KVKK

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKAMIZ

I. POLİTİKANIN AMACI

Sales Network Danışmanlık A.Ş (“Sales Network”) olarak, işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve KVKK’nın ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla düzenlenmiştir.

II. POLİTİKANIN KAPSAMI

İşbu Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak üyeler, çalışan adayları, çalışanlar, şirket hissedarları, şirket yetkilileri, ziyaretçiler, iş birliği içerisinde olunan kurumların/üyelerin çalışanları, hissedarları ve yetkilileri ve üçüncü kişiler bulunmaktadır.

III. TANIMLAR VE KISALTMALAR

1. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.

2. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.

3. İlgili Kişi/Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

4. Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)

5. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

6. Özel Nitelikli Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

7. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

8. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

9. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.

10. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

11. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

12. Başvuru Formu: Veri sahibinin ilgili mevzuat çerçevesinde haklarını kullanmak için yapacağı başvuruyu içeren formdur.

13. Politika: Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”)

14. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

15. Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

16. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

17. Yönetmelik: 28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. (“Yönetmelik”)

18. Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

19. Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

IV. KAYIT ORTAMLARI
Sales Network, İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politikanın kapsamına dahil etmeyi kabul eder.
i. Sales Network adına kullanılan bilgisayarlar/sunucular,
ii. Ağ cihazları,
iii. Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
iv. Bulut sistemleri,
v. Mobil telefonlar ve içerisindeki tüm saklama alanları,
vi. Kâğıt,
vii. Mikrofiş,
viii. Yazıcı, Parmak izi okuyucu gibi çevre birimler,
ix. Manyetik bantlar,
x. Optik diskler,
xi. Flash hafızalar.

V. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR
Veri sahiplerine ait kişisel veriler, Sales Network tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
i. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
ii. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
iii. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
iv. Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
v. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
vi. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Sales Network tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
i. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
ii. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
iii. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
iv. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
v. İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
vi. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
vii. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

VI. VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

Sales Network, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12/1 maddesinde öngörülen tedbirler şunlardır:
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak.
Sales Network’ün bu kapsamda aldığı önlemler aşağıda sayılmıştır:

1. İdari Tedbirler:

Sales Network, kendi kurum veya kuruluşunda, kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.

i. Sales Network, kendi kurum veya kuruluşunda, kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.
ii. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, kurumumuz bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
iii. Kişisel verilerin paylaşılması ile ilgili olarak, Sales Network, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar, yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
iv. Sales Network, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli Kişisel Verilerin Korunması eğitimlerini verir.

2. Teknik Tedbirler:

i. Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
ii. Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
iii. Bilgi teknolojileri birimlerinde ve diğer birimlerde çalışanlar ile diğer kişilerin kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
iv. Kişisel veri barındıran bilişim sistemlerinin yetkisiz erişimlere, siber saldırılara ve hukuka aykırı veri işlemelere karşı korunmasını sağlamak amacıyla güvenlik duvarı, şifreleme, erişim yönetimi gibi güvenlik tedbirleri bulunmaktadır.
v. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin
prosedürü hazırlanmıştır.

VII. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Sales Network, kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Sales Network tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Sales Network, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Sales Network organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
a) Kişisel verilerin anonim hale getirilerek arşivlenmesi veya
b) Başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır.
2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Sales Network, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Sales Network tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Sales Network, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

VIII. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Sales Network, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika’da tanımlar. Veri sahibi iş birimi, İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
Kişisel verilerin imhası sırasında Sales Network çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
1. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
2. Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
3. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir. Ayrıca kağıt ve mikrofiş gibi ortamlarda bulunan kişisel verilerin yok edilmesi için kağıt kırpma işlemlerinin yerine getirilmesidir.
4. Bulut İmhası
Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.
5. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

IX. SAKLAMA VE İMHA SÜRELERİ
1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Sales Network, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemler diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile saklanır.

2. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin Sales Network’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Sales Network, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Sales Network ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

X. YÜRÜRLÜK
İşbu Politika’nın yürürlük tarihi 13.02.2021’dir. Sales Network, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutmaktadır. Politika’nın güncel haline web sitemizde ulaşabilirsiniz.

Saygılarımızla,
Sales Network Danışmanlık Anonim Şirketi