Kişisel Veri Saklama ve İmha Politikası

Kişisel Verileri Saklama ve İmha Politikası (Online Keşif Mühendislik ve Danışmanlık Anonim Şirketi – "Online Keşif") olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin; KVKK ve ilgili mevzuat uyarınca saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

Online Keşif; çalışanlar, çalışan adayları, hizmet sağlayıcılar, tedarikçiler, üyeler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin hukuka uygun işlenmesini ve ilgili kişilerin haklarını etkin şekilde kullanmasını öncelik kabul eder. Web ve mobil uygulama kullanımına ilişkin kişisel verilerin toplanma şekilleri, amaçları, hukuki sebepleri ve haklar şeffaf biçimde aydınlatılır.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler bu politika doğrultusunda yürütülür.

Politikanın amacı; KVKK, Yönetmelik ve ilgili mevzuata uygun şekilde saklama ve imha süreçlerinin çerçevesini çizmek, süreç sorumluluklarını ve uygulama standartlarını belirlemektir.

Çalışanlar, çalışan adayları, hizmet sağlayıcılar, tedarikçiler, üyeler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamındadır; Online Keşif’in sahip olduğu/işlettiği tüm kayıt ortamları ve veri işleme faaliyetlerine uygulanır.

Kişisel veriler; kağıt/basılı/görsel ortamlar, birim dolapları ve arşiv gibi fiziksel ortamlarda; sunucular, diskler, yazılımlar, bilgi güvenliği cihazları, kişisel bilgisayar ve mobil cihazlar gibi elektronik ortamlarda güvenli biçimde saklanır.

KVKK m.4 gereği veriler; amaçla bağlantılı, sınırlı ve ölçülü işlenir, ilgili mevzuat ve amaç için gerekli süre kadar muhafaza edilir. KVKK m.5-6 işleme şartları gözetilir.

• Sözleşmelerin kurulması/ifası,
• Hakların tesisi/kullanılması/korunması,
• Meşru menfaat,
• Hukuki yükümlülükler, mevzuatta açıkça öngörülmesi,
• Açık rıza gerektiren saklama faaliyetleri.

Kimlik, iletişim, müşteri işlem, işlem güvenliği ve hukuki işlem verileri; sözleşmesel süreçler, finans/muhasebe, faaliyetlerin yürütülmesi ve denetimi, faturalandırma, teslimat/lojistik takibi, kimlik teyidi, pazarlama (açık rıza varsa), memnuniyet, iletişim, analiz, mevzuata uygunluk, operasyon güvenliği, yetkili kurumlara bilgi verme vb. amaçlarla işlenir.

• Mevzuatın değişmesi veya ilgası,
• Amaç ortadan kalkması,
• Açık rızanın geri alınması (yalnız rızaya dayalı işleme),
• KVKK m.5-6’daki şartların ortadan kalkması,
• İlgili kişinin talebi ve Kurul kararı,
• Azami sürenin dolması ve daha uzun saklamayı haklı kılacak sebebin bulunmaması.

Mevzuatta süre varsa bu süreye uyulur; yoksa KVKK m.4 ilkelerine göre gereklilik değerlendirilir. Özel nitelikli veriler öncelikle imhaya tabidir. Saklama gerekçesi/istisnası kalmayan veriler silinir, yok edilir veya anonimleştirilir. İmha işlemleri 6 ayda bir periyodik olarak kayda alınır ve en az 3 yıl saklanır.

Süreç/veri kategorisi bazlı saklama süreleri; Envanter, VERBİS ve bu Politika’da yönetilir; gerekli hallerde güncellenir.

Yönetmelik m.11 uyarınca periyodik imha süresi 6 ay olarak belirlenmiştir. Süreç 2023 Ocak’ta başlar ve her 6 ayda bir tekrarlanır.

Teknik Tedbirler

• Sızma testleri, olay yönetimi, erişim/Yetki matrisi, fiziksel güvenlik, ağ güvenliği (WAF/IDS/IPS),
• Risk analizi, loglama, yedekleme, güçlü parola ve güncel yamalar, HTTPS (SHA-256 RSA),
• Özel nitelikli veriler için ilave politika, eğitim, yetki sınırlaması, kriptografi ve kayıt,
• Aktarımlarda şifreleme/KEP/VPN/sFTP, kağıt ortamında gizli evrak prosedürü.

İdari Tedbirler

• Eğitimler, gizlilik sözleşmeleri, disiplin prosedürü, aydınlatma yükümlülüğü,
• Kişisel veri işleme envanteri, periyodik/rastgele denetimler,
• Üye/ziyaretçi/tedarikçi aydınlatması ve sözleşmeleri, çerez bilgilendirmeleri.

Silme

Sunucu/elektronik ortamlarda erişim yetkilerinin kaldırılması; fiziksel ortamlarda karartma; taşınabilir medyada şifreleme ve anahtarların güvenli saklanması.

Yok Etme

Kağıtların kırpma makinesinde imhası; optik/manyetik medyanın eritme/yanma/toz haline getirme veya manyetik alanla okunamaz kılınması.

Anonimleştirme

Değişken çıkartma ve genelleştirme gibi tekniklerle kişiyi belirlenemez hale getirme (istatistiki kullanım için).

Kanun ve teknolojik gelişmelere bağlı değişiklik yapma hakkı saklıdır. Değişiklikler metne işlenir ve gerekirse sürüm notu ile duyurulur.

Bu politika internet sitesinde yayımlandığı anda yürürlüğe girer. KVKK ve ilgili mevzuatla çelişki halinde mevzuat hükümleri uygulanır.