|
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
|
1.GİRİŞ
1.1.AMAÇ
Bu politikanın amacı, Bralet’in faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, mevzuata uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
1.2.KAPSAM
Bu Politika, Bralet ziyaretçilerinin, müşterilerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi; yalnızca bir kısım hükümleri de olabilecektir.
1.3.KISALTMALAR VE TANIMLAR
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hâle Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Aydınlatma Yükümlülüğü | Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere yönelik olarak yaptığı bilgilendirmeyi ifade eder. Bu kapsamda veri sorumlusu veya yetkilendirdiği kişi aşağıdaki hususlarda ilgili kişiyi bilgilendirir:
|
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Hizmet Sağlayıcı | Bralet ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK | Kişisel Verilerin Korunması Kanunu |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kayıt Sistemi | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan her türlü sistem. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi. |
Kişisel Verilerin Silinmesi | Kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu |
Kurum | Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Kişisel Verileri Saklama ve İmha Politikası |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri Sorumluları Sicili | Kanun’a göre veri sorumlusu olanların kaydolmak zorunda oldukları Kişisel Verilerin Korunması Kurumu Başkanlığı tarafından kamuya açık olarak tutulması öngörülen zorunlu bir kayıt sistemidir. |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
1.4.POLİTİKANIN YÜRÜRLÜĞÜ
Politika, Bralet’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Politika ihtiyaç duydukça gözden geçirilir ve güncellenir.
2.KİŞİSEL VERİ KATEGORİZASYONU
Kişisel Veri Türü | Açıklaması |
Kimlik Bilgisi | Bu Politika ile yönetilen tüm kişi gruplarında yer alan veri sahiplerinin kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu veriler: Ad-soyad, TC Kimlik numarası, doğum tarihi |
İletişim Bilgisi | Bu Politika ile yönetilen tüm kişi gruplarında yer alan veri sahiplerinin; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Adres, e-mail adresi |
Finansal Bilgi | Bu Politika ile yönetilen tüm kişi gruplarında yer alan veri sahiplerinin; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile kredi kartı bilgisi banka hesap numarası, IBAN numarası gibi veriler |
Bilgi İşlem Alt Yapısı Bilgileri | Bu Politika ile yönetilen çalışan ve müşteri kişi gruplarında yer alan veri sahiplerinin kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Bralet kapsamında yürütülmekte olan her türlü; ticari, pazarlama, iş ilişkisine dair bilgi işlem altyapılarında kaydolan kişisel veriler. |
Talep Şikâyet Yönetimi Bilgisi | Bu Politika ile yönetilen veri sahiplerinin kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çeşitli kanallar aracılığı ile (e-posta, telefon, sosyal medya) Bralet’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
3.KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Bralet tarafından aşağıdaki tabloda listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanır:
ELEKTRONİK ORTAMLAR | FİZİKİ ORTAMLAR
|
|
|
4.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLERE İLİŞKİN AÇIKLAMA
Bralet, hizmet ve ürünü sunmak, müşteri hizmetleri sağlamak, müşteri ihtiyaçlarını daha iyi anlamak, müşteri ilişkilerini geliştirmek, e-posta, telefon veya posta yoluyla özel teklifler veya promosyonlar sunmak ve ürün ve hizmetlerimizin pazarlamasını yapmak, geçerli yasal süreçlere uymak ve yasal hakları takip etmek; gibi sebeplerle kişisel verileri işler ve saklar.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Bralet tarafından re ’sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Veri Sorumlusu tarafından kabul edilmesi,
- Veri Sorumlusu’nun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
5.TEKNİK VE İDARİ TEDBİRLER
5.1.İDARİ TEDBİRLER
Bralet tarafından, işlediği kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır.
Saklanan kişisel verilere erişimi gerekli çalışan ile sınırlandırır.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli çalışan istihdam eder ve çalışanına kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir. Çalışanlar, kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin eğitilirler ve kendilerine yönelik farkındalık çalışmaları yapılır.
- Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenir ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanır.
- Çalışanlarıyla kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gizlilik taahhütnameleri imzalar.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğini de içeren sözleşmeler imzalar.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Kişisel Veri İşleme Envanteri hazırlar.
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) hazırlar.
- Periyodik ve/veya rasgele veri güvenliği kapsamında denetimler yaptırır.
