1. AMAÇ ve KAPSAM
Bu talimatın amacı ve kapsamı, Fuzul Tasarruf Finansman, A.Ş.’de (bundan böyle Fuzul Tasarruf olarak geçecektir.) kişisel verilerin güncellenmesi, aktarılması, anonimleştirilmesi, silinmesi ve yok edilmesine ilişkin düzenlemelerin yapılmasıdır. Talimat, Yönetim Kurulu kararı ile yürürlüğe girer.
2. SORUMLULUKLAR
Bu talimatta belirtilen hususların bilinmesi ve uygulanması, Yönetim Kurulu’nun kararı ile atanan Kişisel Verileri Koruma Sorumlusu sorumluluğundadır.
2. TALİMATLAR
3.1 Kişisel Veri Saklama ve İmha Yönergesi Hazırlanması ve Değişiklikler
Talimat, Fuzul Tasarruf, Yönetim Kurulu Kararı ile yürürlüğe girer. Talimatın uygulanması ise Yönetim Kurulunun kararı ile atanan Kişisel Verileri Koruma Sorumlusu tarafından takip edilir. Yönetim kurulu, re’sen ya da sorumlunun önerisi ile talimatı yenileyebilir, Talimatta değişikliklere gidebilir.
3.2 Kişisel Verilerin Kaydedildiği Ortamlar
Fuzul Tasarruf, Kanun’a uygun olarak gerçekleştirmekte olduğu veri işleme faaliyetleri kapsamında elde ettiği kişisel verileri, işleme amacının gerektirdiği ölçü ile sınırlı olmak kaydıyla muhafaza etmektedir. Bu kapsamda, elde edilen kişisel veriler Fuzul Tasarruf tarafından fiziki ve elektronik ortamlarda saklanmaktadır.
3.3 Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
3.3.1. Kanun’da yer alan veri işleme şartlarına uygun olarak doğrudan veya dolaylı biçimde elde edilen kişisel veriler, Fuzul Tasarruf tarafından ilgili mevzuatın öngördüğü veya işleme amacının gerektirdiği süre boyunca hukuka ve dürüstlük kurallarına uygun olarak muhafaza edilmektedir.
3.3.2. Fuzul Tasarruf, ticari faaliyetlerine ilişkin kişisel veri içeren bilgi ve belgeleri, 6102 sayılı Türk Ticaret Kanunu ve 4857 sayılı İş Kanunu ve ilgili diğer mevzuattan doğan hukuki yükümlülüklerinin yerine getirilmesi ve Kanun’da yer alan veri işleme şartlarından biri olan haklarının tesisi, kullanılması veya korunması kapsamında, zamanaşımı süreleri boyunca saklamaktadır.Fuzul Tasarruf, kendisine yapılmış olan iş başvurularını, başvuru sahiplerinin silme talebine kadar Fuzul Tasarruf sistemlerinde tutmaktadır. Zaman zaman çalışan ihtiyacı sistemde kayıtlı bulunan başvurular arasından karşılanmaktadır.
3.3.3. Ayrıca, Fuzul Tasarruf elde ettiği kişisel verileri Kanun’un 5. ve 6. maddelerinde yer alan işleme şartlarının gerçekleştirilmesi amacıyla sınırlı olarak da saklayabilmektedir.
3.3.4. Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak saklanmasını gerektiren sebeplerin ortadan kalkması halinde silinmelidir. Ayrıca, veri sahibinin açık rızasına dayalı olarak yürütülen saklama faaliyetleri, rızanın veri sahibi tarafından geri alınması halinde de derhal sonlandırılmakta ve ilgili kişisel veriler silinmelidir. Veri sahibinin Kanun’un 11. maddesinde yer alan hakları kapsamında verilerinin silinmesi talebini Fuzul Tasarruf’a iletmiş olduğu durumlarda, Fuzul Tasarruf içi yetkilendirilmiş kişilerce talep değerlendirilmekte ve Kanun’da belirtilen veri işleme şartlarının tamamının ortadan kalkması halinde kişisel veriler imha edilmektedir.
3.4.Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
3.4.1. Fuzul Tasarruf Finansman A.Ş. kişisel verilerin hukuka uygun işlenmesi ve güvenliğinin sağlanması amacıyla her türlü teknik ve idari tedbiri almakta; bu tedbirlere uyulması amacıyla Fuzul Tasarruf çalışanına eğitimler vermekte ve periyodik aralıklarla denetim yapmaktadır.
