WhatsApp
  • 05067520286
  • Kayseri, /

05067520286

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

  • Anasayfa
  • KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
AMAÇ:
Panaroma Mobilya İnşaat Turizm Otelsan Tic. A.Ş (“Şirket”), ticari faaliyetlerini yerine getirirken
hukuki sorumluluğunun bir parçası olarak, kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması
Kanunu (“KVKK”), ikincil mevzuat, ilgili diğer mevzuat ve Kişisel Verilerin Korunması Kurul’u
kararları ile diğer yetkili merci kararlarına uygun olarak korumakta, işlemekte, saklamakta,
aktarmakta ve imha etmektedir.
İş bu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 28 Ekim 2017 tarihli Resmi Gazete’de
yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca, Kişisel Veriler’in Şirket tarafından
Veri Sorumlusu sıfatıyla işlenmesindeki amaç ve amaca yönelik azami saklama süresinin
belirlenmesindeki esaslar ile silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri
hakkında Şirket’in tüm paydaşlarını bilgilendirmek amacıyla hazırlanmıştır.
TANIMLAR:
İş bu Politika’da, metnin içeriği aksini gerektirmedikçe, aşağıda belirtilen kelimeler, ifadeler veya
bunların türevleri, ilk harfleri büyük olarak kullanıldıkları sürece, aşağıdaki şekilde anlaşılmalıdır;
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu
olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişileri,
İmha: Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü
ortamı,
KVKK:6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Veriler’in İşlenmesi: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Veriler’in Anonim Hale Getirilmesi: Kişisel Veriler’in, başka verilerle eşleştirilerek dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini,
Kişisel Veriler’in Silinmesi: Kişisel Veriler’in İlgili Kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesini,
Kişisel Veriler’in Yok Edilmesi:Kişisel Veriler’in hiç kimse tarafından hiçbir şekilde erişilemez,
geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Periyodik İmha: KVKK’da yer alan Kişisel Veriler’in işlenme şartlarının tamamının ortadan
kalkması durumunda Kişisel Veriler’i saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri Sahibi/İlgili Kişi: Kişisel Verisi işlenen gerçek kişiyi,
Veri Sorumlusu: Kişisel Veriler’in İşlenmesi’nin amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Yönetmelik: 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi,
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir.
İşbu maddede yer almayan ancak Politika içerisinde ilk harfleri büyük olarak kullanılan kelimeler
bakımından KVKK ve Yönetmelik’te yer alan tanımlar geçerli kabul edilecektir.
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; müşteriler, aboneler, çalışanlar, çalışan adayları, ziyaretçiler ve hizmet
sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait
kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya
ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
Saklamaya İlişkin Açıklamalar
Kanunun 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü
maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği
belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre,
şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme
amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar
muhafaza edilir. Bu kapsamda kişisel veriler;
 6698 sayılı Kişisel Verilerin Korunması Kanunu,
 6098 sayılı Türk Borçlar Kanunu,
 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla
İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
 5018 sayılı Kamu Mali Yönetimi Kanunu,
 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
 4982 Sayılı Bilgi Edinme Kanunu,
 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
 4857 sayılı İş Kanunu,
 5434 sayılı Emekli Sağlığı Kanunu,
 İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
 Turizm Tesislerinin Niteliklerine İlişkin Yönetmelik
 Otel Yönetmeliği
 Turizm Tesisleri Yönetmeliği
 Otel İşletmeleri Hakkında Bütün Mevzuat
 Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen
saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar.
 İnsan kaynakları süreçlerini yürütmek.
 Şirketsel iletişimi sağlamak.
 İşyeri güvenliğini sağlamak,
 İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
 Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin
yerine getirilmesini sağlamak.
 Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
 Yasal raporlamalar yapmak.
 Çağrı merkezi süreçlerini yönetmek.
 İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
İmhayı Gerektiren Sebepler
Kişisel veriler;
 İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
 İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
 Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin açık rızasını geri alması,
 Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi,
 Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz
bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula
şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
 Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri
daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen
silinir, yok edilir veya anonim hale getirilir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci
maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul
tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde şirket tarafından teknik ve idari
tedbirler alınır.
Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
 Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
 Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile
şirketsel aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
 Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınmaktadır.
 Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik
kontroller yapılmaktadır.
 Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili
raporlama ve analiz çalışmaları yapılmaktadır.
 Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
 Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz
olması için gerekli tedbirleri almaktadır.
 Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu
durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından buna uygun bir sistem ve
altyapı oluşturulmuştur.
 Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri
güncel halde tutulmaktadır.
 Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
 Kişisel verilerin güvenli olarak saklanması harici diskler aracılığı ile sağlanmaktadır.
 Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
 Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel
ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş
çıkışlar engellenmektedir.
İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
 Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak
işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi,
kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657
sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
 Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri
imzalatılmaktadır.
 Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin
prosedürü hazırlanmıştır.
 Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma
yükümlülüğü yerine getirilmektedir.
 Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Verilerin Silinmesi
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili
mevzuat hükümlerine uygun olarak aşağıdaki tabloda belirtilen tekniklerle imha edilir.
VERİ KAYIT ORTAMI AÇIKLAMA
Sunucularda Yer Alan Kişisel
Veriler
Sunucularda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler için sistem yöneticisi
tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak
silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel
Veriler
Elektronik ortamda yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, veritabanı
yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilir.
Fiziksel Ortamda Yer Alan Kişisel
Veriler
Fiziksel ortamda tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler için evrak
arşivinden sorumlu birim yöneticisi hariç diğer
çalışanlar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilir. Ayrıca, üzeri
okunamayacak şekilde çizilerek /boyanarak /silinerek
karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan
Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel
verilerden saklanmasını gerektiren süre sona erenler,
sistem yöneticisi tarafından şifrelenerek ve erişim
yetkisi sadece sistem yöneticisine verilerek şifreleme
anahtarlarıyla güvenli ortamlarda saklanır.
Verilerin Yok Edilmesi
Kişisel veriler, aşağıdaki tabloda verilen yöntemlerle yok edilir.
VERİ KAYIT ORTAMI AÇIKLAMA
Fiziksel Ortamda Yer Alan Kişisel
Veriler
Kâğıt ortamında yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, kâğıt
kırpma makinelerinde geri döndürülemeyecek şekilde
yok edilir.
Kişisel Verilerin Anonim Hale Getirilmesi
 Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.
 Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya
üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla
dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi
gerekir.
SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
 Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Şirket İşlemleri 10 yıl Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Sözleşmelerin hazırlanması Sözleşmenin sona
ermesini takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Şirketin İletişim Faaliyetlerinin
İcrası
Faaliyetin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin
Yürütülmesi
Faaliyetin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim
Süreçlerinin Yürütülmesi
2 yıl Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Konaklama Hizmetine İlişkin
Kayıtlar
2 yıl Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Kamera Kayıtları 1 ay Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince şirket, periyodik imha süresini 6 ay olarak belirlemiştir.
Buna göre, şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda
yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da şirket tarafından
dosyasında saklanır.
POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.