Kişisel Verilerin Saklama ve İmha Politikası
MİMEDA MEDYA PLATFORM A.Ş. KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI
1.Giriş
1.1. Amaç
Hukuki ve sosyal sorumluluğunun bir parçası olarak; Mimeda Medya Platform A.Ş. (“Mimeda”) Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, Mimeda, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması amacıyla kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir. Şirket, belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , ı, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilere ait kişisel verilerin “Anayasası”, uluslararası sözleşmeler, “Kanun”, “Yönetmelik” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilen Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuatlar uyarınca Mimeda tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
1.2. Kapsam
Şirket müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkilileri ve çalıştığı tüm 3. Taraflar başta olmak üzere üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3. Tanımlar
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Alıcı Grup | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
| İlgili Kişi | Kişisel verisi işlenen gerçek kişi |
| İlgili kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Anonim Hale Getirme | Kişisel verilerin başka verilerle eşleştirilmesi sonucunda dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi. |
| Çalışan | Mimeda çalışanları |
| Çalışan Adayı | Mimeda’ ya herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Mimeda’ nın incelemesine açmış olan gerçek kişiler |
| Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
| Anayasa | Türkiye Cumhuriyeti Anayasası |
| KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
| KVK Kurulu | Kişisel Verileri Koruma Kurulu |
| KVK Kurumu | Kişisel Verileri Koruma Kurumu |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kişisel veri işleme envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
| Müşteri | Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve /veya tüzel kişidir. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
| Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu Şirketimiz Mimeda’ dır. |
| Veri Sorumluları Sicili | KVK KANUNU Kurulu gözetiminde, KVK KANUNU Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili |
| VERBİS | Veri sorumluları sicil Bilgi Sistemi |
| Ziyaretçi | Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler |
| İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | Mimeda ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. Başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler |
| Tedarikçiler | Sözleşme temelli Mimeda’ nın ürün ve/veya hizmet aldığı üçüncü kişiler |
| Periyodik imha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Potansiyel Müşteri | Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler |
| Politika | Mimeda’ nın Kişisel Verileri saklama ve imha politikası |
| Şirket | Mimeda Medya Platform A.Ş. |
| Şirket Hissedarları | Mimeda hissedarı gerçek kişiler |
| Şirket Yetkilisi | Mimeda yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
| Mimeda Kişisel Veriler Hakkında Başvuru Formu | Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
| Üçüncü Kişi | Yukarıda tanımlanan taraflarla Mimeda arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler |
| Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
2. Sorumluluk Ve Görev Dağılımları
Şirketin tüm birimleri ve çalışanları; sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gerektiği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına aşağıdaki tabloda yer verilmiştir.
| Ünvan | Birim | Görev |
|---|---|---|
| Genel Müdür | Yönetim | Çalışanların politikaya uygun hareket etmesinden sorumludur |
| KVK Komitesi | Şirketin KVK süreçlerine uyum ve denetiminin sağlanması için kurulan Komite | Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
| Bilgi Teknolojileri | Bilgi Teknolojileri Yönetimi | Politika’ nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
| İnsan Kaynakları, Marka İletişim ve Müşteri Deneyimi, Pazarlama, Satış, Hukuk | Diğer Birimler | Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
3. Kayıt Ortamları
Elektronik Ortamlar; Sunucular, Yazılımlar, sabit ya da taşınabilir diskler, optik diskler, Bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, taşınabilir bellekler, yazıcı, tarayıcı, fotokopi makinası, bulut ortamlar,
Elektronik Olmayan Ortamlar; Kağıt, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar
4. Saklama Ve İmhaya İlişkin Açıklamalar
Şirket tarafından; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; Türk Ticaret Kanunu, Borçlar Kanunu, Kişisel Verilerin Korunması Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu, Perakende Ticaretin Düzenlenmesi Hakkında Kanun, Elektronik Ticaretin Düzenlenmesi Hakkında kanun ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- Şirketimiz tarafından sunulan mal ve hizmetleri tanıtmak, üye ve/veya müşterileri tanımak, iletişimi arttırmak, imajı arttırmak, ürün, hizmet ve iletişimini geliştirmek ve iyileştirmek, müşteri anketi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi (kümeleme, işbirlikleri çerçevesinde kredi skorlama, modelleme, istatistik hesaplama gibi veri analizi çalışmaları), araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak
- Otomatik katılımlı kampanyalara katılımı sağlamak, bu kampanyalardan faydalanılması ve kampanya sonucunda kazanım olursa bilgi vermek, kazanımla ilgili iletişime geçmek ve bu kazanımı çeşitli mecralarda duyurmak,
- Genel veya size özel kişiselleştirilmiş reklamlar oluşturmak, segmentasyon ve pazarlama analiz çalışmalarını yapmak, mobil Uygulama, internet siteleri, sosyal medya veya diğer 3. parti ortamlarında Mimeda, tedarikçi ve diğer 3. kişilere ait reklamları ve pazarlama/iletişim faaliyetlerini (mobil uygulama ve internet sitelerindeki bildirimler, pop-up gösterimi, kişiye özel teklifler, kullanıcı ekranlarının özelleştirilmesi, reklam vs.) yapmak,
- Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
- Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası
- Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini
- Müşteri ve tedarikçilerimizin danışma hizmeti temin sürecini yürütmek,
- İlgili mevzuat hükümleri gereği akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek, yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
- Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
- Doğabilecek uyuşmazlıklarda delil olarak kullanmak
- Şirket işe alım ve çalışan süreçlerinin planlanması Ürün ve hizmetlerin satış ve pazarlaması için Pazar araştırması faaliyetlerinin planlanması ve icrası
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası
- Lojistik faaliyetlerinin planlanması ve icrası
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
- İşlem ve bilgi güvenliğini sağlamak, hileli veya yasadışı faaliyetleri içerebilecek işlemleri önlemek,
- Müşterilere daha iyi bir alışveriş deneyimi sağlamak,
- Kişiselleştirilmiş alışveriş hizmeti sunmak (müşteri anketi, müşteri memnuniyeti uygulama ve bilgilendirmelerini yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak),
- Mimeda’nın hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;
- Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,
- Web sitemizi daha kolay kullanılır hale getirmek,
- Bilginin denetim şirketlerine, ilgili vekile veya vekil edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
- Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;
- İlgili Kişinin şikâyet, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması;
- Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
- Ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin planlanması ve icrası
- Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,
- Hukuk İşlerinin takibi ve yürütülmesi
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
- Üyelerimizi tanımak ve iletişimimizi geliştirmek,
- Müşterilerimize daha iyi ve güvenilir hizmet verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların kesintisiz olarak sürdürülebilmesi
- Mimeda tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
- Mimeda hizmetlerini kullanmak amacıyla çağrı merkezleri veya internet sayfası kullanıldığında, Kurum veya internet sitesi ziyaret edilmesi, Kurum’un düzenlediği eğitim, seminer veya organizasyonlara katılınması.
- İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,
- Şirket Genel Müdürlük vb. tesislerinin güvenliğinin temini
- Acil durum yönetimi süreçlerinin planlanması ve icrası
- Taşeron çalışanlarına ilişkin özlük süreçlerinin planlanması ve icrası
- Finans ve/veya muhasebe işlerinin takibi
- Yapı ve/veya inşaat işlerinin planlanması ve takibi
- Yönetim Faaliyetlerinin Yürütülmesi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yatırım Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Ücret Politikasının Yürütülmesi
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- Talep / Şikayetlerin Takibi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
- Sponsorluk Faaliyetlerinin Yürütülmesi
- Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İnsan Kaynakları Süreçlerinin Planlanması
- İletişim Faaliyetlerinin Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Görevlendirme Süreçlerinin Yürütülmesi
- Fiziksel Güvenliğinin Temini
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Sendika ile akdedilen Toplu iş Sözleşmesi faaliyetlerinin yürütülmesi
4.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesine İlişkin Esaslar
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Mimeda kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkelere uymaktadır.
- a) Hukuka ve dürüstlük kurallarına uygun olma.
- b) Doğru ve gerektiğinde güncel olma.
- c) Belirli, açık ve meşru amaçlar için işlenme.
- ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
4.3. İmhayı Gerektiren Sebepler
Mimeda kişisel verileri aşağıdaki sebeplerle imha eder;
- Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi
- Mimeda tarafından belirlenen imha süresinin sona ermesi
- Mimeda tarafından belirlenen periyodik imha süresinin sona ermesi
- Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
- İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
- Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması
- İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Mimeda tarafından kabul edilmesi,
- Mimeda’ nın, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
Kişisel Verileri Koruma Kanunu’ nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
5. Teknik Ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6 ‘ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1.Teknik tedbirler;
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
5.2.İdari tedbirler;
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
5.3.Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
6. Kişisel Verileri İmha Teknikleri
Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Mimeda, aşağıda yer verilen teknikleri kullanmak sureti ile kişisel verileri silmekte veya yok etmektedir.
- Mimeda, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
- Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise Mimeda aşağıdaki kuralları uygular;
- Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
- Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması
- Gerçek kişiler tarafından direkt olarak silme talebinin iletilmesi durumunda ise ilgili kişiye ait kişisel verilerin Mimeda sistemlerinden silinmesi
- Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
- Gerekli olmayan kişisel verilerin karartılması,
- Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi yoluyla gerçekleştirilir.
6.1. Silme Yöntemleri
6.1.1.Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri;
Karartma; Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
6.1.2. Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri;
Yazılımdan güvenli olarak silme; Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.
6.2. Yok Etme Yöntemleri
6.2.1. Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel olarak yok etme; Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
6.2.2. Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
De-manyetize etme (degauss), Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Üzerine yazma; Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
6.2.3. Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz
7. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Mimeda, hukuka uygun olarak işlenen kişisel verilerin işlenmesi şartlarının ortadan kalkması halinde kişisel verileri anonimleştirebilmektedir. Böylece anonimleştirilen kişisel veriler KVK Kanunu’nun 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından bu Politika’ nın 9. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır.
