Kişisel Verileri Saklama ve İmha Politikası, Paytrek Ödeme Kuruluşu Hizmetleri A.Ş. ("Paytrek" veya "Şirket") tarafından; 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanun gereği çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde bu Politika'da belirtilen kişiler tarafından yürütülecek ve ancak Paytrek KVK yetkilisi tarafından yönetilecek, denetlenecek ve gerektiğinde güncellenecek olan süreçlere ilişkin usul ve esasları belirlemek üzere hazırlanmıştır.
Bu Politika, Paytrek tarafından elektronik ve fiziki ortamlarda işlenen tüm kişisel verilerin saklanmasına ve imhasına ilişkindir.
Bu Politika, KVKK, ikincil düzenlemeleri ve ilgili diğer yasal düzenlemeler ile bu alandaki uluslararası düzenleme ve yol gösterici diğer belgeler ışığında hazırlanmıştır.
Bu Politikada geçen teknik ve hukuki kavramların tanımları aşağıdaki gibidir:
İlgili Kişi: Paytrek tarafından işlenen kişisel verilerin ait olduğu Paytrek çalışanı, çalışan adayı, şirket yetkilisi, iş ortağının çalışanı ile yetkilisi, gerçek kişi müşterisi, müşterisinin yetkilisi, çalışanı ya da gerçek kişi müşterisi, Paytrek işyeri ya da internet sitesi ziyaretçisi ile sınırlı olmaksızın gerçek kişileri,
İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Veri: Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi,
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesini,
Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini,
KVKK: 24.03.2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu,
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
Paytrek veya Şirket: Paytrek Ödeme Kuruluşu Hizmetleri A.Ş.
PCI DSS: Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, büyük kart markalarının kredi kartlarını işlemek için kullanılan bir bilgi güvenliği standardı,
Politika: İşbu Kişisel Veri Saklama ve İmha Politikası'nı,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Paytrek'i
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Yönetmelik: 28.10.2017 tarih ve 30224 sayılı Resmî Gazete' de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği
ifade eder.
Paytrek, ödeme kuruluşu sektöründeki ticari faaliyetlerini yerine getirirken elde ettiği kişisel verilerin işlenme amaçları için gerekli olan azami sürelere ve kanuni sürelere uygun olarak saklamak amacıyla;
|
Kayıt Ortamları |
|
|
Basılı / Fiziksel |
Elektronik / Dijital |
|
Kağıt ve Klasörler |
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) |
|
Dosyalar |
Çıkartılabilir bellekler ve optik diskler |
|
Yazılı, basılı, görsel ortamlar |
Yazılımlar |
|
Arşiv vb. |
Kişisel bilgisayarlar ve mobil cihazlar |
|
|
Yazıcı, tarayıcı, fotokopi makinesi vb. |
kayıt ortamlarını kullanmaktadır.
Paytrek, KVKK ve Yönetmelik hükümleri gereğince aşağıda belirtilen hallerden birinin gerçekleşmesi halinde, ilgili kişilerin kişisel verilerini silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçerek imha eder.
Paytrek, işlediği kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtlar, Paytrek tarafından bu yöndeki diğer hukuki yükümlülükleri hariç olmak üzere en az üç (3) yıl süreyle saklanır.
Paytrek, kişisel verilerin, işlendikleri amaç için gerekli olan azami sürelere ve mevzuatla ilgili yasal sürelere uygun bir şekilde işlenmesinden ve bu konuda gerekli tedbir ve önlemlerin alınmasından sorumludur.
Paytrek,
Kişisel verileri işleme amacı/amaçlarının ortadan kalkması,
İlgili kişi tarafından verilmiş olan açık rızanın geri alınmış olması,
Gerçekleştirilen kişisel veri işleme faaliyetinin (KVKK'nın 5. ve 6. maddelerinde düzenlenen) hukuka uygunluk nedenlerinin değişmesi veya ortadan kalkması,
Kişisel verilerin kanuni işleme sürelerinin sona ermesi
halinde, ilgili kişisel verilerin işlenme faaliyetine devam edilmemesi ve derhal bulunduğu kayıt ortamından bu Politikaya, KVKK ve Yönetmeliğe uygun bir şekilde imha edilmesinden sorumludur.
İlgili kişi, KVKK'nın 13. maddesi kapsamında Paytrek'e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etme hakkına sahiptir. İşbu hallerde, öncelikle silme ve yok edilmesi talep edilen kişisel veriler için Politika'nın ilgili maddesinde sayılan işlenme şartlarının ortadan kalkıp kalkmadığı tespit edilmelidir. Kişisel veri işleme şartlarının tamamen ortadan kalktığı hallerde, Paytrek, ilgili kişinin talebini en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır ve ilgili kişiye bilgi verir.
