SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Verilerin Saklanması ve İmhası Politikasının (“Politika”) amacı; Jollin Organizasyon Bilgi
Teknolojiler Pazarlama Sanayi Ticaret Limited Şirketi (“Jollin” veya “Şirket”) tarafından işlenen kişisel
verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya
konulmasıdır.
1. AMAÇ VE KAPSAM
Şirketimizce yayımlanan Aydınlatma Metinlerine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya
Anonim Hale Getirilmesi hakkındaki Yönetmeliğin (“Yönetmelik”) 6’ncı maddesinde yer alan
düzenlemelere paralel olarak; hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri doğrultusunda; kişisel
verilerinizin saklanmasını ve imhasını gerektiren sebeplerin, kişisel verilerinizin işlendikleri amaç için
gerekli olan azami sürenin belirlenmesinin, kişisel verilerinizin tutulduğu kayıt ortamlarının, kişisel
verilerinizin korunması ve imhası için alınan tedbirlerin, kişisel verilerinizin saklanması ve imhası
sürecinde rol alan kişi ve birimlerin, kişisel veri saklama ve imha süre ve süreçlerinin açıklanması ile
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin usul ve esasları belirlemektir.
İşbu Politika; 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 7. Maddesi uyarınca “veri
sorumlusu” sıfatıyla Jollin’nun tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollar ile işlediği, elektronik ortamda ve/veya
kağıt ortamında yer alan ve işlenmesi ve saklanmasında hukuki ve/veya meşru bir menfaat kalmayan
tüm kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin süreçleri
kapsamaktadır.
2. TANIMLAR
2.1. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
2.2. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
2.3. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
2.4. İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.
2.5. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan
kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
2.6. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
2.7. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve 3’üncü
maddede kapsamlı olarak açıklanan her türlü ortamdır.
2.8. Elektronik kayıt ortamı: Kişisel verilerin elektronik cihazlarla işlenebildiği yani saklandığı,
okunduğu, değişikliğe uğradığı kayıt ortamı.
2.9. Elektronik olmayan kayıt ortamı: Verilerin elektronik ortamların haricinde basılı (matbu) fiziksel
olarak saklandığı ve işlendiği kayıt ortamı.
2.10. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri
işleyen gerçek veya tüzel kişi
2.11. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
2.12. Kullanıcı: Şirketin faaliyetleri kapsamında mevcut olan her türlü hizmetlerden yararlanan kişileri
ifade eder.
2.13. Aracı hizmet sağlayıcı: Hizmetlerin doğrudan şirket veya şirkete ait web sitesi üzerinden değil
Şirketin anlaşmalı olduğu platformlardan yapılabilmesini sağlayan aracı kişi, kurum veya web siteleri.
2.14. İmha: Kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.
2.15. Periyodik imha: Kişisel Verilerin Korunması Kanunu’nda yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında
belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemidir.
2.16. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
2.17. Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir.
2.18. Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2.19. Web site: https://www.jollin.com.tr ve yönlendirme yapılmış diğer alan adlı partallarını ifade
eder.
2.20. Politika: Kişisel Verileri Saklama ve İmha Politikası.
2.21. Komite: İşbu Politika’nın uygulanmasından, kişisel veri işleme faaliyetlerinin Şirket içi
denetiminden, veri koruma yükümlülükleri hususunda bilgilendirme ve tavsiyede bulunmaktan,
personellerin veri işleme faaliyetlerinde işbu Politika ve Prosedürlere uygunluğunu izlemekten,
Yönetime veri işleme süreçleri ile veri işleme süreçlerinin Kanun’a ve Politika’ya uygunluğu
noktasında raporlama yapmaktan sorumlu personel veya personellerden teşekkül komiteyi ifade
eder.
2.22. Personel: Şirketimizde çalışan gerçek kişileri ifade eder.
2.23. Personel Adayları: Şirketimize CV göndermek, e-posta atmak, telefonlar aramak ve sair
yöntemlerle iş başvurusu yapan gerçek kişileri ifade eder.
