KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

AYDIN TİCARET ODASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BÖLÜM I

AMAÇ, TANIMLAR, SORUMLULUK VE GÖREV DAĞILIMLARI, VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI

1. AMAÇ

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Aydın Ticaret Odası (“Oda”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Oda; Kişisel Verilerin İşlenmesi ve Korunması Politikasında belirlenen temel ilkeler doğrultusunda; Oda çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını mevzuata uygun şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Oda tarafından bu doğrultuda hazırlanmış olan işbu Saklama ve İmha Politikasına uygun olarak gerçekleştirilir.

2. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Çalışan: Bir sözleşme kapsamında çalışan işçiler, kursiyerler ve stajyerler ile yönetim kurulu üyeleri ve taşeron işçileri kapsar.

Çalışan Adayı: Oda’ya herhangi bir yöntemle iş başvurusunda bulunan veya işe alım platformları aracılığıyla özgeçmişleri elde edilen kişileri kapsar.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade eder.

İlgili Kişi/ Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

İmha: Kişisel verilerin silinmesini, yok edilmesi veya anonim hale getirilmesini ifade eder.

İmha Yönetmeliği: 28/10/2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ‘i ifade eder.

İşyeri Hekimi: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.8 ve İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik’te niteliği ve görevleri belirlenen işyeri hekimini ifade eder.

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Veri İşleme Envanteri: Oda tarafından İmha Yönetmeliği ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanan ve Oda’nın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri ifade eder.

Kişisel verilerin işlenmesi: Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulunu ifade eder

KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha: KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Politika: Kişisel Verileri Saklama ve İmha Politikası’nı ifade eder.

Oda: Aydın Ticaret Odası’nı ifade eder.

Tedarikçi/ Hizmet Sağlayıcı: Oda’nın dışarıdan sair hizmetler/ürünler almakta olduğu ya da ileride hizmet/ürün alabileceği veya iş ortaklığına giriştiği gerçek kişi tedarikçiler ile tüzel kişi tedarikçilerin ortak ve yöneticilerini ifade eder.

TBK: 6098 sayılı Türk Borçlar Kanunu’nu ifade eder.

TTK: 6102 sayılı Türk Ticaret Kanunu’nu ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.

Veri Sorumluları Sicili Yönetmeliği: 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik”i ifade eder.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder.

Ziyaretçi: Oda’nın ofis veya diğer fiziksel ortamlarına giriş yapan, Oda’nın internet sitesini veya benzeri elektronik ortamlarını ziyaret eden veya Oda’nın kablosuz internet hizmetinden faydalanan kişileri ifade eder.

3. SORUMLULUK VE GÖREV DAĞILIMLARI

Oda’nın tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

	Veri Grubu	Sorumlu Oda Birimi/Unvan	Görev
1.	Çalışan, Taşeron Çalışan, Eski Çalışan Verileri	İK Birimleri İK Müdürü	Politikanın hazırlanması, geliştirilmesi ve yürütülmesinden sorumludur.
2.	Çalışan Adayı Verileri	İK Birimleri İK Müdürü	Politikanın hazırlanması, geliştirilmesi ve yürütülmesinden sorumludur.
3	Üye Verileri	Muhasebe/ Mali İşler/ Satış, Genel Sekreterlik,Hukuk Müşavirliği, Ticaret Sicili Müdürlüğü, Basın Yayın Müdürlüğü	Politikanın hazırlanması, geliştirilmesi ve yürütülmesinden sorumludur.
4.	Dijital Ortamda Saklanan Veriler	Bilgi İşlem ve Teknolojileri Müdürlüğü	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

4. VERİLERİN SAKLANDIĞI KAYIT ORTAMI

Oda tarafından işlenen kişisel veriler; aşağıda listelenen ortamlar başta olmak üzere, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu elektronik olmayan veya elektronik ortamlarda, veri güvenliği prensipleri çerçevesinde, KVK Kanunu ve ilgili mevzuata uygun olacak şekilde saklanmaktadır.

Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

	Elektronik Ortam	Fiziki Ortam
	Sunucular, Yazılımlar, Bilgi Güvenliği Duvarı, Saldırı Tespit ve Engelleme, Odada Kullanılan Bilgisayarlar Ve Optik Diskler, Çıkartılabilir bellekler (USB, Hafıza Kart vb.)Yazıcı, tarayıcı, fotokopi makinesine ait depolama alanları.	Kağıt, Manuel Veri Kayıt Sistemleri, Anketler, Etkinlik Formları, Başvuru Formları, Yazılı, Basılı Tüm Görsel Ortamlar.

