Banner Image
Kişisel Verileri Saklama ve İmha Politikası

1. Politika’nın Amaç ve Kapsamı

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) İFM FUARCILIK A.Ş. (“İFM”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil mevzuat uyarınca saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin İFM tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda; çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, müşteri adaylarımızın, müşteri temsilcilerimizin, iş birliği içinde olduğumuz şirketler, tedarikçilerimiz, ziyaretçilerimiz ve herhangi bir nedenle İFM nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Politika çerçevesinde mevzuata uygun olarak yönetilmektedir.

2. Tanımlar

Terim Açıklama
Açık rızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
Alıcı grubuVeri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini
BGYS Prosedürleri5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmî Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili mevzuatında tanımlanan yükümlülükler kapsamında İFM tarafından kabul edilen Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri’ni
İlgili kişi / veri sahibiKişisel verisi işlenen gerçek kişiyi
İlgili kullanıcıVerilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini
Kayıt ortamıTamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı
Kişisel veriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
Kişisel verilerin işlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
KomiteİFM Kişisel Veri Güvenliği Komitesi’ni
KurumKişisel Verileri Koruma Kurumu’nu
KVKK6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u
Özel nitelikli kişisel veriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri
Veri işleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
Veri sorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
YönetmelikKişisel Verileri Koruma Kurumu tarafından çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i

3. Kayıt Ortamları

Kişisel veriler aşağıdaki elektronik ve fiziki ortamlarda mevzuata uygun olarak saklanmaktadır.

Elektronik Kayıt Ortamları Fiziki Ortamlar
  • Kişisel bilgisayarlar (masa üstü, diz üstü)
  • Yazılımlar (Logo, Paperworks vb.)
  • Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
  • Mobil cihazlar (telefon, tablet)
  • Optik diskler (CD, DVD)
  • Çıkartılabilir bellekler (USB, hafıza kart vb.)
  • Web-sayfası ve portalı
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Kâğıt
  • Yazılı, basılı, görsel ortamlar

4. Saklama ve İmhaya İlişkin Hukuki, Teknik ve Diğer Sebepler

4.1. Saklama Sebepleri

KVKK’nın 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, İFM’in faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklanır.

Bu kapsamda kişisel veriler; 6698 sayılı KVKK, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı Kanun, 5809 sayılı Elektronik Haberleşme Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu ve ilgili ikincil düzenlemelerde öngörülen saklama süreleri kadar saklanmaktadır.

4.2. Saklama Amaçları

  • İnsan kaynakları faaliyetlerinin yürütülmesi; çalışan hizmet sözleşmeleri kapsamındaki iş ve işlemlerin ve mevzuattan kaynaklanan yükümlülüklerin ifası
  • Acil durum yönetim süreçlerinin yürütülmesi
  • Kurumsal iletişim faaliyetlerinin yürütülmesi
  • Şirket bina ve mekân güvenliğinin sağlanması
  • Müşterilerle sözleşme ve abonelik süreçleri; çağrı merkezi, talep/şikâyet yönetimi; müşteri memnuniyetinin ölçülmesi; müşteri ilişkileri faaliyetleri
  • Pazarlama, reklam, promosyon, kampanya ve müşteri memnuniyetine yönelik faaliyetlerin yürütülmesi
  • Hizmetlerin ölçümlendirilmesi, iyileştirilmesi, çeşitlendirilmesi, analiz ve stratejik planlama faaliyetleri
  • Açık rızalar kapsamında indirim/promosyon/kampanya bilgilendirmeleri
  • Lojistik faaliyetlerinin yürütülmesi
  • Muhasebe, faturalama ve finans işlerinin yürütülmesi
  • Şirket ile iş ilişkisinde bulunan kişiler ile iletişime geçmek
  • Yasal denetim ve iç denetim faaliyetlerinin yerine getirilmesi
  • Hukuki yükümlülüklerin yerine getirilmesi ve yasal raporlamalar
  • Faaliyetlerin mevzuata uygun yürütülmesi
  • Bilgi Güvenliği süreçlerinin yürütülmesi
  • Yetkili kişi/kurum/kuruluşlara bilgi verilmesi
  • İFM operasyonlarının güvenliğinin temin edilmesi
  • Hukuki/idari takip ve uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilmesi

4.3. İmha Sebepleri

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
  • KVKK m.11 kapsamındaki başvurunun mevzuata göre uygulanabilir olması
  • Azami saklama süresinin geçmiş olması ve daha uzun süre saklamayı haklı kılacak bir şartın bulunmaması

Bu hallerde kişisel veriler, ilgili kişinin talebi üzerine silinir/yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. Teknik ve İdari Tedbirler

Kişisel verilerin güvenli saklanması, hukuka aykırı işlenmesi/erişilmesinin önlenmesi ve hukuka uygun imhası için KVKK m.12 ve özel nitelikli veriler için m.6/4 kapsamında gerekli teknik ve idari tedbirler alınır.

