KİŞİSEL VERİLERİ KORUMA, SAKLAMA VE İMHA POLİTİKASI

DOĞUŞ PAKETLEME AMBALAJ OTOMOTİV SAN. VE TİC. LTD. ŞTİ. KİŞİSEL VERİLERİ KORUMA, SAKLAMA VE İMHA POLİTİKASI

1- Amaç:

Hukuki ve sosyal sorumluluğunun bir parçası olarak; Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, Doğuş Paketleme Ambalaj Otomotiv San. Ve Tic. Ltd. Şti. (“Şirket” olarak anılacaktır) söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması amacıyla kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir. Şirket, belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; çalışanları, çalışan adayları, çalışan yakınları, yetkilileri, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, çalıştığı 3. Taraflar, hizmet veren şirket yetkililerine ait kişisel verilerin “Anayasa”, uluslararası sözleşmeler, “Kanun”, “Yönetmelik” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel Verileri Koruma, Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilen Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuatlar uyarınca “Şirket“ tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

2- Kapsam:

Bu Politika; çalışanların, çalışan adaylarının, çalışan yakınlarının, ziyaretçilerimizin, işbirliği içinde olduğumuz firma çalışanları, çalışan adayları, çalışan yakınları, şirket yetkilileri, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, çalıştığı 3. Taraflar, hizmet veren şirket yetkililerine ait kişisel verilerinin korunmasına otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

3- Tanımlar

Kanun/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kurul/Kurum	Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi : DOĞUŞ PAKETLEME AMBALAJ OTOMOTİV SAN. VE TİC. LTD. ŞTİ.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
İlgili kişi	Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi.
Açık rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hale getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Maskeleme	Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler.
Karartma	Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Aydınlatma Yükümlülüğü	Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi vermek.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi https://verbis.kvkk.gov.tr/
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Politika	Kişisel Verileri Saklama ve İmha Politikası
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

4- Sorumluluk ve Görev Dağılımları

Ünvan	Birim	Görev
Genel Müdür	Yönetim	Çalışanların politikaya uygun hareket etmesinden sorumludur.
KVK Yetkili Kişisi ve Şirket Yetkili Kişisi	Şirketin KVK süreçlerine uyum ve denetiminin sağlanması için çalışan yetkili kişiler	Politikanınn hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludurlar.

5- Kayıt Ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular, Yazılımlar, sabit ya da taşınabilir diskler, optik diskler, Bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, taşınabilir bellekler, yazıcı, tarayıcı, fotokopi makinesi, bulut ortamlar

Kağıt, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar

6- Saklama ve İmhaya İlişkin Açıklamalar

Şirket tarafından; çalışanlar, çalışan adayları, çalışan yakınları, yetkilileri, hizmet alan kişileri, ziyaretçileri , çalıştığı 3. Taraflar, hizmet alan şirket yetkililerine ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

6.1- Saklamaya İlişkin Açıklamalar

Kanunun 3. Maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. Maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. Maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.

Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen süreler kadar veya işleme amaçlarına uygun süre kadar saklanır.

6.1.1- Saklamayı Gerektiren Hukuki Sebepler

Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; Türk Ticaret Kanunu, Borçlar Kanunu, Kişisel Verilerin Korunması Kanunu, Vergi Usul Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İşçi Sağlığı ve İş Güvenliği Kanunu, İş Kanunu, ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

6.1.2- Saklamayı Gerektiren İşleme Amaçları

Şirket, KVKK 5 ve 6. Maddede düzenlenen kişisel verileri işleme şartlarına uygun olarak faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
Etkinlik yönetimi,
İtibar araştırma süreçleri,
İş ortakları veya hizmet alan firmalarla olan ilişkilerin yönetimi,
Şirket içi personel temin süreçlerinin yürütülmesi ,
Şirket finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
Şirkete ait hukuk işlerinin icrası/takibi,
Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
Kurumsal yönetim faaliyetlerinin icrası,
Şirketin ticari politikalarının tespit, planlanma ve uygulanması,
Şirket ve şirket ile iş ilişkisi içerisinde olan gerçek veya tüzel kişilerin hukuki ve ticari güvenliğinin sağlanması,
Şirkete ait ofis iş yeri tesis ve benzeri tüm lokasyonların fiziksel güvenliğinin ve denetiminin sağlanması,
Şirketin müşterilerini değerlendirme, ürün v.s. ilişkin şikâyet yönetimi süreçleri,
İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,
Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
Talep ve şikayet yönetimi,
Şirket üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması,
Şirket faaliyetlerinin prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
Şirket itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,

6.2- Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesine İlişkin Esaslar

KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Şirket kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkelere uymaktadır.

