GİRİŞ

İş bu Kişisel Veri Saklama Ve İmha Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunun 7’nci maddesinin üçüncü fıkrası ve 22’nci maddesinin 1’inci fıkrası e bendi uyarınca Kişisel Verileri Koruma Kurumu tarafından yayınlanan Ki̇şi̇sel Veri̇leri̇n Silinmesi̇, Yok Edi̇lmesi̇ Veya Anoni̇m Hale Getirilmesi̇ Hakkında Yönetmeliğin 5 ve 6. maddelerinde belirlenen hususlar gözetilerek ve ayrıca yönetmelikte düzenlenen ilgili diğer hükümlere uygun olarak Veri Sorumlusu sıfatıyla Urga Teknoloji tarafından hazırlanmıştır.

Politika, Urga Teknoloji organizasyonunda bulunan tüm kuruluşların imzalamasının ardından yürürlüğe girmiş kabul edilir. İşbu Politika, sürelerde, ilgili mevzuatta ve içeriğinde bulunan diğer konularda değişiklikler olduğunda gözden geçirilir ve gerekli olan bölümler güncellenir. Güncellenen politika, Urga Teknoloji internet sitesinde de eski versiyon kaldırılmak suretiyle güncelleme yapıldığına ilişkin versiyon bilgisi de yer alacak şekilde yeniden yayınlanır.

Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski versiyonu Urga Teknoloji organizasyonundaki tüm daire başkanları tarafından iptal yazılarak tarihle beraber imzalanır ve en az 5 yıl süre ile Urga Teknoloji tarafından saklanır.

AMAÇ

Kişisel Veri Saklama ve İmha Politikası, Urga Teknoloji bünyesinde gerçekleştirilmekte olan iş ve işlemler kapsamında tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verilerin saklama ve imha faaliyetlerine ilişkin saklama sebeplerini, saklama ve imha sürelerini, yöntemleri, sorumlu kişileri ve diğer usul ve esasları belirlemek, Kanun ve Yönetmelik hükümleri ile tarafımıza yüklenen veri sorumlusu yükümlülüklerini yerine getirmek, T.C. Anayasası 20’nci maddesi ile düzenlenen kişisel verilerin korunmasını isteme hakkına önem vererek bu hak kapsamında ilgili kişilere güvence sağlamak amacıyla hazırlanmıştır.

Kişisel verilerin saklanmasına, silinmesine, yok edilmesine veya anonim hale getirilme yöntemlerinde biriyle imhasına ilişkin iş ve işlemler, Urga Teknoloji tarafından hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.

KAPSAM

Bu politika, Urga tarafından kişisel verisi işlenen çalışanları, çalışan adaylarını, stajyerleri, özel sektör personelini, hizmet sağlayıcıları, iş ortaklarını, platform kullanıcılarını ve proje katılımcılarını, ziyaretçileri, eski çalışanları, diğer üçüncü kişileri ve bu kişilere ait verilerin veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Urga Teknolojinin sahip olduğu ya da yönettiği kişisel verilerin işlendiği tüm kayıt ortamlarında yürütülen kişisel veri işleme süreçlerini kapsamaktadır.

Bu politika, kişisel veri niteliği taşımayan veriler, Kanun kapsamına yer almayan veya Kanun’un uygulama alanında olup istisna tutulan faaliyetler ve veri işleme süreçleri bakımından uygulanmayacak olup bu konular politika kapsamı dışında kalmaktadır.

