KİŞİSEL VERİ SAKLAMA, SİLME VE İMHA POLİTİKASI
KİŞİSEL VERİ SAKLAMA, SİLME VE İMHA POLİTİKASI
Politika, Yönetim Kurulu kararı ile yürürlüğe girer. Politikanın uygulanması ise Yönetim Kurulu’nun kararı ile atanan Kişisel Verileri Koruma Komitesi ya da onun seçtiği Sorumlu tarafından takip edilir.
Ayrıca, Şirket elde ettiği kişisel verileri; ilgili mevzuatında öngörülen saklama sürelerinin bitiminden itibaren, Kanun’un 5. ve 6. maddelerinde yer alan işleme şartlarını sağlamak ve gerekçelendirmek kaydıyla, belirleyeceği süre kadar da saklayabilmektedir.
Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak saklanmasını gerektiren sebeplerin ortadan kalkması halinde silinmelidir. Ayrıca, veri sahibinin açık rızasına dayalı olarak yürütülen saklama faaliyetleri, rızanın veri sahibi tarafından geri alınması halinde de derhal sonlandırılmakta ve ilgili kişisel veriler silinmelidir.
Veri sahibinin Kanun’un 11. maddesinde yer alan hakları kapsamında verilerinin silinmesi talebini Şirkete iletmiş olduğu durumlarda, Şirket içi yetkilendirilmiş kişilerce talep değerlendirilmekte ve Kanun’da belirtilen veri işleme şartlarının tamamının ortadan kalkması halinde kişisel veriler imha edilmektedir.
Şirket, bünyesinde yer alan her bir departmanın gerçekleştirdiği kişisel veri işleme süreçlerini analiz etmekte, mevcut ve eklenen süreçlerde hukuka uygunluğun temini için gerekli önlemleri almaktadır.
Şirkette veri toplamaya ilişkin bütün aşamalar tek tek gözden geçirilmekte, verilerin hukuka uygun bir şekilde elde edilmesi için çalışmalar yapılmaktadır. İş başvuruları alınırken bunlara ilişkin onay metinleri de alınmakta, Şirket e-posta adresine gelenlere ise e-posta ile dönülerek başvuruları ile ilgili onay süreci tamamlanmaktadır.
Şirket çalışanları, işleri kapsamında öğrendikleri kişisel verileri herhangi bir üçüncü kişi ve/veya kuruma açıklamama konusunda bilgilendirilmektedir. Çalışan ile Şirket arasındaki hizmet sözleşmelerine bu doğrultuda gizlilik kayıtları eklenmekte; çalışanlardan bu sır saklama yükümlülüklerinin görevden ayrılmalarının akabinde de devam edeceği yönünde taahhüt alınmaktadır.
Ayrıca, Şirketin Kanun’un 8. ve 9. maddesine uygun olarak kişisel veri aktarımı gerçekleştirdiği üçüncü kişi ve/veya kurumlar ile arasındaki sözleşmelere, alıcı grubunun kişisel verilerin güvenliğini sağlama hususunda her türlü tedbiri alacağı yönünde hükümler eklenmektedir.
Şirket, bilişim sistemlerinde yer alan kişisel verilerin güvenliğinin sağlanması amacıyla teknolojik imkânlar ve maliyetler çerçevesinde her türlü teknik tedbiri almaktadır. Örneğin, güvenlik duvarı kullanımı, gerçek zamanlı penetrasyon (sızma) testleri, güvenlik yazılımlarının bütün cihazlara kurulumu, birim ve iş süreçleri bazında erişim prosedürleri gibi. Kişisel verilere hukuka aykırı erişimin ve kişisel verilerin ifşasının önlenmesi amacıyla; çalışanların verilere erişimi iş kapsamları ile sınırlandırılmaktadır.
Bunun yanı sıra, Şirket hukuka uygunluğun temini kapsamında çeşitli politika ve Politikalar yürürlüğe koymuştur. Bu Politika ve diğer politikalar, değişen mevzuata ve ortaya çıkan ihtiyaçlara uygun olarak güncellenmektedir.
Ayrıca;
· Erişim Yetkileri Güncellenmesi: Ortak dosyalardaki erişim yetkileri kısıtlanarak çalışanların sadece işleriyle ilgili dosyalara erişimi sağlandı. Yeni erişim yetkisi yönetici onayı sonrasında verilecek şekilde düzenlendi.
