Kişisel Verileri Saklama ve İmha Politikası , Sinerji

1. POLİTİKANIN AMACI VE KAPSAMI

6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan sonra “Kanun” veya “KVKK” olarak anılacaktır.) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu Sinerji Bilgisayar Elektronik ve Sanal Mağazacılık Limited Şirketi Kişisel Verileri Saklama ve İmha Politikası (Bundan sonra “Politika” olarak anılacaktır.), Sinerji Bilgisayar Elektronik ve Sanal Mağazacılık Limited Şirketi (Bundan sonra “Sinerji Bilgisayar” olarak anılacaktır.) tarafından kişisel verilerin saklanma ve imha edilme süreçlerine ilişkin usul ve esasların belirlenmesini amaçlamaktadır. Politika, kişisel verilerin saklanma koşullarını belirlemekte ve kişisel verilerin imha edilmesinde Sinerji Bilgisayar tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Sinerji Bilgisayar tarafından Kanun kapsamındaki tüm kişisel verilerin saklanma ve imha faaliyetlerini kapsamakta olup, Sinerji Bilgisayar’ın işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri ilgilendirmektedir.

Sinerji Bilgisayar tarafından işlenen kişisel veri kategorilerine ve kişisel verisi işlenen ilgili kişilere ilişkin detaylar “Sinerji Bilgisayar Elektronik ve Sanal Mağazacılık Limited Şirketi Kişisel Verileri İşleme ve Koruma Politikası” kapsamında yer almaktadır.

2. TANIMLAR

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Sinerji Bilgisayar bünyesinde sigortalı personeller.

Çalışan Adayı: Sinerji Bilgisayar’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Sinerji Bilgisayar’ın incelemesine açmış olan gerçek kişilerdir.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Sinerji Bilgisayar ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen Sinerji Bilgisayar çalışanlarını ve yakınlarını, hissedarlarını ve yakınlarını, Yönetim Kurulu Üyelerini ve yakınlarını, Çalışan adaylarını, tedarikçilerini ve çalışanlarını, hizmet sağlayıcılarını ve çalışanlarını, ürün veya hizmet alan kişileri ve çalışanlarını, potansiyel hizmet sağlayıcı ve çalışanı, potansiyel ürün veya hizmet alıcısı ve çalışanı, stajyer, ziyaretçileri, üçüncü kişileri ve kişisel verisi Sinerji Bilgisayar tarafından işlenen diğer kişileri ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun veya KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, kişisel verilerin yabancı ülkelere aktarılıp aktarılmadığını ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Veri Komitesi: Sinerji Bilgisayar bünyesinde gerçekleşen Kişisel Veri İşleme faaliyetlerinin Kanun’a, sair mevzuata ve Kurul tarafından verilen kararlara uygun gerçekleştirildiğinin denetimini gerçekleştiren, alınması gereken aksiyonları tespit eden ve gerçekleştirildiğinden emin olmak için çalışmalar yürüten komite.

Kişisel Verileri Koruma Düzenlemeleri: KVKK ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat.

Kişisel Verileri Koruma Kurulu: Kişisel Verileri Koruma Kurulu’dur.

Kişisel Verileri Koruma Kurumu: Kişisel Verileri Koruma Kurumu’dur.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: İşbu Sinerji Bilgisayar Elektronik ve Sanal Mağazacılık Limited Şirketi Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.

Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

3. KAYIT ORTAMLARI

Kişisel veriler, Sinerji Bilgisayar tarafından aşağıda listelenen ortamlarda, hukuka uygun olarak güvenli bir şekilde saklanır.

3.1. Elektronik Ortamlar

® Sunucular (e-posta, veri tabanı, web, dosya paylaşım, vb.)

® Yazılımlar (ofis yazılımları, muhasebe yazılımları, portal, vb.)

® Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb. )

® Kişisel bilgisayarlar (Masaüstü, dizüstü)

® Mobil cihazlar (telefon, tablet vb.)

® Optik diskler (CD, DVD vb.)

® Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

® Yazıcı, tarayıcı, fotokopi makinesi

3.2. Elektronik Olmayan Ortamlar

® Kağıt

® Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

® Yazılı, basılı, görsel ortamlar

4. SAKLAMA VE İMHA SEBEPLERİ VE AMAÇLARI

4.1. İlgili Kişiler

Sinerji Bilgisayar tarafından kişisel verileri Kanun’a uygun olarak saklanan ve imha edilen ilgili kişi kategorileri aşağıda yer aldığı gibidir:

4.1.1. Çalışan/Stajyer
Sinerji Bilgisayar’da iş sözleşmesi ile hizmet ifa eden gerçek kişilerdir.

4.1.2. Çalışan Adayı
Sinerji Bilgisayar’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Sinerji Bilgisayar’ın incelemesine açmış olan gerçek kişilerdir.

4.1.3. Ürün veya Hizmet Alıcısı

Sinerji Bilgisayar ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Sinerji Bilgisayar’ın sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.

4.1.4. Potansiyel Ürün veya Hizmet Alıcı

Sinerji Bilgisayar’ın ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş, müşteriye dönüşme potansiyeli olan gerçek kişilerdir.

4.1.5. Sinerji Bilgisayar İş Ortaklarının Paydaşı, Yetkilisi, Çalışanı

Sinerji Bilgisaray’ın her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin (iş ortağı, tedarikçi gibi) çalışanları, Paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir.

4.1.6. Gerçek Kişi İş Ortağı
Sinerji Bilgisayar’ın her türlü iş ilişkisi içerisinde bulunduğu gerçek kişilerdir.

4.1.7. Ziyaretçi
Sinerji Bilgisayar’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.

4.1.8. Hissedar
Sinerji Bilgisayar’ın hissedarı gerçek kişilerdir.

4.1.9. Yönetim Kurulu Üyesi

Sinerji Bilgisayar’ın yönetim kurulu üyesi ve diğer yetkili gerçek kişilerdir.

4.1.10. Çalışan/Hissedar/Yönetim Kurulu Üyesi Yakınları

Sinerji Bilgisayar’ın çalışanlarının, hissedarlarının ve yönetim kurulu üyelerinin yakını olan gerçek kişilerdir.

4.1.11. Üçüncü Kişi
Yukarıda yer verilen İlgili Kişi kategorileri haricindeki gerçek kişilerdir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.2. Kişisel Veri Kategorizasyonu

Sinerji Bilgisayar, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları, saklama süreleri ve idari/teknik tedbirler yer almaktadır. Bu kapsamda Sinerji Bilgisayar Kişisel Veri Envanteri içerisinde aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri bulunmaktadır.

Kimlik Bilgisi

Ad-soyad, T.C. kimlik numarası, yabancı kimlik numarası, doğum tarihi, cinsiyet, nüfus cüzdanı, vergi numarası, SGK numarası, e-imza, sürücü belgesi bilgileri, nüfus kayıt örneği bilgileri vb. bilgiler.

İletişim Bilgisi

Telefon numarası, adres, e-mail adresi gibi bilgiler.

Lokasyon Bilgisi

İlgili Kişi’nin Sinerji Bilgisayar’ın iş birimleri tarafından yürütülen operasyonlar çerçevesinde, şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS konum verisi.

Araç Bilgisi

İlgili Kişi’nin Sinerji Bilgisayar’a ait fiziksel mekan sınırları içerisine girerken kullanmış olduğu ve Sinerji Bilgisayar’ın iş birimleri tarafından yürütülen operasyonlar çerçevesinde kullandığı şirket aracının plaka bilgileri.

İşlem Güvenliği Bilgisi

Veri ilgilisine ait IP adresi, Bilgisayar şifresi, internet erişim kayıtları, E-Devlet şifresi, UETS şifresi gibi veriler.

Fiziksel Mekân Güvenlik Bilgisi

Sinerji Bilgisayar‘a ait fiziksel mekanlara girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar vb.

Finansal Bilgi

Sinerji Bilgisayar’ın İlgili Kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası gibi veriler.

Görsel/İşitsel Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olan; fotoğraf ve kamera kayıtlarından ibaret veriler.

