Kişisel Veri Saklama ve İmha Politikası
Son Güncelleme Tarihi: 21.01.2026
1. GİRİŞ
1.1. AMAÇ
Penezoğlu Hukuk Bürosu’nun (“Penezoğlu Hukuk”) tarafından hukuka uygun olarak yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veriler, veri envanterinde belirlenen amacın ortadan kalkması ve azami saklama süresinin sonra ermesinin sonucunda imha edilecektir. Kişisel veriler, mevzuat hükümleri uyarınca silme, yok etme veya anonim hale getirme işlemlerinden biri veya birkaçı ile imha edilebilecektir. İşbu “Kişisel Verileri Saklama ve İmha Politikası” (“Politika”) ile kişisel verileri Penezoğlu Hukuk tarafından işlenen kişiler bilgilendirilerek şeffaflık sağlanacak; işlenmiş olan kişisel verilerin saklanması için geçerli sebeplerin varlığı düzenli olarak kontrol edilecek ve geçerli sebebin ortadan kalkmasıyla kişisel veriler imha edilecektir. Penezoğlu Hukuk Bürosu, veri sorumlusu sıfatına Av. Özlem Bulut Penezoğlu ve Av. Yusuf Gökhan Penezoğlu haiz olup , kişisel verilerin işlenmesine ilişkin tüm faaliyetler anılan veri sorumluları tarafından Kanun ve ilgili mevzuata uygun olarak yürütülmektedir.
1.2. KAPSAM
İşbu Politika; Penezoğlu Hukuk’un kişisel veri işlediği süreçlere dâhil olan tüm birim ve çalışanları ile üçüncü tarafları kapsamaktadır. Politika; Penezoğlu Hukuk’un kişisel veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır. Ayrıca, Politika sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır. Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda Penezoğlu Hukuk, Politika’yı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
1.3 KISALTMALAR ve TANIMLAR
İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
| Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerin oluşturduğu gruptur. |
| Anonim Hale Getirme | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
| Başvuru Formu | Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içerecek, politika kapsamında burada bağlantı sağlanan başvurunun yöntemini açıklayan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”. |
| Doğrudan Tanımlayıcılar | Tek başlarına ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar. |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
| İnternet Sitesi | https://www.penezoglu.com |
| İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | Penezoğlu Hukuk’un her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi firmalar, hizmet alınan firmalar, müşteri firmalar gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. |
| Karartma: | Kişisel verilerin bütünlüğünün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler |
| Veri Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
| Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
| Kişisel veri işleme envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandıkları envanter |
| Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel veri sahibi | Kişisel verisi işlenen gerçek kişi |
| Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
| Kurul | Kişisel Verileri Koruma Kurulu |
| Kurum | Kişisel Verileri Koruma Kurumu |
| Maskeleme | Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin silinmesi, boyanması ve yıldızlanması gibi işlemler |
| Özel nitelikli kişisel veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
| Periyodik imha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen belirli zaman aralıklarında gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
| Sicil | Halihazırda yürürlükte olmayan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’na göre Kurul tarafından tutulacak Veri Sorumluları Sicilidir. |
| Hizmet sağlayıcı | Penezoğlu Hukuk’un faaliyetlerini yürütürken Penezoğlu Hukuk’un emir ve talimatlarına uygun olarak sözleşme temelli olarak Penezoğlu Hukuk’a hizmet sunan taraflar |
| Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi |
| Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
| Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir. |
2. SORUMLULUK ve GÖREV DAĞILIMLARI
Penezoğlu Hukuk’un tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
UNVAN | BİRİM | GÖREV |
Partner | Penezoğlu Hukuk Bürosu | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Direktör | Penezoğlu Hukuk Bürosu | Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
IT | Ez Teknoloji Bilişim Hizmetleri ve Enformasyon Teknolojileri Danışmanlığı Ticaret Ltd. Şti. | Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
İdari ve Mali İşler Sorumlusu | Penezoğlu Hukuk Bürosu | Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
3. KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Penezoğlu Hukuk tarafından aşağıdaki tabloda listelenen ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlarda, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|
|
4. SAKLAMAYA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Penezoğlu Hukuk tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1. Saklamaya İlişkin Açıklamalar
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Penezoğlu Hukuk faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
Penezoğlu Hukuk, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu 4447 sayılı İşsizlik Sigortası Kanunu, 4632 Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu, 1136 sayılı Avukatlık Kanunu, 213 sayılı Vergi Usul Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2. Saklamayı Gerektiren İşleme Amaçları
Penezoğlu Hukuk, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
Acil Durum Yönetimi Süreçlerinin Yürütülmesi • Bilgi Güvenliği Süreçlerinin Yürütülmesi • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi • Çalışanlar için İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • Çalışanlar için Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi • Denetim / Etik Faaliyetlerinin Yürütülmesi • Eğitim Faaliyetlerinin Yürütülmesi • Erişim Yetkilerinin Yürütülmesi • Faaliyetlerin Mevzuata Uygun Yürütülmesi • Finans ve Muhasebe İşlerinin Yürütülmesi • Fiziksel Mekân Güvenliğinin Temini • Görevlendirme Süreçlerinin Yürütülmesi • Hukuk İşlerinin Takibi ve Yürütülmesi • İç Denetim / Soruşturma Faaliyetlerinin Yürütülmesi • İletişim Faaliyetlerinin Yürütülmesi • İnsan Kaynakları Süreçlerinin Planlanması • İş Faaliyetlerinin Yürütülmesi / Denetimi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi • Lojistik Faaliyetlerinin Yürütülmesi • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi • Mal / Hizmet Satış Süreçlerinin Yürütülmesi • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi • Organizasyon ve Etkinlik Yönetimi • Performans Değerlendirme Süreçlerinin Yürütülmesi • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi • Sözleşme Süreçlerinin Yürütülmesi • Talep / Şikâyetlerin Takibi • Taşınır Mal ve Kaynakların Güvenliğinin Temini • Ücret Politikasının Yürütülmesi • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
4.2. İmhayı Gerektiren Sebepler
Kişisel veriler;
∙ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
∙ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
∙ Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
∙ Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
∙ Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
∙ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Penezoğlu Hukuk tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Penezoğlu Hukuk tarafından teknik ve idari tedbirler alınır.
