Saklama ve İmha Politikası
KİŞİSEL
VERİ SAKLAMA VE İMHA POLİTİKAMIZ
I.
AMAÇ
Swords
Medikal Pazarlama İthalat İhracat Ticaret Limited Şirketi (“Şirket”)
olarak, işbu Kişisel
Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel
Verilerin Korunması Kanunu (“KVKK”) ve KVKK’nın ikincil düzenlemesini
teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca
yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin
işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi
esasları ile tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine
ilişkin usul ve esasları belirlemek amacıyla düzenlenmiştir.
II.
KAPSAM
İşbu
Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak üyeler,
çalışan adayları, çalışanlar, şirket hissedarları, şirket yetkilileri,
ziyaretçiler, iş birliği içerisinde olunan kurumların/üyelerin çalışanları,
hissedarları ve yetkilileri ve üçüncü kişiler bulunmaktadır.
III.
TANIMLAR VE KISALTMALAR
1.
Açık Rıza: Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.
2.
Anonim Hale Getirme: Kişisel verilerin,
başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini
ifade etmektedir.
3.
İlgili Kişi/Veri Sahibi: Kişisel verisi
işlenen gerçek kişiyi ifade etmektedir.
4.
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı
Resmî Gazete’de yayımlanan, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)
5.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade etmektedir.
6.
Özel Nitelikli Veri: Kişilerin ırkı,
etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
7.
Kişisel Verilerin İşlenmesi: Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemi ifade etmektedir.
8.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişidir.
9.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye
dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel
kişidir.
10. Veri Kayıt Sistemi: Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
11. Veri Sorumlusu: Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
12. Başvuru Formu: Veri sahibinin
ilgili mevzuat çerçevesinde haklarını kullanmak için yapacağı başvuruyu içeren
formdur.
13.
Politika: Kişisel Verilerin Korunması ve Gizlilik
Politikası (“Politika”)
14. İmha: Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesidir.
15. Periyodik İmha: Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemidir.
16. Kayıt Ortamı: Tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortamdır.
17.
Yönetmelik: 28 Ekim 2017 tarihinde Resmî Gazete’de
yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik. (“Yönetmelik”)
18. Kişisel Verilerin
Silinmesi:
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
19. Kişisel Verilerin
Yok Edilmesi:
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
IV.
KAYIT ORTAMLARI
Şirket,
İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve
bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri
Politikanın kapsamına dahil etmeyi kabul eder.
1.
Şirket adına kullanılan
bilgisayarlar/sunucular,
2.
Ağ cihazları,
3.
Ağ üzerinde veri saklanması için
kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
4.
Bulut sistemleri,
5.
Mobil telefonlar ve içerisindeki tüm
saklama alanları,
6.
Kâğıt,
7.
Mikrofiş,
8.
Yazıcı, Parmak izi okuyucu gibi çevre
birimler,
9.
Manyetik bantlar,
10.
Optik diskler,
11.
Flash hafızalar.
V.
KİŞİSEL VERİLERİN SAKLANMASINI VE
İMHASINI GEREKTİREN DURUMLAR
Veri sahiplerine ait
kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin
sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii)
çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer
ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren
sebepler aşağıdaki gibidir:
i.
Kişisel verilerin sözleşmelerin kurulması
ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
ii.
Kişisel verilerin bir hakkın tesisi, kullanılması
veya korunması amacıyla saklanması,
iii.
Kişisel verilerin kişilerin temel hak ve
özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için
saklanmasının zorunlu olması,
iv.
Kişisel verilerin Şirket’in herhangi bir
hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
v.
Mevzuatta kişisel verilerin saklanmasının
açıkça öngörülmesi,
vi.
Veri sahiplerinin açık rızasının
alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık
rızasının bulunması.
Yönetmelik uyarınca,
aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket
tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale
getirilir:
i.
Kişisel verilerin işlenmesine veya
saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya
ilgası sebebiyle gerekli olması hali,
ii.
Kişisel verilerin işlenmesini veya
saklanmasını gerektiren amacın ortadan kalkması,
iii.
Kanun’un 5. ve 6. maddelerindeki kişisel
verilerin işlenmesini gerektiren şartların ortadan kalkması,
iv.
Kişisel verileri işlemenin sadece açık
rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri
alması,
v.
İlgili kişinin, Kanun’un 11. maddesindeki
hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim
hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
vi.
Veri sorumlusunun, ilgili kişi tarafından
kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi
ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması
veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a
şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
vii.
Kişisel verilerin saklanmasını gerektiren
azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı
haklı kılacak herhangi bir şartın mevcut olmaması.
VI.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Şirket, kişisel verileri
ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte,
bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse
kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde,
daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde,
kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale
getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz
konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 süreyle
saklanır.
1.
Kişisel Verilerin Silinmesi
Kişisel verilerin
silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir. Şirket, kendi organizasyonu içerisindeki ilgili iş
biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi
sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri
işlemesini engelleyecek teknik ve idari tedbirleri alır. Şirket organizasyonu
içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme
amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok
edilmez veya anonim hale getirilmez.
Kişisel verilerin silinmesi
işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve
bu verileri kullanamama sonucunu doğuracak ise;
a) Kişisel verilerin
anonim hale getirilerek arşivlenmesi veya
b) Başka herhangi bir
kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere
yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her
türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş
sayılacaktır.
2.
Kişisel Verilerin Yok Edilmesi
Kişisel
verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirket, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve
idari tedbirleri almakla yükümlüdür.
3.
Kişisel Verilerin Anonim Hale
Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket tarafından kişisel
verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı
grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir
bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket, kişisel
verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari
tedbirleri almakla yükümlüdür.
VII.
KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Şirket, imha sırasında
kullanılabilecek tüm yöntemleri İşbu Politika’da tanımlar. Veri sahibi iş birimi,
İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek
uygulamakla yükümlüdür.
Kişisel verilerin imhası sırasında Şirket çalışanları
aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
1. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya
üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak
eski verinin okunamaz hale getirilmesi işlemidir.
2. Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda
fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi
işlemidir.
3. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline
getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir.
Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda
uygulanabilir. Ayrıca kağıt ve mikrofiş gibi ortamlarda bulunan kişisel
verilerin yok edilmesi için kağıt kırpma işlemlerinin yerine getirilmesidir.
4. Bulut İmhası
Bulut sistemler üzerinde tutulan kişisel verilerin
imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel
verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.
IX.
SAKLAMA VE İMHA SÜRELERİ
1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve
dijital veriler, periyodik olarak imha edilir. Şirket, kişisel verileri silme,
yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip
eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim
hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman
aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen
verilere ilişkin işlemler diğer hukuki yükümlülüklerden ari en az 3 yıl süre
ile saklanır.
2. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin Şirket’e başvurarak kendisine ait
kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda
kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı
ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan
kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale
getirir. Şirket, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır
ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı
ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere
aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi
nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan
kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi
reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirir.
X.
YÜRÜRLÜK
İşbu Politika’nın
yürürlük tarihi 14.01.2022’dir. Şirket, yasal düzenlemelere paralel olarak
Politika’da değişiklik yapma hakkını saklı tutmaktadır. Politika’nın güncel
haline web sitemizde ulaşabilirsiniz.
Saygılarımızla,
Swords Medikal Pazarlama İthalat İhracat Ticaret
Limited Şirketi