Veri Saklama ve İmha Politikası

 
I. Veri Saklama ve İmha Politikası’nın Amacı ve Kapsamı 
6698 Sayılı Kişisel Verilerin Korunması Kanun’u (Kanun) 07.04.2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Bu Kanun, Türkiye Cumhuriyeti Anayasası’nın 20. madddesi  ve Avrupa Birliği’nin ilgili direktifleri  ile aynı yönde düzenlemeler içererek kişilerin verilerinin ve dolayısıyla kişilik haklarının koruma altına alınmasını sağlamaktadır. Yasa metninde belirtildiği üzere 6698 saylı Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Gessart Altın Pazarlama ve Dağıtım Anonim Şirketi (Şirket) için çalışanların, çalışan adaylarının, ziyaretçilerin, Şirket yetkililerinin, çalışma ortaklarının ve onların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verilerini Kanuna ve ilgili diğer mevzuata uygun biçimde saklamak ve işlemek temel prensiplerdendir. 
Bu nedenle, iş bu veri saklama ve imha politikası 6698 Sayılı Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket olarak veri sorumlusu sıfatıyla bu konuda uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır. 
Şirket; çalışanlarının, çalışan adaylarının, müşterilerinin veya kişisel verisi herhangi bir şekilde edinilmiş kimselerin verilerini bu politikada belirtilen esaslara göre, ilgili mevzuata uygun olarak saklayacak, silecek, yok edecek veya anonim hale getirecektir.  Şirket tarafından edinilen her türlü kişisel bilginin işlenmesinde, kayıt ortamlarında bu politika kullanılacaktır. Şirket, aynı zamanda bu politika ve ilgili mevzuat kapsamında gerekli Şirket içi eğitimleri vermeyi, idari ve teknik tedbirleri almayı, gerekli iç prosedürleri oluşturmayı ve mevzuata uygun bir şekilde uyum sürecini yönetmeyi amaçlar. 
II. Kişisel Verilerin İşlenmesinde Gözetilecek İlkeler
Şirketin, kişisel verileri edinirken ve işlerken birinci önceliği Anayasa’ya, ilgili mevzuata ve hukuka uygun hareket etmektir. Verileri işlenen gerçek kişilerin herhangi bir hak kaybına uğramadığından emin olmak için aşağıda belirtilen ilkeler Şirket tarafından tüm faaliyetlerde kullanılmak üzere benimsenmiştir. 
Şirket, ticari faaliyetlerini etik, Anayasa’ya ve ilgili mevzuata, uluslararası sözleşmelere uygun, insan haklarına saygılı biçimde sürdürmeyi hedefler ve bu hususta gerekli tedbirleri alır. 
II. 1. Hukuka ve Dürüstlük Kuralına Uygunluk 
Kişisel veriler işlenirken Şirket tarafından gözetilen birinci ve temel ilke yapılan tüm işlemlerin hukuka ve dürüstlük kurallarına uygun olmasıdır. Bu ilke, kişisel verilerin işlenme sürecinde ilgili kişilerin yanıltılmaması, kanunun açık hükümlerine ve ruhuna aykırı hareket edilmemesi, belirtilen amacın dışına çıkılmaması, hiçbir şekilde kişileri yanıltıcı işlem yapılmaması ve hukukun elverdiği ölçüde şeffaf bir süreç yürütülmesi unsurlarını içerir. 
II. 2. Amaca Bağlılık İlkesi 
Şirket, herhangi bir yolla edindiği kişisel verileri aydınlatma metninde belirttiği amaçlarla işleyeceğini taahhüt eder, tüm veri işleme faaliyetlerinin kanuni bir temeli vardır. İş bu amaçların belirli, meşru ve açık olması bu ilkenin unsurlarıdır. Amacın değişmesi ancak yeni amacın eskisini tamamlayıcı veya eski amaç ile uyumlu nitelikte olmaması halinde ilgili kişiye hukuka uygun şekilde aydınlatma yapılacak veya hukukan gerekiyorsa rızası alınacaktır. 
II. 3. Orantılılık İlkesi 
Şirket, işlediği her kişisel veride, bu verinin işleme amacı için gerekli olup olmadığını ölçerek sürece devam eder. Eğer edinilmiş bir kişisel verinin, edinilme amacının gerçekleşmesi için  gerekli olmadığına karar verilirse veri Şirket kayıtlarında tutulmaz. Bu sayede ileride meydana gelebilecek kişisel veri ihlallerine önlem alınmış olur.  Aynı şekilde verilerin işlenme süreleri belirlenirken de bu ilke göz önünde bulundurulur. 
 
