KVKK POLİTİKASI

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

İNTERWEB BİLİŞİM TEKNOLOJİLERİ LİMİTED ŞİRKETİ
(www.radyotelekom.com)

1. Amaç

İNTERWEB BİLİŞİM TEKNOLOJİLERİ LİMİTED ŞİRKETİ (“Şirket”) olarak; müşterilerimiz, tedarikçilerimiz, çalışanlarımız, çalışan adaylarımız, ziyaretçilerimiz ve hizmetlerimizle ilişkili diğer tüm gerçek kişilerin kişisel verilerinin;

Türkiye Cumhuriyeti Anayasası,
Ülkemizin taraf olduğu insan haklarına ilişkin uluslararası sözleşmeler,
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil mevzuat

çerçevesinde işlenmesi ve ilgili kişilerin haklarını etkin şekilde kullanabilmesi temel önceliğimizdir.

Bu nedenle; faaliyetlerimiz sırasında edindiğimiz tüm kişisel verilerin işlenmesi, saklanması, aktarılması ve imhasına ilişkin süreçlerimizi, İnterweb Bilişim Teknolojileri Ltd. Şti. Kişisel Veri Saklama ve İmha Politikası (“Politika”) uyarınca yürütmekteyiz.

Kişisel verilerin korunması, özel hayatın gizliliğine saygı gösterilmesi ve kişisel verisi işlenen herkesin temel hak ve özgürlüklerinin gözetilmesi; kişisel verilerin işlenmesine ilişkin tüm uygulamalarımızın değişmez ilkesidir. Bu doğrultuda, kişisel verilerin işlendiği tüm süreçlerde:

Özel hayatın gizliliği,
Haberleşmenin gizliliği,
Düşünce, inanç ve ifade özgürlüğü,
Etkili başvuru ve kanun yollarını kullanma hakkı

gözetilerek hareket edilir.

Kişisel verilerin korunması için ilgili verinin niteliğine göre, mevzuata ve güncel teknolojiye uygun tüm idari ve teknik önlemler alınmaktadır.

İşbu Politika; ticari faaliyetlerimiz, internet sitemiz (www.radyotelekom.com) ve diğer kanallar aracılığıyla paylaşılan kişisel verilerin, KVKK’da düzenlenen ilkelere uygun olarak işlenmesi, saklanması, aktarılması, silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerine ilişkin esasları açıklamaktadır.

2. Kapsam

Bu Politika;

Müşterilerimiz, potansiyel müşterilerimiz,
Çalışanlarımız, çalışan adaylarımız,
Tedarikçilerimiz, iş ortaklarımız,
Ziyaretçilerimiz ve üçüncü kişiler

dahil olmak üzere Şirket tarafından işlenen tüm kişisel verileri kapsar.

Politika; Şirketimizin sahip olduğu veya Şirket tarafından yönetilen tüm sistemlerde gerçekleştirilen kişisel veri işleme faaliyetleri için geçerlidir ve KVKK ile kişisel verilere ilişkin ilgili diğer mevzuat ile bu alandaki uluslararası standartlar dikkate alınarak hazırlanmıştır.

3. Tanımlar

Bu Politika’da geçen bazı kavramlar aşağıdaki anlamları ifade eder:

Alıcı Grubu: Kişisel verilerin, veri sorumlusu tarafından aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza beyanı.
Çalışan: İnterweb Bilişim Teknolojileri Ltd. Şti. personeli.
Elektronik Ortam: Kişisel verilerin elektronik cihazlar vasıtasıyla oluşturulabildiği, saklanabildiği, değiştirilebildiği veya iletilebildiği ortamlar.
Hizmet Sağlayıcı: Şirket ile yaptığı sözleşme kapsamında belirli bir hizmeti sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi (müşteri, çalışan, tedarikçi, ziyaretçi vb.).
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerinin tamamını ifade eder.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Kişisel verilerin tamamen veya kısmen otomatik yöntemlerle ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle işlendiği her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirdiği kişisel veri işleme faaliyetlerini; amaç, veri kategorisi, alıcı grubu, veri konusu kişi grubu vb. ile ilişkilendirerek gösteren ve saklama süreleri ile güvenlik tedbirlerinin açıklandığı envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin elde edilmesi, kaydedilmesi, saklanması, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Veri: KVKK’da sayılan; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Politika: İnterweb Bilişim Teknolojileri Ltd. Şti. Kişisel Veri Saklama ve İmha Politikası.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Bu Politika bakımından veri sorumlusu İnterweb Bilişim Teknolojileri Ltd. Şti.’dir.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
Yönetmelik: 28.10.2017 tarihli Resmî Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”.