BÖLÜM II

KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN USUL VE ESASLAR

1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Oda faaliyetleri çerçevesinde işlenen kişisel veriler, Oda bünyesinde, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6098 sayılı Türk Borçlar Kanunu,

• 6102 sayılı Türk Ticaret Kanunu,

• 5995 Ticaret Sicili Yönetmeliği,

• 4734 sayılı Kamu İhale Kanunu,

• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

• 5018 sayılı Kamu Mali Yönetimi Kanunu,

• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

• 4982 Sayılı Bilgi Edinme Kanunu,

• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

• 4857 sayılı İş Kanunu,

• 2547 sayılı Yükseköğretim Kanunu,

• 2828 sayılı Sosyal Hizmetler Kanunu

• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

• Arşiv Hizmetleri Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Oda, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. Oda, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• İnsan kaynakları süreçlerini yürütmek.

• Odanın kurumsal iletişimi sağlamak.

• Oda güvenliğini sağlamak,

• İstatistiksel çalışmalar yapabilmek.

• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

• Oda ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

• Yasal raporlamalar yapmak.

• Çağrı merkezi süreçlerini yönetmek.

• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü yerine getirebilmek gibi Oda’nın taraf olduğu iş, hizmet, satım, vekâlet, eser ve sair sözleşmeler ve mevzuattan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

3. İMHAYI GEREKTİREN HUKUKİ SEBEPLER

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
KVKK Kanunu’nun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
Odanın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Oda tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

BÖLÜM III

VERİLERİN SAKLANMASINA VE GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK TEKNİK VE İDARİ TEDBİRLER

İdari ve Teknik Tedbirler

Oda, elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için, aşağıdaki idari ve teknik tedbirler uygulamaktadır:
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Şifreleme yapılmaktadır.
Saldırı Tespit ve Önleme Sistemleri Kullanılmaktadır.

BÖLÜM IV

KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE ESASLAR

1. Kişisel Verilerin Saklanma ve İmha Süreleri

Kişisel veriler, aşağıdaki belirtilen sürelerle saklanır.

Tablo 3: Verilerin Saklama ve İmha Süreleri

2. PERİYODİK İMHA SÜRESİ

İmha Yönetmeliği’nin 11. maddesi gereğince Oda, periyodik imha süresini 6 ay olarak belirlenmiştir. Buna göre, Oda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

3. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Oda tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

12.09.2005 tarihli ve 25934 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe giren Oda Muamelat Yönetmeliği’nin 74‟üncü maddesi gereğince periyodik imha işlemleri gerçekleştirilmektedir.

Muhafaza süresi dolan arşiv malzemesinin tespiti ve imhası işlemlerini yapmak üzere yönetim kurulu kararıyla personelden müteşekkil üç kişilik bir komisyon oluşturulur. Komisyon muhafaza süresi dolan arşiv malzemesini yönetim kurulunca/şube yönetim kurulunca kararlaştırılan süre içerisinde bir liste halinde tespit eder. İki nüsha olarak tanzim edilecek bu listede, arşiv malzemesinin mahiyeti, aidiyeti ve tarihi belirtilir.

Komisyonca tanzim edilen listeler yönetim kurulunun onayına sunulur. Yönetim kurulunca onaylanan listelerde yer alan arşiv malzemesi, komisyonun huzurunda önceden tespit edilecek bir yerde yakılmak veya kağıt sanayi müesseselerine verilmek suretiyle imha edilir.

Yönetim kurulunca imha edilmek üzere onaylanan arşiv malzemesi listesinin bir nüshası kararın içerisine dercedilir veya yönetim kurulu/şube yönetim kurulu karar defterinin kararı takip eden sayfalarına kenarları mühürlenerek yapıştırılır, diğer nüshası da odada muhafaza edilmek üzere dosyasına konulur.

3.1 Kişisel Verilerin Silinmesi

Kişisel veriler Tablo-4‟te verilen yöntemlerle silinir.

Tablo 4: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

3.2 Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Oda tarafından Tablo-5‟te verilen yöntemlerle yok edilir.