5.1. Teknik Tedbirler

  • Ağ ve uygulama güvenliği sağlanır.
  • Teknik konularda bilgili personel istihdam edilir.
  • Yetki tanım ve eğitimleri “izin verilmedikçe yasaktır” esasına göre yürütülür; gerekli taahhütler alınır.
  • Anti-virüs ve firewall uygulamaları kullanılır.
  • Yedekleme program ve yöntemleri uygulanır.
  • Kullanıcı hesabı ve şifreleme süreçleri üst düzey koruma ile yürütülür.
  • Harici bellek kullanımları rol bazında sınırlandırılır.
  • Yazılımlarda rol bazlı yetkilendirme yapılır; kontrol süreci yılda bir kez gerçekleştirilir.
  • Sistem LOG kayıtları tutulur; veritabanı LOG’ları zaman damgası ile arşivlenir.
  • Veri aktarımında maskeleme/karartma yöntemleri uygulanır.
  • Bina ve veri merkezi güvenliği için kamera kayıtları; amaç ile sınırlılık ilkesine uygun şekilde yürütülür.
  • Kamera kayıtlarına sadece gizlilik taahhütnamesi imzalamış yetkili personel erişir; güvenlik firmasından hizmet alınır.
  • Tedarikçiler ve çalışanlar ile gizlilik taahhütnameleri yapılır.
  • Çerez politikası web sitesinde yayınlanır.

5.2. İdari Tedbirler

  • Politikanın uygulanması ve denetimi için Kişisel Veri Güvenliği Komitesi kurulur; risk ve gelişmeleri Risk Komitesi ve Yönetim Kurulu’na raporlar.
  • Kişisel veri envanteri mevzuata uygun hazırlanır ve gerektiğinde güncellenir.
  • İşleme/aktarımın mevzuata uygunluğu için sözleşmelere yükümlülük/taahhüt/cezalar eklenir veya ayrıca sözleşme yapılır.
  • Gerekli hallerde çalışan/tedarikçi/iş ortağı/alt yüklenici personeline gizlilik taahhütnamesi imzalatılır.
  • İç ve dış denetimler yapılır.
  • İş sözleşmelerinde kişisel verilerin korunmasına ilişkin hükümler bulunur veya ayrıca taahhüt alınır.
  • Disiplin Yönetmeliği’nde aykırı işleme yaptırımları belirlenir; eğitimlerde bilgilendirme yapılır.
  • Tüm çalışanlara yılda bir kez kişisel veri güvenliği eğitimi verilir.

6. Kişisel Verilerin İmha Yöntemleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, İFM tarafından re’sen veya ilgili kişinin başvurusu üzerine ilgili mevzuata uygun olarak imha edilir. Yapılan bütün imha işlemleri kayıt altına alınır ve (diğer hukuki yükümlülükler hariç) üç yıl süreyle saklanır.

6.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

Veri Kayıt Ortamı Silme Yöntemi
Sunucularda yer alan kişisel veriler Saklanmasını gerektiren süre sona eren veriler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel veriler Saklama süresi sona eren veriler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda tutulan kişisel veriler Saklama süresi sona eren veriler, ilgili çalışanlar için erişilemez hale getirilir; ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi uygulanır.
Taşınabilir medyada bulunan kişisel veriler Flash tabanlı ortamlarda tutulan veriler, sistem yöneticisi tarafından şifrelenir; erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarları güvenli ortamlarda saklanır.

6.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi; hiç kimse tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.

Veri Kayıt Ortamı Yok Etme Yöntemi
Fiziksel ortamda yer alan kişisel veriler Kâğıt ortamındaki veriler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik medya ve manyetik medyada yer alan kişisel veriler Eritme, yakma, toz haline getirme gibi fiziksel yok etme; ayrıca manyetik medya özel cihaz ile yüksek manyetik alana maruz bırakılarak okunamaz hale getirilir.

6.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi; başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, geri döndürme/eşleştirme gibi yöntemlerle dahi ilişkilendirilemeyecek şekilde uygun teknikler kullanılarak gerçekleştirilir.

7. Saklama ve İmha Süreleri

Süreçlere bağlı tüm kişisel veriler için kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde, veri kategorisi bazında saklama süreleri ise işbu Politika’da yer alır. Saklama süreleri üzerinde gerekli hallerde İFM Kişisel Veri Koruma Komitesi güncelleme yapabilir. Saklama süresi sona eren kişisel veriler için re’sen silme/yok etme/anonim hale getirme işlemi Bilgi Teknolojileri Birimi tarafından yerine getirilir.

Veri Kategorisi Saklama Süresi İmha Süresi
KimlikHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişimHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
ÖzlükÖzlük verileri: Hukuki ilişkinin sona ermesini takiben 10 yıl
İSG ile ilgili özlük verileri: Hukuki ilişkinin sona ermesini takiben 15 yıl		Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlemHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlemHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekân GüvenliğiKamera kayıtları: 6 ay
Diğer fiziksel mekân güvenliği kayıtları: 10 yıl		Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşlem Güvenliği2 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
FinansHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mesleki DeneyimHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
PazarlamaHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görsel ve İşitsel KayıtlarHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık BilgileriHukuki ilişkinin sona ermesini takiben 15 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkûmiyeti ve Güvenlik TedbirleriHukuki ilişkinin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Biyometrik Veri2 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
İmzaHukuki ilişkinin sona ermesini takiben 30 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde

8. Periyodik İmha Süresi

İFM, periyodik imha süresini 6 (altı) şar aylık periyotlarla gerçekleştirecektir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik fiziksel imha işlemi gerçekleştirilir.

9. Politika’nın Yürürlüğe Girmesi ve Güncellenmesi

Politika, Kişisel Veri Güvenliği Komitesi tarafından ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir; Genel Müdür (Yönetim Kurulu) tarafından onaylandığı tarihte yürürlüğe girer.