KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

1.GİRİŞ

2.AMAÇ

3. KAPSAM

3 TANIMLAR

4 ELEKTRONİK –FİZİKSEL  KAYIT ORTAMI

5.VERİ SORUMLUSU, İLGİLİ KİŞİ

6.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ

7.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

7.1.Saklamayı Gerektiren Hukuki Sebep

7.2.Saklamayı Gerektiren İşleme Amacı

7.3.İmhayı Gerektiren Durumlar

8.KİŞİSELVERİLERİN İŞLENMESİNDE, SAKLANMASINDA VE İMHASINDA SORUMLU KİŞİ VE BİRİMLER

9.KİŞİSEL VERİLERİN KORUNMASINA/SAKLANMASINA İLİŞKİN ALINAN İDARİ VE TEKNİK TEDBİRLER

   9.1.İdari tedbirler

   9.2.Teknik tedbirler

10.KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

   10.1.Kişisel Verilerin Silinmesi

   10.2.Kişisel Verilerin Yok Edilmesi

   10.3.Kişisel Verilerin Anonim Hale Getirilmesi

11.KİŞİSEL VERİLERİN İMHASI VE İMHA SÜREÇLERİ

12.KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

13.PERİYODİK İMHA SÜRECİ

14.İMHA SÜREÇLERİNE İLİŞKİN YAPILACAK EKLEMELER VE DEĞİŞİKLİKLER

15.POLİTİKANIN YAYINLANMASI-SAKLANMASI

16.YÜRÜRLÜLÜĞÜ VE YÜRÜLÜKTEN KALDIRILMASI

 

1.AMAÇ

Kişisel Verileri Saklama ve İmha Politikası, WE FİVE CONCEPT SAĞLIKLI YAŞAM VE SPOR MERKEZİ LTD. ŞTİ. tarafından işlenen kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 7 kapsamında saklanmasına ve imhasına yönelik faaliyetlerin usul ve esaslarını belirlemek amacıyla hazırlanmıştır.

WE FİVE CONCEPT SAĞLIKLI YAŞAM VE SPOR MERKEZİ LTD. ŞTİ faaliyetlerini yürütürken kayıt altına almış olduğu kişisel verileri KVKK’ ya ve ilgili mevzuata uygun olarak işlemekte ve yine bu kapsamda korumaktadır. Kişisel verilerin hukuka uygun olarak işlenmesi gerektiği gibi hukuka uygun olarak da imha edilmesi gerekmekte olup, iş bu saklama ve imha politikası işlenen kişisel verilerin saklanma ve imhasına yönelik sürecin planlanmasına yönelik aşamaları içermektedir.

2.KAPSAM

Şirket 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun veri sorumluları adına ön görmüş olduğu yükümlülükleri yerine getirmeye özen göstermekte ve Kişisel Verileri Koruma Kurulu’ nun gerekli kıldığı, kişisel verileri işlemeye yönelik tüm usul işlemlerini yerine getirmektedir.


3.TANIMLAR

Kanun 

 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kurul

 Kişisel Verileri Koruma Kurulu

İlgili Kişi/Veri Sahibi   

Kişisel verisi işlenen gerçek kişi.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

 

Veri İşleyen

 

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Kayıt ortamı                  

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı

Kişisel Verilerin Yok Edilmesi

 

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Kişisel Verilerin Silinmesi

 

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonim Hâle Getirme            

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’ sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

 

4.ELEKTRONİK –FİZİKSEL  KAYIT ORTAMI

 

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olan  yöntemlerle  toplanmakta dijital veya dijital olmayan yollarla işlenen kişisel verilerin bulunduğu ortamlardır.

Kişisel veriler aşağıda verili tabloda gösterilen kayıt ortamlarına uygun olarak KVKK hükümleri ve ilgili mevzuata uygun olarak  işlenmektedir.

 

ELEKTRONİK ORTAMLAR

FİZİKSEL  ORTAMLAR

·      Bilgisayar,

·      Yedekleme Alanları(server)

 

***

 

5.VERİ SORUMLUSU VE İLGİLİ KİŞİ

WE FİVE CONCEPT SAĞLIKLI YAŞAM VE SPOR MERKEZİ LTD. ŞTİ.kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerin korunmasını önemsemekte, işlenen ve işlenecek olan kişisel verilerin gerekli idari ve teknik tedbirlerle korunmasını sağlamak üzere kanunda belirlenen usul ve esaslara uygun planlamalar yapmaya çalışmaktadır.