Talep konusu kişisel veriler Paytrek tarafından üçüncü kişilere aktarılmış ise, bu talep üçüncü kişiye bildirilir ve Paytrek üçüncü kişinin bu Yönetmelik kapsamında gerekli işlemleri yapmasını temin eder.
Faaliyet gösterdiği ödeme hizmetleri sektörü sebebiyle PCI DSS sertifikalı olan Paytrek'in veri güvenliği konusunda farkındalık düzeyi oldukça yüksek olup veri güvenliğini sağlamak için gereken tüm idari ve teknik tedbirleri PCI DSS düzeyinde alır.
Paytrek, KVK mevzuatı uyarınca kişisel verilerin güvenliğini sağlamak için aşağıda sayılanlarla sınırlı olmamak üzere çeşitli önlemler alır:
Şirket'e ait cihazlarda kullanılmakta olan anti virüs programlarının düzenli olarak güncellenmesi,
Şirket cihazlarında yüklü işletim sistemlerinin güncellemelerinin ve yamalarının zamanında ve düzenli olarak yapılması,
Kullanılmayan yazılım ve programların silinmesi,
Kişisel verilerin bulunduğu ortamların yedeklemelerinin yapılması,
Uygunsuz ve lisanssız yazılımların kullanılmasının engellenmesi,
Şirket bilgisayarlarının güvenlik duvarı ayarının "açık" olarak belirlenmesi,
İnternet ağ geçidi ile kişisel verilerin güvenliğine tehdit teşkil edecek internet sitelerine ve çevrimiçi servislere erişimin engellenmesi,
Sistem odalarının fiziksel (sistem odasının kilitlenmesi, erişimin kısıtlanması vb.) ve çevresel (sitem odasının lokasyonu, sıcaklığı vb.) güvenliğinin sağlanması,
Kullanıcıların sistemlere giriş yaparken benzersiz kullanıcı adı ve şifre kullanmaya yönlendirilmesi,
Kullanıcı hesap yönetimi ile kişisel verilerin bulunduğu sistemlere erişimin sınırlanması,
Kullanılan sistemlere yönelik açıklık analizi ve sızma testlerinin yaptırılması ve yapılan analiz ve test sonuçlarına göre gerekli tedbirlerin ivedilikle alınması,
SSL/TLS şifreleme sistemlerinin kullanılması,
Kullanıcıdan alınan ve elektronik ortamda saklanacak bilgilerin ilgili ortamda, verinin niteliğinin gerektirdiği ölçüde güvenlik sağlayacak şekilde şifreli olarak saklanması,
Oturum kaydı ve benzeri kayıtların tutulması,
Önem derecesine göre sınıflandırılmış olan kişisel verilerin belirli zaman aralıklarında yedeklenmesi,
Kişisel verilerin, Şirket yetkilileri de dahil olmak üzere, yetkisiz kişi veya kişilerle paylaşılmaması,
Kişisel verilerin işlenmesinde, saklanmasında, korunmasında ve imha edilmesinde PCI DSS kurallarının da gerektiği ölçüde uygulanması,
Kişisel verinin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul önlemlerin alınması.
Paytrek, kişisel verilerin güvenliğini sağlamak amacıyla idari tedbirleri almakla yükümlüdür. Bu tedbirlerden bazılarına örnek mahiyetinde aşağıda yer verilmektedir:
Çalışanlara ait kişisel verilerin hukuka uygun işlenmesi konusunda eğitilmesi ve bilgilendirilmesi,
KVK mevzuat ihlallerine sebebiyet verecek olayların yönetilmesi,
Ortaya çıkabilecek risklerin analiz edilmesi, risk kontrol ve önlem adımlarının belirlenmesi,
Kişisel veriye erişim sürecinde onay ve denetim mekanizmalarının belirlenmesi ve benimsenmesi,
3. kişilerle veri paylaşımının kapsamını belirleyen gizlilik sözleşmelerinin düzenlenmesi,
KVK belgelerinin hazırlanması, yayımlanması, ilgili kişilere duyurulması, yürürlüğe konulması ve tüm bu süreçlerin denetiminin sağlanması.
Paytrek, işlediği kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde KVKK'nın 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket etmektedir.
Paytrek, KVK Kurulu tarafından imha yöntemine ilişkin alınan bir karar bulunması halinde doğrudan ilgili kararı ve gerekmesi halinde aşağıdaki yöntemlerden bir veya birden fazlasını uygular.
İmha işleminin, ilgili kişinin talebi doğrultusunda gerçekleşmesi halinde Paytrek uyguladığı imha yöntemini gerekçesiyle birlikte ilgili kişiye bildirir.