Mimeda, kişisel verilerin anonimleştirmesi için aşağıda yer verilen teknikleri kullanmaktadır.
7.1. Maskeleme
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanımlanmasını sağlayan adı, soyadı, T.C. Kimlik No vb. bilginin çıkartılması.
7.2. Toplulaştırma
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, yaşları belirtilmeksizin X yaşında Y kadar müşteri olduğunun belirtilmesi
7.3. Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihi yerine yaşın belirtilmesi
7.4. Veri Karma
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
8. Kişisel Verilerin Saklanma ve İmha Süreleri ile Periyodik İmha Süreleri
Mimeda, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı Haziran ve Ocak ayları olmak üzere altı ayda bir yapılır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.
KVK Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.
| Veri Kategorisi | Veri Saklama Süresi |
|---|---|
| 1-Kimlik Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 2-İletişim Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 3-Lokasyon Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
| 4-Özlük Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 5-Hukuki İşlem Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
| 6-Müşteri İşlem Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
| 7-Fiziksel Mekan Güvenliği Kişisel Veri | 1 Yıl |
| 8-İşlem Güvenliği Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
| 10-Finans Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
| 11-Mesleki Deneyim Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 12-Pazarlama Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 13-Görsel ve İşitsel Kayıtlar Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 20-Sendika Üyeliği Özel Nitelikli Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 21-Sağlık Bilgileri Özel Nitelikli Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 40 yıl |
| 23-Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Özel Nitelikli Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 24-Biyometrik Veri Özel Nitelikli Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren ilk periyodik imha süresi |
| 26-Diğer Bilgiler-Kurumsal hafıza bilgisi Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 70 yıl |
| 26-Diğer Bilgiler-Hissedar/Ortak Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
| 26-Diğer Bilgiler-Çalışan Aday Bilgisi Kişisel Veri | Yıl 2 Yıl |
| 26-Diğer Bilgiler-Aile/Yakın Bilgisi Kişisel Veri | Hukuki ilişkinin sona ermesinden itibaren 15 yıl |
9. Kişisel Verilerin Resen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Süreleri
Mimeda, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alır:
- Yükümlülüğün ortaya çıktığı 01.01.2018 tarihini takip eden ilk periyodik imha işleminde
- Periyodik imha süresi her halde 180 günden uzun olamaz.
10. İlgili Kişinin Talep Etmesi Durumunda Kişisel Verileri Silme ve Yok Etme Süreleri
İlgili kişi, KVK Kanunu’ nun 13. maddesine istinaden Mimeda’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Mimeda talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Mimeda, Veri sahibi gerçek kişinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibi gerçek kişiye bilgi verir
- b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Mimeda bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
- c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Mimeda tarafından KVK Kanunu’nun 13. Maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
11. Kişisel Verileri İşleme, Saklama ve İmha Süreçlerinin Şirket İçi Yönetimi
Mimeda, KVK Kanunu ve ilgili yasal mevzuat hükümlerine uyum süreci ve uyum sürecinin tamamlanması akabinde gerçekleştirilecek kişisel veriler ile ilgili her türlü işlemde, işbu Politika ve Prosedürler ile bunlara bağlı süreçlerin yönetimi aşağıdaki şekilde yürütülür:
İlgili kişiler, KVK Kanunu’ nun 13’üncü maddesinin 1’inci fıkrası ve “Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ” gereğince, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini yazılı şekilde ………. adresinde yer alan Mimeda Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak ıslak imzalı veya güvenli elektronik imza ile Mimeda’ya iletmeleri gerekmektedir. Güvenli elektronik imzalı taleplerin mimeda@hs01.kep.tr adresine, ıslak imzalı taleplerin ise Atatürk Mah. Turgut Özal Bulvarı No:7 Ataşehir-İSTANBUL adresine iletilmesi gerekmektedir. Yine …. adresinde yer alan Mimeda Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak Mimeda’ ya daha önce bildirilen ve Mimeda sisteminde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle, kisiselverikoruma@mimeda.com.tr adresine e-posta ile iletilmesi gerekmektedir.
12. GÖZDEN GEÇİRME
Bu politika yılda 1 kez Kişisel Verilerin Korunması Komitesi tarafından gözden geçirilerek gerekli güncellemeler yapılır. Üst yönetimin onayı sonrası güncellenmiş politika ilgili kişiler/taraflar bilgilendirilerek kullanılmaya başlanır.
HÜKÜMLER
İşbu Politika Kişisel Verilerin Korunması Komitesi tarafından hazırlanarak onaylanmış ve en son 28.06.2021 tarihinde güncellenmiştir. İşbu politikanın Türkçe dışında başka bir dile çevrilmesi durumunda iki politika arasındaki farklı ifadelerde her zaman Türkçe metni dikkate alınmalıdır. İşbu politika Mimeda Medya Platform A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.