2.24. Ziyaretçiler: Şirketimize ait web sitesi, yönlendirici aracı web siteleri ile mağaza, şirket merkezi
gibi fiziki ortamları ziyaret eden gerçek kişileri ifade eder.
2.25. İş/Çözüm Ortağı, Tedarikçi: Şirketimizin faaliyetini gerçekleştirmek ve tarafınıza hizmeti
sunabilmek amacıyla dış hizmet aldığı üçüncü kişi ve kişiler.
2.26. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
2.27. Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi.
2.28. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem.
2.29. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer
işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve
yönetilen bilişim sistemi.
2.30. VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
2.31. Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
2.32. Rehber: Kurul tarafından www.kvkk.gov.tr adresinde yayımlanan “Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Rehberi”ni ifade eder.
2.33. Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir.
3. KİŞİSEL VERİLERİNİZİN SAKLANDIĞI KAYIT ORTAMLARI
3.1. Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verileriniz, toplanma ve işlenme amacına göre;
3.1.1. Elektronik Kayıt Ortamı; Bulut sistemleri, merkezi sunucu, hard-disk, taşınabilir medya, veri
tabanları, bilgi güvenliği cihazları, bilgisayarlar, Mobil cihazlar, optik diskler, ofis portal ve yazılımları,
yazıcı, tarayıcı, fotokopi makinesi gibi dijital ortam ve materyal üzerindeki ortamlar.
3.1.2. Elektronik Olmayan Kayıt Ortamı; Kağıt, özlük dosyası, fatura, fiş, irsaliye, manuel evrak kayıt
sistemleri gibi yazılı, basılı görsel ortamlar.
4. KİŞİSEL VERİLERİNİZİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
4.1. Kişisel verilerinizi kanunlarda öngörülen asgari ve azami saklama süreleri saklı kalmak kaydıyla,
Şirketimiz’in ilan ettiği Aydınlatma Metinlerinde belirtilen kişisel verilerin işleme amacının gerektirdiği
süre boyunca ve Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen veri işleme şartlarına riayet ederek
saklamaktayız. Şirketimizce öngörülen azami saklama süreleri 7’nci maddede açıklanmıştır.
4.2. Bu doğrultuda, kişisel verileriniz, Aydınlatma Metinleri uyarınca; kural olarak açık rızanız ile
kanunda öngörülen istisnai hallerde ise açık rızanıza başvurulmaksızın Şirketimiz tarafından
işlenebilecektir.
4.3. Kanunda açıkça öngörülen hallerde, ilgili kişinin rızasının alınması hususunda fiili imkansızlık
bulunması ya da rızasının hukuken geçerli olmadığı durumda ilgili kişinin kendisinin veya başkasının
hayatı ve beden bütünlüğü için veri işlemenin zaruri olması hallerinde; ilgili kişi ile doğrudan veya
dolaylı olarak yapılan sözleşmelerin kurulması ve ifası için veri işlenmesi gerekli ise, veri sorumlusu
olan Şirketimizin hukuktan ve kanundan doğan yükümlülüklerini ifa için veri işlemenin zorunlu olduğu
durumlarda; ilgili kişinin kişisel verilerini aleni hale getirmesi yahut bir hakkın kurulumu ya da
korunması için veri işlenecek ise ve son olarak ilgili kişinin temel hak ve özgürlüklerine
dokunulmaksızın Şirket’in meşru menfaatleri uyarınca kişisel verileriniz işlenebilmektedir.
