KVKK AYDINLATMA METNİ

KVKK AYDINLATMA METNİ

Penezoğlu Hukuk Bürosu (‘’ Penezoğlu Hukuk”) aktarılan kişisel verilerin korunması konusundaki temel bilgilere aşağıda yer verilmiştir. Penezoğlu Hukuk, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 10’dan doğan aydınlatma yükümlülüğünü yerine getirmek amacıyla aşağıdaki açıklamaları müşterilerimizin ve web-sitemizi ve/veya mobil uygulamalarımızı kullanan 3. kişilerin dikkatine sunar. Penezoğlu Hukuk işbu Kişisel Verilerin Korunması Hakkında Açıklama metnini yürürlükteki mevzuatta yapılabilecek değişiklikler çerçevesinde her zaman güncelleme hakkını saklı tutar.

 

Penezoğlu Hukuk Bürosu

Esentepe Mah. 23 Temmuz Sok. No:2 Şişli/İstanbul – Türkiye

 

Penezoğlu Hukuk ile paylaşılan kişisel veriler, Penezoğlu Hukuk gözetimi ve kontrolü altındadır. Penezoğlu Hukuk, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir. Bu konudaki yükümlülüğümüzün bilincinde olarak veri gizliliğini konu alan uluslararası ve ulusal teknik standartlara uygun surette periyodik aralıklarda sızma testleri yaptırılmakta ve bu kapsamda veri işleme politikalarımızı her zaman güncellediğimizi bilginize sunarız.

 

  1. Kişisel Verilerin Toplanmasının Yasal Dayanağı

 

Kişisel verileriniz KVKK 5/1, 5/2 ve 6/2 ve 6/3 maddeleri çerçevesinde işlenmektedir.

 

  1. Kişisel Verilerin Toplanma Yöntemleri

 

https://localhost/penez/ sitemiz aracılığıyla paylaşılan veriler; fiziki ve elektronik ortamda işlenmektedir.

 

  1. Kişisel Verilerin İşlenme Sebebi

 

Kişisel verileriniz şu amaçlarla kullanılmaktadır:

  • web sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etmek,
  • iletişim için adres ve diğer gerekli bilgileri kaydetmek,
  • mesafeli satış sözleşmesi ve Tüketicinin Korunması Hakkında Kanun’un ilgili maddeleri tahtında akdettiğimiz sözleşmelerin koşulları, güncel durumu ve güncellemeler ile ilgili müşterilerimiz ile iletişime geçmek, gerekli bilgilendirmeleri yapabilmek,
  • elektronik (internet/mobil vs.) veya kağıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
  • mesafeli satış sözleşmesi ve Tüketicinin Korunması Hakkında Kanun’un ilgili maddeleri tahtında akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek,
  • kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
  • kullanıcılara daha iyi bir alışveriş deneyimini sağlamak, müşterilerimizin ilgi alanlarını dikkate alarak müşterilerimizin ilgilenebileceği ürünlerimiz hakkında müşterilerimize bilgi verebilmek, kampanyaları aktarmak,
  • kullanıcı memnuniyetini artırmak, web sitesi ve/veya mobil uygulamalardan alışveriş yapan müşterilerimizi tanıyabilmek ve müşteri çevresi analizinde kullanabilmek, çeşitli pazarlama ve reklam faaliyetlerinde kullanabilmek ve bu kapsamda anlaşmalı kuruluşlar aracılığıyla elektronik ortamda ve/veya fiziki ortamda anketler düzenlemek,
  • anlaşmalı kurumlarımız ve çözüm ortaklarımız tarafından müşterilerimize öneri sunabilmek, hizmetlerimizle ilgili müşterilerimizi bilgilendirebilmek,
  • hizmetlerimiz ile ilgili müşteri şikayet ve önerilerini değerlendirebilmek,
  • yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
  • dolandırıcılık ve diğer yasa dışı faaliyetlerin önüne geçebilmek.

 

  1. Kişisel Verilerinizin Aktarıldığı 3. Kişiler

 

Müşterilerimize ait kişisel verilerin üçüncü kişiler ile paylaşımı, müşterilerin izni çerçevesinde gerçekleşmekte ve kural olarak müşterimizin onayı olmaksızın kişisel verileri üçüncü kişilere aktarılmamaktadır.Bununla birlikte, yasal yükümlülüklerimiz nedeniyle ve bunlarla sınırlı olmak üzere mahkemeler ve diğer kamu kurumları ile kişisel veriler paylaşılmaktadır. Ayrıca, taahhüt ettiğimiz hizmetleri sağlayabilmek ve verilen hizmetlerin kalite kontrolünü yapabilmek için anlaşmalı üçüncü kişilere kişisel veri aktarımı yapılmaktadır.Kişisel verileriniz Penezoğlu Hukuk tarafından yukarıda sayılan işlenme amacı ve sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Penezoğlu Hukuk tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Penezoğlu Hukuk’un ticari ve/veya iş stratejilerinin planlanması ve icrası, Penezoğlu Hukuk’un ve Penezoğlu Hukuk ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini ile Penezoğlu Hukuk’un sunduğu ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası da dâhil olmak üzere Penezoğlu Hukuk’un yöneticileriyle, faaliyetlerimizi yürütebilmek için işbirliği yaptığımız kurum, kuruluşlarla, verilerin bulut ortamında saklanması hizmeti aldığımız yurtiçi/yurtdışı kişi ve kurumlarla, anlaşmalı olduğumuz bankalarla, üçüncü kişilerle ve ilgili iş ortaklarımızla paylaşılabilmektedir.

