Kişisel Veri Saklama ve İmha Politikası

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1- AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KV Kanunu”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) dahil KV Kanununun ikincil düzenlemeleri, Kişisel Verileri Koruma Kurulunun kararları (tamamı birlikte “KVK Mevzuatı”) uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin veri sorumlusu sıfatıyla Yoyo Bilgi Teknolojileri ve Turizm Ticaret A.Ş. (“Şirket”) tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
 

2- KAPSAM

İşbu Kişisel Veri Saklama ve İmha Politikası Şirket bünyesinde kişisel verileri işleyen herhangi bir sürece dahil olan tüm departmanları, çalışanları ve 3. tarafları kapsamaktadır.
Şirket çalışanlarına, çalışan adaylarına, stajyerlere, ürün ve hizmet alanlara, potansiyel müşterilere, ortaklara, ziyaretçilere, tedarikçilere ve diğer üçüncü kişilere ait tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
Şirketin sahip olduğu ya da şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.
 

3- İLKELER

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde KV Kanunu ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politika düzenlemelerine uygun hareket etmektedir.
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirket, Kanun ve ilgili mevzuatta düzenlenen kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmektedir.
İlgili Kişinin talebi halinde, uygun yöntem seçilecek ve talepler tebliğ tarihinden itibaren en geç 30 (otuz) gün içerisinde gerekçesi ile İlgili Kişiye açıklanacaktır.
İlgili Kişinin talebine konu verilerin üçüncü kişilere aktarılmış olması durumunda, talep verilerin aktarıldığı üçüncü kişiye bildirilecektir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması ve imha işleminde hazır bulunan kişiler (unvan, birim ve görev tanımı olmak üzere), imha yöntem, tarih ve saatin belirtilmesi ile kayıt altına alınması temin edilecektir.
Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından “Kişisel Veri İmha Protokolü”nde listelenmekte, kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler saklı kalmak üzere 3 (üç) yıl süreyle saklanmaktadır.

4- SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Şirketimiz bünyesinde tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız (ilgili politikaya “KVKK Politikası” adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaçlarla işlenmekte ve yine ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süreler saklanmaktadır.
Bu kapsamda saklamayı gerektiren işleme amaçları şunlardır:
  1. İnsan kaynakları süreçlerini yürütmek
  2. Kurumsal iletişimi sağlamak
  3. Şirket güvenliğini sağlamak
  4. İstatistiksel çalışmalar yapabilmek
  5. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
  6. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
  7. Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak
  8. Yasal raporlamalar yapmak
  9. Çağrı merkezi süreçlerini yönetmek
  10. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek
  11. Şirket hukuk işlerinin icrası/takibini yapmak
  12. Fiziksel mekân güvenliğinin temini ve ziyaretçi kayıtlarının oluşturulması

5- SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler şunlardır:
  1. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması,
  2. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  3. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
  4. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri için saklanmasının zorunlu olması,
  5. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  6. Kişisel verilerin şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması.

6- İMHAYI GEREKTİREN HUKUKİ SEBEPLER

Kişisel veriler, aşağıdaki durumların varlığı halinde ilgili kişinin talebi üzerine veya re’sen şirket tarafından silinir ya da yok edilir:
  1. Kişisel verinin hukuka aykırı olarak işlendiğinin tespit edilmiş olması,
  2. Kişisel verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  3. Kişisel verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  5. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu Şirket tarafından veya Kişisel Verileri Koruma Kurumu tarafında kabul edilmesi,
  6. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
 