4. Sorumluluk ve Görev Dağılımları

Şirketin tüm birimleri ve çalışanları, bu Politika kapsamında alınan teknik ve idari tedbirlerin uygulanması, sürdürülmesi ve geliştirilmesinden kendi görev alanları ölçüsünde sorumludur.

Bu kapsamda tüm çalışanlar:

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı erişimi engellemek,
Kişisel verilerin güvenli şekilde saklanmasını sağlamak

için belirlenen prosedürlere uygun davranmakla yükümlüdür ve bu konuda ilgili birimlere gerekli desteği verir.

Şirket üst yönetimi;

Politika’nın oluşturulması, güncellenmesi,
Uygun teknik/idari tedbirlerin belirlenmesi,
İç denetim, bildirim ve gerektiğinde yaptırım mekanizmalarının işletilmesi

süreçlerinin gözetiminden sorumludur.

5. Kayıt Ortamları

Şirket tarafından işlenen kişisel veriler, nitelik ve kullanım amacına göre elektronik veya elektronik olmayan ortamlarda saklanabilmektedir.

Elektronik Ortamlar (örnek):

Fiziksel ve sanal sunucular
Yedekleme üniteleri ve harici diskler
Masaüstü/dizüstü bilgisayarlar, mobil cihazlar
Şirketin kendi geliştirdiği veya lisansladığı yazılımlar
Üçüncü taraf yazılımlar (destek sistemi, CRM, muhasebe vb.)
E-posta sistemleri

Elektronik Olmayan Ortamlar (örnek):

Basılı sözleşmeler ve formlar
Fatura ve muhasebe belgeleri
İnsan kaynakları dosyaları
Kâğıt ortamında tutulan başvurular ve başvuru formları

Her kayıt ortamı için, verinin gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik uygun güvenlik önlemleri alınır.

6. Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatta öngörülen süreler boyunca veya işleme amaçları için gerekli olan süre boyunca saklanır. Bu kapsamda kişisel veriler; başta:

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
213 sayılı Vergi Usul Kanunu ve vergi mevzuatı,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
4857 sayılı İş Kanunu ve ilgili iş mevzuatı,
Arşiv Hizmetleri Hakkında Yönetmelik

ve bunlara bağlı olarak yürürlükte bulunan diğer ikincil düzenlemelerde yer alan süreler dikkate alınarak saklanmaktadır.

Bu sürelerin sona ermesi ve verinin saklanmasını gerektiren başka bir hukuki sebep kalmaması halinde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

7. Saklamayı Gerektiren İşleme Amaçları

Kişisel verileriniz, aşağıdaki amaçlarla saklanmaya devam edebilir:

Sözleşme süreçlerinin yürütülmesi ve hizmet sunumu
İnsan kaynakları süreçlerinin yürütülmesi
Finans, muhasebe ve faturalama işlemlerinin yürütülmesi
Yasal yükümlülüklerin yerine getirilmesi ve resmi kurum taleplerinin karşılanması
İç denetim, raporlama ve istatistiksel çalışmaların yapılması
Fiziksel ve bilişim sistemleri güvenliğinin sağlanması
Müşteri ilişkileri ve çağrı merkezi süreçlerinin yürütülmesi
Organizasyon, kampanya ve etkinlik yönetimi
Yönetim faaliyetlerinin yürütülmesi ve kayıtlarının tutulması
Bilgi güvenliği faaliyetlerinin yürütülmesi

Bu amaçlar ortadan kalktığında ve mevzuattan doğan zorunlu saklama süreleri dolduğunda, ilgili kişisel veriler imha edilir.

8. İmhayı Gerektiren Sebepler

Kişisel veriler aşağıdaki durumlarda, ilgili mevzuata uygun yöntemlerle silinir, yok edilir veya anonim hale getirilir:

Kişisel verilerin işlenmesine esas teşkil eden mevzuat hükümlerinin değişmesi veya yürürlükten kalkması,
Verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verilerin yalnızca açık rıza şartına dayanılarak işlendiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
KVKK’nın 11. maddesi kapsamındaki haklar çerçevesinde yapılan başvurunun kabul edilmesi,
Kişisel Verileri Koruma Kurulu’nun imha yönünde karar vermesi,
İlgili kişisel veri için öngörülen azami saklama süresinin dolması ve veriyi daha uzun süre saklamayı gerektiren bir sebebin kalmaması.

