Kişisel Verileri Saklama ve İmha Politikası

Kişisel Verileri Saklama ve İmha Politikası


1. GİRİŞ

  1. AMAÇ

Hukuki ve sosyal sorumluluğunun bir parçası olarak; Alarbi Turizm ve İnşaat Sanayi Ticaret Limited Şirketi  (“VillamGo”) Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, VillamGo, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması amacıyla kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir. Şirket, belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilere ait kişisel verilerin “Anayasası”, uluslararası sözleşmeler, “Kanun”, “Yönetmelik” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilen Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuatlar uyarınca VillamGo tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

1.2. KAPSAM

Şirket müşterileri, müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkilileri ve çalıştığı tüm 3. Taraflar başta olmak üzere üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3. TANIMLAR

Açık Rıza;

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Alıcı Grup;

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Kişisel Veri;

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri;

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

İlgili Kişi;

Kişisel verisi işlenen gerçek kişi

İlgili kullanıcı;

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha;

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Anonim Hale Getirme;

Kişisel verilerin başka verilerle eşleştirilmesi sonucunda dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi.

Çalışan;

VillamGo çalışanları

Çalışan Adayı;

VillamGo’ya herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini VillamGo’nun incelemesine açmış olan gerçek kişiler

Elektronik Ortam;

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam;

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. Diğer ortamlar

Anayasa;

Türkiye Cumhuriyeti Anayasası

KVK Kanunu;

6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Kurulu;

Kişisel Verileri Koruma Kurulu

KVK Kurumu;

Kişisel Verileri Koruma Kurumu

Kayıt Ortamı;

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Verilerin İşlenmesi;

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel veri işleme envanteri;

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Müşteri;

Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler

Veri İşleyen;

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve /veya tüzel kişidir.

Veri Kayıt Sistemi;

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu;

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu Şirketimiz VillamGo’dur.

Veri Sorumluları Sicili;

KVK KANUNU Kurulu gözetiminde, KVK KANUNU Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili

VERBİS;

Veri sorumluları sicil Bilgi Sistemi

Ziyaretçi;

Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri;

VillamGo ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. Başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler

Tedarikçiler;

Sözleşme temelli VillamGo’nun ürün ve/veya hizmet aldığı üçüncü kişiler

Periyodik imha;

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Potansiyel Müşteri;

Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler

Politika;

VillamGo’nun Kişisel Verileri saklama ve imha politikası

Şirket;

Alarbi Turizm ve İnşaat Sanayi Ticaret Limited Şirketi

Şirket Hissedarları;

VillamGo hissedarı gerçek kişiler

Şirket Yetkilisi;

VillamGo yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

İlgili Kişi Başvuru Formu;

Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu

Üçüncü Kişi;

Yukarıda tanımlanan taraflarla VillamGo arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler

Yönetmelik;

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. SORUMLULUK VE GÖREV DAĞILIMLARI;

Şirketin tüm birimleri ve çalışanları; sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gerektiği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

KVK Komitesi

Şirketin KVK süreçlerine uyum ve denetiminin sağlanması için kurulan Komite

Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

Bilgi Teknolojileri,

Bilgi Teknolojileri Yönetimi

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

İnsan Kaynakları, Marka İletişim ve Müşteri Deneyimi, Pazarlama, Satış, Hukuk

Diğer Birimler

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

3. KAYIT ORTAMLARI

Elektronik Ortamlar; Sunucular, Yazılımlar, sabit ya da taşınabilir diskler, optik diskler, Bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, taşınabilir bellekler, yazıcı, tarayıcı, fotokopi makinası, bulut ortamlar,

Elektronik Olmayan Ortamlar; Kâğıt, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar.