5.1. Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
5.2. İdari Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1. Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
Tablo 3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.2. Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Kurum tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo-4 Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Manyetik Medyada Yer Alan Kişisel Veriler | Manyetik medya (sabit diskler vb.), veri üzerine rastgele karakterlerle (1-pass, 3-pass, 7-pass) yeni veri yazılması suretiyle NIST 800-88 standartlarında overwrite yöntemiyle yok edilmektedir. Bu işlem DBAN, Blancco Drive Eraser, Eraser veya Microsoft Sdelete gibi araçlarla gerçekleştirilmektedir. |
Bulutta Yer Alan Kişisel Veriler | Bulutta yer alan kişisel verileri kriptografik yok etme yöntemiyle yok edilir. Veriler bulutta şifreli olarak tutulur ve veriye erişimi sağlayan şifreleme anahtarının imha edilmesiyle, anahtarın ortadan kalkması sonucu veriye hiçbir şekilde erişilemez hale gelir. |
6.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel veriler, anonimleştirme süreci kapsamında maskeleme, genel düzeyde sınıflandırma (kabalaştırma), veri çıkarma, tek yönlü şifreleme, gürültü ekleme, k-anonimlik veya veri birleştirme yöntemleri kullanılarak hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir.
7. SAKLAMA VE İMHA SÜRELERİ
Penezoğlu Hukuk tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Direktör tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi İdari ve Mali İşler Sorumlusu tarafından yerine getirilir.
Tablo 5: Süreç bazında saklama ve imha süreleri tablosu
Süreç | Saklama Süresi | İmha Süresi |
Acil Durum Yönetimi Süreçleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bilgi Güvenliği Süreçleri | Sistem Erişim Log Kayıtları 2 Yıl Olay/İhlal Kayıtları 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Adayı – Stajyer – Öğrenci Seçme Yerleştirme Süreçleri | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Memnuniyeti ve Bağlılığı | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanlar için İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanlar için Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Denetim ve Etik Faaliyetlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Eğitim Faaliyetleri | 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Erişim Yetkilerinin Yürütülmesi | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Faaliyetlerin Mevzuata Uygun Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Finans ve Muhasebe İşlerinin Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Fiziksel Mekan Güvenliğinin Temini | İş İlişkisinin Sona Ermesinden İtibaren 1 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Görevlendirme Süreçlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuk İşlerinin Takibi ve Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İç Denetim/Soruşturma/Faaliyetlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim Faaliyetlerinin Yürütülmesi | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Planlanması | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Faaliyetlerinin Yürütülmesi/ Denetimi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Lojistik Faaliyetlerinin Yürütülmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mal/Hizmet Satın Alım/Satış Süreçleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mal / Hizmet Satış Süreçlerinin Yürütülmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Organizasyon ve Etkinlik Yönetimi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Performans Değerlendirme | İş İlişkinin Sona Ermesinden İtibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Reklam/Kampanya/ Promosyon Süreçlerinin Yürütülmesi | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Risk Yönetimi Süreçleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşme Süreçlerinin Yürütülmesi | Sözleşmenin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stratejik Planlama | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Talep/Şikayet Takibi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Taşınır Mal ve Kaynakların Güvenliği | 2 yıl (envanter kayıtları) | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ücret Politikası | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Veri Sorumlusu Operasyonlarının Güvenliği | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
8. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince Penezoğlu Hukuk, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Penezoğlu Hukuk her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da İdari ve Mali İşler tarafından dosyasında saklanır.
10. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
11. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Penezoğlu Hukuk’un internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Partner ile Direktör tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İdari ve Mali İşler tarafından saklanır.