· Tüm İK Formlarının Güncellenmesi: İşbaşında ya da çalışırken aldığımız formların tümü değerlendirilerek gereksiz kişisel veriler çıkarıldı.
· İK Ortak Klasörünün Güncellenmesi: Bilgisayar ortamındaki İK klasörlerimiz taranarak gereksiz ya da artık güncelliği kalmamış tüm kişisel veriler temizlendi.
· Raporlarımızın Güncellenmesi: Tüm raporlarımız tarandı ve kişisel veri içeren raporlar değerlendirilerek gereksiz kullanılan kişisel veriler temizlendi.
· Taahhütname: Tüm personelden onay imzaları alındı ve aydınlatma metni yayınlandı. İşe girişte imzalatılacak formlar arasına eklendi.
· Veri sahibinin talebi halinde, uygun yöntemi gerekçesini açıklayarak seçer.
· Şirket, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesi için her türlü teknik ve idari tedbiri almaktadır.
· Şirket’in sahip olduğu teknolojik imkânlar ve uygulama maliyetleri göz önünde bulundurularak en uygun yöntemler kullanılmaktadır.
· İmha süreçleri, Şirket bünyesinde kişisel veri işleme süreçlerinin hukuka uygunluğunu sağlamak üzere oluşturulan Komite/Sorumlu tarafından denetlenmektedir.
· Periyodik imha süreçleri, bu birim bünyesindeki en az iki kişi tarafından birlikte gerçekleştirilmekte, imha edilen kişisel verilerin herhangi bir kopyasının alınmadığı hususunda bu kişilerden taahhüt alınmaktadır.
· Görevliler ayrıca Komite/Sorumlu tarafından belirlenecektir.
· Şirkette bulunan ve kişisel verileri taşıyan cihazlar, artık kullanılmaz duruma gelmişse ve dışarıya satılma ya da bırakılma durumu olacaksa cihaz içindeki veriler yok edilmekte, bu mümkün değilse cihaz yok edilmektedir.
İş süreçlerinde özel nitelikli veri işlenme durumu ve yoğunluğu başta olmak üzere, işleme faaliyetlerinin büyüklüğü, organizasyon yapısı gibi kriterler göz önünde bulundurularak Şirket bünyesinde birden fazla görevlinin yer alacağı bir “Kişisel Veri Koruma Komitesi” ya da, yeterli görülmesi halinde bir “Sorumlu” görevlendirilir. Yine ihtiyaca binaen bir Veri Koruma Sorumlu Yardımcısı tayin edilebilir.
Kişisel Veri Koruma Komitesi/Sorumlusu’nun görevleri şunlardır:
· Kişisel veri işleme süreçlerinin Kanun’a, Yönetmelik’e, diğer ikincil mevzuata, Şirketin gizlilik politikalarına uygunluğunu temin etmek,
· Veri sahiplerinden gelen talepleri değerlendirmek ve sonuçlandırmak,
· Kişisel verilerin imhası süreçlerine fiilen katılmak,
· Kişisel veri güvenliği konusunda Şirketin ihtiyacı olan tedbirleri belirleyip alınmasını sağlamak,
· Şirketin uyumluluk durumuna ilişkin periyodik denetim yapmak, yaptırmak,
· Hukuki alanda ve uygulamadaki gelişme ve değişiklikler konusunda çalışanların farkındalığını artırmaya yönelik eğitim planı hazırlayıp öneride bulunmak.
Periyodik imhanın gerçekleşeceği zaman aralığı 6 aydır. Her yılın Ocak ve Temmuz aylarında, Veri Sorumlusu adına, KVK Komitesi tarafından, kişisel veri bulunan dijital ve fiziki ortamlar taranarak, saklama süresi sona eren veriler silinir ve imha edilir.
EK: Zamanaşımı Süreleri ZAMANAŞIMI SÜRELERİ
6102 sayılı Türk Ticaret Kanunu, 5237 sayılı Türk Ceza Kanunu, 6098 sayılı Türk Borçlar Kanunu çerçevesinde göz önünde bulundurulması gereken zamanaşımı süreleri aşağıdaki şekilde değerlendirilmelidir:
Herhangi bir adli vakıa ya da soruşturma bakımından özel bir düzenleme bulunmadığı için şirket ziyaretçi defterinin bitiminden sonra ilk imha sürecinde yok edilir. Dijital halde tutulan ziyaretçi verileri 1 yıl saklanır.
