A – GİRİŞ
1. Amaç
ELPA, verilerini işlemekte olduğu kişilere ait kişisel verilerin T.C Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu “Kanun” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Elpa Şalt Tesisleri Sanayi ve Ticaret Ltd. Şti. ’ELPA” için müşterilerinin, potansiyel müşterilerinin, tedarikçilerinin, ziyaretçilerinin, çalışanlarının, çalışan adaylarının, hukuki veya ticari ilişki ve/veya işbirliği içinde olduğu diğer kişi, kurum ve kuruluşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin kişisel verilerinin gizliliği ve güvenliği büyük önem taşımaktadır. İşbu Kişisel Verileri Saklama ve İmha Politikası’nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verileri ELPA tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamak ve ELPA tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, ELPA tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
2. Kapsam
ELPA çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tedarikçiler müşteri adayları ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, ELPA tarafından kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Kişisel Verilerin Korunması Kanunu kapsamında, ELPA, kendi iş ve çalışmaları özelinde, bizzat “veri sorumlusu’ dur. Politika, kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
3. Kısaltmalar ve Tanımlar
| Alıcı Grubu | Veri sorumlusu tarafından, kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
| Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
| Çalışan | ELPA personeli. |
| Çalışan Adayı | ELPA’ya iş fırsatları için başvuran, referans çalışanlar aracılığı ile özgeçmişini ileten veya ELPA tarafından açık pozisyonlarda değerlendirilmek üzere kariyer web sitelerinden/online sistemlerinden bilgisi edinilen kişiler. |
| Veri ihlalleri | Kişisel verilerin kanuna aykırı şekilde ele geçirilmesi, toplanması, değiştirilmesi, kopyalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır. |
| Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Elektronik Olmayan Ortam | Kişisel verilerin elektronik olmayan yollarla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Tedarikçi | ELPA’ya belirli bir sözleşme çerçevesinde hizmet veya mal sağlayan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi tedarikçilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
| Müşteri | ELPA’dan veya yetkili satıcılarından mal veya hizmet alan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşterilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
| Müşteri Adayı | ELPA’dan veya yetkili satıcılarından mal veya hizmet alması potansiyel öngörülen gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşteri adaylarıyla olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
| Ilgili Kişi | Kişisel verileri işlenen kişi. |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kurul | Kişisel Verileri Koruma Kurulu |
| Kurum | Kişisel Verileri Koruma Kurumu |
| Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
| Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Politika | Kişisel Verileri Saklama ve İmha Politikası. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
| Veri Kayıt Sistemi | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yöneltilmesinden sorumlu gerçek veya tüzel kişi. |
| Kişisel Verileri Koruma Komitesi | Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, ELPA tarafından kurulan şirket içi sorumlu birim. |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi |
| Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
B – SORUMLULUK VE GÖREV DAĞILIMLARI
1. Kişisel Verileri Koruma Komitesi
ELPA tarafından, kişisel verilerin korunması hakkındaki mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, Kişisel Verileri Koruma Komitesi “Komite” kurulmuş olup, ELPA’nın tüm birimleri ve çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesinin ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında Komite’ye ve diğer sorumlu birimlere aktif olarak destek verir.
Kişisel Verileri Koruma Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi; kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumlarla ilgili iş birimlerinin takip edilmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar. Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur. Politika, Komite Başkanı‘nın önderliğinde, Komite tarafından takip edilir, yürütümü sağlanır ve güncellenir.
2. Veri işleyenlerin Sorumluluğu
Kişisel verilerin ELPA adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu olarak ELPA ile veri işleyen kişiler, veri güvenliğine yönelik tedbirlerin alınması konusunda idari makamlara ve ilgili kişilere karşı kanunen müştereken sorumlu olurlar. Bu minvalde, veri işleyenler asgari olarak ELPA’ın almış olduğu tedbirleri almakla ve işburada belirtilen imha sürelerine ve yöntemlerine uymakla sorumludur. ELPA, veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; iş ortakları, tedarikçi ve yüklenicileri tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin Kişisel Verilerin Korunması mevzuatına ve idari kararlar ile Yargı kararlarına uyumunu denetler.