5.2. TEKNİK TEDBİRLER
Bralet tarafından, işlediği kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır.
- Teknolojideki gelişmelere uygun olarak teknik önlemleri alır, alınan önlemler periyodik olarak yenilenir, güncellenir.
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
- Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını, gerektiğinde sınırlandırılmasını ve yetkilerin gözden geçirilmesini sağlar.
- Kişisel verilerin saklandığı ortamlardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramaları yaptırarak açıkların kapatılmasını sağlar.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
6.1.KİŞİSEL VERİLERİN SİLİNMESİ
Bralet tarafından işlenen kişisel veriler aşağıdaki yöntemlerle silinmektedir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
SUNUCULARDA YER ALAN KİŞİSEL VERİLER | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
TAŞINABİLİR MEDYADA BULUNAN KİŞİSEL VERİLER | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.2.KİŞİSEL VERİLERİN YOK EDİLMESİ
Bralet tarafından işlenen kişisel veriler aşağıdaki yöntemlerle yok edilmektedir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
OPTİK MEDYADA YER ALAN KİŞİSEL VERİLER | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
6.3.KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için Bralet, kişisel verileri, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirir. 6.4. maddede, bu anonim hale getirme tekniklerinden bahsedilmiştir.
6.4.KİŞİSEL VERİLERİN ANONİM HALE GETİRİLME TEKNİKLERİ
Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
Bölgesel Gizleme: Bölgesel gizleme yönteminde tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.
Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.
Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
7.SAKLAMA VE İMHA SÜRELERİ
İLGİLİ SÜREÇ | VERİ SAKLAMA SÜRESİ | VERİ İMHA SÜRESİ | YASAL DAYANAK |
Muhasebe ve finansal işlemlere ilişkin tüm kayıtlar | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 6102 sayılı Kanun, 213 sayılı Kanun |
Çerezler ve Log kayıtarı | En fazla 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 5651 sayılı İnternet Kanunu |
Ticari elektronik mail onay kayıtları | Onayın geri alındığı tarihten itibaren 1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 6563 sayılı Kanun ve İlgili Mevzuat |
Çevrimiçi ziyaretçilere ilişkin trafik bilgileri | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 5651 sayılı İnternet Kanunu |
Müşterilere ilişkin kişisel veriler | 6563 sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl, Hukuki ilişki sona erdikten sonra 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 6563 sayılı Kanun, 6102 sayılı Kanun, 6098 sayılı Kanun, 213 sayılı Kanun, 6502 sayılı Kanun, |
Tedarikçilere ilişkin kişisel bilgiler | Hukuki ilişki sona erdikten sonra 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 6102 sayılı Kanun, 6098 sayılı Kanun, ve 213 sayılı Kanun, |
Kişisel Verileri Koruma Kurulu işlemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | KVKK tarafından yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Koruma ve İmha Politikası |
Sözleşmeler | Sözleşmenin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | KVKK tarafından yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Koruma ve İmha Politikası |
Tüketicilerin blgilendirilmesine ve cayma hakkını kullanabilmesine ilişkin elektronik ortamdaki bilgiler | 3 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 27866 sayılı Resmi Gazetede yayınlanan Mesafeli Sözleşmelere Daire Yönetmelik |
Mal ve hizmetleri tanıtmak, pazarlamak, işletmesini tanıtmak amacıyla alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletilere ilişkin onay kayıtları | 1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 29417 sayılı Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik |
Mal ve hizmetleri tanıtmak, pazarlamak, işletmesini tanıtmak amacıyla alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletilere ilişkin onay kayıtları dışındaki veriler | 1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 29417 sayılı Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik |
Vergisel kayıtlara ilişkin veriler | 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 213 sayılı Vergi Usul Kanunu |
6502 sayılı Tüketicinin Korunması Hakkında Kanun gereği satış sonrası hizmet verilmesinin zorunlu olması sebebiyle işlenen kişisel veriler | 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | 6502 sayılı Tüketicinin Korunması Hakkında Kanu, 13.06.2014 tarih ve 20029 sayılı Resmi Gazetede yayınlanan satış sonrası hizmetler yönetmeliği |
8.PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11. Maddesi gereği Bralet, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre Bralet her yılın Haziran ve Aralık aylarında periyodik imha işlemlerini gerçekleştirir.