İş ilişkisinin devamı süresince özlük dosyalarının tutulması gerekir. İş ilişkisi bittiğinde ise söz konusu süreler eski çalışan statüsündeki sürelere tabi olur
Eski çalışanlara ait veriler ise meslek hastalığı davaları da göz önünde bulundurularak 15 yıl saklanır ve bu süre sonunda imha edilir. Dava var ise dava kesinleşinceye kadar dosyalar saklanır.
24 günde bir otomatik olarak silinir. Davaya konu olabilecek bir durumun yaşanması halinde bunlar ayrılarak saklanır, geri kalanı ise silinir.
Gerçek kişi tedarikçi bilgileri, sözleşme ilişkileri bitmiş ve devam etmeyecek ise 10 yıl sonra imha edilir.
Yukarıdaki zamanaşımı ve imha süreçlerinden biri ile ilgili dava süreci devam ediyor ise -imha süreci gelmiş olsa bile- bu halde dava sürecinin bitimi ve mahkeme kararının kesinleşmesine kadar veriler saklanır. İmha kesinleşme tarihinden veya sürecin icra vb. işlemlerle devamı halinden itibaren 1 yıl sonra gerçekleştirilir.
İş pratikleri ve iş verenin meşru menfaati gereği, ticari faaliyetin dinamikleri de göz önüne alınarak, anlık ileti uygulamalarındaki veriler ilgili mali yıl sonunda, kurumsal e-postalardaki veriler ise 10 uncu yılın sonunda cihaz ve sunucularından silinir.
Şirket önceki maddelerde bahsedilen saklama, silme ve imha sürelerinden ruhsatlara konu olabilecek işlemlerle ilgili olan süreleri yeniden belirleyebilir.
- Kişisel Veri Saklama, Silme, İmha ve Aktarma Politikası Hazırlanma Amacı
Politika, Yönetim Kurulu kararı ile yürürlüğe girer. Politikanın uygulanması ise Yönetim Kurulu’nun kararı ile atanan Kişisel Verileri Koruma Komitesi ya da onun seçtiği Sorumlu tarafından takip edilir.
- Kişisel Veri Saklama ve İmha Politikası Hazırlanması ve Değişiklikler
- Tanımlar
| KISALTMA | TANIM |
| Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu, |
Kişisel Verileri Koruma Komitesi/ Sorumlusu |
PROTON OTOMASYON ELEKTRİK MAKİNA İNŞAAT TAAHHÜT SANAYİ VE TİCARET LİMİTED ŞİRKETİ bünyesinde Yönetim Kurulu kararı ile oluşturulan ve kişisel verilerin korunması ve işlenmesine ilişkin şirket içi işleyişten sorumlu Kişisel Verileri Koruma Komitesi, ya da onun seçtiği üyeyi, |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
| Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
| İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini, |
| Kişisel Verilerin İmha Edilmesi | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, |
| Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini, |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini, |
| Politika | PROTON OTOMASYON ELEKTRİK MAKİNA İNŞAAT TAAHHÜT SANAYİ VE TİCARET LİMİTED ŞİRKETİ Kişisel Veri Saklama, Silme ve İmha Politikasını, |
| Şirket | PROTON OTOMASYON ELEKTRİK MAKİNA İNŞAAT TAAHHÜT SANAYİ VE TİCARET LİMİTED ŞİRKETİ (Kısaca PROTON) |
| Yönetim Kurulu | PROTON OTOMASYON ELEKTRİK MAKİNA İNŞAAT TAAHHÜT SANAYİ VE TİCARET LİMİTED ŞİRKETİ Yönetim Kurulu’nu, |
Yönetmelik |
28 Ekim 2017 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesi Hakkında Yönetmelik’i ifade eder. |
- Kişisel Verilerin Kaydedildiği Ortamlar
- Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
Ayrıca, Şirket elde ettiği kişisel verileri; ilgili mevzuatında öngörülen saklama sürelerinin bitiminden itibaren, Kanun’un 5. ve 6. maddelerinde yer alan işleme şartlarını sağlamak ve gerekçelendirmek kaydıyla, belirleyeceği süre kadar da saklayabilmektedir.
Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak saklanmasını gerektiren sebeplerin ortadan kalkması halinde silinmelidir. Ayrıca, veri sahibinin açık rızasına dayalı olarak yürütülen saklama faaliyetleri, rızanın veri sahibi tarafından geri alınması halinde de derhal sonlandırılmakta ve ilgili kişisel veriler silinmelidir.
Veri sahibinin Kanun’un 11. maddesinde yer alan hakları kapsamında verilerinin silinmesi talebini Şirkete iletmiş olduğu durumlarda, Şirket içi yetkilendirilmiş kişilerce talep değerlendirilmekte ve Kanun’da belirtilen veri işleme şartlarının tamamının ortadan kalkması halinde kişisel veriler imha edilmektedir.
- Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
Şirket, bünyesinde yer alan her bir departmanın gerçekleştirdiği kişisel veri işleme süreçlerini analiz etmekte, mevcut ve eklenen süreçlerde hukuka uygunluğun temini için gerekli önlemleri almaktadır.
Şirkette veri toplamaya ilişkin bütün aşamalar tek tek gözden geçirilmekte, verilerin hukuka uygun bir şekilde elde edilmesi için çalışmalar yapılmaktadır. İş başvuruları alınırken bunlara ilişkin onay metinleri de alınmakta, Şirket e-posta adresine gelenlere ise e-posta ile dönülerek başvuruları ile ilgili onay süreci tamamlanmaktadır.
Şirket çalışanları, işleri kapsamında öğrendikleri kişisel verileri herhangi bir üçüncü kişi ve/veya kuruma açıklamama konusunda bilgilendirilmektedir. Çalışan ile Şirket arasındaki hizmet sözleşmelerine bu doğrultuda gizlilik kayıtları eklenmekte; çalışanlardan bu sır saklama yükümlülüklerinin görevden ayrılmalarının akabinde de devam edeceği yönünde taahhüt alınmaktadır.
Ayrıca, Şirketin Kanun’un 8. ve 9. maddesine uygun olarak kişisel veri aktarımı gerçekleştirdiği üçüncü kişi ve/veya kurumlar ile arasındaki sözleşmelere, alıcı grubunun kişisel verilerin güvenliğini sağlama hususunda her türlü tedbiri alacağı yönünde hükümler eklenmektedir.
Şirket, bilişim sistemlerinde yer alan kişisel verilerin güvenliğinin sağlanması amacıyla teknolojik imkânlar ve maliyetler çerçevesinde her türlü teknik tedbiri almaktadır. Örneğin, güvenlik duvarı kullanımı, gerçek zamanlı penetrasyon (sızma) testleri, güvenlik yazılımlarının bütün cihazlara kurulumu, birim ve iş süreçleri bazında erişim prosedürleri gibi. Kişisel verilere hukuka aykırı erişimin ve kişisel verilerin ifşasının önlenmesi amacıyla; çalışanların verilere erişimi iş kapsamları ile sınırlandırılmaktadır.
Bunun yanı sıra, Şirket hukuka uygunluğun temini kapsamında çeşitli politika ve Politikalar yürürlüğe koymuştur. Bu Politika ve diğer politikalar, değişen mevzuata ve ortaya çıkan ihtiyaçlara uygun olarak güncellenmektedir.
Ayrıca;
· Erişim Yetkileri Güncellenmesi: Ortak dosyalardaki erişim yetkileri kısıtlanarak çalışanların sadece işleriyle ilgili dosyalara erişimi sağlandı. Yeni erişim yetkisi yönetici onayı sonrasında verilecek şekilde düzenlendi.
· Tüm İK Formlarının Güncellenmesi: İşbaşında ya da çalışırken aldığımız formların tümü değerlendirilerek gereksiz kişisel veriler çıkarıldı.
· İK Ortak Klasörünün Güncellenmesi: Bilgisayar ortamındaki İK klasörlerimiz taranarak gereksiz ya da artık güncelliği kalmamış tüm kişisel veriler temizlendi.
· Raporlarımızın Güncellenmesi: Tüm raporlarımız tarandı ve kişisel veri içeren raporlar değerlendirilerek gereksiz kullanılan kişisel veriler temizlendi.
· Taahhütname: Tüm personelden onay imzaları alındı ve aydınlatma metni yayınlandı. İşe girişte imzalatılacak formlar arasına eklendi.
- Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
· Veri sahibinin talebi halinde, uygun yöntemi gerekçesini açıklayarak seçer.
· Şirket, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesi için her türlü teknik ve idari tedbiri almaktadır.
