KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

1.1. AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Öznur Savunma Havacılık Ve Makina Sanayi Ticaret Limited Şirketi (“Şirket”) tarafından hazırlanmıştır.

1.2. KISALTMALAR VE TANIMLAR

● Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

● Alıcı Grup: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

● Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

● Çalışan: Şirket personeli.

● İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

● İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

● Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

● Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

● Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

● Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

● Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, şirket, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

● Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

● Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

● Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

● Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

● Kurul: Kişisel Verileri Koruma Kurulu.

● Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

● Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

1.3. İlkeler

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

● Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

● Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

● Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

● Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde; iletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

2. SORUMLULUK VE GÖREV DAĞILIMLARI

Kişisel Verileri Koruma Komitesi, Politikanın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Komite kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur. Bu kapsamda görev dağılım çizelgesi:

UNVAN

BİRİM

GÖREV

Genel Müdür

Yönetim

Çalışanların politikaya uyumlu hareket etmesinden sorumludur.

Muhasebe Sorumlusu

İnsan Kaynakları

Muhasebe

İnsan Kaynakları Departmanı

Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

Teknik Destek

Yönetim

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

Çalışan

Diğer Birimler

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

3. KAYIT ORTAMLARI

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

● Yazılımlar (Muhasebe ve Personel takip sistem yazılımları)

● Kişisel ve kurum bilgisayarları (Masaüstü, dizüstü)

● Mobil cihazlar (telefon, tablet vb.)

● Optik diskler (CD, DVD vb.)

● Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

● Yazıcı, tarayıcı, fotokopi makinesi

● Kağıt

● Manuel veri kayıt sistemleri (çalışan, tedarikçi, acente vb. anket formları)

● Yazılı, basılı, görsel ortamlar

4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle Şirket faaliyetleri başta olmak üzere (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

● Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

● Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

● Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

● Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

● Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

● Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

● Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,

● Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

● Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

● Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

● İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

● Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

● Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

5.1. TEKNİK TEDBİRLER

Şirket teknik tedbirler kapsamında;

● Güncel anti-virüs sistemleri kullanılmaktadır.

● Kişisel veri güvenliğinin takibi yapılmaktadır.

● Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

● Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

● Mevcut risk ve tehditler belirlenmiştir.

● Şifreleme yapılmaktadır.

● Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

5.2. İDARİ TEDBİRLER

Şirket idari tedbirler kapsamında;

● Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

● Gizlilik taahhütnameleri yapılmaktadır.

● Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

● İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

● Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

● Kişisel veriler mümkün olduğunca azaltılmaktadır.

● Mevcut risk ve tehditler belirlenmiştir.

● Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

● Doğrudan kişisel verilerin işlenmesiyle ilgili görevlerde bulunan personellere Kişisel Verilerin Korunmasına İlişkin Bilgilendirme Eğitimi verilmiştir.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

6.1. KİŞİSEL VERİLERİN SİLİNMESİ

Veri Kayıt Ortamı

Açıklama

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

6.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler geri döndürülemeyecek şekilde yok edilir.

6.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

7. SAKLAMA VE İMHA SÜRELERİ

Öznur Savunma Havacılık Ve Makina Sanayi Ticaret Limited Şirketi tarafından, Şirket faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

● Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

● Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Süreç Bazında Saklama ve İmha Süreleri Tablosu

Süreç

Saklama Süresi

İmha Süresi

Sözleşmelerin Hazırlanması

Sözleşmenin sona ermesini takiben 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İletişim Faaliyetlerinin İcrası

Faaliyetin sona ermesini takiben 10 yıl.

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İnsan Kaynakları Süreçlerinin Yürütülmesi

Faaliyetin sona ermesini takiben 10 yıl.

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi

2 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kamera Kayıtları

90 Gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Ziyaretçi ve Toplantı Katılımcılarının Kaydı

Etkinliğin Sona Ermesini Takiben 1 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Çalışan ve Stajyerlere İlişkin Mazeret Belgeleri

Teslim edildiği tarihi takip eden ayın sonunda

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Faturalandırma Faaliyeti

Hukuki İşlemin Bitimini takiben 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

● Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem, verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.

● Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

● Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

8. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince, periyodik imha süresini 6 ay olarak belirlenmiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

9. POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

● Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

● Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

● Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

10. POLİTİKANIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

11. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politikanın Yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları Kurul Kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve 2 yıl süre ile Şirket Yönetimince tarafından saklanır.