 
II. 4. Verilerin Doğruluğu İlkesi 
Şirket, işlediği kişisel verilerin doğru ve gerektiğinde güncel olması gerektiğinin kanuni yükümlülük olduğu bilinciyle verilere ilişkin her türlü süreci işletir. Bu nedenle ilgili kişilerin verilerinin doğru ve güncel olmasına ilişkin her türlü talebini ciddiyetle inceler ve sonuçlandırır. Periyodik denetimler sonucunda artık güncel veya doğru olmadığı tespit edilen kişisel veriler silinir/anonim hale getirilir/yok edilir. 
II. 5. Veri Güvenliği İlkesi 
Şirket, topladığı ve işlediği kişisel verilerin kişisel hak kapsamında ve Anayasa güvencesi altında olduğunun bilinciyle hareket eder ve bu nedenle verilerin güvenliğini sağlamak bir diğer temel prensiptir. Veri güvenliğini sağlamak için gerekli tüm idari ve teknik tedbirler alınır. Bu tedbirler Politika’nın VI. bölümünde detaylı olarak açıklanmıştır. 
 
 
III. İlgili Kavramlar ve Tanımlar 
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. 
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Çalışan Adayı Şirkete herhangi bir yolla iş başvurusunda bulunan veya özgeçmişini ve ilgili bilgilerini Şirkete açmış olan gerçek kişiler. 
Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 
Kurul Kişisel Verileri Korunma Kurumu 
Kayıt Ortamı Tamamen veya kısmen otomatik olan veya olmayan, işlenen kişisel verilerin tutulduğu ortam.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
 
 
 
IV. Kişisel Verilerin Saklandığı Ortamlar 
Şirket bünyesinde toplanan ve saklanan kişisel veriler, toplanma biçiminden bağımsız olarak niteliklerine ve Şirketin veri sorumlusu olarak yükümlülüklerine uygun olarak tasnif edilerek saklanırlar. 
Kişisel veriler aşağıda sayılan ortamlarda, her koşulda gerekli güvenlik tedbirleri alınarak muhafaza edilirler. 
DİJİTAL ORTAMLAR FİZİKSEL ORTAMLAR 
Kişisel bilgisayarlar (dizüstü ve masaüstü bilgisayarları) Manuel kayıt evrak kayıt sistemi 
Taşınabilir elektronik cihazlar ( tabletler, cep telefonları) Şirket sözleşmeleri
Yazıcılar, tarayıcılar, fotokopi makinesi Kağıtlar
Usb, hafıza kartı gibi taşınabilir bellekler
Şirket e-posta hesapları, yedekleme veritabanı, web sitesi
Şirket bünyesinde bulunan sunucular
 
 
V. Sorumluluk ve Görev Dağılımı 
Şirket içinde kişisel verilerin saklandığı, dijital veya fiziksel farketmeksizin, ortamlara erişim sınırlıdır. Bu erişim, yetkili ve sorumlu kişilere verilen bir kullanıcı adı ve şifre ile sağlanır. Bu kişiler aynı zamanda kişisel verilerin hukuka uygun biçimde edinilmesinden, saklanmasından, işlenmesinden ve Kanun’a, politikaya uygun biçimde silinmesinden/anonim hale getirilmesinden sorumludurlar. 
 