Kişisel verilerin silinmesi işleminde Paytrek'in izlemesi gereken süreç aşağıdaki gibidir;
Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi,
Erişim yetki ve kontrol matrisi veya benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi,
İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi,
İlgili kullanıcıların kişisel verilere ilişkin erişim, geri getirme, tekrar kullanma yetkilerinin kaldırılması,
Paytrek, kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak amacıyla aşağıdakilerle sınırlı olmamak kaydıyla bazı idari ve teknik tedbirler almaktadır:
Paytrek, basılı ortamda bulunan kişisel verileri karartma yöntemi kullanarak silmektedir.
Paytrek, elektronik ortamda işlediği kişisel verileri aşağıdaki yöntemleri dikkate alarak silmektedir;
|
Verinin Saklandığı Ortam |
Silme Yöntemi |
|
Veri Tabanları |
|
|
Merkezi Sunucu |
|
|
Taşınabilir Cihazlar (USB, Hard disk, CD, DVD vb.) |
|
|
Bulut Çözümleri |
|
Paytrek, kişisel verilerin yok edilmesi hususunda gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Paytrek, kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaları tespit eder ve kişisel verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmesini sağlar:
Paytrek, bu ortamda tutulan kişisel verileri kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek suretiyle yok eder.
Paytrek, kişisel verileri bulunduğu sistemlerin türüne göre, aşağıda yer alan yöntemlerden bir veya birkaçını kullanarak yok eder:
|
Verinin Saklandığı Ortam |
Yok Etme Yöntemi |
|
Çevresel Sistemler (Ağ cihazları, flash tabanlı ortamlar, optik sistemler, sim kart ve sabit hafıza alanları vs.) ve Yerel Sistemler |
|
|
Bulut Ortamları |
|
Paytrek, saklama süresi sona eren kişisel verileri anonim hale getirmekte, kişisel veri ile ilgili kişi arasındaki bağı koparmakta ve bu sayede ilgili kişinin tespit edilmesini engellemektedir.
Anonim hale getirme işlemleri kapsamında, Paytrek tarafından benimsenen ve kullanılan tekniklerden bazıları şu şekildedir:
Bu yöntem, kişisel veri niteliğindeki bir bilginin, belirli alanlarının kaldırılarak veya değiştirilerek ilgili kişi ile bağının kesilmesini ifade eder. Paytrek, ödeme hizmetleri sektöründe gerçekleştirdiği faaliyetler ve PCI DSS doğrultusunda kişisel verileri yıldızlayarak işlemektedir. ("**n* ****n: Değerli bir kurum" gibi)
Bu anonim hale getirme yönteminde değişkenlerden bir veya birkaçı bir sütun halinde tablodan çıkartılmakta ve bu sayede ilgili kişinin tespit edilebilmesi güçleşmektedir. Bu yöntem değişkenin kamuya ifşa edilmeyecek derecede hassas bir veri olması veya değişkenin yüksek dereceli bir tanımlayıcı olması durumlarında kullanılmaktadır.
Bu yöntemde veri kümesinde yer alan ve tekillik teşkil eden bir satırın çıkartılması ile anonimlik kuvvetlendirilmektedir. Örneğin, bir anket çalışmasına katılmış olan ve cinsiyeti kadın olan tek bir kişi bulunmakta ise bu kişiye ait satır veri kümesinden çıkartılarak veri kümesine dair üretilebilecek varsayım ihtimali düşürülmektedir.
Rastgeleleştirme, veri karması ve gürültü eklenmesi gibi, veri ile ilgili kişi arasındaki bağı tamamen kaldırmayan fakat verinin doğruluğunu azaltmak suretiyle zayıflatan birtakım yöntemleri kapsamaktadır.
Bu yöntemde, belirli bir veri kümesindeki bazı bilgiler söz konusu küme üzerinde gerçekleştirilecek incelemeyi etkilemeyecek şekilde karıştırılmaktadır. Örneğin, çalışanların yaş ortalaması alınmak istenen bir departmanda, çalışanların yaşlarını gösteren değerlerin birbiriyle değiştirilmesi suretiyle veri karması yapılabilecektir.
Bu yöntem ile veri kümesinde yer alan değer, ekleme veya çıkarma işlemi ile belirlenen ölçüde değiştirilmektedir. Örneğin, veri kümesinde yer alan her bir yaş değerine beş (5) eklenmesi sonucunda bu yaş değeri değiştirilmiş ve yeni değerler oluşturulmuştur.
