S&P

KVKK

KVKK İmha Politikası

SP DANIŞMANLIK A.Ş
KİŞİSEL VERİLERİN SAKLANMASI VE İMHA POLİTİKASI

İÇİNDEKİLER

1.GİRİŞ
1.1.Politikanın Amacı
1.2.Politikanın Kapsamı
1.3 Tanımlar

2. SORUMLULUK VE GÖREVLER

3. KAYIT ORTAMLARI

4. KİŞİSEL VERİLERİSAKLANMASI VE İMHASINA İLİŞKİN AÇIKLAMALAR
4.1. Saklamayı Gerektiren Hukuki Sebepler
4.2. Saklamayı Gerektiren İşleme Amaçları
4.3. İmhayı Gerektiren Hukuki Sebepler

5.TEKNİK VE İDARİ TEDBİRLER

6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

7.SAKLAMA VE İMHA SÜRELERİ

8. PERİYODİK İMHA SÜRESİ

9.POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ DİĞER POLİTİKALAR İLE BAĞLANTISI

10. YÜRÜRLÜK

1.GİRİŞ
1.1. Politikanın Amacı
Kişisel verileri saklama ve imha politikası 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak, Sürmeli&Partners tarafından işlenen kişisel verilerin, saklanması ve imhasına yönelik iş ve işlemler konusundaki usulleri ve esasları belirlemek amacıyla hazırlanmıştır.

1.2. Politikanın Kapsamı
Kişisel verileri saklama ve imha politikası, Sürmeli&Partners işlemekte olduğu Kişisel Verileriler ile Özel Nitelikli Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanmaktadır. Kişisel Verilerin saklanmasıyla ve imhasıyla ilgili olarak bu politika tarafından düzenlenen kurallar katılımcı, potansiyel katılımcı, çalışan adayı, çalışan veya diğer gerçek şahıslarla ilgili basılı, elektronik veya diğer ortamlardaki tüm kişisel verileri kapsar.

1.3 Tanımlar
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder.

Veri Sorumlusu

Sürmeli&Partners

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgüriradeyle açıklanan rıza.

Anonim Hale Getirme

Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Çalışan

Şirket personeli

Değerlendirme Merkezi

Hukuki bir sözleşme gereğince, bir iş pozisyonuna aday olan kişinin işi ne ölçüde yapabileceğini, Kurum kültürü ve Ekiple olan uyumunu bir dizi iş simülasyonu sayesinde ölçümleyen yetkinlik ve davranış değerlendirme yöntemi

Katılımcı

Sözleşme uyarınca müşterilerin kişilik envanter/yetenek testleri için değerlendirme amacıyla gönderdikleri gerçek kişi

Elektronik Ortam

Kişisel Verilerin elektronik cihazlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İmha Etme

Kişisel Verilerin geri döndürülemez biçimde yok edilmesi

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen kişisel verilerin bulunduğu her türlü ortamı

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.

Kişisel Veri Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Şirket’in kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Veri İşleme

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem

Şirket

“Sürmeli&Partners” adıyla anılan SP DANIŞMANLIK Anonim şirketi

Özel Nitelikli Kişisel Veri

Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin veriler.

Periyodik imha

KVKKda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilen imha süreci

Politika

Sürmeli&Partners Kişisel Verilerin Saklanması ve İmhası Politikası

Silme

Kişisel Verilerin geri döndürülemez biçimde temizlenmesi yahut ilgili kullanıcılar için erişilemez hale getirme

Site

www.surmelipartners.com adresinde yer alan web sitesi

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Verikayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sahipleri

Kişisel Verileri işlenen Çalışan/Katılımcı tüm gerçek kişiler

Veri Sorumlusu İrtibat Kişisi

Sürmeli&Partners Kişisel Verilerin Korunması Kurumu ile olan ilişkilerini yürüten ve şirket tarafından atanan kişiyi ifade eder.

Veri sorumluları sicil bilgi sistemi / VERBİS

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Yönetmelik

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

6698 Sayılı Kanun/KVKK

Kişisel verilerin korunması kanunu

2. SORUMLULUK VE GÖREVLER

Şirketin tüm çalışanları ve birimleri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve birimler, sorumlu birimlere destek olur.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım şu şekildedir.

Saklama ve imha süreçleri görev dağılımı

Ünvanı

Birimi

Görevi

Finans ve Hukuk İşleri Müdürü (veri sorumlusu)

Hukuk

Çalışanların politikaya uygun davranmasından sorumludur.

Finans ve Hukuk İşleri Müdürü (veri sorumlusu)

Hukuk

Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

Bilgisayar Mühendisi (veri sorumlusu)

Bilgi&İşlem

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

Finans ve Hukuk İşleri Müdürü (veri sorumlusu)

Hukuk

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

3. KAYIT ORTAMLARI

Veri Sahiplerine ait kişisel veriler,

• Sürmeli&Partners tarafından sunulan test/envanter ve değerlendirme merkezi gibi ürün ve hizmetlerden ilgili kişilerin faydalanması,
• Uygulanan psikometrik testlerin sonuçlarını listeleme, raporlama, doğrulama, analiz ve değerlendirmeler yapabilmek, istatistiki ve bilimsel bilgiler üretilmesi,
• Sürmeli&Partners ile iş ilişkisi içerisinde olan üçüncü gerçek veya tüzel kişiler ile yapılan sözleşmeler veya yürütülen faaliyetler çerçevesinde; hukuki ve ticari yükümlülüklerin gerçekleştirilmesi için, Sürmeli&Partners tarafından iş ortağı/müşteri/tedarikçiler ile (yetkili veya çalışanlar) yapılan sözleşmelerden kaynaklanan yükümlülüklerin ifası, hak tesisi, hakların korunması, ticari ve hukuki değerlendirme süreçleri, hukuki ve ticari risk analizleri, hukuki uyum süreci,
• çalışan haklarının ve yan haklarının planlanması ve yönetilebilmesi amacıyla elektronik ortamlarda veya elektronik olmayan ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Saklama / Kayıt ortamlarına ilişkin tablo aşağıdaki gibidir.