Kişisel verilerin yine Kanun’a uygun olarak saklanmasına ve imhasına yönelik tüm usul işlemlerinde de şirket gerekli planlamaları yapmakta ve ilgili süreçleri yürütmektedir.

Şirketin sektörel faaliyetleri kapsamında ticari ve/veya hukuki ilişki içerisinde bulunduğu tüm gerçek kişiler veri sahibi/ilgili kişi olabileceği gibi şirket ile dolaylı yoldan ticari/hukuki ilişkiler geliştirmiş kişiler de veri sahibi/ilgili kişi olabilmektedir.

İlgili kişiler; Sözleşmeli personel, ziyaretçi, müşteri, iş ortağı (tedarikçi), üçüncü diğer kişiler vb. şeklinde şirket veri envanterinde detaylı olarak sıralanmış olan kişilerden oluşmaktadır.

 

6.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ

Söz konusu kişisel veriler, veri sorumlusu tarafından Mobil Uygulama hizmetlerinden faydalanılabilmesi amacıyla Kanun’un 5/2.c maddesi uyarınca “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine,  6502 Sayılı Tüketicinin Korunması Hakkında Kanun, Mesafeli Sözleşmeler Yönetmeliği ve Abonelik Sözleşmeleri Yönetmeliği; taraflar arasındaki tüketici ilişkisi çerçevesinde fatura süreci ve muhasebe işlemlerinin gerçekleştirilmesi adına 213 Sayılı Vergi Usul Kanunu ve Şirketimiz’in tabi olduğu 6102 Sayılı Türk Ticaret Kanunu uyarınca,  “Kanunlarda açıkça öngörülmesi” hukuki sebebine dayanılarak işlenmektedir.

Veriler ilgili kanunlara ve mevzuata uygun olarak veri sorumlusu tarafından kayıt altına alınmakta, verilerin saklama ve imha süreleri bu kanunlarda yer alan hükümler dikkate alınarak düzenlenmektedir.

Şirket kişisel verileri işlerken kanunda yazılı olan şu ilkelere uygun hareket etmektedir.

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

7.SAKLANMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket KVKK’ nın 5. ve 6. maddesine göre işlemiş olduğu verileri yine kanuna uygun olarak saklamakta ve imha politikalarına uygun olarak imha etmektedir.

   
   7.1.Saklamayı Gerektiren Hukuki Sebep

Şirket kişisel verileri aşağıda yazılı usul ve esaslara uygun olarak kayıt altında tutmaktadır.

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

   7.2.Saklamayı Gerektiren İşleme Amacı

  • Mobil Hizmet kullanım ilişkisinin kesintisiz olarak sürdürülebilmek,  gerekli sözleşmeleri kurabilmek ve uygulayabilmek
  • Kamu Kurum Ve Kuruluşlarıyla İletişim Ve Bilgi Akışının Sağlanabilmesi,
  • Hukuki işlerin takibi ve yürütülmesi
  • Kullanılan bilgisayar sistem ve yazılımlarının bilişim saldırılarına karşı korunabilmesi
  • Şirketin internet güvenliğinin sağlanabilmesi, Sözleşmeye ve kanuna aykırılıkların soruşturulması tespiti, önlenmesi ve ilgili idari veya adli makamlara bildirilmesi süreçlerini yönetebilmesi,
  • Yasal yükümlülükler gereği finans işlerinin yürütülebilmesi
  • Kanuni yükümlülüklerin yerine getirilebilmesi
  • Mobil Uygulama üzerinden kişisel hesabının oluşturulması, düzenlenmesi ve kişisel hesap üzerinden işlemlerinin yönetilmesi,
  • Spor faaliyetleri yönetimi hizmetlerinin sağlanabilmesi ve eğitim süreçlerinin yürütülmesi
  • Kullanıcıların belirlenebilmesi
  • İletişim faaliyetlerinin ve promosyon süreçlerinin yürütülebilmesi

 

    7.3.İmhayı Gerektiren Durumlar

  • İşlenmesini ve saklanmasını gerektiren amacın ortadan kalkması
  • Açık rızaya bağlı olarak işlenen kişisel verilere istinaden ilgili kişinin açık rızasını geri alması
  • Mevzuat hükümlerinin değişmesi veya ilgası
  • Kişisel veri işlenmesine bağlı hukuki sebeplerin ortadan kalkması

Durumlarında, elektronik ortamda (bilgisayarda, serverda kayıtlı) kayıtlı veriler silme (geri dönüşümsüz yok etme)  yöntemi ile imha edilmektedir.

