1. VERİ SORUMLUSUNUN KİMLİĞİ VE POLİTİKA KAPSAMI
ARKSIGNER Kişisel Verileri Saklama ve İmha Politikası (kısaca “POLİTİKA” olarak anılacaktır), Veri sorumlusu sıfatını taşıyan ARKSIGNER YAZILIM ve DONANIM SAN. TİC. A. Ş. (Adres: Üniversiteler Mah. Cyberpark 1606 Cad. A Blok No:4A/603 Çankaya ANKARA) (kısaca “ARKSIGNER” olarak anılacaktır) tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
ARKSIGNER, şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel VerilerinKorunmasıKanunu.(kısaca“KVKK”olarak anılacaktır) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarının etkin bir şekilde kullanımının sağlanmasını öncelik olarak belirlemiştir.
2. TANIMLAR
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri Sahibi / İlgili Kişi
Kişisel verisi işlenen gerçek kişi
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale gelmesi
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Kişisel Verileri Koruma Kurumu
Kişisel Verileri Koruma Kurulu
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
3. VERİ İŞLEME FAALİYETLERİNİN HUKUKİ GEREKÇELERİ
ARKSIGNER işletme faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 6098 sayılı Türk Borçlar Kanunu
- 5237 sayılı Türk Ceza Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanu
- 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
- 1262 sayılı Sağlık Bakanlığının İspençiyari ve Tıbbi Müstehzarlar Kanunu
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
- 4857 sayılı İş Kanunu
- 6102 sayılı Türk Ticaret Kanunu
- 4734 sayılı Kamu İhale Kanunu
- 8529 sayılı Kamu İhale Sözleşmeleri Kanunu
- 4691 sayılı Teknoloji Geliştirme Bölgeleri Kanunu
- 5070 sayılı Elektronik İmza Kanunu
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
- Arşiv Hizmetleri Hakkında Yönetmelik
- Teknoloji Geliştirme Bölgeleri Uygulama Yönetmeliği
- Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik
- Bu kanunlar uyarınca yürürlükte olan başta güvenli elektronik imzaya ilişkin bilgi Teknolojileri Kurumunun mülga kararları olmak üzere sair ikincil düzenlemeler
4. SORUMLULUK
ARKSIGNER’ın tüm birimleri ve çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi, kişisel verilerin hukuka uygun şekilde saklanmasının sağlanması amacıyla veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
5. VERİ İŞLEME AMAÇLARI
ARKSIGNER, iş faaliyetleri çerçevesinde kişisel verileri aşağıdaki amaçlar doğrultusunda işler.
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim/Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma/Ürün/ Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İç Denetim/ Soruşturma/ İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı/ Güvenliği Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Organizasyon ve Etkinlik Yönetimi
Pazarlama ve Analiz Çalışmalarının Yürütülmesi
Reklam/ Kampanya/Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Sponsorluk Faaliyetlerinin Yürütülmesi
Talep/ Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Ücret Politikasının Yürütülmesi
Ürün/Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetenek/Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
6. KAYIT ORTAMLARI
ARKSIGNER tarafından işlenen kişisel veriler aşağıdaki fiziksel ortamlarda muhafaza edilmektedir.
- Kişisel bilgisayarlar
- Mobil cihazlar
- Manyetik ve optik kayıt ortamları
- Taşınabilir bellekler
- Sunucular
- Yazılımlar
- Bilgi güvenliği cihaz ve yazılımları
- Ses ve görüntü kaydedici cihaz ve yazılımlar
- Belge üretim, kopyalama cihazları
- Yazılı, basılı, görsel materyaller
7. KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ
Sözleşmelerin hazırlanması (iş sözleşmeleri, satış sözleşmeleri vb.)
Sözleşmenin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim faaliyetlerinin yürütülmesi
Faaliyetlerin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan kaynakları süreçleri
Faaliyetlerin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri işlem süreçleri (mal ve hizmet alım satım işlemleri vb.)
Faaliyetlerin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans ve muhasebe süreçleri (bordro bilgileri, faturalar vb.)
Faaliyetlerin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık Bilgileri kaydı (İş sözleşmesi kapsamındaki sağlık raporları)
Sözleşmenin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkûmiyeti kaydı (İş sözleşmesi kapsamındaki yasal belgeler)
Sözleşmenin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşlem güvenliği süreçleri (kurumsal ağ ve internet sitesi üzerinden toplanan veriler)
Veri toplanmasını takiben 2 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
8. PERİYODİK İMHA SÜRESİ
ARKSIGNER Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresini 1 yıl olarak belirlemiştir. Buna göre, her yıl Haziran ayında periyodik imha işlemi gerçekleştirilir.
9. KİŞİSEL VERİLERİN SİLİNMESİ
ARKSIGNER tarafından işlenen kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Koşulları gerçekleştiğinde, ARKSİGNER tarafından silinir, yok edilir veya anonim hale getirilir.
Süreç;
- Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
- Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
- İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
- İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması
Şeklinde ilerleyecektir.
10. VERİ GÜVENLİĞİ İÇİN ALINAN ÖNLEMLER
ARKSIGNER kişisel verilerin korunması için aşağıda belirtilen teknik ve idari önlemleri almaktadır.
Teknik ve idari önlemler periyodik olarak denetlenmekte ve sorunlar ilgili birimlere acil olarak bildirilmektedir.
10.1. İDARİ ÖNLEMLER
ARKSIGNER tarafından, işlenen kişisel verilerle ilgili olarak alınan idari önlemler aşağıda sıralanmıştır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
10.2. TEKNİK ÖNLEMLER
ARKSIGNER tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik önlemler aşağıda sıralanmıştır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
11. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHASI
Elektronik ortamda kayıtlı olan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde ilgili kullanıcılar için hiçbir suretle erişilemez ve kullanılamaz hale getirilir.
Fiziksel ortamlarda kayıtlı olan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
12. DİĞER HUSUSLAR
- Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, İnternet sayfasında kamuya açıklanır.
- KVKK ve ilgili mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili mevzuat hükümleri uygulanacaktır.
- Politika, ARKSIGNER kurumsal İnternet sitesinde yayınlanarak ilgili kişilere duyurulur.
- Politikada güncelleme yapılması durumunda, yeni politika belgesi aynı yöntemle ilan edilerek ve yayınlanarak yürürlüğe girer.
- ARKSIGNER tarafından hazırlanan bu Politika, 06.04.2020 tarihinde yürürlüğe girmiştir.
