Ismarlıyo

Ismarlıyo Veri Saklama ve İmha Politikası

Amaç

Grovtek Teknoloji A.Ş. (“Ismarlıyo”) olarak, kullanıcılarımızın, öğrenci üyelerimizin, bireysel ve ticari ısmarlayan üyelerimizin ve şirketimizle ilgili diğer gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine özen göstermekteyiz.

Bu itibarla, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında işlediğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri Saklama ve İmha Politikasına (“Politika”) göre belirlemekte ve gerçekleştirmekte; bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız.

Kapsam

İşbu Politika, kullanıcılarımızın, öğrenci üyelerimizin, bireysel ve ticari ısmarlayan üyelerimizin ve şirketimizle ilgili diğer gerçek kişilerin kişisel verilerini kapsamaktadır.

Politika, Ismarlıyor tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

Tanımlar

İşbu Politika kapsamında:

  1. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  2. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  3. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişiyi,
  4. Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
  5. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
  6. Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
  7. Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
  8. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

ifade etmektedir.

Bu Politika içerisinde özellikle tanımlanmayan kavramlar bakımından ise KVKK’da yer alan tanımlar uygulanacaktır.

Kişisel Verilerin Saklandığı Kayıt Ortamları

Ismarlıyo olarak, fiziksel ortamda kişisel veri işlememekteyiz.

İşbu Politika kapsamındaki kişisel veriler Ismarlıyor tarafından tamamen elektronik ortamda Ismarlıyo bünyesinde kullanılan cihazlarda yerel olarak ve geliştirilen uygulamanın işletilebilmesi ve teknik altyapının işletilebilmesi için kullanılan bulut bilişim hizmetlerinden yararlanılabilmesi amacıyla 410 Terry Ave North Seattle, WA 98109-5210/Amerika Birleşik Devletleri adresinde mukim Amazon Web Services Inc. (“AWS”) ile Ismarlıyo tarafından imzalanan 27.01.2025 tarihli standart sözleşmeye dayanılarak verilerin yurt dışına aktarıldığı yurt dışı sunucularında işlenmektedir.

Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Hukuki ve Teknik Sebepler

Kişisel veriler ilgili mevzuatta öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır. Kişisel verilerin birden fazla amaç için işlendiği hallerde, bu amaçların hepsinin gerçekleşmesi için gerekli olan süre dikkate alınacaktır.

Kişisel verilerin işlenme amaçlarının sona ermesi, verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda veriler silinir veya yok edilir. Silme ve yok etme işlemleri arasında tercih Ismarlıyo’ya aittir. Ancak ilgili kişinin bu işlemler arasından bir tercihi varsa bunu yazılı olarak Ismarlıyo’ya bildirmesi durumunda bu tercih Ismarlıyo tarafından dikkate alınacaktır.

Kişisel Verilerin Saklanma Süreleri ile Periyodik İmha Sürelerine İlişkin Bilgiler

Kişisel verilerin, veri kategorisi, veri saklama ortamı, verilerin toplanmasına ilişkin mevzuat, saklama süresinin başlangıcı, sonu ve toplam saklanacak süre gibi unsurlar göz önünde bulundurularak saklanması gerekmektedir.

Ismarlıyo olarak periyodik imha süremiz 180 gündür.

Kanun uyarınca kişisel verileri işleme şartlarının ortadan kalkması veya bu faaliyetlerin son bulması, ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektirmektedir. Bu sebeple, Yönetmelik m. 12 uyarınca veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işleme şartları ortadan kalkan kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü bulunmaktadır.

Kişisel Verilerin İmha Edilmesine Yönelik Yöntemler ve Tedbirler

Kişisel Verilerin Silinmesine Dair Yöntemler

  1. Elektronik ortamda tutulan kişisel veriler, saklandıkları kayıt ortamlarına göre, aşağıdaki tabloya göre silinirler:
ORTAM YÖNTEM
Elektronik Veri Tabanları
Kişisel veri içeren satırların veri tabanı işleme komutları (DELETE vb.) ile silinmesi
İlgili Kullanıcılarda görev ve yetkilendirme yapılarak veri tabanlarına erişimin kısıtlanması
Sunucu Verileri
İşletim sistemindeki silme komutu ile kişisel veri içeren dosyaların silinmesi
İlgili Kullanıcının kişisel veri içeren sunucu yollarına, dizinlerine erişim haklarının kaldırılması
Taşınabilir Cihazlar
Kişisel verilerin bulunduğu dosyaların şifreli olarak saklanmaksı ve İlgili Kullanıcının dosyaya erişiminin engellenmesi
Kişisel verilerin bulunduğu dosyaların uygun yazılımlar ile silinmesi

Kişisel Verilerin Yok Edilmesine Dair Yöntemler

  1. Elektronik ortamda tutulan kişisel veriler, saklandıkları kayıt ortamlarına göre, aşağıdaki tabloda yer alan yöntemlerden bir veya bir kaçı kullanılarak yok edilirler:
ORTAM YÖNTEM
Bulut Ortamları, Uzak Sunucular vb.
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında kullanılan şifreler ile kriptografik anahtarların yok edilmesi
Yerel ve Çevresel Sistemler
Demanyetizasyon ile aygıtın üzerindeki kişisel verilerin okunamaz hale getirilmesi
Kişisel veri içeren cihazların yakma, parçalama, eritme gibi fiziksel işlemlerle yok edilmesi
Özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılarak eski verilerin kurtarılmasının önüne geçilmesi