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

6.2.1- İmhayı Gerektiren Sebepler

Şirket, kişisel verileri aşağıdaki sebeplerle imha eder;

Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi
Şirket tarafından belirlenen imha süresinin sona ermesi
Şirket tarafından belirlenen periyodik imha süresinin sona ermesi
Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması
İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi,
Şirketin ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
Kişisel Verileri Koruma Kanunu’ nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

7- TEKNİK VE İDARİ TEDBİRLER

Kişisel Verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. Maddesiyle Kanunun 6. Maddesi 4. Fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde şirket tarafından teknik ve idari tedbirler alınır.

7.1- Teknik Tedbirler

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır,
Anahtar yöntemi uygulanmaktadır,
Bilgi Teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır,
Çalışanlar için yetki matrisi oluşturulmuştur,
Erişim logları düzenli olarak tutulmaktadır,
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır,
Gerektiğinde veri maskeleme önlemi uygulanmaktadır,
Gizlilik taahhütnameleri yapılmaktadır,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
Güncel anti-virüs sistemleri kulanılmaktadır,
Güvenlik duvarları kullanılmaktadır,
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir,
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır,
Kullanıcı hesap yöntemi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır,
Log kayıtları kulanıcı müdahalesi olmayacak şekilde tutulmaktadır,
Mevcut risk ve tehditler belirlenmekte buna yönelik önlemler alınmaktadır,
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır,
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir,
Saldırı tespit ve önleme sistemleri kullanılmaktadır,
Sızma testleri ile şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir,
Şifreleme yapılmaktadır,
Veri kaybı önleme yazılımları kullanılmaktadır.

7.2- İdari Tedbirler

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir,

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır,
Kişisel veri güvenliğinin takibi yapılmaktadır,
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir,
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır,
Kişisel veriler mümkün olduğunca azaltılmaktadır,
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır,
Çalışanlara Kişisel verilerin muhafazası ile ilgili eğitimler verilmekte,
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır,
Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir,
Kişisel veri işleme envanteri hazırlanmıştır.

8- KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. İlgili Mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, şirket tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

8.1- Silme Yöntemleri

8.1.1- Fiziksel Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Karartma; Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

8.1.2- Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Yazılımdan güvenli olarak silme; Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

8.2- Yok Etme Yöntemleri

8.2.1- Fiziksel Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel olarak yok etme; Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.

8.2.2- Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

De-manyetize etme (degauss), Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma; Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

8.2.3- Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme

Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

8.3- Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel Verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirelemeyecek hale getirilmesidir.

Şirket hukuka uygun olarak işlenen kişisel verilerin işlenmesi şartlarının ortadan kalkması halinde kişisel verileri anonimleştirebilmektedir. Böylece anonimleştirilen kişisel veriler KVK Kanunu’nun 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

Kişisel verilerin anonimleştirmesinde aşağıda yer verilen teknikleri kullanılmaktadır.

8.3.1- Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanımlanmasını sağlayan adı, soyadı, T.C. Kimlik No vb. bilginin çıkartılması.

8.3.2- Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, yaşları belirtilmeksizin X yaşında Y kadar müşteri olduğunun belirtilmesi

8.3.3- Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihi yerine yaşın belirtilmesi

8.3.4- Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

9- KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı Haziran ve Aralık ayları olmak üzere altı ayda bir yapılır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.

KVK Kurulu, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

İş sözleşmelerinin kurulması ve ifasına yönelik faaliyetler ile ilgili sürecin mevzuat yükümlülüklerinin yerine getirilmesi

İş sözleşmesinin sona ermesinden itibaren 10 yıl