EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş.

KİŞİSEL VERİLERİ 

SAKLAMA VE İMHA POLİTİKASI


 

 

 

 

KİŞİSEL VERİLERİ SAKLAMAVE İMHA POLİTİKASI

MADDE 1 – POLİTİKANIN AMACI

İşbu Kişisel Verileri Saklama, Anonimleştirme ve İmha Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 28 Ekim 2018 tarih ve 30224 sayılı Resmi Gazete ’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ikincil mevzuat çerçevesinde EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş.- Erzene Mah. Ankara Cad. Ege Tekno Park Blok No:172/67 Bornova/ İzmir (“Şirket” veya ‘’EDUJI‘’ olarak anılacaktır.) olarak şirketimiz tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları düzenlemektedir.

MADDE 2 – POLİTİKANIN KAPSAMI

KVKK madde 7 uyarınca veri sorumlusu olarak tanımlanan şirketimiz tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülüklerini kapsamaktadır.

MADDE 3 – TANIMLAR

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.

 

Alıcı grubu 

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade etmektedir.

 

Anonim hâle getirme

 

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi anlamına gelmektedir.

 

İlgili kişi

Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

 

İlgili kullanıcı

 

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade etmektedir.

 

İmha 

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade etmektedir.

 

Karartma

 

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler anlamına gelmektedir.

 

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı anlamına gelmektedir.

 

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (işbu örneklerle sınırlı olmamak üzere: ad- soyad, TC, e-posta, adres, doğum tarihi, kredi kartı numarası vb.) ifade etmektedir.

 

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterini ifade etmektedir.

 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

 

Kişisel Veri Sahibi / İlgili Kişi

Kişisel verisi işlenen gerçek kişileri (müşteriler, tedarikçiler, çalışanlar, ziyaretçiler vb.) ifade etmektedir.

 

Kişisel Verilerin Silinmesi

 

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına gelmektedir.

 

Kişisel Verilerin Yok Edilmesi

 

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi anlamına gelmektedir.

Kurul

Kişisel Verileri Koruma Kurumu/Kurulu’ ifade etmektedir.

 

Maskeleme

Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri ifade etmektedir.

 

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade etmektedir.

 

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, çalışan adaylarının bilgilerini göndermiş olduğu tedarikçi Şirketler.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir.

 

Veri Sorumluları Sicili

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili anlamına gelmektedir.

 

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Şirketimiz bu kapsamda veri sorumlusu olarak addedilmektedir.

MADDE 4 – KAYIT ORTAMLARI

İşbu Politika madde 3 uyarınca kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı anlamına gelmektedir. Kişisel veriler Şirketimizde veri güvenliği hususu gözetilerek KVKK ve diğer ilgili mevzuat hükümleri çerçevesinde aşağıdaki kayıt ortamlarında güvenli olarak tutulmaktadır:

4.1 Fiziksel ortamlar:

Fiziksel ortamlar, herhangi bir kişisel veri içerir bilgi veya belgenin basılı kâğıt ortamında dosyalama yöntemi ile tutulması anlamında gelmektedir. Hukuka uygun olarak işlenen bu veriler aşağıdaki fiziksel ortamlarda muhafaza edilmektedir:

  • Birim dolapları
  • Arşiv
  • Kâğıt
  • Yazılı, basılı, görsel ortamlar

 

 

4.2 Elektronik ortamlar:

 

Elektronik ortamlar, verilerin sayısallaştırılarak aktarıldığı kapalı ve açık bilgisayar ağları başta olmak üzere her türlü ortamı (bilgisayar, cep telefonu, tablet vb.) ifade etmektedir.

 

Sunucu üzerinde kullanılmakta olan Mail Altyapısı

              Bilgisayarlar (Masaüstü, dizüstü)

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

Yazıcı, tarayıcı, fotokopi makinesi

E posta , web

        

MADDE 5 – KİŞİSEL VERİLERİN SAKLANMASINI, ANONİMLEŞTİRİLMESİNİ VE İMHASINI GEREKTİREN SEBEPLER

KVKK madde 4’te, işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş; madde 5 ve 6 da ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

5.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;  

 

