OCTAPULL APP BİLİŞİM TEKNOLOJİLERİ ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI



1. Politikanın Amacı

Bu politikanın amacı 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) dayalı olarak 28.10.2017’de çıkartılan 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için Octapull App Bilişim Teknolojileri Anonim Şirketi (“Veri Sorumlusu”) genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektedir.



2. Politikanın Kapsamı

Politika, Veri Sorumlusu nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm Veri Sorumlusu çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, destek hizmeti sağlayıcılarını ve Veri Sorumlusunun hukukî ilişkiye girdiği sair gerçek ve tüzel kişileri kapsamaktadır.

Politika Kanunda belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.

Politikada aksi belirtilmedikçe, kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.



3. Tanımlar

Anonim hale getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel veri saklama tablosu: Kişisel verilerin Veri Sorumlusu nezdinde tutulacağı süreleri gösteren tabloyu,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları VERBİS sisteminde yer alan envanteri,

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sahibi iş birimi: Veri Sorumlusunun organizasyonu içerisinde sahip olduğu veri varlığının anlamına, içeriğine, paylaşımına, erişilmesine, sınıflandırılmasına ve sınıflandırma sonucu oluşan veri yönetimi faaliyetlerine (eski veriyi yok etme, güncelleme, arşivleme, yedekleme vb.) karar verici tarafı,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bilgi Sistemleri Yönetimi Bölümü: Veri Sorumlusunun kararı ile bünyesinde teşekkül eden kurulu ifade eder.



4. Politika İle Kayıt Altına Alınan Düzenleme Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.





5. Bölümün Görev ve Yetkileri

Bölüm, Politikanın ilgili iş birimlerine duyurulmasından ve gereklerinin Veri Sorumlusu birimlerince yerine getirilmesinin takibinden sorumludur.

Bölüm, kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kişisel Verileri Koruma Kurulu’nun (Kurul) düzenleyici işlemleri ile kararları, mahkeme kararları veya Veri Sorumlusu süreç, uygulama ve sistemlerindeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar.

Bölüm; Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve gerekli duyuruları yapar.

Bölüm, Kanun ve ikincil düzenlemeleri ile ilgili politikaların, prosedürlerin ve süreçlerin tesis edilmesini, kişisel verilerin korunması mevzuatından kaynaklanan risklerin etkin biçimde yönetilmesini güvence altına alır.



6. Kişisel Verilerin İşlenme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar

Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.

Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi iş birimleri işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. Kişisel verileri işlenen gerçek kişilerin başvurusu ya da Kurulun veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır.

Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi iş birimi, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda ilgili veri sahibi iş biriminden görüş alınarak işlem yapılacaktır. Merkezi bilgi sistemlerinde yer alan çok paydaşlı veri sahipliği bulunan kişisel verilerin imhasına yönelik karar alınması gerektiğinde ise bölümün görüşü alınacak ve söz konusu kişisel veri hakkında işbu politikaya göre verinin saklanmasına veya silinmesine, yok edilmesine veya anonim hale getirilmesine ilgili veri sahibi iş birimi tarafından karar verilecektir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Yönetmeliğin 7.4. maddesi uyarınca, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uygulanan yöntemler Politikanın yürürlüğe girmesinden sonra yayınlanacak olan Veri İmha Prosedürü’nde açıklanacaktır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.

Bir kişisel verinin sahibi gerçek kişi, Kanunun 13. maddesine istinaden Veri Sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, ilgili veri sahibi iş birimi, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu durumda detayları Veri İmha Prosedürü’nde belirleneceği şekilde; talep, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır ve ilgili kişiye Bölüm aracılığıyla bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili veri sahibi iş birimi bu durumu var ise derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, kişisel veri sahiplerinin verilerinin silinmesi veya yok edilmesine yönelik talepleri Veri Sorumlusu tarafından Kanunun 13. maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç 30 gün içerisinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin ya da Veri Sorumlusunun dijital kanallarında kimlik doğrulamasının yapılmış olması kaydıyla değerlendirilecektir. Söz konusu kanallar dışında yapılacak taleplerde ilgili kişiler kimlik tespitinin ya da doğrulamasının yapılabileceği kanallara yönlendirilecektir.



7. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alacak Kişiler ve Sorumluluklar

Veri Sorumlusunun organizasyonu içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde Veri Sorumlusu tarafından 360 derece sorumluluk esası benimsenmiş olup, tüm çalışanlar, danışmanlar, destek hizmet sağlayıcıları ve sair surette Veri Sorumlusu nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.

Her Veri Sorumlusu birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak üretilen verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, söz konusu veri bilgi sistemlerinden sorumlu birimler tarafından saklanacaktır.

İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal mevzuata aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, Veri Sorumlusunun organizasyonu içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak ilgili bilgi sistemleri bölümlerince yapılacaktır.



8. Politikanın İhlâli Durumları ve Yaptırımlar

Veri Sorumlusu çalışanlarının Politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunulan bir üst amire bildirilecektir. Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Bölüme bilgi verilecektir.

Politikaya aykırı davranan çalışan hakkında, İş Sözleşmesi hükümleri dikkate alınmak suretiyle İnsan Kaynakları Yönetimi Bölümünce yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

Politika gereklerinin yerine getirilmesi için Veri Sorumlusu tarafından; ilgili mevzuat hükümleri ile uygun bilgi güvenliği önlemleri çerçevesinde tüm güvenlik önlemleri alınmaktadır.



9. Kişisel Verileri Saklama ve İmha Süreleri

Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Veri İmha Prosedür’nde yer almaktadır. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo Veri Sorumlusunun veri envanterinde yer alacak süreçlerin sahibi iş birimlerince, tereddüt halinde Hukuk Danışmanı değerlendirmeleri de alınarak, güncellenecektir.



10. Periyodik İmha Süreçleri

Kişisel Verileri Periyodik İmha Süresi veri sahibi ilgili iş birimleri tarafından tespit ve tayin edilir; ancak her hâlükârda bu süre 6 (altı) ayı geçemez.



11. Yürürlük

Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.

Politikanın Veri Sorumlusunun organizasyonu genelinde duyurulması ve gerekli güncellemelerin yapılması Bölümün sorumluluğundadır.