3.4.2. Fuzul Tasarruf, bünyesinde yer alan her bir departmanın gerçekleştirdiği kişisel veri işleme süreçlerini analiz etmekte, mevcut ve eklenen süreçlerde hukuka uygunluğun temini için gerekli aksiyonları almaktadır.
3.4.3. Fuzul Tasarruf ’ta veri toplamaya ilişkin bütün aşamalar tek tek gözden geçirilmekte, verilerin hukuka uygun bir şekilde elde edilmesi için çalışmalar yapılmaktadır. İş başvuruları alınırken bunlara ilişkin onay metinleri de alınmakta, Fuzul Tasarruf [info@şirket kurumsal uzantısı] mailine gelenlere ise e-posta ile dönülerek başvuruları ile ilgili onay süreci tamamlanmaktadır.
3.4.4. Fuzul Tasarruf çalışanları, işleri kapsamında öğrendikleri kişisel verileri herhangi bir üçüncü kişi ve/veya kuruma açıklamama konusunda bilgilendirilmektedir. Çalışan ile Fuzul Tasarruf arasındaki hizmet sözleşmelerine bu doğrultuda gizlilik kayıtları eklenmekte; çalışanlardan bu sır saklama yükümlülüklerinin görevden ayrılmalarının akabinde de devam edeceği yönünde taahhüt alınmaktadır.
3.4.5. Ayrıca, Fuzul Tasarruf ‘un Kanun’un 8. ve 9. maddesine uygun olarak kişisel veri aktarımı gerçekleştirdiği üçüncü kişi ve/veya kurumlar ile arasındaki sözleşmelere, alıcı grubunun kişisel verilerin güvenliğini sağlama hususunda her türlü tedbiri alacağı yönünde hükümler eklenmektedir.
3.4.6. Fuzul Tasarruf, sistemlerinde yer alan kişisel verilerin güvenliğinin sağlanması amacıyla teknolojik imkânlar ve maliyetler çerçevesinde her türlü teknik tedbiri almaktadır. Örneğin, güvenlik duvarı kullanımı, güvenlik yazılımlarının bütün cihazlara kurulumu ve güçlü şifre uygulaması gibi. Kişisel verilere hukuka aykırı erişimin ve kişisel verilerin ifşasının önlenmesi amacıyla Fuzul Tasarruf yazılımlarında şifreleme sistemleri kullanılmakta; çalışanların verilere erişimi iş kapsamları ile sınırlandırılmaktadır.
3.4.7. Bunun yanı sıra, Fuzul Tasarruf hukuka uygunluğun temini kapsamında çeşitli politika ve yönergeler yürürlüğe koymuştur. Bu politika ve yönergeler, değişen mevzuata ve ortaya çıkan ihtiyaçlara uygun olarak güncellenmektedir.
3.5. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
3.5.1. Fuzul Tasarruf, Kurul tarafından aksine bir karar alınmadıkça, Talimat gereği kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmeye yetkilidir. Veri sahibinin talebi halinde, uygun yöntemi gerekçesini açıklayarak seçer.
3.5.2. Fuzul Tasarruf, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesi için her türlü teknik ve idari tedbiri almaktadır. Fuzul Tasarruf ’un sahip olduğu teknolojik imkânlar ve uygulama maliyetleri göz önünde bulundurularak en uygun yöntemler kullanılmaktadır.
3.5.3. İmha süreçleri, Fuzul Tasarruf bünyesinde kişisel veri işleme süreçlerinin hukuka uygunluğunu sağlamak üzere oluşturulan departman tarafından denetlenmektedir. Periyodik imha süreçleri, bu departman bünyesindeki en az iki kişi tarafından birlikte gerçekleştirilmekte, imha edilen kişisel verilerin herhangi bir kopyasının alınmadığı hususunda bu kişilerden yazılı taahhüt alınmaktadır.
3.5.4. Fuzul Tasarruf ‘ta bulunan ve kişisel verileri taşıyan cihazlar, artık kullanılmaz duruma gelmişse ve dışarıya satılma ya da bırakılma durumu olacaksa cihaz içindeki veriler yok edilmekte, bu mümkün değilse cihaz yok edilmektedir.
3.6.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Departmanları ve Görev Tanımları
3.6.1. Kişisel verilerin saklanması ve imha edilmesine ilişkin süreçler, Fuzul Tasarruf bünyesinde kurulan ve kişisel verilerin hukuka uygun işlenmesini temin etmekle görevli olan departman tarafından gerçekleştirilir.