· Şirket’in sahip olduğu teknolojik imkânlar ve uygulama maliyetleri göz önünde bulundurularak en uygun yöntemler kullanılmaktadır.
· İmha süreçleri, Şirket bünyesinde kişisel veri işleme süreçlerinin hukuka uygunluğunu sağlamak üzere oluşturulan Komite/Sorumlu tarafından denetlenmektedir.
· Periyodik imha süreçleri, bu birim bünyesindeki en az iki kişi tarafından birlikte gerçekleştirilmekte, imha edilen kişisel verilerin herhangi bir kopyasının alınmadığı hususunda bu kişilerden taahhüt alınmaktadır.
· Görevliler ayrıca Komite/Sorumlu tarafından belirlenecektir.
· Şirkette bulunan ve kişisel verileri taşıyan cihazlar, artık kullanılmaz duruma gelmişse ve dışarıya satılma ya da bırakılma durumu olacaksa cihaz içindeki veriler yok edilmekte, bu mümkün değilse cihaz yok edilmektedir.
- Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev Tanımları
İş süreçlerinde özel nitelikli veri işlenme durumu ve yoğunluğu başta olmak üzere, işleme faaliyetlerinin büyüklüğü, organizasyon yapısı gibi kriterler göz önünde bulundurularak Şirket bünyesinde birden fazla görevlinin yer alacağı bir “Kişisel Veri Koruma Komitesi” ya da, yeterli görülmesi halinde bir “Sorumlu” görevlendirilir. Yine ihtiyaca binaen bir Veri Koruma Sorumlu Yardımcısı tayin edilebilir.
Kişisel Veri Koruma Komitesi/Sorumlusu’nun görevleri şunlardır:
· Kişisel veri işleme süreçlerinin Kanun’a, Yönetmelik’e, diğer ikincil mevzuata, Şirketin gizlilik politikalarına uygunluğunu temin etmek,
· Veri sahiplerinden gelen talepleri değerlendirmek ve sonuçlandırmak,
· Kişisel verilerin imhası süreçlerine fiilen katılmak,
· Kişisel veri güvenliği konusunda Şirketin ihtiyacı olan tedbirleri belirleyip alınmasını sağlamak,
· Şirketin uyumluluk durumuna ilişkin periyodik denetim yapmak, yaptırmak,
· Hukuki alanda ve uygulamadaki gelişme ve değişiklikler konusunda çalışanların farkındalığını artırmaya yönelik eğitim planı hazırlayıp öneride bulunmak.
- Periyodik İmha Süreleri
Periyodik imhanın gerçekleşeceği zaman aralığı 6 aydır. Her yılın Ocak ve Temmuz aylarında, Veri Sorumlusu adına, KVK Komitesi tarafından, kişisel veri bulunan dijital ve fiziki ortamlar taranarak, saklama süresi sona eren veriler silinir ve imha edilir.
- Saklama ve İmha Süreleri
| VERİ KATEGORİSİ | SAKLAMA VE İMHA SÜRESİ | HUKUKİ DAYANAK |
Ziyaretçilere ait veriler |
Genel itibariyle 1 yıl süre ile saklanır. Bu sürenin sonunda silinir. |
6102 sayılı Türk Ticaret Kanunu, Karayolları Trafik Kanunu, 5237 sayılı Türk Ceza Kanunu, 6098 sayılı Türk Borçlar Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
Şirket çalışanlarına ilişkin kişisel veriler |
Hizmetilişkisinin devamı süresince saklanır. | 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
| Şirketin mal ve/veya hizmet almakta olduğu tedarikçilere ve tedarikçi temsilcilerine ilişkin kişisel veriler | Ticari ilişkinin devam ettiği sürece saklanır. Ticari ilişkinin olmayacağının düşünüldüğü, uzun yıllar ticari ilişkinin kurulmadığı hallerde |
6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
| yasal zamanaşımı süresi +1 yıl süre ile saklanır. Bu sürenin sonunda silinir. |
||
Kapalı Devre Görüntüleme Sistemleri vasıtasıyla elde edilen kamera kayıtları |
Adli bir vakıanın yaşanmamış ve resmi kurumlarca talep edilmemiş olması halinde iki ay sonunda silinir. |
6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak veri sorumlusu Şirketin meşru menfaatleri kapsamında 15 gün makul süre ile saklanmaktadır. |
