KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

KVKK KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1. Amaç
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kartaş Motorlu Araçlar Sanayi Ticaret Anonim Şirketi (“Kartaş”) olarak veri sorumlusu sıfatıyla gerçekleştirilmekte olduğumuz kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Kartaş, hukuki ve sosyal sorumluluğunun bir parçası olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (''Kanun'') kapsamında ulusal kişisel veri koruma, işleme, saklama ve imha düzenlemelerine uymayı taahhüt etmektedir.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, hizmet sağlayıcılarının, ziyaretçilerin ve herhangi bir nedenle Kartaş nezdinde bulunan kişisel veriler, Kartaş Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu politika çerçevesinde; T.C. Anayasası, uluslararası sözleşmeler, Kanun ve diğer ilgili mevzuata uygun olarak saklanmakta ve imha edilmektedir.

2. Veri Koruma Saklama ve İmha Politikasının Kapsamı
İşbu Politika, Kartaş’da uygulanmaktadır. Kartaş çalışanları, çalışan adayları, müşterileri, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Şirketimizin sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde işbu Politika uygulanmaktadır. Politika zaman zaman güncellenebilir. Bu nedenle, Politikanın en güncel versiyonuna ulaşmak için, düzenli olarak www.carplusrentacar.com.tr adresini ziyaret etmenizi rica ederiz.

3. Tanımlar

Kanun/KVKK   6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kurul/Kurum Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu
Kişisel Veri  Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
İlgili Kişi   Kişisel verisi işlenen gerçek kişi
Alıcı Grubu  Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Kişisel Verileri Saklama ve İmha Politikası

Hizmet Sağlayıcı

Şirketimiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim hâle getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin
Silinmesi
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok
Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin
İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Özel Nitelikli Kişisel
Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Aydınlatma
Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi vermek.
Veri Sorumluları Sicil
Bilgi Sistemi
(VERBİS)
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Kişisel Veri İşleme
Envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Politika Kişisel Verileri Saklama ve İmha Politikası
Yönetmelik 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

4. Sorumluluk ve Kişisel Verileri Koruma Birimi
Kartaş kendi bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları yönetmek üzere Kartaş Yönetim Kurulu kararı ile “Kişisel Verileri Koruma Birimi” kurmuştur.

Kişisel Verileri Koruma Biriminin görevleri

* Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve Yönetim Kurulunun onayına sunmak.

* Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek, birimler arasındaki koordinasyonu sağlamak ve bu çerçevede Şirket içi görevlendirmede bulunulması için Yönetim Kurulunun teklifte bulunmak.

* Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları ve yapılması gerekenleri tespit ederek Yönetim Kurulunun onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.

* Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içinde ve Şirketin işbirliği içinde olduğu kurumlar nezdinde farkındalığı arttırmak.

* Şirketin Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek.

* Kişisel Verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.

* Kişisel Veri sahiplerinin başvurularını karara bağlamak.

* Kişisel Veri sahiplerinin; Kişisel Veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.

* Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve Yönetim Kurulunun onayına sunmak.

* Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda Yönetim Kuruluna teklifte bulunmak.

* Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.

* Her yılın Haziran ve Aralık aylarında olmak üzere periyodik imha süreçlerini yürütmek.

* Kişisel verilerin korunması mevzuatının veri sorumlusuna yüklemiş olduğu diğer görevleri yerine getirmek.

* Yönetim Kurulu’nun Kişisel Verilerin korunması konusunda vereceği diğer görevleri icra etmek.

5. Kişisel Verilerin Saklandığı Kayıt Ortamları 
Kartaş bünyesinde yer alan kişisel verileriniz, ilgili verinin niteliğine ve hukuki
yükümlülüklerimize uygun olarak aşağıda listelenen kayıt ortamlarında hukuka uygun olarak
güvenli bir şekilde saklanmaktadır.

Elektronik Ortamlar Elektronik Olmayan Ortamlar

* Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

* Yazılımlar (ofis yazılımları, portal,)

* Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

* Kişisel bilgisayarlar (Masaüstü, dizüstü)

* Mobil cihazlar (telefon, tablet vb.)

* Optik diskler (CD, DVD vb.)

* Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

/Yazıcı, tarayıcı, fotokopi makinesi

* Kâğıt

* Yazılı, basılı, görsel ortamlar

6. Kayıt Ortamlarının Güvenliğinin Sağlanması
Kartaş, kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak
işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerinizin hukuka uygun olarak imha
edilmesi için gerekli tüm teknik ve idari tedbirleri almaktadır.

