Skip to content Skip to footer
Araf Group
Araf Group
Close

Araf Group A.Ş. Kişisel Veri Saklama ve İmha Politikası

Kişisel verilerin korunması anayasal bir haktır. Kurumumuz, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, iş birliği içinde olunan kurumların çalışanları ve yetkilileri ile verisi işlenen diğer tüm üçüncü kişilerin kişisel verilerinin korunmasına azami özeni göstermekte ve bunu bir kurum politikası haline getirmektedir.

Bu politika, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”), ilgili yönetmelikler ve Kişisel Verileri Koruma Kurulu (“Kurul”) kararları uyarınca hazırlanmıştır.

1. Politika’nın Amacı

Bu politikanın temel amacı, KVKK ve ilgili mevzuata uygun olarak işlenen kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. Bu sayede, kişisel veri işleme faaliyetlerimizde şeffaflığı sağlamak ve mevzuata tam uyumu hedeflemek amaçlanmaktadır.

2. Politika’nın Kapsamı

Bu politika; çalışanlar, çalışan adayları, eski çalışanlar, stajyerler, yöneticiler, ziyaretçiler, tedarikçi/alt işveren çalışanları ve yetkilileri ile kurumumuz tarafından kişisel verileri işlenen tüm üçüncü kişileri kapsamaktadır. Politika, bu kişilere ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlendiği tüm faaliyetlerde uygulanacaktır.

3. Yürürlük

Bu politika, yayınlandığı tarihte yürürlüğe girer. Politikada değişiklik olması durumunda, yürürlük tarihi ve ilgili maddeler güncellenerek kurumun internet sitesinde yayımlanır.

4. Tanımlar

Bu politikada kullanılan temel terimler aşağıda tanımlanmıştır:

  • Kanun/KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
  • Kurul: Kişisel Verileri Koruma Kurulu.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Kişisel Verilerin İşlenmesi: Kişisel veriler üzerinde gerçekleştirilen elde etme, kaydetme, depolama, aktarma, sınıflandırma gibi her türlü işlem.
  • İlgili Kişi (Kişisel Veri Sahibi): Kişisel verisi işlenen gerçek kişi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
  • Periyodik İmha: Kanun’da yer alan kişisel veri işleme şartlarının ortadan kalkması durumunda, bu politikada belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek imha işlemi.

5. Roller ve Sorumluluklar

Bu politikanın uygulanmasından kurumun tüm birimleri, yöneticileri ve çalışanları sorumludur. Kişisel verilerin saklanması ve imhası süreçlerinin yürütülmesi, ilgili idari ve teknik birimler tarafından koordine edilecektir. Politikanın KVKK ve ilgili mevzuata uygunluğunun denetimi ve gerekli güncellemelerin yapılması için bir Kişisel Verilerin Korunması Komitesi/Yetkilisi görevlendirilmiştir.

6. Kişisel Verilerin İşlenmesinde Genel İlkeler

Kurumumuz, Kanun’un 4. maddesi uyarınca kişisel verileri aşağıdaki ilkelere uygun olarak işler ve saklar:

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlarla işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

7. Hukuki Yükümlülükler ve Kişisel Verilerin İmhası

Kişisel Verilerin Saklanması ve İmhasına İlişkin Hukuki Dayanaklar

Türk Ceza Kanunu’nun 138. ve KVKK’nın 7. maddesi uyarınca, kanunlara uygun olarak işlenmiş olsa dahi, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, Kurumumuz tarafından re’sen veya ilgili kişinin talebi üzerine imha edilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

İşleme şartları ortadan kalkan kişisel veriler için duruma en uygun imha yöntemi seçilir.

  • Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Sunuculardaki veriler için komutla silme, kağıt ortamındaki veriler için ise karartma gibi yöntemler kullanılabilir.
  • Yok Etme: Kişisel verilerin hiç kimse tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Fiziksel olarak yok etme (kağıt imha makineleri ile) veya manyetik medyanın de-manyetize edilmesi gibi yöntemler uygulanır.
  • Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Maskeleme, toplulaştırma, veri karma gibi teknikler kullanılabilir.

