş ilişkisinde bliunan gerçek/ tüzel kişilerle irtibat sağlamak,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

Amaçları doğrultusunda saklanmaktadır.

4.5 Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel veriyi işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kişisel Veri Sahibi’nin/İlgili Kişi’nin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
  • Şirketimizin, Kişisel Veri Sahibi/İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, Kanun'da öngörülen süre içinde cevap vermemesi veya verdiği cevabın yetersiz bulunması hallerinde; Kişisel Veri Sahibi’nin/İlgili Kişi’nin Kurul’a şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması. Durumlarında İmha edilir.

5. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış İdari ve Teknik Tedbirler

Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka uygun olarak işlenmesinin sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi amacıyla aşağıdaki teknik ve idari tedbirleri almaktadır:

5.1 Teknik Tedbirler
  • Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel veriler yedeklenmekte ve Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
5.1 İdari Tedbirler
  • Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • İlgili çalışanlardan gizlilik taahhütnameleri alınmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Periyodik ve rastgele denetimler yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Çalışanlar için yetki matrisi oluşturulmuştur.

6. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler

6.1. Kişisel Verilerin Silinmesi
  • Merkezi sunucuda yer alan kişisel veriler, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile silinmektedirler.
  • Taşınabilir medyada bulunan kişisel veriler (örneğin flash tabanlı saklama ortamında bulunan veriler) ise şifreli olarak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
  • Veri tabanlarında bulunan kişisel veriler, ilgili satırların/sütunların ya da tablo içerisinde yer alan hücrelerin veri tabanı komutları ile (DELETE vb.) silinmektedir.
  • Fiziksel ortamda tutulan kişisel veriler, arşivden sorumlu çalışan hariç, diğer çalışanlar için erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
6.2. Kişisel Verilerin Yok Edilmesi
  • Kâğıt ortamında yer alan kişisel veriler, kâğıt kırpma makinalarında geri döndürülemeyecek şekilde yok edilir.
  • Optik/ manyetik medyada yer alan kişisel veriler, özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması sağlanarak yok edilir.
6.3. Kişisel Verilerin Anonim Hale Getirilmesi
  • Kişisel verilerin başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini demektir.
  • Maskeleme yöntemi ile veri sahibinin tanımlanmasını sağlayan temel belirleyici bilgiler (örn: isim, soyisim, TCKN) çıkartılarak anonimleştirme gerçekleştirilmektedir.
  • Toplulaştırma yöntemi ile kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek bir şekilde (örn: 25 ile 30 yaş aralığındaki kişilerden gelen iş başvurusunun daha fazla olması) çıkartılarak anonimleştirme gerçekleştirilmektedir.
  • Veri Türetme yöntemi ile kişisel verilerin içeriğinden daha genel bir içerik oluşturularak ve kişisel verinin herhangi bir şekilde bir kişiyle bağdaştırılamayacak şekilde (örn: doğum tarihleri yerine yaş yazılması) anonim hale getirme gerçekleştirilmektedir.

7. Kişisel Verileri Saklama ve İmha Süreçlerinde Görev Alanlar

İç Sistemler (İç Kontrol ve Risk Yönetimi) : Çalışanların Politika’ya uygun hareket etmesinden sorumludur. Bilgi İşlem Müdürü: Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. Diğer Birim Müdürleri: Görevlerine uygun olarak Politika’nın yürütülmesinden sorumludurlar.


8. Periyodik İmha Süreleri

Kişisel verilerin imha edilmesine ilişkin yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır. Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Süreç Saklama Süresi İmha Süresi
İnsan kaynakları çalışan süreçlerinin yürütülmesi Çalışanın işten ayrılmasından itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmesel ilişkilerin yürütülmesi Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtlarının Tutulması Kaydedildiği andan itibaren 2 ay Saklama süresinin bitiminde kendiliğinden
Ziyaretçi Kayıtlarının Oluşturulması Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket Yönetim Evraklarının Tutulması Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve finans Kayıtlarının Tutulması Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep/şikayetlerin takibi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Faaliyetlerin Mevzuata Uygun Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Bilgi Güvenliği Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuk İşlerinin Takibi Ve Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Risk Yönetimi Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Performans Değerlendirme Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Faaliyetlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekan Güvenliğinin Temini Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mal / Hizmet Satış Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Faaliyetlerinin Yürütülmesi / Denetimi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğitim Faaliyetlerinin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Pazarlama Analiz Çalışmalarının Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi Kayıt alındığı andan itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

9. Politika'nın Yayımlanması ve Saklanması

Bu Politika www.faturamatik.com.tr internet sitesinde yayınlanır ve saklanır.


10. Politika'nın Güncelleme Periyodu

Bu Politika ilgili kanun ve mevzuatta gerçekleşen değişikliklerle uyumlu olarak güncellenir.