KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI



Kısaltma Tanım
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Şirket İZAYDAŞ (İzmit Atık ve Artıkları Arıtma Yakma ve Değerlendirme A.Ş.)
Verbis Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği veri kayıt sistemi.
Veri Sahibi/İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik 28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

  • KAYIT ORTAMLARI

  • İlgili kişiye ait kişisel veriler, İZAYDAŞ tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere, ilgili mevzuata uygun olarak uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

    Elektronik Ortamlar:
  • Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
  • Yazılımlar (ofis yazılımları, portal, EBYS, MEYER, AX vb.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
  • Kişisel bilgisayarlar (masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Diğer
  • Fiziksel Ortamlar:
  • Birim dolapları
  • Arşiv

  • İLKELER

    İZAYDAŞ, kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket etmektedir:

    İş sözleşmesinin kurulması ve ifası amacıyla, özellikle;
    SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

    Veri sahiplerine ait kişisel veriler; İZAYDAŞ tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

    Saklamayı gerektiren sebepler aşağıdaki gibidir:
    Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, İZAYDAŞ tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir: SAKLAMA VE İMHA SÜRELERİ

    İZAYDAŞ tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

    Veri Kategorisi Veri Saklama Süresi
    1-Kimlik Diğer
    Hukuki İlişki + 10 Yıl
    2-İletişim Diğer
    Hukuki İlişki + 10 Yıl
    3-Lokasyon Diğer
    Hukuki İlişki + 10 Yıl
    Özlük Diğer
    İş Akdi Sona Erdikten Sonra 10 Yıl
    Hukuki İşlem Diğer
    Hukuki İlişki + 20 Yıl
    Müşteri İşlem Diğer
    Hukuki İlişki + 10 Yıl
    Fiziksel Mekan Güvenliği Diğer
    Kamera Kayıtları İçin 1 Yıl, Diğer Veriler İçin 10 Yıl
    İşlem Güvenliği 2 Yıl
    Risk Yönetimi Diğer
    Hukuki İlişki + 10 Yıl
    11-Mesleki Deneyim Diğer
    Çalışanlar İçin İş Akdi Sona Erdikten Sonra 10 Yıl, Çalışan Adayları İçin 1 Yıl
    12-Pazarlama Diğer
    Hukuki İlişki + 10 Yıl
    13-Görsel Ve İşitsel Kayıtlar Diğer
    Kamera Kayıtları 1 Yıl, Çalışanlar İçin İş Akdi Sona Erdikten Sonra 10 Yıl, Çalışan Adayları 1 Yıl
    17-Kılık Ve Kıyafet Diğer
    İş Akdi Sona Erdikten Sonra 10 yıl
    20-Sendika Üyeliği Diğer
    Çalışanlar için iş akdi sona erdikten sonra 10 yıl, çalışan adayları 1 yıl
    21-Sağlık Bilgileri Diğer
    İş Akdi Sona Erdikten Sonra 15 Yıl
    23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Diğer
    İş Akdi Sona Erdikten Sonra 10 Yıl
    24-Biyometrik Veri Diğer
    İş Akdi Sona Erdikten Sonra 10 Yıl
    25-Diğer Bilgiler-Aile Bireyleri ve Yakınları Bilgisi Diğer
    İş Akdi Sona Erdikten Sonra 10 Yıl
    26-Diğer Bilgiler-Araç Bilgisi Diğer
    İş Akdi Sona Erdikten Sonra 10 Yıl
    27-Diğer Bilgiler-Referans Bilgisi Diğer
    Çalışanlar için iş akdi sona erdikten sonra 10 yıl, çalışan adayları için 1 yıl

    Saklama süresi dolan kişisel veriler, yukarıda yer alan imha süreleri çerçevesinde, 4 aylık periyodlarla işbu Politika ’da yer verilen usullere uygun olarak kontrol edilmeli ve muhafaza süresinin dolduğu tespiti üzerine, birim sorumlusunun vereceği yazılı talimat üzerine birim çalışanı ilgili verinin imha sürecini tamamlamalıdır. İmha işlemi bir tutanakla kayıt altına alınmalıdır.

    KİŞİSEL VERİLERİN SAKLANMASI, İŞLENMESİ, HUKUKA AYKIRI ERİŞİMİN ÖNLENMESİ VE İMHASI İÇİN ALINAN TEDBİRLER

    İZAYDAŞ tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde İZAYDAŞ tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir. Her bir birim özelinde işlenen verilerin muhafaza sürelerinin dolup dolmadığını ve dolmuşsa bunların imha edilmesi hususlarındaki işlemleri talep konusunda birim sorumlusunun görevlendirilmesi ve bu görevlilerin her bir birim için özel olarak belirlenmiş olan muhafaza sürelerinin takibini gerçekleştirmesi, irtibat kişisinin de tüm birim sorumlularının bu muhafaza yükümlülüğünü yerine getirip getirmediğini denetlemesi yerinde olacaktır. Muhafaza süresinin dolduğu tespiti üzerine, birim sorumlusunun vereceği yazılı talimat üzerine birim çalışanı ilgili verinin imha sürecini tamamlamalıdır. Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, İZAYDAŞ tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

    İdari Tedbirler: Teknik Tedbirler: KİŞİSEL VERİLERİN İMHA USULLERİ

    İZAYDAŞ kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler İZAYDAŞ’ın politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. İZAYDAŞ; Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde ise, uygun yöntemi gerekçesini açıklayarak seçer. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

    a.Kişisel Verilerin Silinmesi ve Yok Edilmesi:

    Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemdir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. İZAYDAŞ, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Bununla birlikte İZAYDAŞ, kişisel verilerin silinmesi ve yok edilmesi tekniklerinde Kurum’un yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni” dikkate almakta ve bu rehberde yayınlanan örneklerden uygun olanını seçmektedir.

    b.Kişisel Verilerin Anonim Hale Getirilmesi:

    Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. İZAYDAŞ, tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. İZAYDAŞ, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. İZAYDAŞ, bu teknikleri uygularken Kurum’un yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni” dikkate almakta ve bu rehberde yayınlanan örneklerden uygun olanını seçmektedir.

    GÜNCELLEME VE UYUM

    KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. Şirket, Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.