Kişisel Veri Saklaam ve İmha Politikası

1. Giriş
1.1 Amaç

Kişiler Veri Saklama ve İmha Politikası, Şirket tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; çalışanlar, çalışan adayları, hizmet sağlayıcıları ve diğer üçüncü kişilere ait verilerin Türkiye Cumhuriyeti Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanun’u ile ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

1.2 Kapsam

Politika, Şirket’in çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verileri kapsar. Şirket’in sahip olduğu ya da Şirket tarafından yönetilen kişiler verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3 Tanımlar

Politika kapsamında kullanılan ve aşağıda yer verilen terim ve kavramların karşılığı şöyledir:

Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza : Belirli bir konuya ilişkin bilgilendirilmeyedayanan ve özgür iradeyle açıklanan rıza.

Çalışan : Şirket çalışanı.

Çalışan Adayı : Şirket’te çalışmak amacıyla başvuru yapan ancak henüz iş sözleşmesi akdedilmemiş üçüncü kişi.

Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlar.

Hizmet Sağlayıcı : Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi : Kişisel verisi alınan gerçek kişi.

İlgili Kullanııcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi ya da kişiler.

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İnternet Sitesi : www.datakod.com

Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Envanter : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olamk kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesş, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırlması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirlen her türlü işlem.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya dini inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha : Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirlenen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonym hale getirme işlemi.

Politika : Kişisel Verileri Saklama ve İmha Politikası.

Şirket : Datakod Yazılım A.Ş.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

VERBİS : Veri Sorumluları Sicil Bilgi Sistemi

2. Sorumluluk ve Görev Dağılımları

Şirketin birimleri ve çalışanları, Politika kapsamında alınan teknik ve idari tedbirlerin uymakla yükümlüdür. Politikanın uygulanması, geliştirilmesi, yürtülmesi ve çalışanların eğitilmesi konularında aşağıda yer verilen birimler sorumluluk üstlenmiştir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimler ve görev tanımlarına ait dağılım şu şekildedir:

UNVAN BİRİM GÖREV

İnsan Kaynakları Sorumlusu İnsan Kaynakları Birimi Çalışanların politikaya uygun hareket etmelerinden sorumludur.

Finans Birimi Sorumlusu Finans Birimi Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur.

Bilişim Birimi Sorumlusu Bilimşim Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

3. Kayıt Ortamları

Şirketimiz, Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır:

Elektronik Ortamlar Elektronik Olmayan Ortamlar

Sunucular (Etki alanı, yedekleme, e- posta, veritabanı, web, dosya paylaşım) Kâğıt

Yazılımlar (Ofis yazılımları, portal vb.) Manuel veri kayıt sistemleri (Anket formları, ziyaretçi giriş defteri)

Bilgi güvenliği cihazları (Güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs programı vb) Yazılı, basılı, görsel ortamlar

Kişisel bilgisayarlar (Masaüstü bilgisayar, dizüstü bilgisayar)

Mobil cihazlar (telefon, tablet vb)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler (USB, Hafıza Kart vb)

Yazıcı, tarayıcı, fotokopi makinesi

4. Saklama ve İmhaya İlişkin Açıklamalar

Şirket tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin açıklamalar aşağıda başlıklar hâlinde yapılacaktır.
4.1 Saklamaya İlişkin Açıklamalar

Kanunu’un 3. Maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngürülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi 7 gerektiği belirtilmiştir. Kişisel verileri işleme şartları Kanun’un 5. ve 6. maddelerinde sayılmıştır.
Buna göre Şirket’in faaliyetleri çerçevesinde kişisel veriler, mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
4.1.1 Saklamayı Gerektiren Hukukî Sebepler

Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla işlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6361 sayılı İş Sağlığı ve Güvenliği Kanunu
4857 sayılı İş Kanunu
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2 Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Fiziksel mekan güveliğinin temini.
Ziyaretçi kayıtlarının oluşturulması ve takibi.
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi.
İş sağlığı ve güvenliği faaliyletlerinin yürütülmesi.
Çalışan adayı, stajyer, öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi.
Geçici işçi alımı faaliyetlerinin yürütülmesi.
Eğitim faaliyetlerinin yürütülmesi.
Mal ve / veya hizmet satın alım ve satış süreçlerinin yürütülmesi.
Sözleşme süreçlerinin yürütülmesi.
Mal ve / veya hizmet satışı sonrası destek hizmetlerinin yürütülmesi.
Saklama ve arşiv faaliyetlerinin yürütülmesi.
İleride doğabilecek hukuki uyuşmazlıklara ilikşin delil teminini sağlamak.