Şirket içinde unutulan ve kişisel veri içeren eşyalar |
Sahibineulaşılamamış ise, 6 ay süre ile muhafaza edilir. Süre bitiminde bir tutanak ile yok edilir. | 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak veri sorumlusu Şirketin meşru menfaatleri kapsamında 6 aylık makul süre ile saklanmaktadır. |
İş Başvuruları-Özgeçmişler |
Başvurular, başvuru sahibinin silme talebine kadar sistemde saklanır ve onay sahibinin talebi ile derhal yok edilir. | Başvuru sahibinin meşru menfaati ve başvurusu kapsamında10 yıl süre ile saklanmaktadır. |
İşten ayrılan eski çalışanlara ait veriler |
Olası iş davaları, özellikle de meslek hastalıklarına dayanan davalar nedeniyle 15 yıl saklanır. |
İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu nedeniyle sağlık verileri 15 yıl saklanır. |
| Whatsapp vb anlık mesjlaşma uygulamalarındaki veriler |
İş ilişkisinin devam ettiği mali yıl boyunca uygulamada saklanır |
İş pratiklerinin gereği ve iş verenin meşru menfaati gereği mali yıl sonunda uygulamadan silinir. |
| Ticari amaçlı kullanılan Kurumsal e-posta ile şahsi e- postalardaki kişisel veriler |
İş pratiklerinin gereği ve işverenin meşru menfaati gereği 10 yıl e-posta cihaz ve sunucularında saklanır | İş pratiklerinin gereği ve iş verenin meşru menfaati gereği 10 uncu yıl sonunda sunuculardan ve cihazlardan silinir. |
6102 sayılı Türk Ticaret Kanunu, 5237 sayılı Türk Ceza Kanunu, 6098 sayılı Türk Borçlar Kanunu çerçevesinde göz önünde bulundurulması gereken zamanaşımı süreleri aşağıdaki şekilde değerlendirilmelidir:
- Ziyaretçi Bilgileri
Herhangi bir adli vakıa ya da soruşturma bakımından özel bir düzenleme bulunmadığı için şirket ziyaretçi defterinin bitiminden sonra ilk imha sürecinde yok edilir. Dijital halde tutulan ziyaretçi verileri 1 yıl saklanır.
- Şirket Çalışanlarına Ait Veriler
İş ilişkisinin devamı süresince özlük dosyalarının tutulması gerekir. İş ilişkisi bittiğinde ise söz konusu süreler eski çalışan statüsündeki sürelere tabi olur
- Eski Çalışanlara Ait Veriler
Eski çalışanlara ait veriler ise meslek hastalığı davaları da göz önünde bulundurularak 15 yıl saklanır ve bu süre sonunda imha edilir. Dava var ise dava kesinleşinceye kadar dosyalar saklanır.
- Kamera Kayıtları
24 günde bir otomatik olarak silinir. Davaya konu olabilecek bir durumun yaşanması halinde bunlar ayrılarak saklanır, geri kalanı ise silinir.
- Tedarikçi Bilgileri
Gerçek kişi tedarikçi bilgileri, sözleşme ilişkileri bitmiş ve devam etmeyecek ise 10 yıl sonra imha edilir.
- Dava Süreci Devam Eden Dosyalar
Yukarıdaki zamanaşımı ve imha süreçlerinden biri ile ilgili dava süreci devam ediyor ise -imha süreci gelmiş olsa bile- bu halde dava sürecinin bitimi ve mahkeme kararının kesinleşmesine kadar veriler saklanır. İmha kesinleşme tarihinden veya sürecin icra vb. işlemlerle devamı halinden itibaren 1 yıl sonra gerçekleştirilir.
- Kurumsal e-posta, Whatsapp vb anlık mesajlaşma ve uygulamalardaki veriler
İş pratikleri ve iş verenin meşru menfaati gereği, ticari faaliyetin dinamikleri de göz önüne alınarak, anlık ileti uygulamalarındaki veriler ilgili mali yıl sonunda, kurumsal e-postalardaki veriler ise 10 uncu yılın sonunda cihaz ve sunucularından silinir.
- Üretim ve Alım Satım faaliyetleri kapsamında işlenen veriler
Şirket önceki maddelerde bahsedilen saklama, silme ve imha sürelerinden ruhsatlara konu olabilecek işlemlerle ilgili olan süreleri yeniden belirleyebilir.