Kişisel Veri Saklama ve İmha Politikası

TANIMLAR VE KISALTMALAR

Kurum : RAYTA EĞLENCE MERKEZLERİ İŞLETMECİLİĞİ GÖRSEL SANATLAR İLETİŞİM VE ORGANİZASYON

SANAYİ VE TİCARET ANONİM ŞİRKETİ

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Politika: Kişisel Veri Saklama ve İmha Politikası.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

AMAÇ VE KAPSAM

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kurum tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kurum; çalışan adayları, çalışanlar, tedarikçi çalışanları ve yetkilileri, işyerinde görev yapan tedarikçi şirket çalışanları, ziyaretçiler/müşteriler, web sitesi ziyaretçileri başta olmak üzere diğer ilgli kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanabilmelerinin sağlanmasını öncelik olarak belirlemiştir.

Anılan kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

SORUMLULUK ve GÖREV DAĞILIMLARI

Kurumun tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların ünvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki gibidir.

Unvan	Görev
Yönetim Kurulu	Politikayı onaylayarak yürürlüğe girmesini sağlar. Üst Yönetimin ve çalışanların Politikaya uygun hareket etmesinden sorumludur. Politikanın uygulanması için gerekli bütçeyi oluşturarak destek ve kaynak sağlar.
Üst Yönetim	Politikanın işletilmesi ve yürütülmesi kapsamında yapılan çalışmaların takibinden sorumludur. Politikanın yürütülmesi için gerekli kararları alma ve uygulama faaliyetlerini yürütür.
KVKK Sorumlusu	Politikanın oluşturulmasından ve onaylanması sonrasında ilgili ortamlarda yayınlanmasından sorumludur. Politikanın uygulanmasında Üst Yönetimin karar verdiği ve kaynak sunduğu teknik çözümlerin uygulanması faaliyetlerini yürütür.
Muhasebe ve Finans Kiralama Hizmetleri	Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

KAYIT ORTAMLARI

Kişisel veriler, Kurum tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (Muhasebe uygulaması sunucusu, web sunucusu, vb.)	Kağıt
Yazılımlar (Muhasebe yazılımı, Ofis uygulamaları, VERBIS, vb.)	Manuel veri kayıt sistemleri (formlar, raporlar, vb.)
Bilgi güvenliği cihazları (Güvenlik duvarı, vb.)	Yazılı, basılı ortamlar
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Taşınabilir medya (USB, yedekleme hard diskleri, görüntülerin depolandığı cihalar)
Yazıcı, tarayıcı, fotokopi makinası

SAKLAMA ve İMHAYA İLİŞKİN AÇIKLAMALAR

Kurum tarafından; kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

Saklamaya İlişkin Açıklamalar

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurum faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Saklamayı Gerektiren Sebepler

Kurum faaliyetleri çerçevesinde işlenen kişisel veriler, aşağıdaki hususlar çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır:

Kurumun tabi olduğu aşağıda yer alan kanunlar ve düzenlemelerin öngördüğü saklama süreleri,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 sayılı Bilgi Edinme Kanunu,
- 4857 sayılı İş Kanunu,
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Belirtilen kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

Kurumun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen saklama süreleri,
Çalışanlar ile yapılan iş sözleşmeleri, tedarikçilerden mal veya hizmet alımı için yapılan sözleşmelerin gerektirdiği saklama süreleri,
Kurumun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süreler,
Kişisel verilerin saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süreler,
Kurum tarafından, kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süreleri,
Kurumun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süreler.

Saklamayı Gerektiren İşleme Amaçları

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda işler ve gerekli süre boyunca saklar.

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Sunumuna İlişkin Operasyon Süreçlerinin Yürütülmesi
Mal ve Hizmet Satın Alım Süreçlerinin Yürütülmesi
Tedarikçi Firma ile İletişimin Sağlanması
Organizasyon ve Etkinlik Yönetimi Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi ve Denetimi
Finans ve Muhasebe İşlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
Yönetim Faaliyetlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklanan Yükümlülüklerin Yerine Getirilmesi
Ücret, Yan Haklar ve Finans Süreçlerinin Yürütülmesi
Vergi ve SGK Bildirimlerinin Yapılması
Çalışma Süreleri, İzin ve Puantaj İşlemlerinin Yürütülmesi
İşe Başlatma ve İşten Ayrılma Süreçlerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Demirbaş ve Ekipman Zimmet İşlemlerinin Yürütülmesi
Disiplin Süreçlerinin Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi
İş Kazası Süreçlerinin Yürütülmesi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Acil Durum Planlarının Hazırlanması ve Uygulanması
İşyerinde Düzen ve Güvenliğin Sağlanması
Fiziksel Mekân Güvenliğinin Sağlanması
İşyerine Giriş ve Çıkışların Kontrol Edilmesi
Taşınır Mal ve Kaynakların Güvenliğinin Temini
Alt İşveren Yükümlülüklerinin Denetlenmesi
Mevzuatın Gerektirdiği Personel Sağlık Hizmetlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
Hukuki Yükümlülüklerin Yerine Getirilmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Denetim Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Erişim Yetkilerinin Yönetilmesi
Sistemlerin Korunması ve Yetkisiz Erişimlerin Önlenmesi
Web Sitesinin Güvenliğinin Sağlanması
Web Sitesinin Kesintisiz ve Güvenli Şekilde İşletilmesinin Sağlanması
Teknik Sorunların Tespiti ve Giderilmesi
Olası Hukuki Uyuşmazlıklarda Delil Teşkil Edebilecek Kayıtların Oluşturulması
İletişim Taleplerinin Alınması ve Değerlendirilmesi
Tarafınızla İletişime Geçilmesi
Talep ve Şikâyet Süreçlerinin Yürütülmesi
Hizmetler Hakkında Bilgi Verilmesi
Ziyaretçi / Müşteri İlişkileri Süreçlerinin Yürütülmesi