Bu hallerde, Şirket, kişisel verileri resen veya ilgili kişinin talebi üzerine imha eder.

9. Teknik Tedbirler

Kişisel verilerin güvenli şekilde saklanması, hukuka aykırı erişimin ve işlemenin önlenmesi ile imha süreçlerinin mevzuata uygun yürütülmesi amacıyla Şirket tarafından alınan başlıca teknik tedbirler şunlardır:

Bilgi güvenliği yönetim süreçlerinin işletilmesi ve güvenlik olay yönetimi yapılması,
Bilişim sistemlerine erişim yetkilerinin rol ve görev tanımlarına göre sınırlandırılması,
Fiziksel ve sanal sunucuların, ağ cihazlarının ve diğer kritik sistemlerin güvenliğinin sağlanması,
Güvenlik duvarları, saldırı tespit/önleme sistemleri ve zararlı yazılım önleme çözümlerinin kullanılması,
Sistem ve yazılımların güncel tutulması, güvenlik yamalarının uygulanması,
Kişisel verilerin bulunduğu sistemlere erişimlerin kayıt altına alınması ve loglanması,
Yedekleme süreçlerinin güvenli şekilde yürütülmesi, yedeklerin yetkisiz erişime karşı korunması,
Kişisel verilerin işlendiği ortamlarda güçlü parola ve benzeri kimlik doğrulama yöntemlerinin kullanılması,
Özel nitelikli kişisel veriler için Kurul’un belirlediği ek güvenlik tedbirlerinin uygulanması,
Elektronik aktarım gereken durumlarda (örneğin e-posta) mümkün olduğunda şifreli iletişim yöntemlerinin kullanılması,
Sunucular arası veri iletiminde güvenli iletişim kanallarının (VPN, SFTP vb.) tercih edilmesi.

10. İdari Tedbirler

Kişisel verilerin korunmasına yönelik idari tedbirler kapsamında Şirket tarafından:

Çalışanlara KVKK, kişisel veri güvenliği, bilgi güvenliği ve gizlilik konularında periyodik eğitimler verilir,
Çalışanlarla gizlilik taahhütnameleri veya benzeri yükümlülük içeren sözleşmeler imzalanır,
Kişisel verilerin işlendiği iş süreçleri için prosedür ve talimatlar hazırlanır, düzenli olarak gözden geçirilir,
Tedarikçi ve iş ortaklarıyla yapılan sözleşmelere kişisel veri güvenliğine ilişkin hükümler eklenir,
Veri işleme faaliyetleri denetlenir, gerektiğinde iç denetim veya dış denetim mekanizmaları kullanılır,
Kişisel veri işleme envanteri oluşturulur ve güncellenir,
Politika ve ilgili diğer dokümanlara aykırılık halinde uygulanacak disiplin süreçleri belirlenir,
Çalışanlara yönelik bilgi güvenliği ve KVKK farkındalık faaliyetleri düzenli olarak sürdürülür.

11. Kişisel Verilerin Silinmesi Yöntemleri

Saklama süresi sona eren veya işlenmesini gerektiren sebepler ortadan kalkan kişisel veriler, bulunduğu ortama uygun silme yöntemleriyle erişilemez ve tekrar kullanılamaz hale getirilir.

Örnek silme teknikleri:

Sunucularda Yer Alan Kişisel Veriler:
Saklama süresi dolan veriler için ilgili kayda erişim yetkisi kaldırılır, sistem yöneticileri tarafından veriler geri getirilemeyecek şekilde silinir.
Elektronik Ortamda Yer Alan Kişisel Veriler:
Saklama süresi dolan veriler, yalnızca yetkili personelin erişebileceği şekilde sınırlandırılır veya ilgili kullanıcılar için hiçbir şekilde erişilemez hale getirilir; gerekli durumlarda güvenli silme yazılımları kullanılır.
Fiziksel Ortamda Yer Alan Kişisel Veriler:
Saklanmasını gerektiren süre dolan basılı belgeler, çalışanlar ve üçüncü kişiler için erişilemeyecek şekilde arşivlenir veya yok etme sürecine alınır; gerektiğinde üzeri okunamayacak biçimde karartma uygulanır.

12. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, verilerin hiçbir şekilde tekrar kullanılamayacak ve geri getirilemeyecek hale getirilmesini ifade eder.