Özlük Bilgisi

Sinerji Bilgisayar ile kurduğu hizmet akdi uyarınca personel sıfatıyla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

Mesleki Deneyim Verileri

Çalışanların, adayların, stajyerlerin, hizmet sağlayıcıların ve yönetim kurulu iş geçmişi ve eğitim geçmişine ait bilgilerdir.

Hukuki İşlem Bilgisi

Sinerji Bilgisayar’ın hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler.

Müşteri İşlem Bilgisi

Ürün ve hizmetlerin kullanımına yönelik kayıtlar, fatura bilgileri, teslimat bilgileri gibi bilgiler.

Kişisel Sağlık Verisi

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi anlamına gelmektedir.

Ceza Mahkumiyeti ve İdari Tedbirler

Adli sicil kaydı gibi bilgilerdir.

Biyometrik Veriler

Biyometrik fotoğraf, imza gibi verilerdir.

4.3. Saklamaya İlişkin Açıklamalar

Kanunun 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç̧ için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

İlgili Kişilere ait kişisel veriler, Sinerji Bilgisayar tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çeşitli Kanunlar’da açıkça belirtildiği için ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Buna göre, Sinerji Bilgisayar’ın faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

4.3.1 Saklamayı Gerektiren Hukuki Sebepler

Sinerji Bilgisayar’ın faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

® 6698 sayılı Kişisel Verilerin Korunması Kanunu,

® 6098 sayılı Türk Borçlar Kanunu,

® 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

® 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

® 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,

® 213 Sayılı Vergi Usul Kanunu,

® 4982 Sayılı Bilgi Edinme Kanunu,

® 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

® 4857 sayılı İş Kanunu,

® 6102 sayılı Türk Ticaret Kanunu,

® İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

® Ayrıca bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.3.2 Saklamayı Gerektiren İşleme Amaçları

Sinerji Bilgisayar, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Bilgi güvenliği süreçlerinin yürütülmesi
Acil durum yönetimi süreçlerinin yürütülmesi
Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi
Çalışanlar bakımından; özlük dosyasının oluşturulması, işin gereklerini sürekli olarak yerine getirmeye ehil olup olmadığının tespiti, sağlık dosyası oluşturulması
Çalışan adaylarının başvuru süreçlerinin yürütülmesi
Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
Denetim / etik faaliyetlerinin yürütülmesi
Eğitim faaliyetlerinin yürütülmesi
Erişim yetkilerinin yürütülmesi
Faaliyetlerin mevzuata uygun yürütülmesi
Finans ve muhasebe işlerinin yürütülmesi
Fatura tanzimi ve tahsilat işlemlerinin gerçekleştirilmesi,
İlgili iş ortakları ve sair üçüncü kişilerle finansal mutabakat sağlanması,
Fiziksel mekân güvenliğinin temini,
Görevlendirme süreçlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
İç denetim faaliyetlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İnsan kaynakları süreçlerinin planlanması,
İş faaliyetlerinin yürütülmesi / denetimi,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
Lojistik faaliyetlerinin yürütülmesi,
Mal / hizmet satın alım süreçlerinin yürütülmesi,
Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
Mal / hizmet satış süreçlerinin yürütülmesi,
Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
Organizasyon ve etkinlik yönetimi,
Performans değerlendirme süreçlerinin yürütülmesi,
Risk yönetimi süreçlerinin yürütülmesi,
Saklama ve arşiv faaliyetlerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi,
Talep / şikâyetlerin takibi,
Ücret politikasının yürütülmesi,
Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi,
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Dış kaynaklardan hizmet alımı yapılması,
Kimlik teyidi,
Resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,
Faaliyet alanı kapsamında yapılan, yarışma, organizasyon, çalışma ve diğer etkinliklerde elde edilen görsel ve işitsel verilerin, kurumsal hafızanın oluşturulması ve işin geliştirilmesi amacına yönelik olarak yayınlanması,
Yasal yükümlülüklerin yerine getirilmesi,
Raporlama ve risk yönetimi işlemlerinin icrası/takibi

Ayrıca, sağlık verileri, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler aşağıdaki amaçlarla saklanmaktadır,