 

8.KİŞİSELVERİLERİN İŞLENMESİNDE, SAKLANMASINDA VE İMHASINDA SORUMLU KİŞİ VE BİRİMLER

Şirket kişisel verilerin hukuka uygun olarak işlenmesinden asıl olarak sorumlu  olup, kişisel verileri işleme noktasında yetkilendirdiği tüm kişi ve birimleri bu sorumluluk kapsamında planlamaya ve veri işleme sürecine dâhil etmektedir. Politika kapsamında idari ve teknik tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, hukuka  aykırı olarak erişilmesinin önlenmesi, hukuka uygun olarak saklanması amacıyla veri gizliliğine dair gizlilik sözleşmesi imzaladığı personellerini, disiplin prosedürünü işleten birimlerini, işlenen kişisel verilerin muhafazasında rol alan ilgili birimlerine destek vermektedir.

Şirket yapılacak olan tüm veri işleme süreçlerine aktif olarak destek vermekte olup özellikle kişisel verilerin korunmasına yönelik alınan idari ve teknik tedbirlerin kontrolünü sağlamakta düzenli olarak görevli ve yetkili birimleri denetlemektedir.

 

UNVAN

BİRİM

GÖREV

KVKK müdürü

Şirkette bütün departmanlardan  kvkk müdürü olarak tayin edilen kişi sorumlu olup sadece kvkk müdürü tarafından veri işlenmektedir.

Politikanın işletilmesi ve birim süreç yönetimi

 

9.KİŞİSEL VERİLERİN KORUNMASINA/SAKLANMASINA İLİŞKİN ALINAN İDARİ VE  TEKNİK TEDBİRLER

   9.1.İdari tedbirler

Şirket ilgili kişilerden edinilen kişisel verilere ilişkin veri envanteri oluşturmakta, envantere işlenen verilerin güncel ve doğru olması konusunda ilgili birim çalışanlarına eğitimler vermektedir.

Şirket tarafından kaydedilmesi öngörülen veriler veri işlemeye yetkili birimler tarafından korunmakta, ilgili kişisel verilere yetkisiz kişiler tarafından erişimler engellenmektedir.

Fiziki olarak tutulan kişisel verilerin ise ayrıca fiziki güvenliği sağlanmakta, bu veriler yetkisiz ve ilgisiz kişilerin erişebileceği alanlardan uzak tutulmaktadır.

Şirket tarafından tutulan özel nitelikteki kişisel veriler ayrıca korunması gereken veriler olup, ilgili veriler yalnızca ilgili departmandaki ilgili sorumlu tarafından korunmaktadır.

Şirket tarafından hukuka aykırı veri işlemeye yönelik riskler belirlenmiş ve bu risklerin önüne geçebilecek planlamalar yapılmıştır. Veri işlemeye yetkili birim tek kişiden oluşmakta olup başkaca kişiler tarafından veri işlenmemesi sağlanmıştır.

Üçüncü kişilerle yapılan sözleşmelere veri güvenliğine ilişkin maddeler eklenmekte, gerekmesi halinde üçüncü kişilerle ayrıca veri güvenliğine ilişkin sözleşmeler yapılmaktadır.

İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

 

   9.2.Teknik tedbirler

Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemler Alınmakta,

 Erişim Yetki Ve Rol Dağılımları İçin yapılan tespite uyumlu çalışılmakta,

Yerel Alan Ağını Oluşturan Kenar Anahtarların Fiziksel Güvenliğinin Sağlanması,

Saklama Ve İmha Politikasına Uygun İmha Süreçleri Tanımlanmakta Ve Kişisel Verilerin İşlendiği Elektronik Ortamlarda  Parolalar Kullanılmaktadır.,

Güncel Antivirüs programları,

Yetkilendirme, Güçlü şifreleme, Erişim sınırlamaları kullanılmaktadır.