3. Politikanın Yürürlüğe Sokulması
Politika, ELPA internet sitesinde yayınlanmasının ve/veya tüm çalışanlara duyurulmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları ELPA Yönetim Kurulu Kararı ile Kişisel Verileri Koruma Komitesi Başkanlığı tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.
Politika, yürürlüğü itibariyle tüm iş birimleri, dış hizmet sağlayıcıları (danışmanlar, tedarikçiler, alt işverenler vb) ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu ilgili çalışanın amiri tarafından vakit kaybetmeksizin ve en geç 24 saat içinde Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
4. Kişisel Verilerin Saklama Ve İmha Süreçlerinde Görev Alanların Ünvanları, Birimleri ve Görev Tanımları
| Ünvan | Birim | Görev |
| Genel Müdür | Genel Müdürlük | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
| İnsan Kaynakları Müdürü (Komite Başkanı) | İnsan Kaynakları Müdürlüğü | i.Komite Başkanı olarak Komite’nin görevlerinin yürütümünden, ii. Görevlerine uygun olarak politikanın yürütülmesinden, iii. Diğer birim sorumlularını ve çalışanları denetlemekle sorumludur. |
| BiIgi İşlem Müdürü (Komite Başkan Yardımcısı) | Bilgi İşlem Müdürlüğü | i. Komite Başkan Yardımcısı olarak Komitenin görevlerinin yürütümünden, ii. Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından ve gerekli yatırımların sağlanması için yönetimin bilgilendirilmesinden, iii. Elektronik kayıt ortamlarında gerçekleştirilen silme, yok etme, anonimleştirme işlemleri bakımından yürütüm ve iç denetimlerden sorumludur. |
| Satış ve Pazarlama, Muhasebe ve Finans Müdürlüklerinin Komite’de yer alan çalışanları | Satış ve Pazarlama Müdürlüğü, Muhasebe ve Finans Müdürlüğü | Komite görevlerinin gerçekleştirilmesinden, bu kapsamdaki görevlerine uygun olarak politikanın yürütülmesinden sorumludur. |
C – KAYIT ORTAMLARI
Kişisel veriler, ELPA tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
| Sunucular (etki alanı, yedekleme, e-posta veritabanı, web, dosya paylaşım vb.) | Kağıt |
| Yazılımlar (MS Office yazılımları, portal, CRM, ERP) | Manuel veri kayıt sistemleri (katllımcı formları, ziyaretçi kayıt defteri, yetkili satıcı formları, İnsan Kaynakları form ve dilekçe örnekleri vb.) |
| Bilgi Güvenliği Cihazları (güvenlikduvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.) | Yazılı,basılı, görsel ortamlar |
| Kişisel bilgisayarlar (masaüstü, dizüstü) | Birim dolapları |
| Mobil Cihazlar (telefon, tablet vb.) | Arşiv alanları |
| Kapalı sistem kamera kayıt ortamı, | |
| Optik diskler (CD, DVD,vb.) | |
| Çıkartılabilir bellekler (USB, Hafıza Kart vb.) | |
| Yazıcı, tarayıcı, fotokopi makinesi |
D – SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
ELPA tarafından; müşteri, müşteri adayı, tedarikçi, alt işveren, çalışan, çalışan adayı, ziyaretçi verileri ile kurum veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
1. Saklamaya Ilişkin Açıklamalar
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
1.1. Saklamayı Gerektiren Hukuki Sebepler
ELPA’nın ticari faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Kanunlarda böyle bir süre öngörülmemişse, ilgili veri işleme süreci ve bu süreçte işlenen verinin olası ihtilaflarda delil vasfı da göz önüne alınarak – zamanaşımı def’inin ileri sürülmesi gereken bir hak olması nedeniyle- kanuni zamanaşımı süresi kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 48S7 sayılı İş Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 213 Sayılı Vergi Usul Kanunu
- 1774 Sayılı Kimlik Bildirme Kanunu
- Bu Kanunlar Uyarınca yürürlükte olan diğer ikincil düzenlemeler
çerçevesinde öngörülen saklama süreleri veya ilgili sürecin ihtilafa konu olması muhtemelse azami olarak ilgili kanundaki zamanaşımı süresikadar saklanmaktadır. Herhangi bir ihtilafa konu olması mümkün görülmeyen süreçlerde ise ELPA tarafından makul süre Veri Sorumluları Sicili Hakkında Yönetmelik, Kurul kararları ve rehberleri ışığında belirlenir.
