GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizin yerine getirilmesi ve kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi işlemi ile silme, yok etme ve anonim hale getirme işlemleri için dayanak olarak kullanılması ve bu işlemler hakkında ilgili kişilerin bilgilendirilmesi amacıyla, veri sorumlusu sıfatıyla Katılımevim Tasarruf Finansman A.Ş. tarafından hazırlanmıştır.
KAPSAM
Bu politika, kurum nezdinde tutulan, kurumun tüm çalışanlarını, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, tedarikçilerini ve kurumun diğer hukuki ilişkiye girdiği gerçek ve tüzel kişileri, bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.
YETKİ VE SORUMLULUKLAR
Kurum içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu “Veri Sorumlusu İrtibat Kişisindedir. “
TANIMLAR
Kısaltma | Tanım |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
KURALLAR
Katılımevim Tasarruf Finansman A.Ş. tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler1 ile 12. maddesi kapsamında alınması gereken ve işbu Politikanın 6.2. maddesinde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket
- Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Katılımevim Tasarruf Finansman A.Ş. tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 6 ay süreyle saklanmaktadır.
- Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
- Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Katılımevim Tasarruf FinansmanA.Ş. tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Katılımevim Tasarruf Finansman A.Ş. ’ye başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin
1 a)Hukuk ve dürüstlük kurallarına uygun olma, b)Doğru ve gerektiğinde güncel olma, c)Belirli, açık ve meşru amaçlar için işlenme, d)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, e)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, Katılımevim Tasarruf Finansman A.Ş. tarafından özellikle (i) hizmet faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi, (V) kanunlarda öngörülmesi ve envanterde belirlenen amaclarıyla sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Katılımevim Tasarruf Finansman A.Ş. ’nin meşru menfaatleri için saklanmasının zorunlu olması,
- Kişisel verilerin Katılımevim Tasarruf Finansman A.Ş.’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması. Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Katılımevim Tasarruf Finansman A.Ş. tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.
- Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler Katılımevim Tasarruf FinansmanA.Ş. tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden il’gili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. Maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
SAKLAMA VE İMHA SÜRELERİ
Katılımevim Tasarruf Finansman A.Ş. tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Katılımevim Tasarruf Finansman A.Ş. nezdinde ki önem derecesine göre
- Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Katılımevim Tasarruf Finansman A.Ş. ’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale
Katılımevim Tasarruf Finansman A.Ş. tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, Politika’nın ekinde yer alan KVKK’nın VERBİS Platformundan ulaşabilirsiniz.
Saklama süresi dolan kişisel veriler, Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla Politika’da yer verilen usullere uygun olarak imha edilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 6 ay süreyle saklanır.
KİŞİSEL VERİLERİN KATILIMEVİM TASARRUF FİNANSMAN A.Ş. TARAFINDAN SAKLANMASI VE İMHASI USULLERİ
KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Katılımevim Tasarruf FinansmanA.Ş. tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
- Elektronik ortamlar:
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları, portal, devlet uygulamaları, VERBİS.)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi
- Fiziksel ortamlar:
- Kâğıt
- Yazılı, basılı, formlar, sözleşmeler, görsel ortamlar
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Katılımevim Tasarruf FinansmanA.Ş tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
- İdari Tedbirler:
Katılımevim Tasarruf Finansman A.Ş. idari tedbirler kapsamında;
- Katılımevim Tasarruf Finansman A.Ş Kurumu kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler.
- İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak ve iş süreçlerinin aksamasına neden olmayacak düzeyde erişim ve yetkilendirmeleri tanımlar. Bilgi Teknoloji departmanında çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar.
- Çalışanlara sürekli Bilgi Güvenliği, Kişisel Veri Güvenliği ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli farkındalık, teknik, idari ve hukuki olarak eğitimleri sürekli olarak vermektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri temsilcisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır.
- Kişisel veri işlemeye başlamadan önce kurumumuz tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Katılımevim Tasarruf Finansman A.Ş Kurumu tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirleri alır.
- Teknik Tedbirler:
Katılımevim Tasarruf Finansman A.Ş. teknik tedbirler kapsamında;
- Kurumumuz, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli Bilgi Güvenliği Farkındalık Eğitimleri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu eğitimlerini verir.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 27701 Kişisel Veri Yönetim Sistemini kurmuş ve gerekli bağımsız denetimlere girerek sertifikaları almaya hak kazanmıştır. Kurulan sistemler için gerekli iç kontroller ve sertifikaların devamlılığının sağlanabilmesi için gerekli kontroller yapılır ve süreçler sürekli analiz edilir.
- Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi güvenliği, iş sürekliliği, kişisel veri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini işletir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Gelişen teknolojiye uygun altyapı yatırımlar yapılır. Virüs koruma sistemleri, erişim yetkilendirmeleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır ve sızma (penetrasyon) testleri yaptırır.
- Bilgi Teknolojileri çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme tanımlarını yapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Alınan tedbirlerin kontroller ile sürekli yaşatılmasını sağlar.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
PERSONEL
Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın EK-1’nde yer alan listeden ulaşabilirsiniz.
KİŞİSEL VERİLERİN İMHA EDİLMESİ
Kişisel veri işleme şartlarının, kişisel veri özelinde tamamen ortadan kalkması halinde bu kişisel veriler resen veya ilgili kişinin talebi üzerine silinmek, yok edilmek veya anonim hâle getirilmek suretiyle imha edilmektedir.
Temel ilkeler ile bu kişisel verilerin korunması için alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri SaklamaVe İmha Politikasına uygun hareket edilmektedir.
Katılımevim tarafından en geç 6 ayda bir olmak üzere, KVK İrtibat Kişisi ve ekip üyeleri tarafından düzenlenen İç Denetimin öbgördüğü takvim çerçevesinde denetimler yapılmaktadır. Düzenli olarak yapılan işbu denetimlerin sonucunda düzenlenen raporlar ışığında, işlenme amacı ortadan kalktığı tespit edilen kişisel veriler periyodik olarak imha edilmektedir.
Veri ilgilisinin imha talebi olması halinde, takip eden denetim süresi beklenmez, talebin kurumumuzun usulüne uygun şekilde ulaşmasından itibaren derhal ve en geç 30 gün içerisinde talep değerlendirilerek gerek görülmesi halinde aynı süre içerisinde uygun görülen yöntem ile imha işlemi gerçekleştirilerek talep sahibine bilgi verilir. İşbu madde kapsamında imha edilen verilerin, herhangi bir zamanda üçüncü kişilere aktarılmış olması halinde, gerçekleştirilen işlemle ilgili olarak bu üçüncü kişilere de bilgi verilerek üçüncü kişilerin de gerekli işlemleri yapması temin edilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütünişlemler imha tutanağı ile ilgili birim tarafından düzenlenmesi suretiyle kayıt altına alınır.
İlgili kişinin talebine istinaden imha yapılması halinde ise, seçilen uygun yöntemin tercih edilme gerekçesi hususunda talep sahibine açıklama yapılır. Kişisel verilerin işlenmesi şartları tamamen ortadan kalkmamışsa Katılımevim, gerekçesini talep sahibine açıklayarak talebi reddedebilir, bu halde talep sahibi uygun vasıtayla bilgilendirilir.
KİŞİSEL VERİLERİN İMHA USULLERİ
Katılımevim Tasarruf Finansman A.Ş. tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Katılımevim Tasarruf FinansmanA.Ş. tarafından resen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.
- Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri:
Katılımevim Tasarruf Finansman A.Ş. tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:
Kişisel Verilerin Silinmesi:
Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
- Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
Kişisel Verilerin Yok Edilmesi:
Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
Hardiskler, CD,DVD vb., optic ortamlar, USB Bellekler ve Taşınabilir Akıllı Cihazların elektronik ve manyatik bileşenlerin de- manyenize edilmesi,eritilmesi, yakılması, toz halimne getirilmesi, parçalanarak tekrardan kullanılmayacak hale getirilmesi ile Bilgi Teknolojileri birimi kayıt altına alarak gerçekleştirmektedir.
Fiziksel kayıtlarda İmha Formları kullanılmaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:
Katılımevim Tasarruf FinansmanA.Ş. tarafından kişisel verilerin anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar belirtilmiştir.
Kişisel Verilerin Anonim Hale Getirilmesi, kişisel veriler başka verilerle eşleştirilse dahil kimliği belirli ya da belirlenebilir dair bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanır.
- Kayıt ortamı ile ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
- Geri döndürme tekniklerin kullanılması ya da verilerin başka verilerle eşleştirilmesi yoluyla anonim haline getirilme teknikleri kullanılmaktadır.
KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.
DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Katılımevim Tasarruf FinansmanA.Ş tarafından hazırlanan işbu Politika 10/06/2024 tarihinde revize girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
KATILIMEVİM TTASARRUF FİNANSMAN A.Ş.
EK-1
PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ
PERSONEL | GÖREV | SORUMLULUK |
Hukuk |
Veri İşleyen Sıfatıyla İş Ortağı Hukuk Departmanı – Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
İç Denetim / Kontrol |
Veri İşleyen Sıfatıyla İş Ortağı
İç Denetim Kontrol – Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Satış |
Veri İşleyen Sıfatıyla
Satış Departmanı -Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Muhasebe |
Veri İşleyen Sıfatıyla
Muhasebe Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Bilgi İşlem |
Veri İşleyen Sıfatıyla
Bilgi İşlem Departmanı -Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Operasyon |
Veri İşleyen Sıfatıyla
Operasyon Departmanı -Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Satın Alma ve İdari İşler |
Veri İşleyen Sıfatıyla
Satınalma ve İdari İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Tahsisat Birimi |
Veri İşleyen Sıfatıyla
Tahsisat Departmanı -Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Finans |
Veri İşleyen Sıfatıyla
Finans Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Risk Birimi |
Veri İşleyen Sıfatıyla Risk Birimi-Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
|
Yatırımcı İlişkileri |
Veri İşleyen Sıfatıyla
Yatırımcı İlişkileri- Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Pazarlama ve Kurumsal İletişim | Veri İşleyen Sıfatıyla
Pazarlama ve Kurumsal İletişim -Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Satış Yönetimi |
Veri İşleyen Sıfatıyla
Satış Yönetimi Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
EK-2
SAKLAMA VE İMHA SÜRELERİ TABLOSU
Kurumumuz tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri Envanterinde süreç bazında tespit edilmiş olup, yapılan Envanter’e VERBİS sistemine şirketimiz aratılarak veya Katılımevim web sitesi üzerinden KVKK Başvuru formu doldurularak talep edilmesi halinde saklama ve imha sürelerine ayrıntılı olarak erişilebileceklerdir.Kurumumuzun, ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
İnsan Kaynakları Yönetimi ve Özlük Dosyası |
Hukuki İlişki Sona Erene Kadar + 10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Hukuksal Süreç Evrakları |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Hissedar ve İş Mahkeme Süreçleri |
Hissedar İş Süresi Boyunca |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sözleşmelerin Hazırlanması |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İşe Alım |
İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Bordrolama |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Eğitim Süreçleri |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Faturalandırma Süreci
|
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İşlem Güvenliği Şifre Bilgileri |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Acil Durum ve Risk Yönetim Süreci |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Bilgi Teknoloji Süreçleri |
İş Akdi Süresi Boyunca |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sağlık ve Muayene Süreçleri |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini
|
Araç Takip Süreçleri | 1 YIL
|
Saklama süresinin bitimini takiben 180 gün içerisinde |
Memnuniyet Anket Süreçleri |
3 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Log/Kayıt/Takip Sistemleri |
2 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Vekaletname Süreçleri |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sosyal Medya Tanıtım Süreci |
Açık Rıza Süresi Boyunca |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Denetim Süreçleri |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İş Başvuru Süreçlerinin Yürütülmesi |
1 YIL
|
Saklama süresinin bitimini takiben 180 gün içerisinde |
Girişlerde Fizksel Mekan Güvenliğinin Sağlanması Kamera Kayıtları |
1 AY |
Saklama süresinin bitimini takiben 15 gün içerisinde
|
Yıllık İzin Takip Süreci |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Zimmet Süreçleri |
Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Ödeme Işlemleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel Mali Süreçleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Hizmet Satış Süreçlerinin Yürütülmesi |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Müşteri Yönetim Talep Süreci
|
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Potansiyel Müşteri Hizmet Süreçleri |
2 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Randevu Süreçleri |
2 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Satınalma Süreçleri |
10 YIL |
Saklama süresinin bitimini takiben 180 gün içerisinde |
SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER
Kurumumuz, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
- Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
- Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
- KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.
POLİTİKANIN YAYIMLANMASI VE GÜNCELLENMESİ
İşbu Politika Şirket’in internet sitesinde (www.katilimevim.com.tr) yayınlanır ve talep üzerine kişisel veri sahiplerinin erişimine sunulur.İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde yayınlanmak suretiyle yürürlüğe girer.