Kişisel veri saklama ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Kişisel bilgisayarlar

Serverlar

Mobil Cihazlar

Kağıtlar

Yazılı ve basılı ortamlar

Manuel veri kayıt sistemleri (değerlendirme merkezi notları vb)

4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN AÇIKLAMALAR

KVKK’nın 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesigerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, ticari faaliyetlerimiz olan değerlendirme merkezi uygulamaları ve diğer sayılan çerçevede kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi/zamanaşımı sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

4.1. Saklamayı Gerektiren Hukuki Sebepler

Sürmeli&Partners tarafından klinik faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler şunlardır:

· Kişisel verilerin Değerlendirme Merkezine giren Katılımcıların , sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
· Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
· Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla
Sürmeli&Partners’ın verdiği iş çıktılarının kanıtlarına yönelik meşru menfaatleri için saklanmasının zorunlu olması,
· Kişisel verilerin Sürmeli&Partners’ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
· Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
· Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

4.2. Saklamayı Gerektiren İşleme Amaçları Sürmeli&Partners aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilmektedir:

· Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
· Hukuk işlerinin takibi ve yürütülmesi
· Faaliyetlerin mevzuata uygun yürütülmesi
· Verilen hizmet sonrası destek hizmetlerinin yürütülmesi
· İletişim faaliyetlerinin yürütülmesi
· Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
· Danışmanlık Hizmeti talebinde bulunan müşteri temsilcilerinin kayıtlarının oluşturulması
· Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
· Hizmetin ifası
4.3. İmhayı Gerektiren Hukuki Sebepler

Kişisel veriler, aşağıdaki durumların varlığı halinde ilgili kişinin talebi üzerine veya re’sen Sürmeli&Partners’ın yetki verdiği kişiler tarafından silinir ya da yok edilir:

· Kişisel verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması
· Kişisel verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması · Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması
· Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi Kanunun 11 inci maddesi gereği ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yaptığı başvurunun veri sorumlusu tarafından reddedilmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurulaş ikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

5. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Sürmeli&Partners tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

Sürmeli&Partners teknik olarak almış olduğu ve almakta olduğu tedbirler aşağıda yazılı olanlarla sınırlı olmamak üzere şu şekildedir:

· Verilerin şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini sağlar.
· Kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korur.
· Ağ güvenliği ve uygulama güvenliği sağlar.
· Çalışanlar için yetki matrisi oluşturulmasını sağlar.
· Görev değişikliği olan ya da işten ayrılan çalışanların yetkilerini kaldırılır.
· Güncel anti-virüs sistemleri kullanır.
· Şifreleme yapılır
· Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır
· Saklanan kişisel verilere şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır.
· Kişisel veri içeren fiziksel ortamlara (kilitli dolaplar vb gibi) erişim ile ilgili gerekli güvenlik önlemleri alınır ve fiziksel ortamların dış risklere karşı güvenliğini sağlar.
· Çalışan Özlük Dosyaları, gibi gizli belgeler kilitlenebilir bir dolapta saklanmaktadır.
· Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri bulunur.
· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin iptali yapılır.
· Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar. Gizlilik taahhütnameleri yapar.
· İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirir.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

Kullanım amacı sonlanan ve yasal saklama süresi/zamanaşımı sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

6.1. Kişisel Verilerin Silinmesi

Sürmeli&Partners tarafından işlenen kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle silinir.

VERİ KAYIT ORTAMI

SİLİNME YÖNTEMİ

Elektronik Ortam

Elektronik ortamda (bilgisayar, mobiz cihaz) yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise,

*Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

*Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

Elektronik Olmayan Ortam/Fiziksel Ortam

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evraklar kağıt imha makinesinde imha edilir.

6.2. Kişisel Verilerin İmha Edilmesi/Yok Edilmesi

Sürmeli&Partners tarafından işlenen kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle imha edilir/yok edilir.

VERİ KAYIT ORTAMI

İMHA/YOK EDİLME YÖNTEMİ

Elektronik Ortam

Elektronik ortamda (bilgisayar, mobiz cihaz) yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise,

*Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

*Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

Elektronik Olmayan Ortam/Fiziksel Ortam

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, yakılarak ya da evrak imha makinelerinde geri döndürülemeyecek şekilde yok edilir.

6.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. 7.SAKLAMA VE İMHA SÜRELERİ

Sürmeli&Partners tarafından şayet kişisel verilerinizin işlenmesi halinde kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Bunun haricinde aşağıdaki tabloda yer alan saklama ve imha süreleri esas alınır.

VERİ KATEGORİSİ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Kimlik Bilgileri

İş ilişkisinin bitimini takiben 10 yıl

Katılımcıdan 2 yıl