Paytrek, işlediği kişisel verilerin imhasını hukuka uygun olarak gerçekleştirmeye dikkat etmekte ve bu kapsamda teknik ve idari tedbirler almaktadır. Bu tedbirlerden bazılarına örnek mahiyetinde olacak şekilde aşağıda yer verilmektedir. Bu kapsamda,
Yok etme ve silme işlemlerinin video kayıt, v.b. sistemlerle kayıt altına alınmasını,
Oturum kaydı ve benzeri kayıtların tutulmasını,
Verilerin üzerine veri yazılarak silinmesi amacıyla kullanılan yazılımların güncel tutulmasını,
Çalışanlarımızın kişisel verilerin hukuka uygun imhası konusunda eğitilmesini ve bilgilendirilmesini,
Silinen kişisel verilere ilgili kullanıcı tarafından erişilmesinin ve tekrar kullanılmasının engellenmesini,
Yapılacak imha işlemleri sırasında yol gösterici olması amacıyla prosedür ve talimatların hazırlanmasını,
Veriye erişim sürecinde onay ve denetim mekanizmalarının benimsenmesini, ve
Verilerin niteliği veya hacmi gerektirdiğinde, alanında uzman profesyonellerle çalışılmasını
sağlamaktayız.
|
Adı Soyadı |
Unvan |
Birim / Departman |
Görev Tanımı |
|---|---|---|---|
|
Emre Ozan Ünaldı |
Uyum Görevlisi |
Uyum Birimi |
Veri Sorumlusu |
Paytrek kişisel verileri; kişisel veri grubu, veri saklama ortamı, saklama süresinin başlangıcı, sonu ve toplam saklanacak süre, ilgili yasal düzenlemeler gibi unsurları göz önünde bulundurarak saklamaktadır.
|
Kişisel Veri Kaynağı |
Süre |
Yasal Dayanak |
|
Çağrı Merkezi Ses Kayıtları |
3 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
|
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar |
10 Yıl |
6102 Sayılı Kanun, 213 Sayılı Kanun |
|
Çerezler ve Log Kayıtları |
6 Ay – En Fazla 2 Yıl |
5651 Sayılı İnternet Kanunu |
|
Ticari Elektronik Mail Onay Kayıtları |
Onayın geri alındığı tarihten itibaren 1 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
|
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri |
2 Yıl |
5651 Sayılı Kanun |
|
Müşterilere İlişkin Kişisel Veriler |
6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. |
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
|
Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten sonra 10 Yıl |
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
|
Kişisel Verileri Koruma Kurulu İşlemleri |
10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
Sözleşmeler |
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
Kurum İletişim Faaliyetleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
İnsan Kaynakları Süreçleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
Donanım ve Yazılıma Erişim Süreçleri |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
Ziyaretçi ve Toplantı Kullanıcıların Kaydı |
Etkinliğin Sona ermesinden İtibaren 2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
Kamera Kayıtları |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
|
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) |
İş İlişkisinin sona ermesinden itibaren 5 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
|
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
|
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
|
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) |
İş İlişkisinin sona ermesinden itibaren 15 Yıl |
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
|
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
|
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
|
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
|
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
|
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) |
Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz |
6102 Sayılı Türk Ticaret Kanunu |
|
Burs ödemesi / Çalışan Avans Ödemesi |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
|
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) |
1 Yıl |
Sektörel teamüller geçerli. |
|
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler |
10 Yıl |
6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
|
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
Sektörel Teamül |
|
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
|
Genel Kurul İşlemleri Uyarınca İşlenen Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
|
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
|
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler |
3 Yıl |
27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
|
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
|
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
|
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) |
Sözleşmenin Sona Ermesine Müteakip 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
|
Vergisel Kayıtlara İlişkin Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
|
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
|
Ziyaretçilerin Kişisel Verileri |
2 Yıl |
5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
|
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları |
En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl |
5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
|
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) |
2 Yıl |
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
|
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) |
15 Yıl |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
|
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
|
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) |
10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
|
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) |
13 Ay |
Avrupa Birliği / Sektörel Teamül Uygulaması |
|
Ölmüş Bir Kişinin Kişisel Verileri |
En Az 20 Yıl |
21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik |
Kişisel veri saklama süreleri ancak bu Politika'nın 8. maddesinde belirtilen yetkili kişiler tarafından değiştirilebilir. Yapılacak bu değişiklikler meşru bir sebebe dayandırılmalıdır.
Şirket olarak, tüm kişisel verilerinize dair periyodik imha işlemini yüzseksen (180) günlük aralıklar içerisinde gerçekleştirmekteyiz.
İşbu Politika belirlenecek olan periyodik imha süre aralığı içerisinde güncellenecektir.
İşbu Politika hazırlandığı tarihten itibaren yürürlükte kalacaktır. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika'nın ıslak imzalı eski nüshaları Yönetim Kurulu Kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Paytrek tarafından saklanır.