Winsula sosyal ve hukuki sorumluluğu gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde, uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir.
Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22’nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmî Gazete ’de yayımlanmıştır.
Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, Winsula faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
İşbu Politika tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
TANIMLAR
Veri sahiplerine ait kişisel veriler Winsula tarafından aşağıdaki ortamlarda KVK Kanunu hükümlerine ve ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
Fiziksel ortamlar:
Veri sahiplerine ait kişisel veriler, Winsula tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVK Kanunu ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Winsula tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Winsula, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır. Bu doğrultuda Şirketimiz tarafından gerekli denetimler yapılmakta veya yaptırılmaktadır. Alınan teknik ve idari önlemlerin tamamı Kişisel Veri Politikası ’nda özel olarak düzenlenmiştir. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Winsula bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir, durumun düzeltilmesi için ivedi önlemleri derhal alır ve tedbirleri gözden geçirir.
Teknik Tedbirler:
– Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
– Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
– Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
– Verilerin kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.
İdari Tedbirler:
Winsula ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır. Winsula tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
Winsula kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir. Winsula kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Winsula organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe
ve bu verileri kullanamama sonucunu doğuracak ise;
yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Winsula kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin saklandığı donanımın niteliğine göre, ilgili diskler yakılır ve geri dönülemeyecek şekilde kırılır.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Winsula tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Winsula, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Winsula re’sen kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alacak ve uygulayacaktır. Ayrıca Yönetmelik’in 13’üncü maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Winsula serbesti içinde olacaktır.
Winsula tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
– Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
– Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
– Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Saklama süresi dolan kişisel veriler, işbu Politika ’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika ’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel veriler politika ‘nın 4. maddesinde belirtilen hususlar dikkate alınarak ekte belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir.
İlgili kişi, KVK Kanunu’nun 13’üncü maddesine ve Yönetmelik’in 12’inci maddesine istinaden Kişisel Veri Politika ‘sının ekinde yer alan bir başvuru dilekçesi Winsula başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir.
Winsula aşağıdaki gerekçelerle veri sorumlusuna ait kişisel verinin silinmesini reddedebilir:
Veri sahipleri bu bölümde yer alan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Kişisel Veri Politika ’sının ekinde yer alan bir başvuru dilekçesini doldurup imzalayarak Winsula ‘ya ücretsiz olarak iletebileceklerdir:
(a)Karlıktepe Mah. Üçem Pramit İş Merkezi Yıldız Cad. No:26 A Kartal/İSTANBUL adresine şahsen veya noter vasıtasıyla gönderecekleri Başvuru Formu aracılığıyla ile öğrenme hakkına sahiptirler.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Winsula cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
Winsula başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Winsula kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
EKLER
EK 1-Veri Saklama ve İmha Süreleri
KİŞİSEL VERİ İÇEREN İŞLEM VEYA SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Genel Kurul İşlemleri ve Şirket Hissedar Bilgileri | Şirket tüzel kişiliğinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Finansal Bilgiler | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 120 gün içerisinde |
Mesleki Deneyim | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 120 gün içerisinde |
Pazarlama Faaliyetleri | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 120 gün içerisinde |
Sağlık Bilgisi | İş akdinin sona ermesinden itibaren 15 yıl | Saklama süresinin bitimini takiben 120 gün içerisinde |
Adli Sicil Kayıtları | İş akdinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 120 gün içerisinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
İletişim | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Sözleşme İşlemleri | Sözleşme ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Kimlik Bilgileri | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Risk Yönetim | Hukukî ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
İş başvuruları (olumsuz sonuçlanan) | Başvurunun olumsuz sonuçlanmasından itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Özlük dosyaları | İş akdinin sona ermesini müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
İş Sağlığı ve Güvenliği uygulamaları | İş ilişkisinin sona ermesini takip eden 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Yönetim Kurulu ve Temsilci Bilgileri | Şirket tüzel kişiliğinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Ödeme İşlemleri/Muhasebe | İş ilişkisinin/ hukuki ilişkinin sona ermesini müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel Finansman Süreçleri | İş ilişkisinin sona ermesini müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Eğitim kayıtlarının dosyalanması | İş akdinin sona ermesini müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Güvenlik Kamera Görüntüleri ve Ses Kayıtları | Görüntünün ve ses kaydının alındığı tarihten itibaren 40 gün | Saklama süresinin bitimini takiben 180 gün içerisinde |
Talep/Şikâyet Yönetimi Bilgileri | Talep/Şikâyet kaydının yapılmasından itibaren 2 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde |
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.