TSA Savunma A.Ş. Kişisel Verilerin Saklanma ve İmha Politikası
İşbu Kişisel Verilerin Saklama ve İmha Politikası (Politika), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK veya Kanun) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla TSA Savunma A.Ş. tarafından hazırlanmıştır.
A. Tanımlar
İşbu Politika kapsamında kullanılmış olan terim ve kısaltmalara ilişkin tanımlar aşağıdaki gibidir:
| Kısaltma | Tanım |
| Açık Rıza: | Belirli bir konu ile ilgili, bilgilendirmeye dayanan ve ilgili kişinin özgür iradesi ile vermiş olduğu rızadır. |
| Anonim Hale Getirme: | İşlenen kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir. |
| İlgili kişi: | Kişisel verisi işlenen gerçek kişidir. |
| İmha: | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kişisel Veri: | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
| Kişisel verilerin işlenmesi: | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
| Kişisel Verilerin Saklanması: | Kişisel verilerin işleme amacının gerektirdiği süre kadar gerekli teknik ve idari tedbirler alınmak suretiyle yalnızca yetkili kişilerin erişimine açık olacak şekilde fiziksel veya elektronik ortamlarda saklanmasıdır. |
| Kişisel Verilerin Silinmesi: | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir. |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir. |
| Veri işleyen: | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
| Veri sorumlusu: | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
| Ziyaretçi | Şirketimizin fiziksel mekanlarını veya internet sitesini hangi amaçla olduğu fark etmeksizin ziyaret etmiş gerçek kişilerdir. |
B. Kişisel Verileri İşleme İlkelerimiz
Şirketimiz, Kanun’a uygun olarak toplamış olduğu kişisel verilerin işlenmesi konusunda Kanun ve ilgili sair mevzuatta belirlenen genel ilkeler ile öngörülen usul ve esaslar çerçevesinde hareket etmektedir. Bu kapsamda Şirketimiz, işbu verilerin korunması ve işlenmesi sırasında Kanun’un 4. Maddesine uygun olarak aşağıdaki ilkelere uygun davranacağını beyan ve taahhüt etmektedir:
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
C. Politikanın Kapsamı ve Değiştirilmesi
İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve ilgili sair mevzuatlara uygun olarak hazırlanmıştır. Politika, çalışanlar, çalışan adayları, ziyaretçiler vb. diğer üçüncü kişilere ait otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen her türlü veriyi kapsamaktadır.
Şirketimiz tarafından yayınlanan işbu Politikada yer alan maddeler, Kanunlar çerçevesinde hukuka uygun olarak, gerekli görülen durumlar dâhilinde, tamamen veya kısmen yenilenecek ve/veya güncellenecektir. Bu doğrultuda Şirket, düzenleme ve/veya değiştirme hakkını her zaman saklı tutmaktadır.
D. Kişisel Verilerin İşlenme Şartları:
Kişisel verileriniz, KVKK Madde 5 uyarınca ancak ilgili kişilerin açık rızası veya aşağıda belirtilen kanuna uygunluk hallerinden birinin varlığı halinde işlenmektedir. Bunlar;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleridir.
E. Özel Nitelikli Kişisel Verilerin İşlenme Şartları:
Şirket, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ancak kişilerin açık rıza vermesi halinde işlemektedir.
Şirket, sağlık ve cinsel hayata ilişkin kişisel verileri, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü çerçevesinde, ilgilinin açık rızası aranmaksızın işleyebilir.
F. Kişisel Verilerin İşlenme Amaçları
Şirket kapsamında toplanan kişisel veriler; Şirketimiz tarafından sunulan hizmetlerden yararlanan, iş ve/veya ticaret ilişkisi içerisinde bulunan kişilerin her türlü hukuki güvenliğinin temini için gerekli çalışmaların yapılması, Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması, Şirketimizin insan kaynakları politikalarının yürütülmesinin temini, fiziksel ortamların güvenliğinin sağlanması, müşteri ilişkilerinin yürütülmesi, müşteri iletişim bilgilerinin güncellenmesi, mali yükümlülüklerin yerine getirilmesi, reklam ve tanıtım faaliyetlerinde bulunulabilmesi, müşteri şikâyet ve ihtiyaçlarının analiz edilebilmesi amacıyla ve KVKK Kişisel Verilerin Korunması Kanununun 5. maddesinde belirtilen veri sorumlusunun hukuki yükümlülüğünün yerine getirmesine dayalı olarak; sağlanılan hizmet, iş ve/veya ticari faaliyetlere bağlı olarak değişkenlik gösterebilecek olmakla birlikte; internet sitesi, e-posta, sosyal medya mecraları, mobil uygulamalar, pazarlama çalışmaları, güvenlik kameraları, müşteri şikâyet formları, Şirketimiz ile iş ve/veya ticaret ilişkisi içerisinde bulunan gerçek ve/veya tüzel kişiler ile bu kişilerle birlikte ve/veya adına çalışan kişiler tarafından kişisel verilere ilişkin bilgilendirme yapılması, Şirketimizin birimlerinde çalışmak üzere iş başvurusu ile ve/veya çalışmaya başlanması sebebiyle, veri sahibinin kişisel verileri ile ilgili bilgilendirme yapması aracılığı ile sözlü, yazılı veya elektronik ortamda toplanabilmektedir.
G. Verilerin Saklanması ve İmhasını Gerektiren Sebeplere İlişkin Açıklamalar
Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
- Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
H. Kişisel Verilerin Korunması (TEDBİRLER)
Şirketimiz, Kişisel verilerin Kanun hükümleri kapsamında hukuka uygun olarak işlenmesi amacına yönelik olarak tüm yükümlülüklerini yerine getirmektedir. Hukuka uygun olarak işlenen ve veri kayıt sisteminde bulunan verilere hukuka aykırı olarak erişilmesinin önlenmesi amacına yönelik olarak teknolojik imkânlar ve uygulama maliyetleri de göz önüne alınarak teknik tedbirler alınmaktadır. Kişisel veriler tamamen veya kısmen otomatik olarak ya da veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenmekte olup, bu verilerin yetkisiz kişilerin eline geçmemesi ve öğrenilmemesi yönünde her türlü idari tedbirler alınmaktadır. Şirket tarafından işlenen kişisel verilerin başkalarına açıklanmaması ve işlenme amacı dışında kullanılmaması yönünde gerekli idari ve teknik önlemler alınmaktadır. Şirket tarafından işlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edildiğinin tespit edilmesi halinde, bu durum ilgilisine ve KVK Kuruluna en kısa sürede bildirilecektir.
I. Kişisel Verileri Saklama Ve İmha Süreçlerinde Yer Alacak Kişiler Ve Sorumlulukları
Şirket içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, dış hizmet sağlayıcıları ve sair surette şirket nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanacaktır.
İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılacaktır.
J. Kişisel Verilerin Saklanma ve İmha Süreleri
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmiş veya şirket tarafından kişisel verilerin işlenmesine artık gerek duyulmadığına karar verilmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirket’ın yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı şirket tarafından, ilgilinin talebi bulunması halinde bu talep de göz önüne alınarak seçilir.
İlgili kişi şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
K. Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri ilk kez 30.06.2018 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.
L. Gözetim ve Denetim
Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerinin yapılmasında Kanuna, sair mevzuata ve işbu Kişisel Verilerin Saklanma ve İmha Politikasına uygun şekilde hareket ederek, gözetimi ve denetimi yapacaktır.