Örnek yok etme teknikleri:

Kâğıt Ortamındaki Veriler:
Saklama süresi dolan ve imha edilmesi gereken kâğıt belgeler, uygun yöntemlerle (örneğin kağıt öğütme/yakma) geri döndürülemez şekilde yok edilir.
Optik/Manyetik Medyadaki Veriler:
CD, DVD, manyetik disk gibi ortamlardaki veriler için fiziksel imha (parçalama, eritme, yüksek ısı vb.) veya üzerine birden fazla kez yazma (wipe) gibi yöntemler uygulanır.

13. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, verilerin herhangi bir kişiyle ilişkilendirilemeyecek duruma getirilmesi; başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyi ortaya çıkarmayacak hale getirilmesidir.

Anonim hale getirme işlemlerinde, veri kayıt ortamı ve ilgili faaliyet alanına uygun istatistiksel ve teknik yöntemler kullanılır. Anonim hale getirilen veriler, artık KVKK kapsamında kişisel veri sayılmaz.

14. Saklama ve İmha Süreleri

Şirket tarafından işlenen kişisel veriler için saklama ve imha süreleri:

Kişisel Veri İşleme Envanterinde veri bazında,
Gerek duyulması halinde VERBİS kayıtlarında veri kategorisi bazında,
İşbu Politika’da ise süreç bazında belirlenir.

Genel ilke şudur:

İlgili mevzuatta daha uzun bir süre öngörülmemişse, kişisel veriler, işleme amacının gerektirdiği süre boyunca saklanır.
Bu süre sonunda, ilgili kişisel veriler için silme, yok etme veya anonim hale getirme işlemlerinden biri uygulanır.

Örnek bir süreç tablosu (kendi sisteminize göre içte ayrıca detaylandırılabilir):

Süreç	Saklama Süresi	İmha Süresi
Müşteri sözleşmeleri ve sipariş kayıtları	Sözleşmenin sona ermesinden itibaren 10 yıl	Sürenin bitimini izleyen ilk periyodik imha
Muhasebe ve fatura kayıtları	Vergi mevzuatında öngörülen süre (en az 5–10 yıl)	Sürenin bitimini izleyen ilk periyodik imha
İnsan kaynakları süreçleri	İlgili faaliyet/iş ilişkisinin bitiminden itibaren 10 yıl	Sürenin bitimini izleyen ilk periyodik imha
Log ve erişim kayıtları (5651 kapsamı)	İlgili mevzuatta öngörülen süre (ör: 2 yıl / 5 yıl)	Sürenin bitimini izleyen ilk periyodik imha
Ziyaretçi ve etkinlik kayıtları	Etkinlik/ziyaret tarihinden itibaren 2 yıl	Sürenin bitimini izleyen ilk periyodik imha

(Şirket, kendi iç düzenlemelerinde bu tabloyu detaylandırabilir.)

15. Periyodik İmha Süresi

Yönetmelik’in 11. maddesi uyarınca, Şirket periyodik imha süresini 1 yıl olarak belirlemiştir.

Buna göre, saklama süresi dolmuş olan ve imha edilmesi gereken kişisel veriler için, her yıl belirlenecek dönemlerde (örneğin Aralık ayında) periyodik imha işlemi gerçekleştirilir.

16. Politikanın Saklanması ve Yayınlanması

Bu Politika;

Şirket içerisinde elektronik ortamda saklanır,
Gerek görüldüğünde internet sitemizde (www.radyotelekom.com) kamuya açık şekilde yayımlanabilir,
Çalışanların ve ilgili tarafların erişimine uygun şekilde sunulur.

17. Politikanın Güncelleme Periyodu

Politika, ihtiyaç duyuldukça ve mevzuat değişiklikleri ya da Şirket süreçlerindeki güncellemeler doğrultusunda gözden geçirilir.

Gerekli olması halinde Politika üzerinde revizyon yapılır ve güncel sürüm yürürlüğe konur.

18. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması

Bu Politika, Şirket yönetimi tarafından onaylandığı ve Şirket sistemlerinde yayımlandığı tarihte yürürlüğe girer.

Politikanın yürürlükten kaldırılmasına karar verilmesi halinde; Politika’nın eski nüshaları, iç mevzuat gereklilikleri doğrultusunda iptal şerhi düşülerek belirli bir süre boyunca muhafaza edilir.

Radyotelekom için KVKK Aydınlatma Metni