İmhayı Gerektiren Sebepler

Kişisel veriler;

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Kurum tarafından silinir, yok edilir, anonim hale getirilir ya da re’sen silinir, yok edilir, anonim hale getirilir.

TEKNİK ve İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Kurum tarafından teknik ve idari tedbirler alınır.

Teknik Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kablosuz ağ bağlantısı için güvenli şifreleme metodu kullanılmaktadır.

İdari Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

Çalışanlar için yetki matrisi oluşturulmuştur.
Çalışanlar için Bilgi Güvenliği Taahhütnamesi oluşturulmuştur.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır .
Mevcut risk ve tehditler belirlenmiştir.
Kişisel Verilerin Korunması İletişim Planı,Kişisel Veri Başvuruları Yönetim Prosedürü,Kişisel Veri İhlali Farkındalık Planı, Kişisel Veri İhlali Müdahale Planı oluşturularak uygulamaya konulmuş ve çalışanlara bilgilendirme yapılmıştır.
Kişisel Veri İşleme ve Koruma Politası, Kişisel Veri Saklama ve İmha Politikası, Bilgi Teknolojileri Risk Yönetim Politikası, Bilgi Güvenliği Politikası, Özel Nitelikli Kişisel Veri Güvenliği Politikası oluşturulmuş ve çalışanlara bilgilendirme yapılmıştır.

KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Kişisel Verilerin Silinmesi

Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle silinir.

Veri Kayıt Ortamı	Açıklama
Sunucularda yer alan kişisel veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için Bilgi Sistemleri Sorumlusu tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Sorumlusu/KVKK Sorumlusu hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu çalışan hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir medyada bulunan kişisel veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Sorumlusu/KVKK Sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece Bilgi Sistemleri Sorumlusunda/KVKK Sorumlusunda olacak şekilde şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Kişisel Verilerin Yok Edilmesi

Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle yok edilir.

Veri Kayıt Ortamı	Açıklama
Fiziksel ortamda yer alan kişisel veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik/manyetik medyada yer alan kişisel veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi veya parçalanması gibi fiziksel olarak yok edilmesi işlemi uygulanır.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmesi için; kişisel veriler, Kurum veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

SAKLAMA ve İMHA SÜRELERİ

Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri kişisel veri işleme envanterinde;
Veri kategorileri bazında saklama süreleri VERBİSe kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında

yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kurum tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Kurum Bilgi Sistemleri Sorumlusu /KVKK Sorumlusu tarafından yerine getirilir.

Süreç	Saklama Süresi	İmha Süresi
Çalışan Özlük Dosyası ve Personel Kayıtları	İş akdinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Ücret, Bordro ve SGK Kayıtları	İş akdinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Sağlığı ve Güvenliği Kayıtları	İş akdinin sona ermesinden itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları	1 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi Kayıtları	30 gün	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Dağ Kızağı Fotoğraf ve Video Kayıtları	Fotoğrafın çekildiği gün sonunda veya satın alınmaması halinde aynı gün	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Tedarikçi Sözleşme ve Hizmet Kayıtları	Sözleşmenin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Tedarikçi Çalışanı Kayıtları	Hizmet ilişkisinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Formu (Web Sitesi) Başvuruları	3 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
E-posta Yazışmaları	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Bilgi İşlem Log Kayıtları (IP, kullanıcı adı vb.)	1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve Finans Kayıtları	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem ve Uyuşmazlık Dosyaları	Hukuki ilişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Kurum, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Ocak ve Temmuz aylarında periyodik imha işlemi gerçekleştirilir.

POLİTİKANIN GÖZDEN GEÇİRİLMESİ

Kurum Kişisel Verileri Saklama ve İmha Politikasını ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.

POLİTİKANIN UYGULAMA SORUMLULUĞU

Politika, Yönetim Kurulu tarafından onaylandığında yürürlüğe girmiş kabul edilir.Politika çalışanlara duyurulur.

Aydınlatma Metni

Politikalar