Kişisel Veri Saklama Ve İmha Politikası

 

 

1.POLİTİKANIN AMACI

Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için Gilda&Partners genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.

 

2.POLİTİKANIN KAPSAMI

Politika, Gilda&Partners nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm Gilda&Partners çalışanlarını, yöneticilerini, danışmanlarını ve dış hizmeti sağlayıcılarını ve Gilda&Partners’ın sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır. Politika Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

 

3.TANIMLAR

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

 

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

 

Kişisel Veri Saklama Tablosu: Kişisel verilerin Gilda&Partners nezdinde tutulacağı süreleri gösteren tabloyu,

 

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

 

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

 

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

 

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

 

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

 

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

 

4.POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

 

5.KİŞİSEL VERİLERİN İŞLENME ŞARTLARININ ORTADAN KALKMASI DURUMUNDA YAPILACAKLAR

5.1. Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.

 

5.2. Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi Gilda&Partners işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçirecektir. Kişisel veri sahibinin başvurusu ya da Kurulun veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır.

 

5.3. Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir.

 

5.4. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

5.5. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.

 

5.6. Bir kişisel verinin sahibi gerçek kişi, Kanunun 13. maddesine istinaden Gilda&Partners’a başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, derhal adı geçen kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığı incelenecektir. İşleme şartlarının tamamı ortadan kalkmışsa; Gilda&Partners, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu durumda talep, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır ve ilgili kişiye bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, Gilda&Partners bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

 

5.7. Kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, kişisel veri sahiplerinin verilerinin silinmesi veya yok edilmesine yönelik talepleri Gilda&Partners tarafından Kanunun 13. maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç 30 gün içerisinde yazılı olarak ya da elektronik ortamda bildirilir.

 

5.8. Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilecektir. Söz konusu kanallar dışında yapılacak taleplerde ilgili kişiler kimlik tespitinin ya da doğrulamasının yapılabileceği kanallara yönlendirilecektir.

 

6. POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR

6.1. İşbu Politika Gilda&Partners internet sitesinde yayımlanması ile yürürlüğe girecek ve yürürlüğü itibariyle tüm Gilda&Partners hissedarları, çalışanları, danışmanları, dış hizmet sağlayıcıları ve Gilda&Partners nezdinde kişisel veri işleyen herkes için bağlayıcı olacaktır.

 

6.2. Gilda&Partners tarafından çalışanlarının politikanın gereklerini yerine getirip getirmediğinin takibi devamlı surette yapılacak olup aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

 

6.3. Politikaya aykırı davranan çalışan hakkında gerekli idari işlem yapılacaktır.

 

7.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALACAK KİŞİLER VE SORUMLULUKLARI

Kanun, Yönetmelik ve Politika ile belirtilen kişisel verinin imhasına dair gereklerin yerine getirilmesinde Gilda&Partners ile tüm çalışanları, danışmanları, dış hizmet sağlayıcıları ve sair surette Gilda&Partners nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.

 

8.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo Ek: 1’de yer almaktadır. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır.

 

9. KİŞİSEL VERİLERİN İMHASI İŞLEMLERİYLE İLGİLİ UYGULANACAK YÖNTEMLER

Gilda&Partners, bünyesinde bulunan kişisel verileri aşağıda düzenlenen yöntemleri kullanmak suretiyle silecek, yok edecek ve/veya anonim hale getirecektir.

 

a) Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, vs gibi)

 

Gilda&Partners bulut sisteminde verileri silme komutu vererek silecektir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edecektir.

 

b) Kağıt Ortamında Bulunan Kişisel Veriler

 

Gilda&Partners, kağıt ortamında bulunan kişisel verileri karartma yöntemi kullanarak silecektir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. Kağıt ortamında bulunan kişisel veriler, kağıt öğütücüden geçirilmek sureti ile de imha edilebilir.

 

c) Merkezi Sunucuda Yer Alan Ofis Dosyaları

 

Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Gilda&Partners anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edecektir.

 

d) Taşınabilir Medyada Bulunan Kişisel Veriler

 

Gilda&Partners, flash tabanlı saklama ortamlarındaki kişisel verileri, şifreli olarak saklayacak ve bu ortamlara uygun yazılımlar kullanarak silecektir.

 

 

10.PERİYODİK İMHA SÜRELERİ

Kişisel verilerin işlenmesine ilişkin şartların tamamen ortadan kalması (kişisel verileri saklama sürelerinin dolmuş olması şartı da dahil olmak üzere) ve kişisel verileri imha yükümlülüğünün ortaya çıkması durumunda, bu yükümlülüğün doğduğu tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinecek, yok edilecek veya anonimleştirilecektir. Periyodik imha işlemi 6 aylık dilimlerde, her yılın Ocak ayı ve Haziran ayında yapılacaktır.

 

Silme, yok etme veya anonimleştirme işlemi, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde gerçekleştirilecektir.

 

İlgili Kişinin Şirketimize yazılı olarak başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği hallerde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; bu talep en geç otuz gün içinde yerine getirilecektir.

 

 

11.YÜRÜRLÜK

Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.

 

EK- 1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

Kişisel veriler aksine kesinleşmiş bir mahkeme kararı veya ihtiyati tedbir kararı bulunmadıkça Politikanın 6. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise imha edilecektir.