Kişisel Verilerin Hukuka Uygun İmhası İçin Alınan Tedbirler

  1. Ismarlıyo olarak işlediğimiz kişisel verilerin hukuka uygun imhası için, sayılanlarla sınırlı olmamak üzere:
    1. Yok etme ve silme işlemlerinin video kayıt vb. sistemlerle kayıt altına alınması,
    2. Oturum kaydı ve benzeri kayıtların tutulması,
    3. Verilerin üzerine veri yazılarak silinmesi amacıyla kullanılan yazılımların güncel tutulması,
    4. Çalışanlarımızın kişisel verilerin hukuka uygun imhası konusunda eğitilmesi ve bilgilendirilmesi,
    5. Silinen kişisel verilere ilgili kullanıcı tarafından erişilmesinin ve tekrar kullanılmasının engellenmesi,
    6. Yapılacak imha işlemleri sırasında yol gösterici olması amacıyla prosedür ve talimatların hazırlanması,
    7. Veriye erişim sürecinde onay ve denetim mekanizmalarının benimsenmesi,
    8. Verilerin niteliği veya hacmi gerektirdiğinde, alanında uzman profesyonellerle çalışılması

gibi idari önlemler almaktayız.

Kişisel Verilerin Güvenliğini Sağlamaya Yönelik Teknik ve İdari Tedbirler

Ismarlıyo olarak kişisel verilerin güvenli bir şekilde saklanması, bu verilerin hukuka aykırı olarak işlenmesi ve bu bilgilere hukuka aykırı olarak erişilmesinin önlenmesi için mevcut teknolojiler göz önüne alındığında gerekli olan her türlü idari ve teknik tedbirleri almaktayız.

Kişisel Verilerin Güvenliğine Yönelik Teknik Tedbirler

  1. Kişisel verilerin güvenliğinin sağlanması için, sayılanlarla sınırlı olmamak üzere:
    1. Faaliyetlerimizde kullanılan cihazlarda güncel güvenlik duvarları ve güvenlik yazılımlarının kullanılması,
    2. Faaliyetlerimizde kullanılan cihazlarda yüklü işletim sistemlerinin güncellemelerinin ve yamalarının zamanında yapılması,
    3. Kullanılmayan yazılım ve servislerin silinmesi,
    4. Kişisel verilerin bulunduğu ortamların yedeklerinin alınması,
    5. İnternet ağ geçidi ile kişisel verilerin güvenliğine tehdit teşkil edecek internet sitelerine ve online servislere erişimin engellenmesi,
    6. Kullanıcıların sistemlere giriş yaparken benzersiz kullanıcı adı ve şifre kullanmaları ve bu konuda gerekli bilgilendirilmelerin yapılması,
    7. Kullanıcı hesap yönetimi ile kişisel verilerin bulunduğu sistemlere erişimin sadece görevli ve yetkili kişilerle sınırlanması,
    8. Kullanılan sistemlere yönelik açıklık analizi ve sızma testlerinin yaptırılması ve yapılan analiz ve test sonuçlarına göre gerekli tedbirlerin alınması,
    9. SSL/TLS şifreleme sistemlerinin kullanılması ve kişisel verilerin güncel, güvenli şifreleme yöntemleri kullanılarak şifrelenmesi,
    10. Oturum kayıtları ve ilgili diğer kayıtların tutulması,
    11. Verilerin belirli zaman aralıklarıyla periyodik şekilde yedeklerinin alınması
    12. gibi teknik önlemleri almaktayız.

    2. Kişisel Verilerin Güvenliğine Yönelik İdari Tedbirler

    1. Kişisel verilerin güvenliğinin sağlanması için, sayılanlarla sınırlı olmamak üzere:
      1. Çalışanlarımızın kişisel verilerin hukuka uygun işlenmesi konusunda eğitilmesini ve bilgilendirilmesi,
      2. Ismarlıyo çalışanları tarafından kişisel verilerin hukuk aykırı olarak işlenmesi halinde alınacak tedbirlerin çeşitli politika ve prosedürlerle düzenlenmesi,
      3. İhtiyaç duyulmayan kişisel verilerin bu Politika uyarınca silinmesi veya yok edilmesi,
      4. Bilginin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul önlemlerin alınması,
      5. Veriye erişim sürecinde onay ve denetim mekanizmalarının benimsenmesi,
      6. 3. kişilerle veri paylaşımının kapsamını belirleyen gizlilik sözleşmelerinin ve diğer sözleşmelerdeki gizlilik hükümlerinin yürürlüğe konulması

    gibi idari önlemleri almaktayız.

    Kişisel Verilerin Saklanması ve İmha Süreçlerinde Yer Alan Kişiler Ve Sorumlulukları

    Kişisel verilerin işbu Politika ve ilgili diğer politikalar ve mevzuat uyarınca saklanması ve imha edilmesinden XXXXXX sorumludur.

    Güncelleme Sıklığı

    İşbu Politika güncel gelişmelere, yeni mevzuata ve organizasyonel yapıdaki değişikliklere uyum sağlamak amacıyla Ismarlıyo tarafından belirlenecek aralıklarla gözden geçirilir ve gerekli görüldüğü takdirde değiştirilir.

    Politikanın Yürürlükten Kaldırılması

    İşbu Politika https://www.ismarliyo.com internet sitesinde ve/veya bağlı mobil aplikasyonda yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İlgili mevzuatta aksini gerektiren bir değişiklik yapılmadıkça veya Ismarlıyo tarafından açıkça kaldırılmadıkça yürürlükte kalır.