7- SORUMLULUK VE GÖREVLER

İşbu Politika tüm kişisel veri işleyen kişilere Madde 15’te belirtilen şekillerde duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm çalışanlar, birimleri, hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır. Şirketin tüm çalışanları ve birimleri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi konusunda sorumlu birimlere destek verecektir.
Tüm iş birimleri kendi yürüttükleri süreçlerle ilgili olarak KVK Kanunu, ilgili mevzuat ve Kurul Karalarına uyum amacıyla kişisel verilerin işlenmesi, saklanması ve imha edilmesi için gerekli tedbirleri almaktan sorumludur. Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır.
Politikaya aykırı davranış tespit edildiğinde tespit eden kişi derhal Kişisel Veri Komisyonuna bilgi verecektir.
Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
Kişisel Veri Komitesi, uyum süreçlerini koordine etmek ve kişisel verilerin işlenmesi, saklanması ve imha edilmesi için gerekli önlemlerin alınmasını sağlamakla Kanun ve ilgili mevzuat uyarınca şirketin
yükümlülüklerini takip ve koordine ederek gerekli tedbirlerin alınmasından, birim çalışanlarının eğitilmesinden, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde sorumludur.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda gösterilmiştir.
UNVANI BİRİMİ GÖREVİ
Tüm Çalışanlar Tüm Birimler KVK Mevzuatı, Şirket içi Politikalar ve Prosedürler ve bunlarda düzenlenen veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek vermek ve sorumlu birimlerle işbirliği içinde çalışmakla sorumludur.
KVK Komitesi Koordinatörü
(İdari İşler)
 		 Kişisel Veri Komitesi
  • Çalışanların politikaya uygun davranmasından,
  • Çalışanların bu Politika kapsamında eğitimlerinden,
  • Periyodik imha süreçlerinin takibi; verilerin muhafaza süreleri boyunca saklanması, süre bitiminde imha edilmesinden,
  • İlgili Kişi taleplerinin incelenmesinden, değerlendirilmesinden, yanıtlanmasından ve kararı uyarınca yerine getirilmesinden;
  • Saklama ve imha süreçlerinin kayıtlarının tutulmasından; sorumludur.
KVK Komite Üyesi
(İdari İşler)
 		  
  • Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden;
  • Şirketin tüm birimleri dahilinde süreçlerin saklama sürelerinin belirlenmesinden sorumludur.
KVK Komite Üyesi
(Bilgi İşlem)		 Bilgi İşlem Müdürlüğü
  • Verilerin saklanması ve imhası süreçlerinde gerekli teknik ve idari tedbirlerin alınması ve takibinden;
  • Periyodik imha ve ilgili kişi talebi neticesinde silme, yok etme veya anonim hale getirme işlemlerinin KVK Mevzuatına ve bu Politikaya uygun şekilde gerçekleştirilmesi;
  • Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sağlanmasından sorumludur.
 

8- KAYIT ORTAMLARI

Kişisel veriler, şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde muhafaza edilir.
 
ELEKTRONİK ORTAMLAR

I. Sunucular
E-Posta: Microsoft Exchange
Yedekleme: Yedekleme Ortamları


II. Yazılımlar
Microsoft Office
(ofis yazılımları v.b.)


III. Bilgi güvenliği cihazları
Güvenlik Duvarı:
Antivirüs:
Saldırı Tespit ve Engelleme Sistemi:
Log Kayıtları
 
IV. Bilgisayarlar (masaüstü, dizüstü)


V. Mobil cihazlar (telefon, tablet, navigasyon vb.)

VI. Optik diskler (CD, DVD vb.)

VI. Taşınabilir bellekler (USB, Hafıza Kartı vb.)

VIII. Yazıcı, tarayıcı, fotokopi makinesi
 
FİZİKSEL ORTAMLAR

I. Fiziki kayıt ortamları
yazılı, basılı, görsel:
Belgeler
Formlar

 
II. Diğer Ortamlar
Birim Dolapları
Arşiv
 

9- TEKNİK TEDBİRLER

Şirket, Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için asgari olarak aşağıda belirtilen teknik ve idari tedbirleri alınmaktadır:
  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır
  2. Anahtar yönetimi uygulanmaktadır
  3. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır
  4. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır
  5. Erişim logları düzenli olarak tutulmaktadır
  6. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır
  7. Saldırı tespit ve önleme sistemleri kullanılmaktadır
  8. Şifreleme yapılmaktadır
  9. Veri kaybı önleme yazılımları kullanılmaktadır
  10. Güncel anti-virüs sistemleri kullanılmaktadır
  11. Güvenlik duvarları kullanılmaktadır
  12. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır
  13. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir
  14. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
 

10- İDARİ TEDBİRLER

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:
  1. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır
  2. Çalışanlar için yetki matrisi oluşturulmuştur
  3. Mevcut risk ve tehditler belirlenmiştir
  4. KVler mümkün olduğunca azaltılmaktadır
  5. KV içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır
  6. KV içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır
  7. KV içeren ortamların güvenliği sağlanmaktadır
  8. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır
  9. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır
Yukarıda sayılanlar asgari tedbirleri teşkil etmekte olup bunların da dahil olduğu, Şirketin uyguladığı tam kapsamlı ‘TEKNİK VE İDARİ TEDBİRLER’ KV Organizasyon Envanteri.xls dokümanında güncel haliyle kaydedilmektedir.

11- KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
  • Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
  • Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
  • İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
  • İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel veriler aşağıda belirtilen yöntemlerle silinir.
 
VERİ KAYIT ORTAMI SİLİNME YÖNTEMİ
Sunucular Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortam Veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Bulut  
Fiziksel ortam Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkeple çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir medya Sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
 

12- KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel veriler aşağıda belirtilen yöntemlerle yok edilir.
VERİ KAYIT ORTAMI YOK EDİLME YÖNTEMİ
Elektronik ortam İlgili üreticinin önerdiği yöntemler ya da fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
Fiziksel ortam Evrak imha makinelerinde geri birleştirilemeyecek şekilde küçük parçalara bölerek yok edilir.
Optik ya da manyetik medya Yakılarak veya doğranarak fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir
Taşınabilir medya Fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

 

13- KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemleri yalnızca ilgili kişisel verilerin veri sorumlusu nezdinde ve veri işleyenler nezdinde herhangi bir kopyasının (ör. yedekleme) dahi kalmaması durumunda tamamlanmış olacaktır. Bu yüzden her imha işleminde tüm ortamlarda kopyaları da tespit edilmeli ve imha edilmelidir ve veri işleyenlerin de aynı işlemleri gerçekleştirmeleri sağlanmalıdır.

14- SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Bunun haricinde “KV Organizasyon Envanteri.xls” Excel çalışma kitabında yer alan saklama ve imha süresi tablosu esas alınır. Genel bir oryantasyon verisi olarak aşağıda gösterilen süreler uygulanır.
SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler İş ilişkisinin bitimini müteakip 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha günü
 
İş Kanunu kapsamında saklanılan veriler İş ilişkisinin bitimini müteakip 10 yıl
Bordrolama İş ilişkisinin bitimini müteakip 10 yıl
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl
Personel mahkeme/adliye taleplerinin cevaplandırılması İş ilişkisinin bitimini müteakip 10 yıl
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
Eğitim kayıtlarının dosyalanması Eğitimin düzenlenmesinin ardından 10 yıl
SGK Mevzuatı kapsamında tutulan veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Adaya İlişkin Veriler Red kararından itibaren 3 ay


Red kararından itibaren 1 yıl
Adayın Açık Rıza Beyanı durumunda  
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri Kaydedilmesinden itibaren 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha günü
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterlerde Yer Alan Kişisel Veriler 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha günü
 
Tedarikçilere İlişkin Kişisel Veriler Hukuki ilişki sona erdikten sonra 10 Yıl
Muhasebe ve Finans Kayıtları 10 Yıl
Sözleşmeler Sözleşmenin Sona Ermesinden İtibaren 10 Yıl
E-postalar ve şirket içi yazışmalar 10 Yıl
Kişisel Veri İmha Kayıtları Kaydedilmesinden itibaren 3 yıl
Güncelliğini yitirmiş Politikalar ve Prosedürler Yürürlükten kaldırılmasından itibaren 5 yıl

Yukarıda belirtilen süreler uygulanmakla beraber, veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.
 

15- PERİYODİK İMHA SÜRESİ

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ve muhafaza yükümlülüğü bulunmaması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen saklama süresinin bitimini takip eden ilk periyodik imha zamanında re’sen siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri her yıl Haziran ve Aralık aylarında olmak üzere her 6 (altı) ayda bir tekrar eder.



 

16- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ

Politika, fiziki ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında ilan edilir. Basılı kâğıt nüshası şirket bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.
 

17- YÜRÜRLÜK

Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın iptal edilmiş versiyonu ve en az 5 yıl süre ile şirket tarafından saklanır.
 

Ek 1- TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Çalışan: Şirket personeli.
Elektronik ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik olmayan ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi/Kişisel Veri Sahibi:  Kişisel verisi işlenen gerçek kişi.
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel veri işleme envanteri   :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer İnançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasına yönelik her türlü ikincil düzenlemeler, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmalar ve diğer her türlü mevzuat.
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Komitesi: Şirket Yönetimi tarafından Kişisel Verilerin Korunması süreçlerini yönetme ve denetlenme görevi ile atanan Kişisel Veri Koruma Komitesi.
Politika:
Şirket: Yoyo Bilgi Teknolojileri ve Turizm Ticaret A.Ş.
Verbis/Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutan gerçek veya tüzel kişi.
Ziyaretçi: Şirket merkezi veya Şirketin diğer sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya web sitelerimizi ziyaret eden gerçek kişiler.
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.