UNVAN GÖREV 
İdari İşler Müdürü Periyodik olarak yapılması gereken  denetlemelerin planlanmasından sorumludur.
Pazarlama Müdürü Politikanın ve Kanun'un gerektirdiği idari ve teknik tedbirlerin devamlılığından ve ihtiyaç duyulan irtibatları kurmaktan sorumludur. 
Muhasebe Müdürü İşe yeni başlayan çalışanlara verilecek eğitimlerden, ihtiyaç halinde politikada gerekli güncellemelerin yapılmasından ve bu güncellemelerin yayınlanmasından sorumludur. 
 
 
 
 
VI. İşleme ve İmha Süreçlerinin Güvenliğinin Sağlanması 
6698 Sayılı Kanun’un 12. maddesinin 1. fıkrası gereğince veri sorumlusu, Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Şirket bu hüküm gereğince; ilgili Kanun ve yönetmeliğin gerektirdiği biçimde tüm kişisel verileri ve özel nitelikli verileri güvenli bir şekilde saklamak ve herhangi bir hak ihlaline yol açmamak için gerekli tüm tedbirleri alır. Teknik ve idari tedbirleri almanın yanısıra 6 aylık periyotlar halinde bu sistemlerin güvenilirliğini denetler ve raporlandırır. 
VI. 1. İdari Tedbirler 
- Kişisel verilerin güvenliğinin sağlanabilmesi için Şirket, işlenen verileri, bunların hangi amaçlarla ve hangi yollarla edinildiğini, işlenme biçimlerini ve amaçlarını belirleyerek bir risk analizi yapar. 
- Periyodik denetimler esnasında, işlenmiş mevcut verilerden artık saklanmasına gerek duyulmayanlar silinir/anonim hale getirilir/yok edilir. 
- Tüm çalışanlara yeni mevzuatı, gerekliliklerini ve müeyyidelerini açıklayan Şirket içi eğitimler verilir.
- Kişisel verilere erişimi olan Şirket çalışanları belirli ve sınırlıdır. Aynı şekilde bu kişilerin yetkileri de paylaştırılmıştır. 
- Şirketin veri sorumlusu sıfatıyla sahip olduğu aydınlatma yükümlülüğü gerekli ortamlarda, üçüncü kişilerin de görebileceği şekilde yerine getirilir. 
- Şirket bünyesinde kişisel verilerin korunması hakkında düzenlemeleri yakından takip etmesi, politikada, aydınlatma metinlerinde, sözleşmelerde gerekli değişiklikleri takip etmesi için bir kişi seçilir.
- Kişisel veri envanterinin mevzuata uygun ve güncel kalması sağlanır.
- Verilerin güvenliğini, kişisel verilerin korunması için kurulan sistemin güncelliğini denetlemek için Şirket içinde düzenli denetimler yapılır ve bunlar raporlanır. Eksiklikler ivedilikle giderilir. 
 
VI. 2. Teknik Tedbirler 
- Şirket, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen teknik tedbirler uygular.
- İnternet ortamından gelebilecek saldırılara karşı tedbir ve savunma amaçlı güvenlik duvarı ve ağ geçidi kullanır. 
- Yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi ve olası güvenlik açıklarının kapatılması için yama yöntemi ve yazılım güncellemeleri kullanılır. 
- Kişisel verilerin saklandığı sistemlere erişim yetkili kişilerle ve bu kişilerin yetki ve sorumluluklarıyla sınırlıdır. Söz konusu erişim, erişime yetkili kişilere verilecek kullanıcı adı ve şifrelerle sağlanır.
- Fiziki ortamlarda saklanan kişisel veriler kilitli bir şekilde tutulurlar ve erişim yine yalnızca yetkili kişilerce sağlanır. 
- Fiziki ve elektronik ortamlarda tutulan verilerin güvenliği periyodik denetim süresinde test edilir ve varsa eksiklikler giderilir. 
- Kişisel verilerin güvenli olarak saklanmasını sağlayacak veri yedekleme programları kullanılır. 
- Özel nitelikli kişisel veriler Şirket içinde veya Şirket dışı kişilere aktarılırken şifreli kurumsal e-posta kullanılır. 
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma sistemleri kullanılır.  
 