4.4. Politika’nın 4.3. maddesi uyarınca kişisel verilerinizin saklanmasını gerektiren başlıca sebepler;
4.4.1. Kanun’un 5’inci maddesinde belirtilen veri işleme şartlarının (hukuki sebeplerin) yerine
getirilmesi (hizmet sözleşmenin ifa edilebilmesi, hakkın kullanım hakkının tesis edilebilmesi,
Şirketimizin meşru menfaatleri uyarınca veri işlemenin zorunlu olması, hukuki yükümlülüğün yerine
getirilebilmesi vb)
4.4.2. Şirketimizin personel temini ve işe alım süreçlerinin yürütülmesi, personel verimlilik
değerlendirmesi, personel verimliliğinin artırılması ve personel eğitimlerinin planlanması ile
yürütülmesi,
4.4.3. Finansal raporlama, risk planlaması, risk yönetimi, finansal planlama gibi finansal işlemlerin
yürütülmesi,
4.4.4. Hizmet memnuniyet anketlerinin düzenlenmesi,
4.4.5. Hizmet üretimi, geliştirilmesi ve sunulması; hizmet gamının genişletilmesi, geri bildirimlerin
raporlanması,
4.4.6. Kullanıcı talep ve şikayetlerinin yönetilmesi, raporlanması ve sonuçlandırılması,
4.4.7. Kurumsal iletişimin yürütülmesi, planlanması ve raporlanması,
4.4.8. Kullanıcı kayıtlarının oluşturulması, takibi ve raporlanması,
4.4.9. Resmi kurum ve kuruluşlar ile bilgi talep etmeye yetkili özel kurum ve kuruluşların meşru ve
hukuka uygun taleplerinin yanıtlanması, bilgi ve belge sunulması,
4.4.10. Şirketimizin dönemlik (haftalık, aylık, yıllık vb) faaliyet ve bütçe planlamalarının yapılması,
4.4.11. Şirketimizin reklam, tanıtım ve pazarlama çalışmalarının yürütülmesi, hizmet kalitesinin
artırılması, promosyonlar yapılması, kampanyalar düzenlenmesi, sipariş alınması, sipariş süreçlerinin
yönetimi, sipariş geri bildirimlerinin yapılması, memnuniyet anketlerinin düzenlenmesi,
4.4.12. Kullanıcılarımızdan gelen ek hizmet taleplerinin yerine getirilmesi, kullanıcılarımıza ek hizmet
sunulması, kullanıcı beğenilerinin tasnifi, raporlanması ve artırılması ile
4.4.13. Şirketimiz tarafından her bir iş sürecinde 6698 s. Kanun’un 10’uncu maddesi uyarınca
yapılacak aydınlatma bildirimleri kapsamında belirtilen amaçları yerine getirmektir.
4.5. İmhayı gerektiren sebepler;
4.5.1. İşbu Politika’nın 4.3. maddesinde öngörülen durumların sona ermesi; özellikle kişisel verilerin
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası yahut kişisel
verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
4.5.2. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin
açık rızasını geri alması,
4.5.3. Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve
yok edilmesine ilişkin yaptığı başvurunun Şirket veya olumsuz cevap halinde Kurum’ca kabul edilmesi,
4.5.4.Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Halinde Şirketimize başvurmanız ihtimalinde en geç 30 gün içinde veya Şirketimize herhangi bir
başvurunuz bulunmasa dahi Şirketimizce benimsenen periyodik imha tarihlerimizde tarafımızca
işlenen kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir.
5. KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI SÜREÇLERİNDE ROL ALANLAR
5.1. Kişisel verilerinizin ve 3’üncü maddede belirtilen kayıt ortamlarının niteliğine göre elektronik olan
ve/veya elektronik olmayan kayıt ortamlarında kişisel verileriniz kategorisine göre Şirketimizde
bulunan departmanlar tarafından saklanmaktadır.
5.1.1. Uygulama üzerinden her türlü kullanımlarınız kapsamında işlenen kişisel verileriniz dijital
ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yöneticisi ve
görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketimize ait mobil uygulama ile
buralarda yürütülen tüm faaliyetlerin hukuk ve şirket politikasına uygun olarak yürütülmesi,
yönetilmesi ve organizasyonundan görevlidir.
5.1.2. Çalışanlarımızın İş Kanunu, İş Sağlığı ve Güvenliği Kanunu ve ilgili diğer mevzuat uyarınca
oluşturulan özlük dosyaları ve diğer işlemleri kapsamında işlenen kişisel verileriniz dijital ve fiziksel
ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yönetici ile
görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketimizin işe alım için ön
görüşme ve personel bulma işlemleri dahil Şirketimizin tüm istihdam ve işçi çalıştırma süreçleri ile
çalışanlarının hak ve yükümlülüklerinin hukuk ve şirket politikasına uygun olarak yürütülmesi,
yönetilmesi, denetlenmesi ve organizasyonundan görevlidir.
