AY SİLİKON VE PLASTİK SAN. TİC. LTD. ŞTİ.
KIŞISEL VERI SAKLAMA VE İMHA POLITIKASI
Doküman No | KVKK-POL-07.1 |
Revizyon No | 1 |
Yayın Tarihi | 01.01.2026 |
Yürürlük Tarihi | İşbu politika 01.01.2026 tarihinden itibaren Şirket tarafından onaylanarak yürürlüğe girmiştir. |
Hazırlayan | Avukat İlhan Can |
Onaylayan | Genel Müdür Gültekin Keleş |
İşbu Politika; Şirket tarafından işlenen kişisel verilerin ilgili mevzuata uygun şekilde saklanması ile saklama süresi dolan veya işleme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları düzenler.
1. Amaç
Bu Politika’nın amacı; Şirket’in kişisel verileri saklama ve imha süreçlerini sistematik hale getirmek, saklama sürelerini belirlemek ve periyodik imha yöntemini tanımlamaktır.
2. Kapsam
Politika; Şirket’in tüm birimlerinde ve tüm kayıt ortamlarında (fiziksel ve elektronik) işlenen kişisel verileri kapsar.
3. Dayanak
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Yönetmelik,
- Kurul karar ve ilke kararları.
4. Tanımlar
Bu Politika’da kullanılan tanımlar, Şirket’in “Kişisel Verilerin Korunması ve İşlenmesi Politikası” ve ilgili mevzuatta yer aldığı anlamlarıyla kullanılmaktadır.
5. Sorumluluklar
Kişisel verilerin saklanması ve imhası süreçlerinde görevli birimler ve temel sorumluluklar aşağıdadır:
- KVKK Uyum Sorumlusu/Komitesi: Politikanın uygulanması, denetlenmesi ve güncellenmesi.
- İnsan Kaynakları: Çalışan özlük süreçleri, saklama ve imha işlemleri.
- Bilgi Teknolojileri: Elektronik ortamlarda erişim kontrolü, güvenli silme ve imha.
- İdari İşler/Güvenlik: Fiziksel arşiv ve kamera kayıtları kapsamında süreçler.
- Hukuk/Finans (varsa): Uyuşmazlık ve mevzuat uyumu bakımından yönlendirme.
6. Kayıt Ortamları
Kişisel veriler, iş süreçlerine bağlı olarak aşağıdaki ortamlarda saklanabilir:
- Fiziksel evrak/klasör/arşiv,
- Sunucu, bilgisayar, mobil cihaz ve taşınabilir bellekler (kural olarak sınırlı ve kontrollü),
- E-posta ve ofis uygulamaları,
- Uygulama/veritabanları,
- Kapalı devre kamera kayıt sistemleri,
- Bulut hizmetleri (varsa; gerekli sözleşmesel ve teknik tedbirlerle).
- Kişisel veriler, belirli, açık ve meşru amaçlarla ve hukuki sebebe dayanarak işlenir ve saklanır.
- Saklama süresi; ilgili mevzuat, zamanaşımı/hak düşürücü süreler ve işleme amacının gerekliliği dikkate alınarak belirlenir.
- Saklama süresi dolan veya işleme şartları ortadan kalkan veriler gecikmeksizin imha edilir.
- İmha işlemleri kayıt altına alınır ve denetlenebilir şekilde yürütülür.
7. Saklama ve İmha İlkeleri
8. Saklama Süreleri
Şirket, saklama sürelerini süreç ve veri kategorisi bazında Ek-1 “Saklama Süreleri Tablosu”nda belirler. Ek-1, Şirket’in güncel kişisel veri işleme envanteri ile uyumlu olacak şekilde hazırlanır ve gerektiğinde güncellenir.
9. İmha Yöntemleri
9.1. Silme
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Yetki kaldırma, güvenli silme ve benzeri yöntemler uygulanır.
9.2. Yok Etme
Kişisel verilerin bulunduğu ortamların fiziksel olarak imhası veya verinin geri getirilemeyecek şekilde ortadan kaldırılmasıdır (çapraz kesim imha, fiziksel parçalama vb.).
9.3. Anonim Hale Getirme
Kişisel verilerin başka verilerle eşleştirilse dahi belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
10. Periyodik İmha
Periyodik imha; saklama süresi dolan kişisel verilerin belirli aralıklarla imha edilmesidir. Periyodik imha aralığı her halde 6 ayı geçemez.
Şirket periyodik imha dönemlerini aşağıdaki şekilde belirlemiştir:
- 1. Dönem: Haziran ayı (Haziran ayı içinde imha),
- 2. Dönem: Aralık ayı (Aralık ayı içinde imha).
Şirket operasyonel ihtiyacına göre periyodik imha dönemlerini değiştirebilir; değişiklikler kayıt altına alınır.
11. İmha Kayıtları ve Denetim
İmha işlemleri; tarih, kapsam, yöntem ve sorumlu kişi bilgilerini içerecek şekilde tutanak altına alınır. İmha kayıtları 10 yıl süreyle saklanır.
12. Cihaz/Ortam Devri, Bakım-Onarım ve İade Süreçleri
- Bakım-onarım veya hurdaya ayırma süreçlerinde cihazlarda kişisel veri kalmaması esastır.
- Cihaz devri öncesinde veri imhası yapılır; imha mümkün değilse depolama birimi sökülerek Şirket’te muhafaza edilir.
- Üçüncü taraflarla çalışılması halinde, veri işleyen sözleşmeleri ve gizlilik hükümleri uygulanır.
13. Yürürlük ve Güncelleme
İşbu Politika 01.01.2026 tarihinde yürürlüğe girer. Mevzuat ve Şirket süreçlerindeki değişikliklere göre güncellenebilir.
EK-1: Saklama Süreleri Tablosu
Aşağıdaki tablo, Şirket süreçlerine göre doldurulacaktır. Süreler belirlenirken mevzuat yükümlülükleri ve zamanaşımı süreleri dikkate alınmalıdır.
Veri Sahibi Grubu | Süreç | Veri Kategorisi | İşleme Amacı | Saklama Süresi | Süre Başlangıcı | İmha Yöntemi / Sorumlu Birim |
Çalışan | Özlük | Kimlik/İletişim/Özlük dosyası | İK süreçleri ve yasal yükümlülükler | 10 yıl | İş akdi sona erme | Silme/Yok etme - İK |
Çalışan | Bordro/SGK | Ücret ve yan haklar | Ücret ödemeleri ve mevzuata uyum | 10 yıl | İlgili yıl/işlem tarihi | Silme/Yok etme - İK/Finans |
Ziyaretçi | Giriş-Çıkış | Ziyaretçi kayıtları | Fiziksel güvenlik | 2 yıl | Kayıt tarihi | Silme/Yok etme - Güvenlik |
Çalışan/Ziyaretçi | CCTV | Kamera görüntü kaydı | Fiziksel mekân güvenliği | 2 yıl | Kayıt tarihi | Silme/Yok etme - Güvenlik/BT |
BT Kullanıcısı | Log | Sistem erişim/log kayıtları | Bilgi güvenliği | 2 yıl | Log tarihi | Silme - BT |