  • 213 Sayılı Vergi Usul Kanun’u,
  • 2004 Sayılı İcra İflas Kanun’u,
  • 4857 Sayılı İş Kanun’u,
  • 5237 Sayılı Türk Ceza Kanun’u,
  • 5510 Sayılı SSGSK Kanun’u,
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6201 Sayılı Türk Ticaret Kanun’u,
  • 6098 Sayılı Borçlar Kanun’u,
  • 6331 Sayılı İş Sağlığı ve Güvenliği Kanun’u,
  • 6698 Sayılı Kişisel Verilerin Korunması Kanun’u, ilgili yönetmelikleri gereği ve bunlarla sınırlı olmamak üzere yayınlanan diğer mevzuat hükümleri, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,  
  • Çalışma Bakanlığı ve SGK müfettişlerince yapılan denetimlerde,
  • Ayrıca mahkeme ve bilirkişi incelemelerinde sunmak üzere,
  • Yerel kolluk kuvvetleri ve organize sanayi müdürlüklerince istenmesi durumunda,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler 

 

Çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

Kişiler veriler müşterilerimiz ile sözleşmesel yükümlülüklerin yerine getirilmesi suretiyle ticari ilişkilerimizi sürdürülebilmek ve ticari faaliyetlerimizi yönetebilmek, istihdam sağlanmak, Şirket çalışanlarımız ile kurduğumuz iş ilişkisi çerçevesinde hukuki, kanuni ve sözleşme gereklerini yerine getirmek; gibi başlıca amaçlara istinaden şirketimiz tarafından fiziki veya elektronik ortamlarda hukuka uygun olarak muhafaza edilmektedir. Bu kapsamda, kişisel verilerin muhafaza edilmesini gerektiren başlıca hukuki sebepler aşağıda yer almaktadır:

  1. İş veya işlem ile ilgili olarak talep edilen kişisel verinin kanun veya mevzuat gereği açıkça öngörülmesi,
  2. Şirketimize yüklenen hukuki bir yükümlülüğün yerine getirilmesi
  3. Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin muhafaza edilmesinin gerekli olması
  4. Kişisel veri sahibine ilişkin hakkın tesisi, kullanılması veya korunması amacıyla Şirketimiz bünyesinde saklanmasının zorunlu olması,
  5. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel verilerin saklanmasının zorunlu olması.
  6. Kişisel veri sahiplerinin muhafaza faaliyetine ilişkin açık rızasının bulunması

 

5.2. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları

 

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. 

 

Acil Durum Yönetimi Süreçlerinin Yürütülmesi 

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi 

Bilgi Güvenliği Süreçlerinin Yürütülmesi 

İletişim Faaliyetlerinin Yürütülmesi 

Çalışan Adayı / Stajyer seçme Süreçlerinin Yürütülmesi 

İnsan Kaynakları Süreçlerinin Planlanması 

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi 

İş Faaliyetlerinin Yürütülmesi / Denetimi 

Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi 

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi 

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi 

Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi 

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi 

Denetim / Etik Faaliyetlerinin Yürütülmesi 

Lojistik Faaliyetlerinin Yürütülmesi 

Eğitim Faaliyetlerinin Yürütülmesi 

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi 

Erişim Yetkilerinin Yürütülmesi 

Mal / Hizmet Satış Süreçlerinin Yürütülmesi 

Faaliyetlerin Mevzuata Uygun Yürütülmesi 

Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi 

Finans ve Muhasebe İşlerinin Yürütülmesi 

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi 

Fiziksel Mekân Güvenliğinin Temini 

Organizasyon ve Etkinlik Yönetimi 

Görevlendirme Süreçlerinin Yürütülmesi 

Performans Değerlendirme Süreçlerinin Yürütülmesi 

Hukuk İşlerinin Takibi ve Yürütülmesi 

Risk Yönetimi Süreçlerinin Yürütülmesi 

Talep / Şikayetlerin Takibi 

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi 

Taşınır Mal ve Kaynakların Güvenliğinin Temini 

Sözleşme Süreçlerinin Yürütülmesi 

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi 

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi 

Ücret Politikasının Yürütülmesi 

Yönetim Faaliyetlerinin Yürütülmesi 

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi 

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini 

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

 

 

5.3. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler

 

Kişisel verilerin saklanma ve işlenme sebep veya şartlarının ortadan kalkması durumunda kişisel verilerin imha edilmesine yönelik meşru sebepler ortaya çıkmaktadır. Bu şekilde imha sebeplerinin oluşması ile kişisel veriler Şirketimiz tarafından re ’sen veya İlgili kişinin KVKK madde 7/1 uyarınca talebi üzerine silinir, yok edilir veya anonim hale getirilir:

 

  1. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
  2. KVKK madde 5 ve 6 uyarınca kişisel veri işlenmesini gerektiren amacın ve şartların ortadan kalkması,
  3. İşbu Politika madde 5.1. kapsamındaki amaçların ve sebeplerin ortadan kalkması,
  4. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  5. Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilga edilmesi,
  6. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, 
  7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması;
  8. İlgili kişinin KVKK madde 11/2 (e) ve (f) bentlerinde yer alan haklar gereğince kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi; 
  9. Kişisel veri sahibi tarafından Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  10. İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddi, verilen cevabın yetersizliği veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması.

 

MADDE 6 – KİŞİSEL VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNE VE İMHA EDİLMESİNE YÖNELİK TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, Kişisel verilerin düzgün şekilde saklanabilmesi ve güvenliğini sağlamak adına, kişisel verilerin niteliğini ve durumunu gözeterek, yetkisiz değiştirilmeyi, kaybolmayı muhtemel hasarı, izinsiz işleme veya erişimi, insan eylemi veya doğal veya fiziksel ortamın etkilerine maruz kalmak suretiyle ortaya çıkacak riskleri ve benzeri diğer zararları önlemek için fiziksel, teknik ve idari önlemler alır. Bunlara ek olarak;

  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için Kurum tarafından buna uygun bir yöntem oluşturulmuştur.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir.
  • Asgari olarak Şirket politikalarına ve Şirketin faaliyet gösterdiği alanda uygulanan teamüllere uygun güvenlik önlemleri alınır.
  • Tüm çalışanlar, işledikleri bütün Kişisel verilerin güvenli şekilde tutulmasını temin etmekle yükümlüdürler. Kişisel veriler, kazaen veya başka bir şekilde de olsa herhangi yetkisiz bir üçüncü kişiyle sözlü, yazılı veya başka şekilde paylaşılamaz, ifşa edilemez.
  • Çalışanların, Kişisel Verileri yetkisiz olarak paylaşmaları ve bu Politika ’da geçen gerekliliklere aykırı hareket etmeleri halinde bu durumun derhal Veri Sorumlusu İrtibat Kişisi ’ne bildirilmesi gerekmektedir. Bu durum genellikle bir disiplin cezası gerektirebilir ve/veya duruma göre çalışanın İş Kanunu’nun 25. maddesi uyarınca iş akdinin haklı sebeple feshine neden olabilir.
  • Kişisel Veri içeren fiziksel kopyalar kilitli dolaplarda veya kilitli çekmecelerde muhafaza edilmelidir. Kişisel Veriler elektronik veya fiziksel kopya olsun personelin evinde, dizüstü bilgisayarlarda veya diğer kişisel taşınabilir cihazlarda ve işyeri dışındaki diğer sahalarda tutulamaz.
  • Normal şartlar altında, Kişisel verilerin personelin evinde, dizüstü bilgisayarlarda veya diğer kişisel taşınabilir cihazlarda veya diğer uzak yerlerde tutulmayacak olmasına rağmen, işyeri sahası dışında tutmanın gerekli veya uygun olduğuna Şirket yönetimi tarafından onay verilirse, çalışanlar bu politikada yer alan tüm güvenlik kriterlerine uymalıdır.
  • Taşınabilir elektronik cihazlarda veya silinebilir ortamlarda depolanan verilerden söz konusu ekipmanı yöneten çalışan sorumludur. Bu kişi, aynı zamanda aşağıdaki unsurları sağlamakla yükümlüdür:
    1. İlgili cihazlarda ve ortamlarda yer alan verilerin zarara uğrama ihtimallerine karşılık bu verilerin yeterli güvenlik önlemlerinin alındığı ortamlarda saklanan yedeklerinin olması,
    2. Özel nitelikli kişisel verilerin ve diğer hassas verilerin uygun şekilde şifrelenmiş olması,
    3. Özel nitelikli kişisel verileri ve diğer hassas verileri içeren dizüstü bilgisayar, mobil cihazlar ve bilgisayar bazlı kayıt ortamlarının (USB cihazları, CD’ler gibi) ofiste gözetimsiz bırakılmaması.
    4. Çalışanlar, güvenli Şirket programları üzerinde kayıtlı olan, kişisel veri içeren belgeleri gerekmedikçe kullandığı bilgisayara kopyalayamaz ve/veya indiremez, indirdiği ve/veya kopyaladığı takdirde ise işleme amacı bittiğinde, düzenlediği belge Şirket tarafından kullanılacaksa Şirket sunucularına ve/veya ilgili programlara kaydedildiğinden emin olduktan sonra söz konusu elektronik kopyayı derhal siler.