3.6.2. Fuzul Tasarruf Kişisel Veri Koruma Sorumlusu yanında yer alan çalışan, Veri Koruma Sorumlu Yardımcısı olarak adlandırılır. Fuzul Tasarruf Kişisel Veri Koruma Sorumlusu’nun görevi; Fuzul Tasarruf ‘un kişisel verilerin işlenmesi süreçlerinde Kanun’a, Yönetmelik’e, diğer ikincil mevzuata, Fuzul Tasarruf politika ve yönergelerine uygunluğunu temin etmek; veri sahiplerinden gelen talepleri değerlendirmek ve sonuçlandırmak; kişisel verilerin imhası süreçlerine fiilen katılmak, bu kapsamda gerekli her türlü tedbiri almak ve denetim yapmaktır.
3.7 Periyodik İmha Süreleri
3.7.1. Fuzul Tasarruf, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
3.7.2 Periyodik imhanın gerçekleşeceği zaman aralığı 1 yıldır. Ancak, imha edilmesi gereken kişisel verinin saklama süresi 1 yıldan daha az ise, ilgili kişisel verinin imhası bakımından bu süre uygulanır.
3.8. Saklama ve İmha Süreleri
3.8.1. Fuzul Tasarruf ‘un işlemekte olduğu kişisel veriler bakımından saklama ve imha süreleri aşağıdaki tabloda gösterilmiştir. Saklama sürelerinin hukuki dayanaklarına ilişkin mevzuat hükümlerine işbu Yönerge’nin ekinde yer verilmiştir.
| VERİ KATEGORİSİ | SAKLAMA VE İMHA SÜRESİ | HUKUKİ DAYANAK |
|---|---|---|
| Ziyaretçilere ait veriler | Genel itibariyle 1 yıl süre ile saklanır. Bu sürenin sonunda silinir. | 6102 sayılı Türk Ticaret Kanunu, Karayolları Trafik Kanunu, 5237 sayılı Türk Ceza Kanunu, 6098 sayılı Türk Borçlar Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
| Fuzul Tasarruf çalışanlarına ilişkin kişisel veriler | Hizmet ilişkisinin devamı boyunca ve sonrasında da zamanaşımı süresince saklanır. | 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
| Fuzul Tasarruf ‘un mal ve/veya hizmet almakta olduğu tedarikçilere ve tedarikçi temsilcilerine ilişkin kişisel veriler | Ticari ilişkinin devam ettiği sürece saklanır. Ticari ilişkinin olmayacağının düşünüldüğü, uzun yıllar ticari ilişkinin kurulmadığı hallerde yasal zamanaşımı süresi boyunca saklanır. Bu sürenin sonunda silinir. | 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu ve zamanaşımı sürelerinin düzenlendiği ilgili diğer mevzuat. |
| Kapalı Devre Görüntüleme Sistemleri vasıtasıyla elde edilen kamera kayıtları | Adli bir vakıanın yaşanmamış ve resmi kurumlarca talep edilmemiş olması halinde iki ay sonunda silinir. | 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak veri sorumlusu Şirketin meşru menfaatleri kapsamında 15 gün makul süre ile saklanmaktadır. |
| Fuzul Tasarruf içinde unutulan ve kişisel veri içeren eşyalar | Sahibine ulaşılamamış ise, 6 ay süre ile muhafaza edilir. Süre bitiminde bir tutanak ile yok edilir. | 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak veri sorumlusu Fuzul Tasarruf’un meşru menfaatleri kapsamında 6 aylık makul süre ile saklanmaktadır. |
| İş Başvuruları-Özgeçmişler | Başvurular, başvuru tarihinden itibaren altı ay boyunca saklanır ve onay sahibinin talebi ile derhal yok edilir. | Başvuru sahibinin meşru menfaati ve başvurusu kapsamında saklanmaktadır. |
| İşten ayrılan eski çalışanlara ait veriler | Olası iş davaları, özellikle de iş sağlığı ve güvenliği mevzuatı nedeniyle 15 yıl saklanır. | İş Kanunu nedeniyle saklanır. |
4. EKLER VE REFERANSLAR
5. DEĞİŞİKLİK/ DAĞITIM/ ONAY TABLOSU
| Degişen sayfa | Tarih | Değişiklik | Değişiklik yapan |
|---|---|---|---|
| Dağıtım (İlgili Departmanlar) | |||
| Tüm Departmanlar | |||
| İlgili Departman Yöneticisi Onayı: |
Kontrol Onayı: |
Yürürlük Onayı: | |