 

  1. Kişisel Verilerin Korunması Kanunu uyarınca müşterilerimizin hakları:

 

KVKK uyarınca kişisel verilerinizin;

  • işlenip işlenmediğini öğrenme,
  • işlenmişse bilgi talep etme,
  • işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme,
  • eksik / yanlış işlenmişse düzeltilmesini isteme,
  • KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,
  • aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
  • münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • KVKK’ya aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahip olduğunuzu hatırlatmak isteriz.

 

Yukarıda yapılan açıklamalar çerçevesinde ve https://localhost/penez/ adresinde yer alan Gizlilik Politikası dâhilinde KVKK’ya uygun olarak Penezoğlu Hukuk tarafından kişisel verilerimin toplanmasına, işlenmesine, güncellenmesine, periyodik olarak kontrol edilmesine, veri tabanında tutulmasına ve saklanmasına ve 4. maddede belirtilen kurum ve kuruluşlarla paylaşılmasına ve kişisel verilerimin bunlar tarafından da tutulmasına ve saklanmasına muvafakat ediyorum.

 

İşbu bilgilendirme yazısı, KVKK’nın 10. maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmek üzere hazırlanmıştır.

 

 

PENEZOĞLU HUKUK BÜROSU KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

A.     KAPSAM

  1. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”); Penezoğlu Hukuk Bürosu’nun (“Penezoğlu Hukuk”) kişisel veri işlediği süreçlere dâhil olan tüm birim ve çalışanları ile üçüncü tarafları kapsamaktadır.
  2. İşbu Politika; ofisin kişisel veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır.
  3. İşbu Politika sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır.
  4. Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda ofis, Politika’yı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.

 

 

B.      TANIMLAR

İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;

Alıcı grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerin oluşturduğu gruptur.
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kurul Kişisel Verileri Koruma Kurulu’dur.
Periyodik imha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen belirli zaman aralıklarında ofis tarafından resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Sicil Halihazırda yürürlükte olmayan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’na göre  Kurul tarafından tutulacak Veri Sorumluları Sicilidir..
Veri kayıt sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

C.     AMAÇ VE KAPSAM

İşbu Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan kişisel verilerin imhasından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanır ve Penezoğlu Hukuk ile Penezoğlu Hukuk’un sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirler.

Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

  1. a) Kanunun 4 üncü maddesindeki genel ilkelere uyulacaktır.
  2. b) Penezoğlu Hukuk, işbu Politika2yı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, Kanun ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.
  3. c) Penezoğlu Hukuk, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurulu’un alacağı kararlara ve bu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
  4. d) Penezoğlu Hukuk, bünyesinde bulundurduğu kişisel verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
  5. e) Penezoğlu Hukuk, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili oluşturulan teknik kılavuzlarda tarif edilir..
  6. f) Penezoğlu Hukuk, Kişisel verileri saklama ve imha süreçlerinde yer alacakların unvan, birim ve görev tanımlarını belirler.

D.     KAYIT ORTAMLARI

Penezoğlu Hukuk, işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politika’nın kapsamına dahil etmeyi kabul eder.

  1. Ofis adına kullanılan bilgisayarlar / sunucular
  2. Ağ cihazları,
  3. Ağ üzerinde veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri,
  4. Mobil telefonlar ve içerisindeki tüm saklama alanları,
  5. Kağıt,
  6. Mikrofiş,
  7. Yazıcı, Parmak izi okuyucu gibi çevre birimler,
  8. Manyetik bantlar,
  9. Optik diskler,
  10. Flash hafızalar.

E.      KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR

Aşağıda belirtilen kapsamda bir ihlal olması durumunda potansiyel güvenlik ihlal durumu kabul edilerek ofis tarafından ilgili güvenlik ihlal süreçleri işletilecek bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda ofis yönetimi, Kurul ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu rapor ve bildirimlerin yapılması için Ofis’ in ihlal yönetimi süreçleri uygulanacaktır.

 

  1. Kanun’a Aykırılık

Ofis, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.