5.1.53 Hizmet aldığımız kişi veya kurumlar ile çözüm ortakları ve iş geliştirme kapsamında çalıştığımız
diğer gerçek veya tüzel kişilerin iletişim bilgileri başta olmak üzere sözleşme veya faaliyetler
kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin
saklama ve imha süreçlerinde Şirketimizin Yöneticisi ile görevlendirebileceği diğer çalışanlarımız
görev almaktadır. Yönetici şirketin faaliyetlerine devam edebilmesi için gerekli her türlü mal ve
hizmet tedariki ile bu işlemlerin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve
organizasyonundan görevlidir.
6. KİŞİSEL VERİLERİNİZİN KORUNMASI İÇİN ALINAN TEDBİRLER
6.1. Şirketimiz, kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı
olarak erişilmesinin ve kişisel verilerinizin işlenirken hukuka ve dürüstlük kuralına uygun hareket
etmek, kişisel verilerinizin doğru ve gerektiğinde güncel olmasını temin etmek, kişisel verilerinizi
belirli, açık ve meşru amaçlar için işlemek, kişisel verilerinizi işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü işlemek ve kişisel verilerinizi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza etmek suretiyle kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi
ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla aşağıdaki teknik, hukuki ve idari
tedbirleri almıştır:
6.1.1.
ÖZEL TEKNİK TEDBİRLER
ÖZEL TEKNİK TEDBİRLERİN AMACI VE AÇIKLAMASI
Saldırı Tespit ve Önleme Sistemleri
Dışarıdan Şirket veri tabanına ve kullanılan yazılımlara yönelik gelebilecek her türlü siber saldırı için
önleme sistemleri kurulmuş, bunun yanı sıra herhangi bir saldırı mevcut ise saldırının derhal tespiti
için gerekli teknik önlemler alınmıştır.
Log kayıtlarının tutulması
Sistemdeki her bir veri için gerek çalışanların gerek ise kullanıcılar ile Web Sitesi ziyaretçilerinin log
kaydı tutulmaktadır.
Ağ ve uygulama güvenliği
Şirketimizin kullanmakta olduğu (ve ileride kullanabileceği) sunucu ağlarının güvenliğinin sağlanması
amaçlanmaktadır.
Veri Kaybı Önleme Yazılımları
Şirketimiz veri kaybını önlemek adına teknik açıdan sağlam bir veri yedekleme sistemi ile veri
kurtarma işlemine olanak sağlayan yazılımlar kullanmaktadır.
Güncel Antivirus ve Antispam Sistemleri
Şirketimizde dışarıdan gelebilecek saldırılara vb. durumlara hazırlıklı olmak ile sistem ve veri
güvenliğini sağlama amacıyla en güncel ve güvenilir olan antivirus ve antispam sistemleri
kullanılmaktadır.
Güvenlik Önlemleri
Fiziksel ortamda tutulan kişisel verilerin çalınması veya yetkisiz kişi tarafından alınması/görülmesine
karşı güvenlik kamera sistemi, hırsızlık alarm sistemi, ilgili yerlere kontrollü giriş-çıkış ve kilit sistemi
kurulmuştur.
6.1.2. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak
erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin
hukuka uygun olarak imha edilmesi amacıyla gerekli teknik altyapı kurulmuş, teknik altyapının sıhhatli
işleyişi için gerekli teknik ve idari denetim mekanizmaları oluşturulmuştur.
6.1.3. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak
erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin
hukuka uygun olarak imha edilmesi amacıyla teknik uzmanlardan destek temin edilmiştir.
6.1.4. İş ve güvenlik devamlılığının sağlanabilmesi ile acil durumların üstesinden gelinebilmesi
amacıyla risk yönetim ekibi oluşturularak acil durum planlaması yapılmıştır.