HUKUKİ VE TEKNİK TERİMLERİN TANIMLARI

• Alıcı Grubu: Urga Teknoloji tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişileri ifade eder.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
• Çerez: İnternet sitesi tarafından cihazlara yerleştirilen, internet sitelerinin belirli işlevleri gerçekleştirmesini, hatırlamasını, tercihleri depolamasını veya ölçümlemesini sağlayan küçük metin dosyalarıdır.
• Elektronik Ortam: Kişisel verilerin elektronik cihazlar (bilgisayarlar, akıllı telefonlar, tabletler, dijital kameralar vb.) aracılığıyla oluşturulabileceği, erişilebileceği, değiştirilebileceği ve kaydedilebileceği ortamları ifade eder.
• Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan kişisel verilerin fiziksel veya analog formatta oluşturulabildiği, erişilebildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.
• Hizmet Sağlayıcı: Urga Teknoloji ile aralarında yazılı/sözlü sözleşme veya hukuki ilişki bulunan ve bu kapsamda talep edilen hizmet çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.
• İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
• İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
• Kanun: 24/3/2016 tarihli 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
• Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu politika kapsamında ayrıca belirtilmedikçe kişisel veri kavramı özel nitelikli kişisel verileri de kapsayacak şekilde kullanılmıştır.
• Kişisel Veri İşleme Envanteri: Urga Teknolojinin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemini ifade eder.
• Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
• Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
• Kişisel Verileri Koruma Komisyonu: Urga Teknoloji bünyesinde kişisel verilerin korunması uyum süreci kapsamında oluşturulmuş, Kanun ve ilgili mevzuat kapsamında kişisel verilerin korunması süreçlerini yöneten, organize eden komisyonu ifade eder.
• Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
• Özel Sektör Personeli: Özel sektörde çalışan ve Urga Teknoloji tarafından kişisel verisi işlenen gerçek kişileri ifade eder.
• Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
• Personel: Urga Teknoloji ile arasında iş akdi bulunan personeli ifade eder.
• Personel Adayı: Urga Teknoloji bünyesinde görevlendirilmek üzere başvuru ve seçme süreçleri yürütülen personel adayını ifade eder.
• Platform Kullanıcıları: Urga Teknoloji organizasyon ve yönetiminde bulunan, ilgili kişi ve kurumlara sunulan platformları kullanan gerçek kişileri ifade eder.
• Politika: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları kişisel veri saklama ve imha politikasını ifade eder.
• Proje Katılımcıları: Urga Teknoloji organizasyon ve yönetiminde bulunan projelere katılım sağlayan gerçek kişileri ifade eder.
• Stajyer: Urga Teknoloji nezdinde veya Urga Teknoloji tarafından yürütülen projeler kapsamında ilgili kurum ve kuruluşlarda staj yapacak gerçek kişileri ifade eder.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
• Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurul tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.
• Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder.

KAYIT ORTAMLARI

• Elektronik Ortamlar: Sunucular (Yedekleme, e-posta, veritabanı, web, dosya transfer vb.), Yazılımlar ve Uygulamalar, Bilgi güvenliği cihazları, Kişisel bilgisayarlar, Mobil cihazlar, Çıkartılabilir bellekler
• Elektronik Olmayan Ortamlar: Kâğıt, Manuel veri kayıt sistemleri, Yazılı, basılı, görsel ortamlar, Arşiv - Dolap - Klasör, Optik diskler, Yazıcı, tarayıcı, fotokopi makinesi

KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİ SORUMLU BİRİM UNVAN, KAPSAM VE GÖREV DAĞILIMI

• Yönetim/Yönetici: Politikanın kurum içerisinde doğru şekilde uygulanması ve personelin bu politikaya ve ilgili mevzuata uygun hareket etmesinden sorumludur.
• Kişisel Verilerin Korunması Komisyonu/Komisyon Üyeleri: Tüm birimlerin işlediği kişisel veri süreçlerinin yönetimi ve takibi, işbu politikaya uygun hareket edildiğinin takibinden sorumludur. Politikanın hazırlanması, yürütülmesi, yayınlanmasından sorumludur.
• Hukuk Müşavirliği: Faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur.
• Muhasebe: Satın alma, ödeme, faturalandırma, stok ve müşteri takip sürecine ilişkin faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur.
• İnsan Kaynakları: Personel istihdam sürecinin faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur.

KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Urga Teknoloji tarafından ilgili iş süreçleri ve faaliyet konuları kapsamında personele, personel adayına, platform kullanıcılarına, stajyere ve kişisel verisi işlenen diğer ilgili kişilere ait toplanan, işlenen ve aktarılan kişisel veriler Kanun’un 4’üncü maddesi ile düzenlenen genel ilkelere uygun olarak işlenmektedir. Ayrıca ilgili kişisel veriler Kanun’un 5 ve 6’ncı maddesinde düzenlenen işleme şartları kapsamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü ve hukuka uygun olarak işlenmektedir.

Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Muhafaza edilmesi süreçlerinde işbu politikada detayları belirtilen idari ve teknik tedbirler alınmaktadır.

KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Kişisel veriler aşağıdaki durumlarda Urga Teknoloji tarafından periyodik imha sürelerinde re’sen silinir, yok edilir veya anonim hale getirilir ayrıca ilgili kişinin talebi bulunması üzerine silinir, yok edilir.

- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Urga Teknoloji tarafından kabul edilmesi,
- Urga Teknoloji’nin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

İMHA YÖNTEMLERİ

• Kişisel Verilerin Silinmesi Yöntemleri: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Veri Tabanları, Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
• Kişisel Verilerin Yok Edilmesi Yöntemleri: Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt imha makinelerinde geri döndürülemeyecek şekilde yok edilir. Ayrıca bu belgeler gerekmesi halinde yakılmak suretiyle de yok edilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi ya da bir metal öğütücüden geçirmek gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle (de- manyetize etme yöntemi) üzerindeki veriler okunamaz hale getirilir. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilir. Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi (üzerine yazma) de kullanılabilen yok etme yöntemlerindendir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır. Bulut ortamında depolanan veriler mevcutsa bulut bilişim hizmet ilişkisi sona erdiğinde kriptografik şekilde bulut ortamında tutulan kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilmektedir.
• Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri: Anonim hale getirme kavramı işbu politikanın 4 numaralı maddesinde ‘’Hukuki Ve Teknik Terimlerin Tanımları Ve Kısaltmalar’’ başlığı altında tanımlanmış işlemi ifade etmektedir. Kanun’un 28’inci maddesinde düzenlenen ve Kanun uygulama alanı kapsamı dışında bırakılan istisnalardan birisi ‘’ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi’’ olarak belirtilmiştir. Kişisel verilerin toplandıktan sonra anonim hale getirilerek ilgili istisna kapsamında yer alan bir faaliyette kullanılması durumu bu politikanın uygulama alanı dışında yer almaktadır. Anonim hale getirme işlemi birden fazla yöntemle yapılabilmektedir. Aşağıda en çok kullanılan yöntemlere yer verilmiştir. Değişkenleri Çıkartma: Değişkenlerden birinin veya birkaçının ilgili kişiyi yüksek derecede tanımlayabilecek bir husus olması, ulaşılmak istenen analitik amaca etkisinin olmaması, ifşa edilemeyecek bir veri olması nedenleriyle tablodan o sütün veya satırın bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Kayıtları Çıkartma: Kayıtları çıkarma yöntemi tekillik arz eden durumlarda değişkenin çıkartılması yerine yalnızca o tekil ve belirli kılan, veri toplanan grubu bilen kişilerin ilgili kişiyi kolayca tespit edebileceği kaydın çıkarılmasıdır. Kurum çalışanlarından toplanan bir veri grubunda çalışanların yalnızca birisini 25 yaş altı olduğu durumunda yaş kriterini çıkarmak yerine yalnızca o tekil kaydın çıkarılması bu yönteme bir örnek olarak verilebilir. Genelleştirme: Tek bir kişiyi ifade eden özel kayıtlar yerine bunların birden fazla kişiyle birlikte değerlendirilerek genel bir hale getirilmesi işlemidir. X adı Y soyadına sahip kişinin Rekabet Kurumu’nda 10 yılını doldurmasının ardından özel sektörde çalışmaya başladığı bilgisin Kamu kurumunda çalışan kişilerden 10 yılı dolduran kişilerin %20’sinin özel sektöre geçiş yapıyor olduğu bilgisine dönüştürülmesi işlemi genelleştirmeye verilebilecek bir örnektir. Alt ve Üst Sınır Kodlama: Belirlenen değişkenler için kategori tanımlaması yapılması böylece tekil kayıt oluşması riskinin azaltıldığı yöntemdir. 15- 35 yaş arasının genç, 35 - 55 yaş arasının orta, 55 - 75 yaş arasının yaşlı olarak tanımlanması bu yönteme örnek verilebilir. Gürültü Ekleme: Belirlenen bir veri değişkende belirlenebilir kılmayı önleyen bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bozulma her değerde eşit ölçüde uygulanır. Tüm veri konusu kişilerin yaşlarına ilişkin değişkenin 5 yaş arttırılması bir örnek olarak verilebilir.

SAKLAMA VE İMHA SÜRELERİ

Urga Teknoloji tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta; Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır. İlgili süreçler içerisindeki en uzun saklama süresine yer verilmiş olup sürece dair daha kısa saklama süresine sahip alt süreçler mevcut olabilmektedir.

PERİYODİK İMHA SÜRELERİ

Yönetmeliğin 11’inci maddesi hükmü uyarınca periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, Urga Teknoloji tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. Bu imha işlemi Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

TEKNİK VE İDARİ TEDBİRLER

GÜNCELLENME PERİYODU

Politika, gerekli olması, mevzuatta değişiklik olması veya ihtiyaç duyulması halinde gözden geçirilir ve güncellenir.