1.2. Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler, ELPA tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Ayrıca, ELPA’nın, faaliyetleri çerçevesinde işlemekte olduğu kişisel verilere ilişkin saklama amaçları aşağıda detaylı şekilde belirtildiği şekildedir.
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- İlgili kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından ilgili kişilerin açık rızasının bulunması.
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişimi sağlamak.
- Müşterilerle ve Potansiyel müşterilerle ilişkilerin yürütülmesi.
- Sözleşmeler ve protokollerin ifası.
- Satış sonrası hizmetlerin sunulması.
- Sosyal sorumluluk projeleri faaliyet kayıtlarının arşivlenmesi.
- Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişilerin talep ve şikayetlerin sonuçlandırılması,
- Kişisel Verilerin Korunması Kanunu kapsamında gerekli teknik önlemlerin alınmasını temin etmek (veri yedekleme, silme yok etme işlemlerinin kayıt altına alınması, erişim log kayıtlarının tutulması vb.),
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- ELPA ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak.
- Şirket içi raporlamalar yapmak.
- Fiziksel mekan ve çalışan güvenliğini temin etmek.
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla ELPA‘nın meşru menfaatleri için saklanmasının zorunlu olması,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
- İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun ELPA tarafından kabul edilmesi,
- ELPA’nın ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarda, ELPA tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
E – TEKNİK ve İDARİ TEDBİRLERİ
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ELPA tarafından teknik ve idari tedbirler alınır.
Teknik Tedbirler
ELPA tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayıImıştır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak şifrelenmektedir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
İdari Tedbirler
ELPA tarafından, işlediği Kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır;
- Kişisel veri işleme envanteri hazırlanmıştır.
- Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
- İlgili Kişileri Aydınlatma Yükümlülüğü Yerine Getirilmektedir.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlara veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Çalışanlarla ve dış ilişkide olunan kişilerle gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
F – KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda veya ilgili kişinin başvurusu üzerine mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
1. Kişisel Verilerin Silinmesi
Kişisel veriler aşağıdaki yöntemlerle silinir:
Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişiseI verilerden saklanmasını gerektiren süresi sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir.
Elektronik Ortamda Yer Alan Kişisel Veriler : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yönetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler : Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma da uygulanabilir.
Taşınabilir Medyada Bulunan Kişisel Veriler : Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından veriler şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
2. Kişisel Verilerin Yok Edilmesi
Kişisel veriler, ELPA tarafından aşağıda verilen yöntemlerle yok edilir:
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde veya arşiv alanlarında yakılarak geri dönülemeyecek şekilde yok edilir.
Optik/Manyetik Medyada Yer Alan Kişisel Veriler : Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
2. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
G – SAKLAMA VE İMHA SÜRELERİ
1. Genel Esaslar
ELPA tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri Envanteri;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Verileri Koruma Komitesi Başkanlığınca güncellemeler yapılır.
2. İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi ve Silme-Yok Etme Süreleri
İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini tercihen ELPA Başvuru formunu kullanmak suretiyle yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle ELPA’a iletir.
ELPA, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır.
ELPA talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde ELPA tarafından gereği yerine getirilir.
İlgili kişi, işbu Politika’da ELPA’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; ELPA talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. ELPA, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa ELPA bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep ELPA tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
3. Periyodik İmha
ELPA, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Yönetmeliğin 11 inci maddesi gereğince ELPA, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, ELPA’da her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilir.