Ofis, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

  1. Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamayacaktır.
  2. İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Penezoğlu Hukuk bu kişisel verileri saklamayacak ve imha edecektir.

 

 

  1. Kişisel Veri İşleme Şartlarının Ortadan Kalkması

Penezoğlu Hukuk, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri işleyen ilgili tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile İç Kontrol, Uyum ve Hukuk bölümü tarafından yapılır ve işbu Politika’ya uygun şekilde imha işlemi gerçekleştirir.

Ofis aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

  1. İlgili mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması;
  2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun ofis tarafından kabulü,
  7. Ofis, ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

F.      KİŞİSEL VERİLERİN İMHASI

Kişisel verilerin imhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir.

Penezoğlu Hukuk bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi sistemleri ve uygulama sahipleri, İç Kontrol ve konuyla ilgili olabilecek diğer kişi ya da bölümler kişisel verilerin imhası için uygulanacak yönteme bu imhanın nedenine bağlı olarak yazılı karar verir. Bu yazılı karar gereğince işbu Politika’nın Gmaddesindeki imha yöntemlerinden biri Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır.

Kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili Ofis ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar.

Kişisel verilerin imhasının takibi Ofis içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi kendisi tarafından yapılmak kaydıyla Ofis’in farklı birimlerinden destek alır.

  1. Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Ofis kişisel verilere erişim ve yetkilendirme anlamında Ofis’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dahilinde güncellemelerini yapar ve ilgili kullanıcıları tespit eder.  İlgili Kullanıcılar’ın erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit edilir.

Ofis, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Ofis, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.

  1. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok etme işlemi, Ofis‘in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Ofis bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.

Kağıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir.  Ayrıca, Ofis bu kapsamda üçüncü taraflardan imha hizmeti alabilir.

  1. Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, Ofis’in kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Ofis, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar.

Verilerin anonimleştirilmesi sırasında Ofis, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.

G.     KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ

Kişisel verilerin imhası için Ofis, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.

Kişisel verilerin imhası sırasında Ofis vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:

  1. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

  1. Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

  1. Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

  1. Bulut İmhası

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

  1. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

H.     SAKLAMA VE İMHA SÜRELERİ

 

  1. Periyodik İmha ve Yasal Saklama Süreleri

 

Yasal saklama ve imha sürelerini dolduran fiziksel ve elektronik veriler, periyodik olarak imha edilir. Ofis, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder.

 

Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. İmha işlemi, imha yükümlülüğünün doğmasını takiben ilk Periyodik imha sırasında uygulanır.

 

İmha edilen kişisel verilere ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar 3 yıl süre ile saklanır.

 

  1. Veri Sahiplerinin Talep Etmesi Durumunda İmha Süreci

 

Veri sahiplerinin Ofis’e başvurarak kendisine ait kişisel verilerin imhasını talep ettiği durumlarda Ofis, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder. Söz konusu kontrol sonucunda;

 

  • Kişisel verileri işleme şartlarının tamamının ortadan kalktığı anlaşılırsa, talebe konu kişisel veriler işbu Politika’da belirtilen karar ve yöntemlere uygun olarak en geç otuz gün içinde imha edilir ve ilgili kişiye bilgi verilir.
  • Kişisel verileri işleme şartlarının ortadan kalktığı ve talebe konu olan kişisel verilerin üçüncü kişilere aktarıldığı anlaşılmışsa Ofis bu durumu ilgili üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Ofis ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

Veri sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Ofis bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi Süreci oluşturulur.

 

  • SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME

 

Ofis, kişisel verileri saklama ve imha süreçlerinde görev alanlar ve iş tanımları aşağıdaki gibidir;

 

  • KVKK Çalışma Grubu: Kişisel verilerin saklanması ve imhası konusunda Ofis’in ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve eklerinin güncel tutulmasına sağlar, gerekli durumlarda ofisin ilgili birimleri ile yakın çalışarak Politika’nın Kanun ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.

 

  • İç Kontrol, Uyum ve Hukuk: Kişisel verilerin saklanması ve imhası ile ilgili hukuki konularda danışmanlık yapar,  Kanun, Yönetmelik ve ilgili mevzuat değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar. Politika’nın Kanun ve Yönetmeliğe uygun olarak yürütülmesini temin eder.

 

  • Bilgi teknolojileri: Politika’da belirtilen karar ve yöntemler ışığında ilgili imha ve saklama süreçlerinin Kanun ve Yönetmeliğe uygun şekilde gerçekleştirilmesini sağlar.

 

  • Ofisin ilgili iş birimleri: Kişisel verilerin saklanması ve imhası konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini belirtir ve bu Politika nezdinde yürütülmesi aksiyonların takibini yapar.

J.       POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

  1. Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Ofis işbu Politika’yı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.

 

  1. Ofis, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.

K.     POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika __/__/_____tarihinde yürürlüğe girmiştir.