4.2 İmhayı Gerektiren Sebepler

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11. maddesi gereği ilgili kişiin hakları çerçevesinde kişisel verilerinin silinmesin ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafındna kabul edilmesi,
Şirketin, ilgili kişi tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde, Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. Teknik ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişimesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. Maddesiyle Kanun’un 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili alınan teknik tedbirler aşağıda sayılmıştır:

Sızma testleri ile Şirketimizin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkartılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analiz sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matirisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbrilerin alınmasını sağlamakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulnduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler ve erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kuruma bildirmek için Şirket tarafından buna uygun bir sistema ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel veirlerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan ve olamyan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Şirket internet sayfasına erişimde güvenlii protokol (HTTOS) kullanılaraak SHA 256 Bir RSA algoritmasıyla şifrelenmektedir.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişise veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği elektronil ortamlar kriptografik yöntemler kullanılarak muhafaza edilemkte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlilk güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması, test sonuçlarının kayıt altına alıması engellenmektedir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiğ ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişise veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsa e-posta adresiyle vea KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlaradki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmkta ve evrak “gizli” formatta gönderilmektedir.
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

Çalışanların niteliğinin geliltirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilmektedir.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan once Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket için periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

6. Kişisel Verileri İmha Teknikleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıda gösterilen yöntemlerle silinir:

Veri Kayıt Ortamı Açıklama

Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler Harici bellek ortamında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından aşağıda gösterilen yöntemlerle silinir:

Veri Kayıt Ortamı Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler Optil media ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fizikel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik media özel bir cihazdan geçirilerke yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştiirlse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirketimiz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

Bu kapsamda Şirketimiz, kişisel verileri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:

Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri: mikro birleştirme, veri değiş-tokuşu, gürültü ekleme, tekrar örnekleme.
Anonim Hale Getirmeyi Kuvvetlendirici İstatiksel Yöntemler: K-Anonimlik, L-Çeşitlilik, T-Yakınlık

7. Saklama ve İmha Süreleri

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında

yer alır.
Saklama süreleri, gerekmesi hâlinde ilgili birim tarafıdan güncellenir. Saklama süreleri sona eren kişisel veriler için re’sen slime, yok etme veya anonym hale getirme işlemi ilgili birim tarafından yerine getirilir. Bu kapsamda Şirketimiz, kişisel verileri EK-1’de yer alan Saklama ve İmha Süreleri Tablosu’nda belirtilen azami süreler boyunca saklamakta ve imha etmektedir:

8. Periyodik İmha Süreleri

Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri imha etmektedir. Bu kapsamda Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri, veri içeriğine göre 1 yıl, 5 yıl ve 10’ar yıllık periyotlar halinde imha işlemine tabi tutmaktadır. Anılan süre, her hal ve koşulda Yönetmelik’in 11’inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.

9. Yürürlük

İşbu Politika 30.09.2020 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilir.

VERİ TÜRÜ SAKLAMA SÜRESİ İMHA SÜRESİ

6102 sayılı Türk Ticaret Kanunu’nun ilgili hükümlerine göre tutulması zorunlu olan ticari defterler ile e-postalar ve şirket için yazışmalar 10 yıl Saklama süresinin bitimini takip eden periyodik imha süresinde

Sözleşmeler Sözleşmenin sona ermesinin takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden periyodik imha süresinde

Müşteri Kayıtları Müşteri ile ticari ilişkinin sona ermesini takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden periyodik imha süresinde

Çalışan Kayıtları Çalıştıkları süre boyunca Saklama süresinin bitimini takip eden periyodik imha süresinde

Eski Çalışan Kayıtları İşten ayrılmalarını takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden periyodik imha süresinde

Çalışan Adaylarına İlişkin Kayıtlar Başvuruyu takip eden 2 yıl boyunca Saklama süresinin bitimini takip eden periyodik imha süresinde

Muhasebe ve Finans Kayıtları 10 yıl Saklama süresinin bitimini takip eden periyodik imha süresinde

Şirket İçi Şikayetler ve İlgili Belgeler 10 yıl Saklama süresinin bitimini takip eden periyodik imha süresinde

Hukuk Kayıtları 10 yıl Saklama süresinin bitimini takip eden periyodik imha süresinde

Resmi Yazışmalar Süresiz

Vergi Kayıtları 10 yıl Saklama süresinin bitimini takip eden periyodik imha süresinde

KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

Çözümler

Hizmetler

Sözleşmeler

İhtiyaçlarınıza özel çözümlerimiz hakkında bilgi almak bilgi talebinde bulunun.