4. Saklama Ve İmhaya İlişkin Açıklamalar

Şirket tarafından; müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, çalışan yakınları, tedarikçileri, tedarikçi yetkilileri, tedarikçi çalışanları, hizmet sağlayıcıları, ürün veya hizmet alan kişileri, ziyaretçileri , kiracıları, kiraya verenleri, Şirket hissedarları, Şirket yetkilileri, çalıştığı 3. Taraflar, hizmet veren şirket çalışanları, ihtilaf tarafları, iş birliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.1. SAKLAMAYA İLİŞKİN AÇIKLAMALAR

VillamGo, Kanunun ilgili maddelerine uyumlu olmak şartı ile kendi faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklar.

4.1.1. Saklamayı Gerektiren Hukuki Sebepler

Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; Türk Ticaret Kanunu, Borçlar Kanunu, Kişisel Verilerin Korunması Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu, Perakende Ticaretin Düzenlenmesi Hakkında Kanun, Elektronik Ticaretin Düzenlenmesi Hakkında kanun ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2. Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. Şirketimiz tarafından sunulan Mal ve hizmetleri tanıtmak, üyeleri tanımak ve iletişimi arttırmak, imajı arttırmak, ürün, hizmet ve iletişimini geliştirmek, VillamGo tarafından kurulan kulüplere üye kaydetmek, üyeye özel reklam / promosyon / tanıtım / kampanya ve duyurular hazırlanması ve gönderilmesi, müşterilere daha iyi bir alışveriş deneyimi sağlamak, müşteri anketi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak

Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi

Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası

Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini

Web sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etmek, iletişim için adres ve diğer gerekli bilgileri kaydetmek, elektronik (internet/mobil vs.) veya kâğıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,

Müşteri ve tedarikçilerimizin danışma hizmeti temin sürecini yürütmek,

İlgili mevzuat hükümleri gereği akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek, yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,

Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,

Doğabilecek uyuşmazlıklarda delil olarak kullanmak

Şirket işe alım ve çalışan süreçlerinin planlanması Ürün ve hizmetlerin satış ve pazarlaması için Pazar araştırması faaliyetlerinin planlanması ve icrası

Kurumsal iletişim faaliyetlerinin planlanması ve icrası

Lojistik faaliyetlerinin planlanması ve icrası

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

İşlem ve bilgi güvenliğini sağlamak, hileli veya yasadışı faaliyetleri içerebilecek işlemleri önlemek,

Müşterilere daha iyi bir alışveriş deneyimi sağlamak,

Kişiselleştirilmiş alışveriş hizmeti sunmak (müşteri anketi, müşteri memnuniyeti uygulama ve bilgilendirmelerini yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak),

VillamGo’nun hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;

Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,

Web sitemizi ve uygulamalarımızı daha kolay kullanılır hale getirmek,

Bilginin denetim şirketlerine, ilgili vekile veya vekil edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması

Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,

Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;

İlgili Kişinin şikâyet, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması;

Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası

Ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin planlanması ve icrası

Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,

Hukuk İşlerinin takibi ve yürütülmesi

Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,

Üyelerimizi tanımak ve iletişimimizi geliştirmek,

Müşterilerimize daha iyi ve güvenilir hizmet verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların kesintisiz olarak sürdürülebilmesi

VillamGo tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,

VillamGo hizmetlerini kullanmak amacıyla çağrı merkezleri veya internet sayfası kullanıldığında, Kurum veya internet sitesi ziyaret edilmesi, Kurum’un düzenlediği eğitim, seminer veya organizasyonlara katılınması.

İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,

Şirket Genel Müdürlük, depolar, mağazalar vb. tesislerinin güvenliğinin temini

Acil durum yönetimi süreçlerinin planlanması ve icrası

Taşeron çalışanlarına ilişkin özlük süreçlerinin planlanması ve icrası

Finans ve/veya muhasebe işlerinin takibi

Yapı ve/veya inşaat işlerinin planlanması ve takibi

Yönetim Faaliyetlerinin Yürütülmesi

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

Yatırım Süreçlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Ücret Politikasının Yürütülmesi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Taşınır Mal ve Kaynakların Güvenliğinin Temini

Talep / Şikayetlerin Takibi

Stratejik Planlama Faaliyetlerinin Yürütülmesi

Sponsorluk Faaliyetlerinin Yürütülmesi

Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Organizasyon ve Etkinlik Yönetimi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

İş Faaliyetlerinin Yürütülmesi / Denetimi

İnsan Kaynakları Süreçlerinin Planlanması

İletişim Faaliyetlerinin Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi

Fiziksel Güvenliğinin Temini

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

Finans ve Muhasebe İşlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Denetim / Etik Faaliyetlerinin Yürütülmesi

Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Sendika ile akdedilen Toplu iş Sözleşmesi faaliyetlerinin yürütülmesi

4.2. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİNE İLİŞKİN ESASLAR

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

VillamGo kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkelere uymaktadır.

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

4.3. İMHAYI GEREKTİREN SEBEPLER

VillamGo kişisel verileri aşağıdaki sebeplerle imha eder;

Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi

VillamGo tarafından belirlenen imha süresinin sona ermesi

VillamGo tarafından belirlenen periyodik imha süresinin sona ermesi

Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası

İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması

Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması

İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun VillamGo tarafından kabul edilmesi,

VillamGo’nun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

Kişisel Verileri Koruma Kanununun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

5. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6 ‘ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

5.1.TEKNİK TEDBİRLER

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

Erişim logları düzenli olarak tutulmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Sızma testi uygulanmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şifreleme yapılmaktadır.

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

Veri kaybı önleme yazılımları kullanılmaktadır.

5.2.İDARİ TEDBİRLER

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanlar için yetki matrisi oluşturulmuştur.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

Gizlilik taahhütnameleri yapılmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

5.3.ŞİRKET İÇİ DENETİM

Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

VillamGo, aşağıda yer verilen teknikleri kullanmak sureti ile kişisel verileri silmekte veya yok etmektedir.

VillamGo, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise VillamGo aşağıdaki kuralları uygular;

Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,

Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması

Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması

Gerçek kişiler tarafından direkt olarak silme talebinin iletilmesi durumunda ise ilgili kişiye ait kişisel verilerin VillamGo sistemlerinden silinmesi

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;

Gerekli olmayan kişisel verilerin karartılması,

Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi yoluyla gerçekleştirilir.

6.1. SİLME YÖNTEM​LERİ

6.1.1. Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri;

Karartma; Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

6.1.2. Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Yazılımdan güvenli olarak silme; Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

6.2.YOK ETME YÖNTEMLERİ

6.2.1. Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel olarak yok etme; Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.

6.2.2. Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

De-manyetize etme (degauss), Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma; Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

6.2.3. Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz

7. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ TEKNİKLERİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. VillamGo, hukuka uygun olarak işlenen kişisel verilerin işlenmesi şartlarının ortadan kalkması halinde kişisel verileri anonimleştirebilmektedir. Böylece anonimleştirilen kişisel veriler KVK Kanunu’nun 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından bu Politika’ nın 9. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır.

VillamGo, kişisel verilerin anonimleştirmesi için aşağıda yer verilen teknikleri kullanmaktadır.

7.1. MASKELEME

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanımlanmasını sağlayan adı, soyadı, T.C. Kimlik No vb. bilginin çıkartılması.

7.2. TOPLULAŞTIRMA

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, yaşları belirtilmeksizin X yaşında Y kadar müşteri olduğunun belirtilmesi

7.3. VERİ TÜRETME

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihi yerine yaşın belirtilmesi

7.4. VERİ KARMA

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

8. KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ İLE PERİYODİK İMHA SÜRELERİ

VillamGo, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı Haziran ve Ocak ayları olmak üzere altı ayda bir yapılır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.

KVK Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.