VII. Kişisel Verilerin Saklanması ve İmhası
Şirket, kişisel verileri ve sınırlı hallerde özel nitelikli kişisel verileri hukuka uygun biçimlerde elde eder.  Şirket kişisel verilerin işlenmesinin her aşamasında Kanun’un 4. maddesinde belirtilen; kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme prensiplerine riayet gösterir. 
VII. 1. Saklamayı ve İmhayı Gerektiren Hukuki Sebepler 
- 6698 sayılı Kişisel Verilerin Korunması Kanunu, 
- 6098 sayılı Türk Borçlar Kanunu, 
- 1136 Sayılı Avukatlık Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 
- 4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,  
- 4857 sayılı İş Kanunu, 5434 sayılı Emekli Sağlığı Kanunu, 2828 sayılı Sosyal Hizmetler Kanunu 
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, 
- Arşiv Hizmetleri Hakkında Yönetmelik 
- Bu Kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
VII. 2. Saklamayı Gerektiren İşleme Amaçları
- Sağlık ve cinsel hayata ilişkin kişisel veriler hariç olmak üzere kişisel verilerin işlenmesine ilişkin Şirket’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi.
- Kişisel verilerin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması.
- Kişisel verilerin işlenmesinin Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 
- Kişisel verilerin alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi. 
- Kişisel verilerin Şirket tarafından işlenmesinin Şirket veya verisi işlenen kişilerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması.
- Verisi işlenen kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması.
- Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkansızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, Kanunlarda öngörülen hallerde.
- Etkinlik yönetimi.
- İş faaliyetlerinin planlanması ve icrası.
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası.
- Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası.
- Ücret yönetimi.
- İnsan kaynakları süreçlerinin planlanması. 
- Hukuki süreçlerin takibi.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
VII. 3. İmhayı Gerektiren Sebepler 
- Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası.
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması.
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması.
- Kanun’un 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi. 
- Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması.
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Yukarıda sayılan hallerde Şirket sakladığı ve işlediği kişisel verileri imha eder. 
 
 
 
VIII. Kişisel Verilerin Saklanma Süreleri 
Şirket, işlediği kişisel verileri ilgili mevzuatta öngörüldüğü süre boyunca, Kanuni yükümlülüğünü yerine getirmek için saklar. İlgili mevzuatta söz konusu verinin saklanma süresine ilişkin bir hüküm bulunmaması halinde Şirket, bu verileri ilgili olduğu faaliyet, çıkabilecek ihtilaflara ilişkin ispat yükümlülüğü, ticari faaliyetlerin gerektirdiği süre boyunca ilgili Kanun’a, mevzuata ve hukuka aykırı olmayacak süre boyunca saklar. 
Şirket tarafından işlenen kişisel verilerin işleme amacının ortadan kalkması, doğruluğunu veya güncelliğini yitirmesi, verinin niteliğinin değişmesi ve işlenmesinin hukuka aykırı hale gelmesi,  ilgili mevzuat veya Şirket tarafından belirlenen saklama sürelerinin sonuna gelinmesi, ilgili kişinin talep etmesi ve bu talebin kabul edilmesi veya kurum kararı gibi hallerde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Şirketin belirlediği saklama süreleri ve mevzuatta belirlenen süreler arasında farklılık olması halinde mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda bir tekrar eder.
 
IX. Güncelleme ve Uyum 
Şirket, Kanun’da yapılacak değişiklikler, Kurum tarafından verilecek kararlar, bilişim sektöründe meydana gelebilecek gelişmeler veya Şirket yapısında gerçekleşebilecek değişiklikler nedeniyle işbu politikada güncelleme yapma hakkını saklı tutar. Bu güncelleme ve değişiklikler politikanın sonunda açıklanacak ve Şirket’e ait internet sitesinden duyurulacaktır.