Alıcı Grubu :	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza :	Belirli bir konuya ilişkin bilgilendirilmeyedayanan ve özgür iradeyle açıklanan rıza.
Çalışan :	Şirket çalışanı.
Çalışan Adayı :	Şirket’te çalışmak amacıyla başvuru yapan ancak henüz iş sözleşmesi akdedilmemiş üçüncü kişi.
Elektronik Ortam :	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam :	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlar.
Hizmet Sağlayıcı :	Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi :	Kişisel verisi alınan gerçek kişi.
İlgili Kullanııcı :	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi ya da kişiler.
İmha :	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İnternet Sitesi :	www.datakod.com
Kanun :	6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı :	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri :	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Envanter :	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi :	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olamk kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesş, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırlması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirlen her türlü işlem.
Özel Nitelikli Kişisel Veri :	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya dini inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha :	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirlenen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonym hale getirme işlemi.
Politika :	Kişisel Verileri Saklama ve İmha Politikası.
Şirket :	Datakod Yazılım A.Ş.
Veri İşleyen :	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi :	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu :	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
VERBİS :	Veri Sorumluları Sicil Bilgi Sistemi

UNVAN	BİRİM	GÖREV
İnsan Kaynakları Sorumlusu	İnsan Kaynakları Birimi	Çalışanların politikaya uygun hareket etmelerinden sorumludur.
Finans Birimi Sorumlusu	Finans Birimi	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur.
Bilişim Birimi Sorumlusu	Bilimşim Birimi	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e- posta, veritabanı, web, dosya paylaşım)	Kâğıt
Yazılımlar (Ofis yazılımları, portal vb.)	Manuel veri kayıt sistemleri (Anket formları, ziyaretçi giriş defteri)
Bilgi güvenliği cihazları (Güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs programı vb)	Yazılı, basılı, görsel ortamlar
Kişisel bilgisayarlar (Masaüstü bilgisayar, dizüstü bilgisayar)
Mobil cihazlar (telefon, tablet vb)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza Kart vb)
Yazıcı, tarayıcı, fotokopi makinesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Harici bellek ortamında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

VERİ TÜRÜ	SAKLAMA SÜRESİ	İMHA SÜRESİ
6102 sayılı Türk Ticaret Kanunu’nun ilgili hükümlerine göre tutulması zorunlu olan ticari defterler ile e-postalar ve şirket için yazışmalar	10 yıl	Saklama süresinin bitimini takip eden periyodik imha süresinde
Sözleşmeler	Sözleşmenin sona ermesinin takip eden 10 yıl boyunca	Saklama süresinin bitimini takip eden periyodik imha süresinde
Müşteri Kayıtları	Müşteri ile ticari ilişkinin sona ermesini takip eden 10 yıl boyunca	Saklama süresinin bitimini takip eden periyodik imha süresinde
Çalışan Kayıtları	Çalıştıkları süre boyunca	Saklama süresinin bitimini takip eden periyodik imha süresinde
Eski Çalışan Kayıtları	İşten ayrılmalarını takip eden 10 yıl boyunca	Saklama süresinin bitimini takip eden periyodik imha süresinde
Çalışan Adaylarına İlişkin Kayıtlar	Başvuruyu takip eden 2 yıl boyunca	Saklama süresinin bitimini takip eden periyodik imha süresinde
Muhasebe ve Finans Kayıtları	10 yıl	Saklama süresinin bitimini takip eden periyodik imha süresinde
Şirket İçi Şikayetler ve İlgili Belgeler	10 yıl	Saklama süresinin bitimini takip eden periyodik imha süresinde
Hukuk Kayıtları	10 yıl	Saklama süresinin bitimini takip eden periyodik imha süresinde
Resmi Yazışmalar	Süresiz
Vergi Kayıtları	10 yıl	Saklama süresinin bitimini takip eden periyodik imha süresinde