MADDE 7 – SAKLAMA, ANONİMLEŞTİRME VE İMHA SÜREÇLERİNDE YER ALAN ÇALIŞANLAR

Kişisel verileri saklama ve imha süreçlerinde Şirketimiz bünyesinde rol oynayan çalışanlara ilişkin bilgiler EK 1: Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alan Çalışanların Bilgileri Tablosu başlığı altında yer almaktadır.

MADDE 8 – KİŞİSEL VERİLERİ ANONİMLEŞTİRME VE İMHA ETME YÖNTEMLERİ

Şirketimiz kişisel verileri imha ederken (i) silme ve (ii) yok etme yöntemlerini kullanmakta ve (iii) anonimleştirme yöntemi ile de işlenen verilerin kime ait olduğunun tespit edilmesini engellemektedir.

 

8.1. Kişisel Verilerin Silinmesi Yöntemleri

 

Şirketimizde kişisel verilerin işlenme sebeplerinin ve şartlarının ortadan kalkması sonucunda silinmektedir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin erişilemez ve kullanılamaz hale getirilebilmesi için muhafaza edildikleri çeşitli kayıt ortamlarına uygun yöntemler ile silinmeleri gerekmektedir. Bu doğrultuda Şirketimiz aşağıda yer alan kayıt ortamlarına uygun olarak silme işlemini gerçekleştirmektedir:

 

  1. Hizmet olarak uygulama türü bulut çözümleri (Sunucu Üzerinde Kullanılmakta Olan Mail Altyapısı Üzerinden)

 

Bulut sisteminde veriler silme komutu verilerek silinmeli ve silme işlemi gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmamalıdır.

 

  1. Kâğıt ortamında bulunan kişisel veriler

 

Kâğıt ortamında bulunan kişisel veriler mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

 

8.2. Kişisel Verilerin Yok Edilmesi Yöntemleri

 

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel verilerin yok edilme işlemine ilişkin gerekli her türlü teknik ve idari tedbirleri almaktadır. 

Şirketimiz kişisel verilerin yok edilebilmesi için, verilerin bulunduğu tüm kopyaların tespit ederek ve verilerin bulunduğu sistemlerin türüne göre işlem yapılmaktadır.

Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekmektedir.

CD, DVD, Flash bellek gibi veri saklama ortamları yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

Veri kayıt ortamındaki sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Fiziksel yok etme ve/veya üzerine yazma yöntemleri kullanılmak suretiyle yok edilmesi gerekir.

Arızalanan ya da bakıma gönderilen cihazlar

 

Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

  1. İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
  2. Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
  3. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, gerekir.

 

8.3. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri

 

Anonim hale getirme işlemi kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi anlamına gelmektedir. Anonim hale getirmedeki asıl amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Bu minvalde, kişisel veriler başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek olsa da veriler belli bir ölçüde kullanılabiliyor olacaktır. Tüm bu açıklamalar ışığında Şirketimiz, kişisel verileri anonim hale getirme işlemini gerçekleştirdiği zamanlarda; üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesine özen göstermektedir.

Şirketimiz, kişisel verileri imha ederken ister silme ister yok etme ister anonim hale getirme yöntemini kullanmış olsun her hâlükârda gerekli her türlü teknik ve idari tedbirleri almaktadır.

MADDE 9 – KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

9.1. Periyodik İmha

 

Kişisel verilerin işlenmesini ve saklanması gerektiren hukuki, teknik veya herhangi bir başka sebebin ortadan kalkmış olması durumunda işbu Politika madde 5 kapsamında Şirketimiz bünyesinde tutulan kişisel veriler imha edilmektedir. Bu kapsamda Yönetmelik madde 11 uyarınca Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, açık rızası alınmayan yahut yasal saklama süresi sona eren veya diğer hukuki veya teknik sebeplerin ortadan kalkması ile artık Şirketimiz bünyesinde saklanmasında hiçbir menfaat bulunmayan kişisel verileri silmiş, yok etmiş veya anonim hale getirmiştir. Şirketimizde saklanmasında hiçbir menfaat bulunmayan kişisel veriler, her 10 yılda bir periyodik imha işlemine tabi tutulmaktadır. 

