ESSA HUKUK VE DANIŞMANLIK
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. İMHA POLİTİKASININ AMACI

Kişisel Verileri Saklama ve İmha Politikası’nın hazırlanma amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca Essa Hukuk ve Danışmanlık tarafından yerine getirilmekte olan saklama ve imha faaliyetlerinin usul ve esaslarını belirlemektir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2. İMHA POLİTİKASININ KAPSAMI

Essa tarafından işlenen ait kişisel veriler bu Politika kapsamındadır. Essa’nın sahip olduğu ya da Essa tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

3. TANIMLAR

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Essa: Essa Hukuk ve Danışmanlık

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Veri Saklama ve İmha Politikası

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Yönetmelik: 28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. SORUMLULUK VE GÖREV DAĞILIMI

Essa’nın tüm birimleri ve çalışanları, Politika doğrultusunda alınan teknik ve idari tedbirlerin uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlularla dayanışma içerisinde hareket eder.

UNVAN	GÖREV
Genel Müdür	Çalışanların politikaya uygun hareket etmesinden sorumludur.
Genel Müdür Yardımcısı	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi ve idari tedbirlerin alınmasından sorumludur.
Bilgi İşlem ve Operasyon Birimi	Politika’nın uygulanmasında teknik tedbirlerin sunulmasından sorumludur.

5. KAYIT ORTAMLARI

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
1. Sunucular (Bulut ortam, veri tabanı, yedekleme, e-posta, web) 2. Yazılımlar (ofis yazılımları, portal) 3. Çalışan bilgisayarları ve mobil aygıtlar 4. Harici bellekler 5. Yazıcı, tarayıcı, fotokopi makinesi	1. Kâğıt 2. Şirket arşivi

6. SAKLAMA VE İMHA SEBEPLERİNE İLİŞKİN AÇIKLAMA

Essa’nın faaliyetleri çerçevesinde işlenen kişisel veriler; hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli, açık ve meşru amaçlar doğrultusunda, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme koşulu ile saklanır.

Essa, aşağıda sayılan hukuki sebeplere dayanarak kişisel verileri işler;

• İlgili kişinin açık rızası,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Essa, aşağıda sayılan hallerde kişisel verileri re’sen veya talep üzerine siler, yok eder veya anonim hale getirir:

• Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Essa tarafından kabul edilmesi,
• Essa’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurumuna şikâyette bulunması ve bu talebin Kurumca uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

7. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve hukuka uygun olarak imha edilmesi için Kanun’un 12’nci maddesi ve 6’ncı maddesinin dördüncü fıkrası uyarınca gerekli teknik ve idari tedbirler alınır.

7.1. Teknik Tedbirler

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.

7.2. İdari Tedbirler

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

8. İMHAYA İLİŞKİN TEDBİR VE TEKNİKLER

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Essa tarafından re’sen veya ilgili kişinin talebi üzerine aşağıda belirtilen tekniklerle imha edilir.

8.1. Silme

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır
Harici Belleklerde Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

8.2. Yok Etme

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır

8.3. Anonim Hale Getirme

Kişisel verilerin hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesine anonim hale getirme adı verilir. Anonimleştirmeden bahsedebilmek için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

9. SAKLAMA VE İMHA SÜRELERİ

Hizmetler	Saklama Süresi	İmha Süresi
Muhasebe Birimi Çalışan Kayıtları (kimlik, iletişim, özlük ve sağlık bilgileri vb)	İş sözleşmenin sona ermesinden sonra 10 yıl	Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Çağrı Merkezi Kayıtları	5 yıl	Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Hasar Danışmanlık Hizmeti	15 yıl	Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Dijital İşlem Güvenliği ve Çerez Kayıtları	5 yıl	Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Güvenlik Kamerası Kayıtları	1 ay	Saklama süresinin sona ermesinden itibaren 180 gün içerisinde

10. POLİTİKA’NIN GÜNCELLENMESİ

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.