Kişisel Veri Saklama ve İmha Politikası

PEOPLEIN İNSAN KAYNAKLARI VE DANIŞMANLIK LTD. ŞTİ. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI. 3

1.    Giriş. 3

2.    Kapsam.. 3

3.    Tanımlar. 4

4.    Politikanın Yürürlüğü. 5

5.    Kişisel Verilerin Saklanması ve İmhasına İlişkin Esaslar. 5

6.    Kayıt Ortamları 6

a)    Elektronik ortamlar: 7

b)    Fiziksel ortamlar: 7

7.    Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar. 7

8.    Teknik ve İdari Tedbirler. 8

a)    İdari Tedbirler: 8

b)    Teknik Tedbirler: 8

9.    Saklama ve İmha Süreçlerinde Görevli Personel 9

10.     Saklama ve İmha Süreleri 9

11.     Periyodik İmha Süreleri 10

12.     Kişisel Verilerin İmha Usulleri 10

a)    Kişisel Verilerin Silinmesi Teknikleri: 10

b)    Kişisel Verilerin Yok Edilmesi Teknikleri: 10

c)    Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri 10

13.     Güncelleme ve Değişiklikler. 11

EK-1: Personel Unvan, Birim ve Görev Listesi 12

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. Giriş

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla PEOPLEIN İNSAN KAYNAKLARI VE DANIŞMANLIK LTD. ŞTİ. (“Şirket”) tarafından, Şirketin Kişisel Veri İşleme Envanterine uygun olarak hazırlanmıştır.

• Kapsam

İşbu Politika, aşağıdaki hususlara ilişkin bilgilendirmeyi kapsamaktadır:

1. İşbu Politikanın hazırlanma amacını,
2. Kişisel Verilerin kaydedildiği kayıt ortamlarını,
3. Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
4. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
5. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
6. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
7. Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
8. Saklama ve imha sürelerini gösteren tabloya,
9. Periyodik imha sürelerine,
10. Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.

• Tanımlar

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder: 

1. Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,
2. Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi,
3. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
4. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
5. Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
6. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
7. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
8. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
9. Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
10. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
11. Kurul: Kişisel Verileri Koruma Kurulunu,
12. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
13. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
14. Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
15. Silme: Kişisel verilerin silinmesi, kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi,
16. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
17. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
18. Yok etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

ifade eder.

• Politikanın Yürürlüğü

İşbu Politika, Şirketin 01.01.2025 tarihli Yönetim Kurulu kararı ile onaylanarak, 01.02.2025 tarihinde yürürlüğe girmiştir. Politika’da değişiklik gerekmesi durumunda, ilgili maddeler bu doğrultuda güncellenecektir. İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar işbu Politikanın 13. Maddesinde belirtilir.

• Kişisel Verilerin Saklanması ve İmhasına İlişkin Esaslar

Şirket tarafından Kişisel Verilerin saklanması ve imhasında, aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

1. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
2. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
3. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
4. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
5. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler ile, 12. Maddesi kapsamında alınması gereken teknik ve idari tedbirlere, işbu Politikaya, Şirketin Kişisel Verilerin Korunması ve İşlenmesi Politikasına, ilgili mevzuat hükümlerine, Kurul kararlarına tamamen uygun hareket edilmektedir.
6. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.
7. Kurul tarafından aksine bir karar alınmadıkça, Kişisel Verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilmesi mümkündür.
8. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için ve/veya kişisel verilerin yok edilmesi / anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
9. Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

• Kayıt Ortamları

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

1. Elektronik ortamlar:
2. Arşiv Programları
3. Depolama Hizmetleri
4. Microsoft Office Programları
5. Harici Diskler
6. E-mail
7. Kamera Kayıt Arşivleri
8. Hetzner
9. Supabase
10. OpenAI
11. Google Cloud
12. Microsoft Azure
13. Şirket içi sunucular
14. E-posta sunucuları
15. Kurumsal yazılımlar ve ERP sistemleri
16. Veritabanları (SQL, NoSQL)
17. Şifreli yedekleme sistemleri
18. CRM ve müşteri yönetim sistemleri
19. E-doküman yönetim sistemleri
20. Güvenlik ve erişim kontrol sistemleri
21. Fiziksel ortamlar:
22. Birim Dolapları
23. Arşiv

• Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Yönetmelik uyarınca, kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ve/veya Kanunun 5. ve 6. maddelerinde yer alan işlenme şartlarının tamamının ortadan kalkması halinde veri sahiplerine ait kişisel veriler, Şirket tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

• Teknik ve İdari Tedbirler

Kişisel Verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

1. İdari Tedbirler:
2. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırılır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
3. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirilir.
4. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlanır.
5. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verilir.
6. Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırılır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilir.
7. Teknik Tedbirler:
8. Kurulan sistemler kapsamında gerekli iç kontroller yapılır.
9. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçleri yürütülür.
10. Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulması sağlanır.
11. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolü sağlanır.
12. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulması sağlanır.
13. Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
14. Kanunun 12.  maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.

• Saklama ve İmha Süreçlerinde Görevli Personel

Kişisel verileri saklama ve imha süreçlerinde yer alan personelimizin unvanları, birimleri ve görev tanımları Ek-1 (Personel Unvan, Birim ve Görev Listesi)’de listelenmiştir.

1. Saklama ve İmha Süreleri

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

1. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
2. Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
3. Kişisel veriler, Kanunun 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler işleme amaçlarının ortadan kalkması halinde imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
4. Verinin saklanmasının Kanunun 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanunun 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
5. Verinin saklanmasının Kanunun 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde, ilk periyodik imha döneminde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, Kişisel Veri İşleme Envanteri’nde yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az beş yıl süreyle saklanır.

1. Periyodik İmha Süreleri

Şirket bünyesinde periyodik imha altı ayda bir, saklama ve imha süreçlerinde görevli personel tarafından gerçekleştirilecektir.

1. Kişisel Verilerin İmha Usulleri

Şirket tarafından Kanun ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirket tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak, aşağıda belirtilen teknikler ile silinecek, yok edilecek veya anonim hale getirilecektir.  

1. Kişisel Verilerin Silinmesi Teknikleri:
2. Yazılımdan Güvenli Olarak Silme
3. Uzman Tarafından Güvenli Olarak Silme
4. Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması
5. Kişisel Verilerin Yok Edilmesi Teknikleri:
6. De-manyetize Etme
7. Fiziksel Yok Etme
8. Üzerine Yazma
9. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri
10. Değişken Çıkartma
11. Kayıtları Çıkartma
12. Bölgesel Gizleme
13. Alt ve Üst Sınır Kodlama
14. Genelleştirme
15. Global Kodlama
16. Gürültü Ekleme
17. Mikro Birleştirme
18. Veri Değiş Tokuşu
19. Maskeleme (Masking)
20. Toplulaştırma (Aggregation)
21. Veri Türetme (Data Derivation)
22. Veri Karma (Data Shuffling, Permutation)

1. Güncelleme ve Değişiklikler

Şirket, Kanun’da ve bağlı mevzuatında yapılan değişiklikler, Kurul kararları ve/veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.  İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar bu bölümde belirtilir.

01.02.2025      : Kişisel Verilerin İşlenmesi ve Korunması Politikası, Şirket Yönetim Kurulu tarafından kabul edilerek yürürlüğe girmiştir.

EK-1: Personel Unvan, Birim ve Görev Listesi[GS1] 

 [GS1] Örnek olarak doldurulmuştur. Seçilen Kişisel Veri Komitesine uygun olarak doldurulmalıdır.