4. Saklama Süreleri Sona Eren Kişisel Veriler İçin Gerçekleştirilecek İşlemler
- Kağıt ortamındaki re’sen silme, yok etme veya anonim hale getirme işlemi ilgili birimin müdürü ve Kişisel Verileri Koruma Komite Başkanı’nın bilgisi dahilinde ilgili veri kullanıcısı çalışan tarafından, ilgili işlem tutanakla kayıt altına alınmak suretiyle gerçekleştirilir.
- Elektronik ortamdaki re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem çalışanı tarafından (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında), söz konusu işlem kayıt altına alınmak sureti ile gerçekleştirilir.
- Şirket bilgisayar, telefon, e- mail hesabı, tablet vb. ortamda ise ilgili birimin müdürü ve Kişisel Verileri Koruma Komite Başkanı’nın ön bilgisine sunulmak kaydı ile ilgili veri kullanıcısı çalışan tarafından yerine getirilir. Çalışanlar, iş için kendisine tahsis edilen bu elektronik ortamlarda gerçekleştirecekleri silme, yok etme işlemlerini envantere uygun şekilde süresinde re’sen gerçekleştirmekle, saklama süresinin dolmasından önce gerçekleşen veri imha sebeplerinde ise Komite Başkanı’nın görüş ve talimatına konuyu bildirmek ve gelecek cevaba uygun şekilde işlemleri gerçekleştirmekle bizzat sorumludur.
5. Süreç Bazında Saklama ve İmha Süreleri
| Kişisel Veri Kaynağı | Süre | Yasal Dayanak |
| Çağrı Merkezi Ses Kayıtları | 3 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
| Üyelik ve Rezervasyona İlişkin Kayıtlar | 10 Yıl | 6098 Sayılı Kanun |
| Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
| Çerezler ve Log Kayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |
| Ticari Elektronik Mail Onay Kayıtları | Onayın geri alındığı tarihten itibaren 1 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
| Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri | 2 Yıl | 5651 Sayılı Kanun |
| Müşterilere İlişkin Kişisel Veriler | 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. | 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
| Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
| Kişisel Verileri Koruma Kurulu İşlemleri | 10 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| Donanım ve Yazılıma Erişim Süreçleri | 2 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| Ziyaretçi ve toplantı kullanıcılarının kaydı | Etkinliğin Sona ermesinden İtibaren 2 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| Kamera Kayıtları | 2 Yıl | Kişisel Veri Saklama Ve İmha Politikası |
| İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) | İş İlişkisinin sona ermesinden itibaren 5 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
| İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
| İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
| İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) | İş İlişkisinin sona ermesinden itibaren 15 Yıl | 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
| SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
| İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
| Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
| Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
| Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) | Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz | 6102 Sayılı Türk Ticaret Kanunu |
| Burs ödemesi / Çalışan Avans Ödemesi | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
| İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) | 1 Yıl | Sektörel teamüller geçerli. |
| Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Yıl | 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
| Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Sektörel Teamül |
| Çalışan Memnuniyet Anketlerine İlişkin Veriler | Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl | Sektörel Teamül |
| Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
| Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
| Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
| Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler | 3 Yıl | 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
| Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
| Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
| Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) | Sözleşmenin Sona Ermesine Müteakip 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
| Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
| Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
| Ziyaretçilerin Kişisel Verileri | 2 Yıl | 5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
| CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 90 Gün | Sektörel Teamül |
| Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları | En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl | 5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
| Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Yıl | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
| 6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) | 15 Yıl | 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
| Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
| Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) | 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
| Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) | 13 Ay | Avrupa Birliği / Sektörel Teamül Uygulaması |
| Ölmüş Bir Kişinin Kişisel Verileri | En Az 20 Yıl | 21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik |
H – Politikanın Yayınlanması ve Saklanması
Politika, basılı kağıt olarak ve elektronik ortamda olmak üzere iki farklı şekilde yayımlanır ve basılı kağıt olarak şirket içinde saklanır.
I – Politikanın Güncelleme Periyodu
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan kısımlar güncellenir.