Yasal yükümlülüklerimizin yerine getirilmesi,
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
İşyeri, iş sağlığı ve güvenliği tedbirlerinin alınabilmesi,
Özlük dosyalarının oluşturulması ve saklanması,
Periyodik sağlık muayenelerinin yapılması,
Devamsızlıkların takip edilebilmesi,

4.4. İmhayı Gerektiren Sebepler

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Sinerji Bilgisayar tarafından kabul edilmesi,
Sinerji Bilgisayar’ın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Sinerji Bilgisayar tarafından ilgili kişinin talebi üzerine en geç 30 gün içerisinde silinir, yok edilir ya da re 'sen silinir, yok edilir veya anonim hale getirilir.

5. İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanunun 6/4. maddesi gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Sinerji Bilgisayar tarafından teknik ve idari tedbirler alınır.

5.1. Teknik Tedbirler

Sinerji Bilgisayar tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

® Sızma (Penetrasyon) testleri ile Sinerji Bilgisayar bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

® Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

® Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

® Sinerji Bilgisayar’ın bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

® Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

® Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

® Sinerji Bilgisayar içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

® Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

® Sinerji Bilgisayar, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

® Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Sinerji Bilgisayar tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

® Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

® Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

® Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.

® Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

® Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

® Sinerji Bilgisayar internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

® Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

® Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

® Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

® Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

5.2. İdari Tedbirler

Sinerji Bilgisayar tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

® Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili mevzuat hakkında eğitimler verilmektedir.

® Sinerji Bilgisayar tarafından işlenen Kişisel Verilere, yalnızca görev tanımları gereği ulaşması gereken personellerin erişimi bulunmaktadır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi dikkate alınır.

® Sinerji Bilgisayar tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

® Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

® İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu tespit edenler en kısa sürede Kişisel Veri Komitesi’ne bildirir. Kişisel Veri Komitesi, konu üzerine gerekli incelemeleri derhal gerçekleştirir ve İlgili Kişi ile Kurum’a en kısa sürede konuya ilişkin gereken bildirimleri yapar.

® Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

® Kişisel veri işlemeye başlamadan önce Sinerji Bilgisayar tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

® Kişisel veri işleme envanteri hazırlanmıştır.

® Sinerji Bilgisayar içerisinde Kişisel Veri Komitesi tarafından periyodik ve rastgele denetimler gerçekleştirilmektedir.

® Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

® Sinerji Bilgisayar Kişisel Veriler’in bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

5.3. Alınan Tedbirlerin Denetimi

Sinerji Bilgisayar bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri Gizlilik Yöneticisi, veri sorumlusu olan Sinerji Bilgisayar adına, Kanun’un 12. maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar Bilgi Güvenliği Yönetim Temsilcisi’ne bildirilmekte ve Bilgi Güvenliği Yönetim Temsilcisi, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Sinerji Bilgisayar tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç̧ için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re 'sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.1. Kişisel Verilerin Silinmesi

Kişisel Veriler, Sinerji Bilgisayar tarafından aşağıda belirtilen yöntemlerle silinir.

Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

6.2. Kişisel Verilerin Yok Edilmesi

Kişisel Veriler, Sinerji Bilgisayar tarafından aşağıda belirtilen yöntemlerle yok edilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kağıt ortamında yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

7. SAKLAMA VE İMHA SÜRELERİ

Sinerji Bilgisayar tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

® Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri Envanterinde;

® Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

® Süreç bazında saklama süreleri ise Sinerji Bilgisayar Elektronik ve Sanal Mağazacılık Limited Şirketi Kişisel Veri İşleme Politikası ve Kişisel Veri Saklama ve İmha Politikası’nda;

yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri Komitesi tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re 'sen silme, yok etme veya anonim hale getirme işlemi Kişisel Veri Komitesi tarafından yerine getirilir.

Sinerji Bilgisayar tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

® Kişisel Veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Sinerji Bilgisayar nezdindeki önem derecesine göre belirlenir.

® Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Sinerji Bilgisayar'ın meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

® Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Bunların yanı sıra;

® Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

® Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

® Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

® İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

® Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

® Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

hallerinde de imha süreçleri işletilir.