6.1.5. Çalışanlarımız, iş ortaklarımız ve iş ilişkisinde olduğumuz diğer üçüncü kişilere hukuki, teknik ve
idari riskler hakkında bilgilendirme yapılmış, çalışanlarımıza kişisel verilerin işlenmesine,
saklanmasına, imhasına ve veri güvenliğine ilişkin genel ve olay bazlı teknik, idari ve hukuki farkındalık
eğitimleri verilmiştir. Eğitimler gerektiğinde belirli aralıklar ile tekrar edilmektedir. Verilere erişim
yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim yetkisine sahip kullanıcıların,
yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik olarak yetki kontrolleri
gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin
derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınma
süreci yürütülmektedir.
6.1.6. Kişisel verilerinizin aktarıldığı üçüncü parti kişilerden, kişisel verilerinizin güvenli bir şekilde
saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesi ile kişisel verilerinizin hukuka aykırı
olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilebilmesinin temini
amacıyla gerekli güvenlik tedbirlerini aldığına ve/veya alacağına ilişkin taahhütler alınmıştır.
6.1.7. Kişisel verilerinize hukuka aykırı erişimin önlenmesi ve kişisel verilerinizin hukuka aykırı
işlenmesinin engellenmesi amacıyla Şirket içi veriye erişim yetkilendirmeleri yapılmış olup,
yöneticilerimiz tarafından periyodik olarak erişim yetkilileri denetlenmektedir.
6.1.8. Kişisel verilerinizin imhası ile ilgili yapılan bütün işlemlerin kayıt altına alınmasını ve söz konusu
kayıtların asgari 2 yıl saklanmasını teminen teknik ve idari altyapı kurulmuştur.
6.1.9. Kişisel verilerinizin hukuka uygun olarak imha edilebilmesi için çalışanlarımıza dijital ve fiziki
kayıt ortamlarındaki kişisel verilerin silinme, yok edilme ve anonim hale getirilme yöntemleri ile
periyodik imha süre ve süreçlerine ilişkin hukuki, idari ve teknik eğitimler verilmiştir.
6.1.10. Silinen kişisel verilerinizin, ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için
gerekli teknik ve idari tedbirler alınmıştır. Bu bağlamda Şirketimizce kullanılan veri silme yöntemleri
vasıtasıyla silinen kişisel verilerinize ilgili kullanıcı tarafından erişilmesi ve/veya kullanılması imkansız
kılınmıştır.
6.1.11. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak
erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin
hukuka uygun olarak imha edilmesine ilişkin almış olduğumuz hukuki, idari ve teknik tedbirleri
periyodik olarak güncellemekteyiz.
6.1.12. Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı
birimlerce yönetilmektedir. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının
güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip
edilmektedir. Özel nitelikli kişisel verilere erişilen yazılıma ait kullanıcı yetkilendirmeleri yapılmış, bu
yazılımların güvenlik testleri düzenli olarak yapılmakta ve test sonuçlarının kayıt altına alınmaktadır.
Verilere uzaktan erişim sağlanması halinde en az iki kademeli kimlik doğrulama sisteminden geçilmesi
sağlanmaktadır.
6.1.13. Özel nitelikli kişisel veriler işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel
veri güvenliği konusunda farkındalık ve veri güvenliği eğitimleri verilmiş, gizlilik sözleşmeleri yapılmış,
taahhüt alınmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim
yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik
olarak yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu
alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen
envanterin iade alınma süreci yürütülmektedir.
6.1.14. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların
yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar
engellenmektedir. Bu amaçla, işbu verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal
e-posta adresiyle aktarılmakta; Sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı
gerçekleştirilmekte; taşınabilir bellek vb. ortamlarla veri aktarımı söz konusu ise kriptografik anahtar
oluşturulmaktadır. Yine işbu verilerin matbu / basılı olması halinde olası bir veri aktarımında söz
konusu evraklar “GİZLİ” formatta gönderilmektedir.
7. SÜRELER
7.1. Kanunlarda öngörülen asgari saklama süreleri saklı kalmak kaydıyla kişisel verileriniz; “ Kişisel
Verilerinizin İşlenmesine İlişkin Aydınlatma Metni” kapsamında ilan edilen ‘kişisel verilerinizi işleme
amacının tümüyle ortadan kalkması veya Kanun’un 5’inci ve 6’ncı maddelerinde yer alan veri işleme
şartlarının tamamının ortadan kalkması veyahut bunların hiçbirisi olmasa dahi Şirketimiz açısından
kişisel verilerinizi işlemenin teknik, idari veya mali olarak imkânsız hale gelmesi durumunda kişisel
verileriniz, bu durumun ortaya çıkışını takiben ilk periyodik imha işleminde re’sen veya talebiniz
üzerine Şirketimizce silinir, yok edilir veya anonim hale getirilir.