10.KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

   10.1.Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

   10.2.Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. 

   10.3.Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.


WE FİVE CONCEPT SAĞLIKLI YAŞAM VE SPOR MERKEZİ LTD. ŞTİ. elektronik  ortamda tutulan verilerin silinmesi( geri dönüşümsüz silinmesi) yöntemine ilişkin imha teknikleri kullanılmaktadır.


11.KİŞİSEL VERİLERİN İMHASI VE İMHA SÜREÇLERİ

Kişisel veriler şirket tarafından resen imha edilebileceği gibi ilgili kişinin talebi ile de imha edilebilmektedir. Şirket, kişisel verileri ancak uymakla yükümlü olduğu mevzuatta belirtildiği ve/veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmekte, ön görülen sürenin sonunda imha politikalarına uygun olarak silinmekte veya yok edilmektedir.

Kişisel veri sahibinin şirkete başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde ise Şirket;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir ayrıca talebe konu olan kişisel veriler üçüncü diğer kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir;
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, kişisel veri sahibinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

İşlenen kişisel verinin imha edilme gerekliliğinin doğması ve ilgili muhafaza süresinin dolması  halinde imha sürecine ilişkin planlamalar yapılır ve bu planlamalar dahilinde verilerin imhası için yöntemleri kullanılır.

 

12.KİŞİSELVERİLERİN SAKLAMA VE İMHA SÜRELERİ

         Aşağıda detayları şirket tarafından saklı tutulan kişisel bilgi ve belgeler gösterilen sürelerin sonunda imha edilmektedir. İlgili sürelerin sonunda veriler periyodik olarak otomatik ve/veya  manuel olarak imha edilmektedir.

 

        VERİ SAHİBİ/İLGİLİ KİŞİ

                               SÜRE

Spor Faaliyeti Kullanıcısı

 Mobil Hizmet Kullanımının fiilen sona ermesinden itibaren 10 yıl

Üye/Kullanıcı

Ticari ilişkinin fiilen sona ermesinden itibaren 10 yıl

Üye olmaksızın alışveriş yapan kullanıcı

Ticari ilişkinin fiilen sona ermesinden itibaren 10 yıl

Ziyaretçi

Ticari ilişkinin fiilen sona ermesinden itibaren 10 yıl

Sözleşmesel ilişki dışında 3. Kişi

Ticari ilişkinin fiilen sona ermesinden itibaren 10 yıl

 

 13.PERİYODİK İMHA SÜRECİ

 

Yönetmeliğin 11 inci maddesi gereğince Kurum, periyodik imha süresini 6 ay olarak

belirlemiştir. Buna göre, Şirkette her yıl Ocak  ve Temmuz  aylarında periyodik imha işlemi

gerçekleştirilir.

14.İMHA SÜREÇLERİNE İLİŞKİN YAPILACAK EKLEMELER VE DEĞİŞİKLİKLER

İş bu politikada gerektiği takdirde gerekli bölümler güncellenebilecek olup, aşağıdaki tabloda gerekli alanlar doldurulmak sureti ile değişiklik yapılacak olup, saklama ve imha politikasının son  hali yayına alınır.

 

YAPILANDEĞİŞİKLİK/EKLEME TARİHİ

DEĞİŞİKLİK/EKLEME KONUSU

 

.

 

 

 

 

EKLEME/DEĞİŞİKLİĞE İLİŞKİN DETAYLAR

 

 

 

15.POLİTİKANIN YAYINLANMASI-SAKLANMASI

Politika elektronik ortamda yayımlanır, internet sayfasında kamuya açıklanır.

Politikada ekleme ve değişiklik yapılması halinde ekleme ve/veya değişiklik yapılmış hali pdf  şeklinde saklanır.

 

16.YÜRÜRLÜLÜĞÜ VE YÜRÜLÜKTEN KALDIRILMASI

Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.

Politikada ekleme ve değişiklik yapılması halinde bir önceki politika yayından kaldırılıp ekleme ve/veya değişiklik yapılmış yeni hali yayınlanır.  Politikanın yeni hali de yayınlandığı tarihten itibaren yürürlüğe girecektir.