Veri Kategorisi

Veri Saklama Süresi

1-Kimlik Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

2-İletişim Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

3-Lokasyon Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

4-Özlük Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

5-Hukuki İşlem Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

6-Müşteri İşlem Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

7-Fiziksel Mekan Güvenliği Kişisel Veri

1 Yıl

8-İşlem Güvenliği Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

10-Finans Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

11-Mesleki Deneyim Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

12-Pazarlama Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

13-Görsel ve İşitsel Kayıtlar Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

20-Sendika Üyeliği Özel Nitelikli Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

21-Sağlık Bilgileri Özel Nitelikli Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 40 yıl

23-Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Özel Nitelikli Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

24-Biyometrik Veri Özel Nitelikli Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren ilk periyodik imha süresi

26-Diğer Bilgiler-Kurumsal hafıza bilgisi Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 70 yıl

26-Diğer Bilgiler-Hissedar/Ortak Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

26-Diğer Bilgiler-Çalışan Aday Bilgisi Kişisel Veri

Yıl 2 Yıl

26-Diğer Bilgiler-Aile/Yakın Bilgisi Kişisel Veri

Hukuki ilişkinin sona ermesinden itibaren 15 yıl

9. KİŞİSEL VERİLERİN RESEN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ SÜRELERİ

VillamGo, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alır:

Yükümlülüğün ortaya çıktığı 01.01.2018 tarihini takip eden ilk periyodik imha işleminde

Periyodik imha süresi her halde 180 günden uzun olamaz.

10. İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA KİŞİSEL VERİLERİ SİLME VE YOK ETME SÜRELERİ

İlgili kişi, KVK Kanununun 13. maddesine istinaden VillamGo’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; VillamGo talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. VillamGo, Veri sahibi gerçek kişinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibi gerçek kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa VillamGo bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep VillamGo tarafından KVK Kanunu’nun 13. Maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

11. KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHA SÜREÇLERİNİN ŞİRKET İÇİ YÖNETİMİ

VillamGo, KVK Kanunu ve ilgili yasal mevzuat hükümlerine uyum süreci ve uyum sürecinin tamamlanması akabinde gerçekleştirilecek kişisel veriler ile ilgili her türlü işlemde, işbu Politika ve Prosedürler ile bunlara bağlı süreçlerin yönetimi aşağıdaki şekilde yürütülür:

Kişisel veri sahipleri, KVK Kanunu’nun 13’üncü maddesinin 1’inci fıkrası gereğince, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini “yazılı”, VillamGo Veri Sahibi Başvuru Formu’ nu doldurarak ıslak imzalı veya güvenli elektronik imza ile VillamGo’ya iletmeleri gerekmektedir. Güvenli elektronik imzalı taleplerin info@villamgo.com adresine, ıslak imzalı taleplerin ise Akarca Mahallesi Namık Kemal Caddesi No:31 Fethiye/Muğla adresine iletilmesi gerekmektedir.

Yine bir başvuru hakkı olan silme başvurusu için VillamGo sistemlerinden kişisel verilerinin silinmesini isteyen bir müşteri; Kurumsal İnternet Sayfası, Mobil Uygulama, Çağrı Merkezi üzerinden veya Mağazalara bizzat başvurarak kişisel verilerinin silinmesini talep edebilir. Tüm kanallardan alınan talep, çağrı sistemine kaydedilir ve doğrulama işlemi için çağrı merkezi tarafından müşteri geri aranır. Müşterinin VillamGo ve E-Ticaret sistemlerinden hangisindeki hangi verilerini sildireceği netleştirildikten sonra ilgili sistemlerdeki silme süreçleri çalıştırılarak müşteri verisi silinir.

12. GÖZDEN GEÇİRME

Bu politika yılda 1 kez Kişisel Verilerin Korunması Komitesi tarafından gözden geçirilerek gerekli güncellemeler yapılır. Üst yönetimin onayı sonrası güncellenmiş politika ilgili kişiler/taraflar bilgilendirilerek kullanılmaya başlanır.