Şirket tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, aşağıda ulaşabilirsiniz. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Sinerji Bilgisayar tarafından işlenen Kişisel Verilerin saklanma süreleri aşağıdaki gibidir:

		Çalışan	Diğer Kişiler
1	Kimlik	İşçinin ayrılması + 10 yıl	Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl/ Ziyaretçiler İçin 5 Yıl
2	İletişim	İşçinin ayrılması + 10 yıl	Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl/ Ziyaretçiler İçin 5 Yıl
3	Lokasyon	İşçinin ayrılması + 10 yıl
4	Özlük	İşçinin ayrılması + 10 yıl
5	Hukuki İşlem	İşçinin ayrılması + 10 yıl	Hukuki İlişkinin Sona Erdiği Tarihten İtibaren 10 Yıl
6	Müşteri İşlem		Hukuki İlişkinin Sona Erdiği Tarihten İtibaren 10 Yıl
7	Fiziksel Mekân Güvenliği	İşçinin ayrılması + 10 yıl	Hukuki İlişkinin Sona Erdiği Tarihten İtibaren 10 Yıl
8	Bilişim Teknolojileri ve Altyapı: Şirket ve Bilgisayar Güvenliğinin Sağlanması	İşçinin ayrılması + 10 yıl	Ziyaretçiler İçin 5 Yıl
9	Finans	İşçinin ayrılması + 10 yıl	Hukuki İlişkinin Sona Erdiği Tarihten İtibaren 10 Yıl
10	Özgeçmiş Bilgileri	İşçinin ayrılması + 10 yıl	Çalışan Adayları İçin Bilgi Paylaşımından İtibaren 5 yıl
11	Bilişim Teknolojileri ve Altyapı: Görsel ve İşitsel Kayıtlar	Kayıt tarihinden itibaren 3 ay	Kayıt tarihinden itibaren 3 ay
12	Sağlık Bilgileri Özel Nitelikli Kişisel Veri	İşçinin ayrılması + 10 yıl
13	Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Özel Nitelikli Kişisel Veri	İşçinin ayrılması + 10 yıl
14	Biyometrik Veri Özel Nitelikli Kişisel Veri	İşçinin ayrılması + 10 yıl

8. PERİYODİK İMHA SÜRESİ

Yönetmelik’in 11. maddesi gereğince Sinerji Bilgisayar periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Buna göre; Sinerji Bilgisayar bünyesinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kağıt nüshası da Kişisel Veri Komitesi tarafından saklanır.

10. POLİTİKA’NIN GÜNCELLENMESİ PERİYODU

Politika, ihtiyaç duyuldukça ama en uzun 6 (altı) ayda bir olmak üzere gözden geçirilir ve gerekli olan bölümler Kişisel Veri Komitesi tarafından değiştirilir ve Sinerji Bilgisayar yönetiminin onayına sunulur.

Politika güncellendikçe, güncelleme tarihleri Politika metninin sonunda belirtilerek internet sitesinde yayımlanacaktır.

11. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, Sinerji Bilgisayar’ın internet sitesinde yayınlanarak ve tüm çalışanlara duyurularak yürürlüğe girmiş kabul edilir. Yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve Sinerji Bilgisayaar adına kişisel veri işleyen herkes için bağlayıcı olacaktır. Belirtilenler tarafından Politika’ya aykırı davranışlar için Personel Disiplin Protokolü ve sözleşmeler uyarınca yaptırımla karşılaşacaktır.

Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Sinerji Bilgisayar yönetimi ve Kişisel Veri Komitesi tarafından iptal edilerek (“iptal” kaşesi vurularak veya el ile “iptal” yazılarak) imzalanır ve en az 5 (beş) yıl süre ile Kişisel Veri Komitesi tarafından saklanır.

12. POLİTİKANIN UYGULANMASI

İşbu Saklama ve İmha Politikası’nın yorumlanması veyahut uygulanması ile ilgili soru ve şikayetlerinizi internet sitemizde yer alan tüm iletişim kanallarımızdan tarafımıza iletebilirsiniz.