BAYKUŞ MENTÖRLÜK YAZILIM LİMİTED ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
1.1. Amaç
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), BAYKUŞ MENTÖRLÜK YAZILIM LİMİTED ŞİRKETİ (“ŞİRKET”) tarafından gerçekleştirilen saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla, 6698 sayılı Kanun ve 28.10.2017 tarihli (RG: 30224) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e (“Yönetmelik”) uygun olarak hazırlanmıştır.
1.2. Kapsam
Baykuş ile ticari, sözleşmesel, BaykuşApp hizmeti kullanımı ve diğer hukuki ilişki kapsamında; öğrenci/veli, mentor/koç (hizmet veren), çalışan, çalışan adayı, ziyaretçi, iş ortağı çalışanı ve tedarikçilere ait, Şirketçe yönetilen tüm kayıt ortamlarındaki kişisel veriler ile kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3. Tanımlar
Kavram | Tanım |
|---|---|
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli/belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Çalışan | Şirket personeli. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlarla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamlar. |
Hizmet Sağlayıcı | Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi (örn. yazılım/altyapı tedarikçisi, çağrı merkezi sağlayıcısı, sesli/görüntülü görüşme sağlayıcısı, bildirim ve güvenlik hizmeti sağlayıcıları). |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi/birim hariç olmak üzere, veri sorumlusu organizasyonu içinde veya aldığı yetki/talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen/kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, aktarılması, sınıflandırılması gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Veri İşleme Envanteri | İşleme faaliyetlerinin; amaç ve hukuki sebep, veri kategorisi, alıcı grubu, kişi grubu, azami saklama süresi, yurt dışı aktarım ve güvenlik tedbirleri ile ilişkilendirilerek detaylandırıldığı envanter. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler. |
Periyodik İmha | İşleme şartlarının tamamının ortadan kalkması durumunda Politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilen silme/yok etme/anonimleştirme işlemi. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek/tüzel kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişi. |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi. |
Yönetmelik | 28.10.2017 tarihli (RG: 30224) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
2. SORUMLULUK VE GÖREV DAĞILIMI
Şirketin tüm birimleri ve çalışanları; teknik ve idari tedbirlerin gereği gibi uygulanması, farkındalığın artırılması, izleme ve denetim ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin önlenmesi konularında sorumlu birimlere destek verir. Saklama ve imha süreçlerinde görev alanların unvan/birim/görev dağılımı aşağıda tutulur:
Unvan / Görev | Birim | Görev |
|---|---|---|
Kişisel Verileri Koruma Komitesi (Tüm Birim Yöneticileri) | KVK Komitesi / Yönetim Kurulu | Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.Çalışanların Politikaya uygun hareket etmesinden ve periyodik imha kararlarından sorumludur. |
İnsan Kaynakları Sorumlusu | İnsan Kaynakları | Politikanın hazırlanması, geliştirilmesi, yürütülmesi, yayınlanması ve güncellenmesinden; özlük/aday verilerinin saklama-imhasından sorumludur. |
Bilgi Teknolojileri Sorumlusu (yazılım iş ortağı koordinasyonu) | BT / Ürün | Politikanın uygulanmasında gereken teknik çözümlerin sunulması, elektronik ortamların yönetimi, silme/yok etme ve log süreçlerinden sorumludur. |
Müşteri Hizmetleri Sorumlusu | Müşteri Hizmetleri | Çağrı/chat/ses kayıtlarının saklama ve imhasından sorumludur. |
3. KAYIT ORTAMLARI
Elektronik Ortamlar
Bulut tabanlı ana veritabanı (altyapı tedarikçisi), BaykuşApp (mobil/web)
Üretkenlik/ofis bulut uygulamaları (e-posta, depolama, çevrimiçi form ve görüşme)
İç iletişim, doküman yönetimi, çağrı merkezi, sesli/görüntülü görüşme, mesajlaşma yönetimi, e-posta ve bildirim hizmeti sağlayıcılarının uygulamaları
Mesajlaşma uygulaması ve sosyal medya iş hesapları
Kamera kayıt sunucusu (güvenlik hizmeti sağlayıcısı), analitik platform (iş ortağı)
Bilgi güvenliği yazılım/cihazları (güvenlik duvarı, antivirüs, log/iz kayıtları)
Kişisel bilgisayarlar (masaüstü/dizüstü), mobil cihazlar
Çıkarılabilir bellekler (USB, harddisk), yazıcı/tarayıcı
Elektronik Olmayan Ortamlar
Kâğıt / basılı belgeler
Özlük dosyaları (kilitli dolap)
Basılı anket çıktıları ve fiziki tutanaklar
Manuel kayıt sistemleri (ziyaretçi/turnike kayıtlarının fiziki çıktıları)
4. SAKLAMAYA İLİŞKİN AÇIKLAMALAR
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
- Sözleşmelerin kurulması ve ifası ile doğrudan ilgili olması
- Bir hakkın tesisi, kullanılması veya korunması
- Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket'in meşru menfaatleri
- Şirket'in hukuki yükümlülüklerini yerine getirmesi