7.2. Şirketimizce benimsenen imha periyotları her yılın 4. ayının sonu ve 10. ayın sonunda olmak
üzere yılda iki seferdir.
7.3. Kanun’un 13’üncü maddesine istinaden Şirketimize yazılı olarak veya Kurul’un belirleyeceği sair
yöntemlerle yapacağınız başvuru ile kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale
getirilmesini talep ettiğinizde aşağıdaki usul ve esaslar geçerli olacaktır:
7.3.1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebinize konu kişisel verileriniz
silinir, yok edilir veya anonim hale getirilir. Talebiniz en geç otuz gün içinde sonuçlandırır ve tarafınıza
bilgi verilir.
7.3.2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel verileriniz
üçüncü kişilere aktarılmışsa, Şirketimiz bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu
Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
7.3.3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, talebiniz Şirketimizce Kanun’un
13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Bu halde ret cevabı
tarafınıza en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
7.3.4. Talebinizin niteliğine talep sonucunuz ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir
maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.
7.4. Kişisel verilerinize ilişkin -kanunlarda öngörülen azami ve asgari saklama süreleri saklı kalmak
kaydıyla- veri kategorilerine göre saklama süreleri ile imha ve periyodik imha süreleri aşağıdaki
tabloda belirtilmiştir:
Kişisel Veri Kategorisi
Kişisel Verilerinizin Saklanma Süresi
Kişisel Verilerinizin İmha Süresi
Kullanıcılardan Elde Edilen Kişisel Veriler
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
İş Başvurusu Sırasında Çalışan Adaylarına İlişkin Kişisel Veriler
2 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Personele Ait Kişisel Veriler (Kimlik, İletişim, Özlük Bilgileri, Hukuki İşlem Verileri, Mesleki Deneyim,
Görsel ve İşitsel Kayıtlar, Fiziksel Mekân Güvenliği)
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Personele Ait Ceza Mahkumiyeti ve İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Alınan Sağlık Verileri
Sağlık Verileri 15 yıl, Ceza Mahkumiyeti hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları, log kayıtları)
Log kayıtları 2 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler (Çerez vb.)
Çevrimiçi Websitesi Üyelik İşlemleri Ve Üyelere İlişkin Kişisel Veriler
2 yıl
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde
Şirket Ortak ve Yetkilileri İle TTK Kapsamında Tutulan Ticari Defter ve Kayıtlara İlişkin Kişisel Veriler
10 yıl
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme
şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden
yapacağınız başvuru üzerine en geç 30 gün içinde.
7.5. Kişisel verileri saklama sürelerinin tayininde, olası hukuki uyuşmazlıkların doğması ihtimaline
binaen gerek Şirketimiz gerekse ilgili kişilerin haklarını savunabilmek, delil ibraz edebilmek, def’i ve
itirazlarda bulunabilmek adına; doğabilecek hukuki uyuşmazlığa konu hakkın ileri sürülebilmesine
yönelik zamanaşımına uğrama süreleri ile kanuni yükümlülüklere ilişkin zorunlu süreler esas
alınmıştır.
8. KİŞİSEL VERİLERİNİZİN İMHASINDA KULLANILABİLECEK YÖNTEMLER
8.1. İşleme amacı tamamen ortadan kalkan elektronik ortamdaki veya kağıt ortamındaki kişisel veriler
Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok edilmesi veya
Anonim Hale Getirilmesi Rehberi”ne uygun olarak silinir, yok edilir veya yine bu Rehber’de öngörülen
yöntemlerle anonim hale getirilir. Teknik Birim tarafından gerçekleştirilen tüm silme, yok etme veya
anonim hale getirme işlemleri elektronik ortamda zaman damgası ile loglanarak kayıt altına alınır.