6.1. Teknik ve İdari Tedbirler
Kartaş, kişisel verilerinizin saklandığı ortamlarda, ilgili verinin ve tutulduğu ortamın
niteliklerine uygun düştüğü ölçüde aşağıdaki teknik ve idari tedbirleri almaktadır:

* Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

* Erişim logları düzenli olarak tutulmaktadır. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

* Gizlilik taahhütnameleri yapılmaktadır.

* Güvenlik duvarları kullanılmaktadır.

* İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

* Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

* Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

* Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

* Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

* Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

* Şifreleme yapılmaktadır.

7. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
Kartaş tarafından; çalışanlar, çalışan adayları, müşteriler, ziyaretçiler ve
tedarikçi/hizmet sağlayıcı olarak şirketimizle ilişkide bulunan üçüncü kişilere ait kişisel veriler;
Kanuna, Yönetmenliğe, Kartaş Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu
Politika'ya uygun olarak saklanmakta ve imha edilmektedir.
Kartaş, kişisel verilerinizi ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre
belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler
işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha
uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde kişisel verileriniz iş
bu Politika’ya göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili
Şirketimiz tarafından yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer
hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

7.1. Saklamayı Gerektiren Sebepler

* Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,

* Bir hakkın tesisi, kullanılması veya korunması amacıyla,

* Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kartaş’ın meşru menfaatleri için saklanmasının zorunlu olması nedeniyle,

* Kartaş’ın hukuki yükümlülüklerini yerine getirmesi amacıyla,

* Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi sebebiyle;

* 6698 sayılı Kişisel Verilerin Korunması Kanunu

* 6098 sayılı Türk Borçlar Kanunu

* 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

* 4982 Sayılı Bilgi Edinme Kanunu

* 4857 sayılı İş Kanunu

* 6102 sayılı Türk Ticaret Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

* Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması sebebiyle saklanmaktadır.


7.2. İmhayı Gerektiren Sebepler
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler Kartaş
tarafından re’sen veyahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

* Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

* Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

* Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

* Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

* İlgili kişinin, Kanun’un 11 inci maddesinin ikinci fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

* Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

* Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

8. Kişisel Verileri İmha Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespiti ve
verilerin tutulduğu sistemlere göre aşağıdaki yöntemlerden bir veya birkaçının kullanılmasıyla
tek tek yok edilecektir.

8.1. De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz
bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

8.2. Fiziksel Yok Etme
Optik medya ve manyetik medyanın eritilmesi, yakılması, toz haline getirilmesi veya
metal öğütücüden geçirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Katı hal diskler
bakımından üzerine yazma veya de-manyetize edilemeyen cihazlar için fiziksel yok etme
işlemleri uygulanacaktır.

8.3. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kere 0 ve
1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

8.4. Kâğıt ve Mikro fiş Ortamları
Kalıcı ve fiziksel ortam üzerine yazılı olan kişisel veriler; kalıcı ve fiziksel olarak ortam
üzerine yazılı olduğundan ana ortamın yok edilmesi yani ortamı kâğıt imha veya kırpma
makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek
şekilde küçük parçalara bölünmesi suretiyle yok edilecektir.

8.5. Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında,
kriptografik yöntemlerle şifrelenmesi ve mümkünse kişisel verilerin depolandığı her bir bulut
çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerektiğinden, kişisel verilerin yok
edilmesi için gerekli şifreleme anahtarlarının tüm kopyaları yok edilecektir.
Yukarıda yer alan ortamlara ek olarak arızalanan ya da bakıma gönderilen
cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde
gerçekleştirilecektir: 

İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara
aktarılmadan önce içinde yer alan kişisel verilerin (8.1.)’de belirtilen uygun yöntemleri
kullanarak yok edilecektir.
Yok etmenin mümkün olmadığı durumlarda, veri saklama ortamının sökülerek
saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilecektir.
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak
kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınacaktır.

8.6. Kişisel Verilerin Anonimleştirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu
veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kartaş içinde kişisel verilerin anonimleştirilmesi yöntemlerinden hiçbiri kullanılmamaktadır.

9. SAKLAMA VE İMHA SÜRELERİ
9.1. Saklama Süreleri

Kişisel Veri Kategorisi

Veri Konusu

Kişi Grubu

Saklama Süresi

Kimlik

(Ad soyad, Anne - baba adı,
Doğum tarihi, Doğum yeri,
Medeni hali, Nüfus cüzdanı seri
sıra no, TC kimlik no v.b.)