- Mevzuatta saklamanın açıkça öngörülmesi
- Açık rıza gerektiren faaliyetler bakımından ilgili kişinin açık rızasının bulunması
Saklamayı Gerektiren Hukuki Dayanaklar
- 4857 Sayılı İş Kanunu
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu
- 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
- 193 Sayılı Gelir Vergisi Kanunu
- 213 Sayılı Vergi Usul Kanunu
- 6102 Sayılı Türk Ticaret Kanunu
- 6098 Sayılı Türk Borçlar Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ikincil düzenlemeler
Saklamayı Gerektiren işleme Amaçları
- Online eğitim, mentorluk ve koçluk hizmetlerinin sunulması
- Öğrenci-mentor eşleştirme ve görüşmelerin planlanması/yürütülmesi
- Müşteri hizmetleri, teknik destek ve talep/şikâyet süreçlerinin yürütülmesi
- Mal/Hizmet satış ve satış sonrası destek süreçlerinin yürütülmesi
- Sözleşme süreçlerinin yürütülmesi
- Reklam/kampanya/promosyon ve pazarlama analiz süreçlerinin yürütülmesi
- İnsan kaynakları ve özlük süreçlerinin planlanması/yürütülmesi
- Çalışan adayı/seçme-yerleştirme süreçlerinin yürütülmesi
- Finans ve muhasebe işlerinin yürütülmesi
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
- Fiziksel mekan güvenliğinin temini
- Bilgi güvenliği ve erişim yetkilerinin yürütülmesi
- Hukuk işlerinin takibi ve yürütülmesi
- Saklama, arşiv ve yetkili kurum/kuruluşlara bilgi verilmesi faaliyetleri
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çerez (Cookie) Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Fiziksel Mekan Güvenliği Süreçlerinin Yürütülmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Online Teklif/Bilgi Alma Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
5. İMHAYI GEREKTİREN SEBEPLER
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
6. TEKNİK VE İDARİ TEDBİRLER
Teknik Tedbirler
Ağ Güvenliği ve Uygulama Güvenliği sağlanmaktadır.
Ağ Yoluyla Kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar Yönetimi Kullanılmaktadır.
Bilgi Teknolojileri Sistemleri Tedarik,Geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
Bulutta Depolanan kişisel verilerin güvenliği sağlanmaktadır.
Erişim Logları düzenli olarak tutulmaktadır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Taşınabilir bellek,CD,DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
İdari Tedbirler
Erişim,bilgi güvenliği,kullanım,saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere(yangın,sel vb) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının farkındalığı sağlanmaktadır.
7. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Teknik | Açıklama |
|---|---|
Silme | Sunucu/elektronik ortamda saklama süresi dolan veriler için ilgili kullanıcıların erişim yetkisinin kaldırılması; verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi. |
Yok Etme | Kâğıt ortamı için kâğıt kırpma makinesinde geri döndürülemez imha (Şirkette temin edilmelidir); optik/manyetik medya için fiziksel imha veya degauss. |
Anonim Hale Getirme | Verinin başka verilerle eşleştirilse dahi kimliği belirlenebilir kılmayacak şekilde dönüştürülmesi. |
7.1. Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
7.2 Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
8. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde güncellemeler saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi, Şirket Yönetim Kurulu veya KVKK Komitesi tarafından yapılır.
Departman / Süreç | Veri Kategorisi | Saklama Süresi | İmha |
|---|---|---|---|
İK / Bordrolu Özlük | Kimlik, Özlük, Finans, Sağlık | İş ilişkisi bitiminden 10 yıl (zamanaşımı) ve mevzuat süreleri | İlk periyodik imha |
İK / İşe Alım (olumsuz aday) | Kimlik, İletişim, Özlük, Mesleki Deneyim | Açık rıza ile azami 1 yıl | İlk periyodik imha |
İK / Mülakat Kaydı | Görsel-İşitsel | Süreç bitimi + azami 6 ay | İlk periyodik imha |
Müşteri Hiz. / Satış-Sözleşme | Kimlik, İletişim, Müşteri İşlem, Finans | İlişki bitiminden 10 yıl (ticari) / vergi 5 yıl | İlk periyodik imha |
Müşteri Hiz. / Çağrı-Ses Kaydı | Görsel-İşitsel | İşlem amacı + ihtilaf zamanaşımı (öneri: azami 1 yıl) | İlk periyodik imha |
Ürün / Eğitim-Görüşme Kayıtları | Eğitim/Akademik, Görsel-İşitsel | Hizmet süresi + azami 1 yıl | İlk periyodik imha |
Pazarlama / Sosyal Medya İçeriği | Görsel-İşitsel | Açık rıza süresince; rıza geri alınınca derhal | Rıza geri alımı / yayından kaldırma |
İK / Fiziksel Güvenlik – Kamera | Görsel-İşitsel | Öneri: azami 30–60 gün | Sürenin sonunda üzerine yazma |
Tüm Süreçler / Çerez | İşlem Güvenliği | Çerez türüne göre (Çerez Politikası) | Süre sonunda |
9. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Buna göre her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. İmha işlemleri Kişisel Veri İmha Tutanağı ile kayıt altına alınır ve Yönetmelik m.11 uyarınca en az 3 yıl saklanır.