8. Saklama ve İmha Süreçleri

Saklama Süreleri ve Kayıt Ortamları

Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre kadar saklanır. Mevzuatta bir süre belirlenmemişse, veriler kurum uygulamaları ve ticari teamüller gereği belirlenen süre sonunda imha edilir. İşleme amacı sona ermiş ancak olası hukuki uyuşmazlıklarda delil teşkil etmesi amacıyla saklanması gereken veriler, zamanaşımı süreleri dikkate alınarak muhafaza edilebilir.

Kişisel veriler, elektronik ve elektronik olmayan ortamlarda saklanmaktadır.

  • Elektronik Ortamlar: Sunucular, yazılımlar, veri tabanları, ağ cihazları, mobil cihazlar.
  • Elektronik Olmayan Ortamlar: Kağıt, manuel veri kayıt sistemleri, arşivler.

Aşağıda bazı veri kategorileri için azami saklama süreleri örnek olarak verilmiştir:

Saklama ve İmha Süresi

Kimlik, İletişim, Özlük, Mesleki Deneyim

İş ilişkisi sona erdikten sonra 15 yıl

Finans, Hukuki İşlem, İşlem Güvenliği

Hukuki ilişki sona erdikten sonra 10 yıl

Çalışan Adayı Verileri

Başvuru tarihinden itibaren 6 ay

Ziyaretçi Kamera Kayıtları

Veri kategorisine göre değişmekle birlikte genellikle 1-3 ay

9. Periyodik İmha

Saklama süresi sona eren kişisel veriler, 6 aylık periyotlar halinde re’sen gözden geçirilir ve imha edilir. Yapılan tüm imha işlemleri tutanak altına alınır ve bu kayıtlar en az 3 yıl süreyle saklanır.

  • Teknik ve İdari Tedbirler

Kurumumuz, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ile hukuka uygun olarak imha edilmesi için gerekli tüm teknik ve idari tedbirleri almaktadır.

Teknik Tedbirler

  • Ağ güvenliği ve güncel güvenlik duvarları kullanılması.
  • Güncel anti-virüs sistemlerinin ve veri kaybı önleme (DLP) yazılımlarının kullanılması.
  • Veri tabanlarının güvenliğinin sağlanması ve kişisel verilerin yedeklenmesi.
  • Erişim loglarının düzenli olarak tutulması ve kullanıcı müdahalesine kapalı olması.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemleri ile sadece yetkili personelin erişiminin sağlanması.
  • Sızma (penetrasyon) testlerinin periyodik olarak uygulanması.
  • Özel nitelikli verilerin aktarımında şifreleme ve KEP veya kurumsal e-posta kullanılması.

İdari Tedbirler

  • Çalışanlar için veri güvenliği konusunda farkındalık eğitimleri düzenlenmesi.
  • Çalışanlar için yetki matrisi oluşturulması ve görevden ayrılan personelin yetkilerinin derhal kaldırılması.
  • Veri işleyen hizmet sağlayıcıları ve tedarikçiler ile yapılan sözleşmelere veri güvenliği hükümleri eklenmesi ve gizlilik taahhütnameleri alınması.
  • Kurum içi periyodik denetimlerin yapılması.
  • Kişisel veri içeren fiziksel ortamların (arşiv odaları vb.) dış risklere (yangın, sel, hırsızlık) karşı güvenliğinin sağlanması.
  • Kişisel verilerin mümkün olduğunca azaltılması (veri minimizasyonu) ilkesinin benimsenmesi.

10. Politika’nın Gözden Geçirilmesi ve Güncellenmesi

Bu politika, yılda en az bir kez veya mevzuatta değişiklik olması halinde gözden geçirilir ve gerekli güncellemeler yapılarak yeniden yayımlanır. Yürürlükteki mevzuat ile politika arasında bir çelişki olması durumunda, mevzuat hükümleri esas alınır.