Kişisel verilerin imha edilmesine ilişkin yapılan bütün işlemler kayıt altına alınmakta olup söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 10 (on) yıl süre ile saklanmaktadır.

 

9.2. İlgili Kişinin Talebi Üzerine İmha

 

İlgili kişi, KVK Kanunu madde 13 uyarınca Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesi talebinde bulunabilir. Şirketimiz irtibat kişisine iletilen bu talep öncelikle ilgili birimlere yönlendirilir. Ardından Şirketimiz tarafından bu talebe ilişkin gerekli idari denetimler yapılarak işleme şartlarının tamamen ortadan kalkıp kalkmadığına ilişkin bir değerlendirmeye alınır ve: 

  • Talep konusu kişisel verinin işleme şartları tamamen ortadan kalkmışsa; Şirketimiz talebe konu kişisel verileri imha etmektedir. 
  • Talep konusu kişisel verinin işleme şartları tamamen ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmış olması halinde Şirketimiz bu durumu aktarılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik ve işbu Politika kapsamında gerekli işlemlerin yapılmasını temin etmektedir.
  • Şayet talep konusu kişisel verinin işleme şartları ortadan kalkmamışsa, iletilen bu talep Şirketimizce KVKK madde 13/3 uyarınca gerekçesi açıklanarak reddedilebilir.

 

Şirketimiz ilgili kişinin talebini en geç 30 (otuz) gün içinde sonuçlandırarak iletilen talebin yöntemine göre yazılı olarak veya elektronik posta ile bilgilendirme yapmaktadır.

Şirketimiz bünyesinde işlenen kişisel verilerin yasal saklama sürelerinin sona ermesi ve işlenme koşullarının tamamen ortadan kalkması ile birlikte ilgili verilerin belli bir süre içerisinde imha edilmesi gerekmekte olup bahsi geçen yasal saklama ve imha süreleri, EK 2: Kişisel Verileri Saklama ve İmha Süreleri başlığı altında yer almaktadır.

MADDE 10 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, Şirket bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Şirket uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir. 

MADDE 12 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, Şirket bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Şirket uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir. İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Şirket uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVKK kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir. 

EDUJI ARAŞTIRMA GELİŞTİRME YAZILIM TASARIM VE DANIŞMANLIK A.Ş 

 

YAYIN TARİHİ    :  01.01.2023

VERSİYON NO   : 1

İRTİBAT KİŞİSİ

BİLGİLERİ           : contact@eduji.com.tr


 

 

EK 1: KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN ÇALIŞANLARIN BİLGİLERİ TABLOSU

UNVAN

ÇALIŞTIĞI BİRİM

GÖREV TANIMI

İrtibat Kişisi

Özge Andiç Çakır

İDARİ İŞLER

Çalışanların politikaya uygun hareket etmesinden sorumludur.

İrtibat Kişisi

Özge Andiç Çakır

İDARİ İŞLER

Politikanın hazırlanması,
  geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

İrtibat Kişisi

Fırat Sarsar

İDARİ İŞLER

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

İrtibat Kişisi

Abdullah Kalay 

İDARİ İŞLER 

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.


 

 

 

EK 2: KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirketimiz tarafından işlenen kişisel verilere dair saklama ve imha süreleri aşağıda yer almaktadır:

 

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Sözleşmelerin hazırlanması

Sözleşmenin sona ermesini takiben 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Çalışan Özlük Dosyası Oluşturma

İşten ayrılmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Randevu kayıt ve iletişim

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Maaş Ödemeleri

İşten ayrılmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Öneri ve şikayet 

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Şirket Defterinin Oluşturulması

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Muayene Defterinin Oluşturulması

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İş Başvurusu süreçlerinin yürütülmesi

Adayın iş staj başvurusunu yaptığı tarihten itibaren 1 yıl.

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

EK 3: İMHA POLİTİKASI GÜNCELLEME TABLOSU

İşbu Politika hükümlerinde yapılan değişiklikler güncelleme tarihi ve değişikliğe ilişkin açıklamalar aşağıdaki tabloda yer almaktadır:

GÜNCELLEME TARİHİ

DEĞİŞİKLİKLERİN KAPSAMI