Kağıt ortamdaki kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin tutanak
düzenlenir ve Teknik Birim tarafından muhafaza edilir. Elektronik ve kağıt ortamdaki kişisel verilere
ilişkin silme, yok etme veya anonim hale getirmeye ilişkin kayıtlar üç yıl süre ile saklanır.
JollinApplication Yazılım ve Sanayi Limited Şirketi; kişisel verileri saklama süreleri boyunca sadece ilgili
departmanların bu verilere erişimini sağlayacak şekilde “silme” yöntemini kullanır. Saklama
sürelerinin bitmesi ve kişisel verinin saklanmasını gerektirecek herhangi bir başka amacın mevcut
olmaması halinde ise anonim hale getirme yöntemini kullanır.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu olarak silinen kişisel verilerin ilgili kullanıcılar
için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri
alınmaktadır.
Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi, erişim yetki ve kontrol matrisi ya da
benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi, ilgili kullanıcıların
erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi, ilgili
kullanıcıların kişisel veriler kapsamında erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin
kapatılması ve ortadan kaldırılması.
Kişisel Verilerin Silinmesi Yöntemleri
Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox vb.)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili
kullanıcının bulut sistemi üzerinde silinmiş verileri hiçbir şekilde geri getirme yetkisinin olmayacağı
şekilde işlem yapılmaktadır.
Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karatma işlemi
ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan
durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde silme veya
sabit mürekkep kullanılarak çizme, boyama işlemi ile ilgili kullanıcılara görünemez hale getirilmesi
şeklinde yapılır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin
üzerinde ilgili kullanıcının erişim haklarının kaldırılması şeklinde yapılır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler şifreleme anahtarlarıyla güvenli ortamlarda
saklanır, bu ortamlara uygun yazılımlar kullanılarak silme işlemi gerçekleştirilir.
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (delete vb.) silinmesidir. Anılan
işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. JollinApplication Yazılım ve Sanayi limited
Şirketi kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin
bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının
kullanılmasıyla tek tek yok edilmesi gerçekleştirilir.
Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı
kullanılabilir.
De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir
manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi
gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline
getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Katı hal diskler bakımından üzerine yazma ya da de-manyetize etme işlemi başarılı olmazsa, bu
medyanın da fiziksel olarak yok edilmesi sağlanır.
Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve
1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu
işlem özel yazılımlar kullanılarak yapılmaktadır.
Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer
almaktadır:
Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünlerin,
çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Bu sebeple (a)’da
belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, SSD, PATA vb.), SCSI (SCSI Express vb.)
ara yüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa
üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da
birkaçı kullanılmak suretiyle yok edilir.
Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan
ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme
gibi fiziksel yok etme yöntemleriyle yok edilir.
Mobil telefonlar (SIM kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza
alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Bu
sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Kağıt ve Mikrofiş Ortamlar: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam
üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt
imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri
birleştirilemeyecek şekilde küçük parçalara bölünür. Yahut yakma metodu ile geri döndürülemez
şekilde yok edilir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları
elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok
edilir.
Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında,
kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet
alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut
bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme
anahtarlarının tüm kopyalarının yok edilmesi gerekir. Yukarıdaki ortamlara ek olarak arızalanan ya da
bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi ise aşağıdaki şekilde
gerçekleştirilir;
İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan
önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak
suretiyle yok edilir,
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek
saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara,
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına
çıkartmasının engellenmesi için gerekli önlemlerin alınması.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim
hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel
verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya alıcı grupları
tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili
faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilir.
Veri sorumlusu olarak Şirket, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve
idari tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha
politikasında belirtilen esaslara uygun olarak gerçekleştirilir.
9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, elektronik ortamda yayımlanır, internet sayfasında açıklanır.
10. POLİTİKANIN GÜNCELLEME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
11. YÜRÜRLÜK
11.1. İşbu Politika yayımı tarihinde yürürlüğe girer.
11.2. Politika’da değişiklik ve güncelleme yapılması halinde, ilgili değişikliğe ilişkin bilgileri de
kapsayacak yeni sürüm yayımlanır.
11.3. İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır:
