GRENKE KİRALAMA LİMİTED ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. AMAÇ
Kişisel Veri Saklama ve İmha Politikası (“Politika”), Grenke Kiralama Limited Şirketi. (“Grenke Türkiye”)’nin 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca yükümlülüklerini yerine getirmek ve veri sahiplerini kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla hazırlanmıştır.
İlgili birimler gerekli çalışmalarını bu politika çerçevesinde gerçekleştirir.
2. KAPSAM
Grenke Türkiye çalışanları, çalışan adayları, müşterileri, potansiyel müşterileri hizmet sağlayıcıları, tedarikçi yetkili veya çalışanı, potansiyel ürün veya hizmet alıcısı, ürün veya hizmet alan kişiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Grenke Türkiye’nin sahip olduğu ya da Grenke Türkiye tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
3. SORUMLULUK VE YETKİ
Grenke Türkiye’nin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
DEPARTMAN
UNVAN
GÖREV
İdari İşler
İdari İşler Sorumlusu
Çalışanların politikaya uygun hareket etmesinden sorumludur.
İdari İşler
İdari İşler Sorumlusu
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi İşlem
Bilgi İşlem Sorumlusu
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
Yukarıdakiler dışında kalan tüm birimler
Diğer Birimler
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
4. TANIMLAR
4.1 Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
4.2 İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
4.3 Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
4.4 İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
4.5 Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
4.6 Kurul: Kişisel Verilerin Korunması Kurulu’nu,
4.7 Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
4.8 Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
4.9 Özel Nitelikli Kişisel Veri: Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olan ve bu nedenle daha fazla korumaya ihtiyaç duyulan kişisel verileri ifade eder.
4.10 Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu Politikada belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
4.11 Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
5. UYGULAMA
5.1 KİŞİSEL VERİLERİN SAKLAMA SÜRESİ
Grenke Türkiye tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise bu Politikada yer alır.
VERİ SAHİBİ
VERİ KATEGORİSİ
VERİ SAKLAMA SÜRESİ
Çalışan
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri
Hizmet akdinin devamında ve hitamından itibaren de 10(on) yıl müddetle muhafaza edilir.
Çalışan
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri
Hizmet akdinin devamında ve hitamından itibaren de 10(on) yıl müddetle muhafaza edilir.
Çalışan
Çalışanların sağlık bilgilerine ilişkin tutulan kayıtlar
Hizmet akdinin devamından ve hitamından itibaren 15 yıl süreyle saklanır.
Müşteri
Müşteri'ye veya tüzel kişi Müşteri’lerin yetkililerine ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, gezinme hareketleri bilgileri, telefon aramalarında alınan ses kayıtları, ürün/hizmet tercihleri, işlem geçmişi
Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md. 146 ile Türk Ticaret Kanunu md. 82 uyarınca 10 yıl süre ile saklanır.
Potansiyel Müşteri
Potansiyel Müşteri ile Grenke Türkiye arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları
10 yıl süreyle saklanır.
Tedarikçi
Tedarikçinin çalışanı veya yetkilisi ile ilgili olarak ad, soyad, kimlik bilgileri, İletişim bilgileri, ödeme bilgileri ve yöntemleri, telefon aramalarında alınan ses kayıtları, ürün/hizmet tercihleri, işlem geçmişi, işlem güvenliği ve finansal güvenliğin temin edilmesi için işlenen veriler
10 yıl süreyle saklanır.
Sair ilgili mevzuatlar uyarınca saklanan veriler
İlgili mevzuatlar uyarınca şirketimizce işlenen her türlü veri
İlgili mevzuatta öngörülen süre boyunca saklanır.
Kanun uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
Kişisel Verilerin Korunması Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Grenke Türkiye tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Grenke Türkiye tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Grenke Türkiye’ye başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11 inci maddesi gereğince Grenke Türkiye, Periyodik İmha süresini 6 ay olarak belirlemiştir. Buna göre, Grenke Türkiye her yıl Haziran ve Aralık aylarında Periyodik İmha işlemi gerçekleştirir.
Yukarıda saklama süresi belirtilen veriler, saklama süresinin bitimini takip eden ilk Periyodik imha süresinde imha edilir.
5.2 KİŞİSEL VERİLERİN KAYIT ORTAMI
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle;
1. Elektronik olmayan ortamlar
Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu; yazılı, basılı ve görsel ortamlardır.
2. Elektronik ortamlar
Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler ve bellekler(USB, hafıza kart vb.), optik diskler(CD, DVD vb.), sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), yazılımlar (ofis yazılımları, portal), bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ), kişisel bilgisayarlar (masaüstü, dizüstü), mobil cihazlar (telefon, tablet vb.), çıkartılabilir bellekler, yazıcı, tarayıcı, fotokopi makinesi gibi sair dijital ortamlardır
3. Bulut ortamlar
Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan, şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
5.3 SAKLAMA VE İMHAYI GEREKTİREN SEBEPLER
5.3.1 Saklamayı Gerektiren Sebepler ve İşleme Amaçları
Veri sahiplerine ait kişisel veriler, Grenke Türkiye tarafından özellikle;
- Ticari faaliyetlerin sürdürülebilmesi; iş, işlem ve sözleşmelerin ifa edilebilmesi, Grenke Türkiye ile iş ilişkisinde bulunan gerçek ve/veya tüzel kişiler ile irtibatın sağlanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilebilmesi, yasal raporlamaların yapılması,
- İnsan kaynakları sürençlerinin yürütülmesi ve kurumsal iletişimin sağlanması,
- Grenke Türkiye güvenliğinin sağlanması,
- Çağrı merkezi süreçlerinin yönetilmesi,
- İleride doğabilecek hukuki uyuşmalıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi,
- Çalışan haklarının ve yan haklarının planlanması ve ifası ile
- Müşteri ilişkilerinin yönetilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde ve veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması halinde; Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
5.3.2 İmhayı Gerektiren Sebepler
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Grenke Türkiye tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Grenke Türkiye’ye şikâyette bulunulması ve bu talebin Grenke Türkiye tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5.4 KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Grenke Türkiye, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika’da tanımlar. Veri sahibi iş birimi, İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
Grenke Türkiye, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
Grenke Türkiye tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır; Grenke Türkiye İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür:
5.4.1 Silme Yöntemleri
Elektronik Olmayan Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
Karartma
Elektronik olmayan ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Bulut ve Elektronik Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
Yazılımdan güvenli olarak silme
Bulut ortamda ya da elektronik ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.
5.4.2 Yok Etme Yöntemleri
Elektronik Olmayan Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel yok etme
Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
Elektronik Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel yok etme
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
De-manyetize etme (degauss)
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Üzerine yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Yazılımdan güvenli olarak silme
Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.
5.4.3 Anonimleştirme Yöntemleri
Değişkenleri çıkarma
İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.
Bölgesel gizleme
Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme
Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Alt ve üst sınır kodlama / Global kodlama
Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir.
Aynı kategori içinde kalan değerler birleştirilir.
Mikro birleştirilme
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
Veri karma ve bozma
Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
6. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Grenke Türkiye tarafından teknik ve idari tedbirler alınır.
İDARİ TEDBİRLER
TEKNİK TEDBİRLER
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
7. GÜNCELLEME VE UYUM
Grenke Türkiye, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
