KVKK Kişisel Veri Saklama ve İmha Politikası

1. Amaç ve Kapsam

2. Kısaltmalar ve Tanımlar

3. Kayıt Ortamı

3.1. Elektronik Ortamlar

3.2. Fiziksel Ortamlar

4. Saklamaya İlişkin Sorumluluk ve Görev Dağılımı

5. Saklama ve İmhaya İlişkin Açıklamalar

5.1. Saklamayı Gerektiren Hukuki Sebepler

5.2. Saklamayı Gerektiren Veri İşleme Amaçları

5.3. İmhayı Gerektiren Sebepler

6. Teknik ve İdari Tedbirler

6.1. Teknik Tedbirler

6.2. İdari Tedbirler

7. Kişisel Verileri İmha Teknikleri ve Periyodik İmha Süresi

7.1. Kişisel Verilerin Silinmesi

7.1.1. Fiziksel Ortamlarda Tutulan Kişisel Veriler

7.1.2. Elektronik Kayıt Ortamlarında Tutulan Kişisel Veriler

7.2. Kişisel Verilerin Yok Edilmesi

7.2.1. Fiziksel Kayıt Ortamlarında Tutulan Kişisel Veriler

7.2.2. Elektronik Kayıt Ortamlarında Tutulan Kişisel Veriler

7.3. Kişisel Verilerin Anonim Hale Getirilmesi

7.4. Periyodik İmha Süreleri

8. Saklama ve İmha Süreleri

9. Politika’nın Güncellenmesi

10. Politika’nın Yayınlanması, Saklanması ve Yürürlüğe Girmesi

1. Amaç ve Kapsam

Mildmania Oyun Sistemleri Anonim Şirketi (“Mildmania”), çalışan, çalışan adayı, stajyer, müşteri çalışanları ve/veya yetkilileri, Mildmania hissedarları ve sair üçüncü gerçek kişilere ilişkin kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile 28.10.2017 tarih ve 30224 sayılı Resmi Gazete ile yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve ilgili sair mevzuat hükümlerine uygun olarak işlemeyi ilke olarak benimsemiştir.

Bu doğrultuda, İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), Mildmania tarafından gerçekleştirilen faaliyetler sırasında işlenen verilerin saklanması, imha edilmesi ve/veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kişisel verilerin saklanmasına, imha edilmesine ve/veya anonim hale getirilmesine ilişkin işlemler işbu Politika’da belirlenen usul ve esaslara uygun olarak gerçekleştirilir.

İşbu Politika’nın kapsamını çalışan, çalışan adayı, stajyer, müşteri çalışanı, müşteri yetkilisi, Mildmania hissedarları, ziyaretçiler ve sair üçüncü gerçek kişilere ilişkin olan, Mildmania tarafından işlenen tüm kişisel veriler oluşturmaktadır.

İşbu Politika, Mildmania tarafından düzenlenerek yürürlüğe girmiştir. İşbu Politika, Mildmania’nın internet sitesinde (www.mildmania.com) yayınlanarak İlgili Kişiler’in erişimine sunulmuştur.

2. Kısaltmalar ve Tanımlar

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale gelmesini ifade eder.

Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını ifade eder.

De-manyetize Etme: Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemini ifade eder.

Elektronik Ortam(lar): Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği her türlü elektronik kayıt ortamını ifade eder.

Fiziksel Ortam(lar): Elektronik Ortam’ların dışında kalan tüm yazılı, basılı, görsel ve sair diğer fiziki kayıt ortamlarını ifade eder.

Fiziksel Yok Etme: Fiziksel Ortamlar’da tutulan veriler için, söz konusu verilerin bulunduğu evrakın kâğıt imha ve kırpma makineleri ile tekrar bir araya getirilmesi veya geri döndürülmesi mümkün olmayacak şekilde yırtılıp küçük parçalara ayrılması ya da yakılması yoluyla yok edilmesi işlemini; Elektronik Ortamlar’da tutulan veriler için, söz konusu verilerin bulunduğu optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi yoluyla fiziksel olarak yok edilmesi işlemini ifade eder.

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

İrtibat Kişisi: Mildmania tarafından, Kanun ve Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicil’e kayıt esnasında bildirilen gerçek kişiyi ifade eder.

Kişisel Verilerin İmha Edilmesi: Kişisel verilerin silinmesi, yok edilmesi ve/veya anonim hale getirilmesini ifade eder.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişisel Veri: Kimliği belli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf, ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicili’ni ifade eder.

Veri Sorumluları Sicili Bilgi Sistemi (“VERBİS”): Veri sorumlularının Sicil’e başvuruda ve Sicil’e ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunması ve kurtarılmasının önüne geçilmesi yöntemini ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek ya da tüzel kişiyi ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli bir kritere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

3. Kayıt Ortamı

Mildmania tarafından işlenen kişisel veriler, (i) Elektronik Ortamlar ile (ii) Fiziksel Ortamlarda tutulmaktadır.

3.1. Elektronik Ortamlar

Mildmania tarafından işlenen kişisel verilerin tutulduğu elektronik kayıt ortamları aşağıdaki gibidir:

Kişisel Bilgisayarlar
Sunucular
Bulut Sistemi
Veri Tabanları
Çıkartılabilir/Harici Bellekler/CD’ler
Yazılımlar (Ofis yazılımları vb.)
Mobil Cihazlar (Telefon, Tablet vb.)
Yedekleme Sistemleri
E-postalar

3.2. Fiziksel Ortamlar

Mildmania tarafından işlenen kişisel verilerin tutulduğu fiziksel kayıt ortamları aşağıdaki gibidir:

Yazılı, basılı ve görsel ortamlar
Dosyalar
Kağıtlar
Klasörler
Kapalı ve Kilitli Dolaplar
Kapalı ve Kilitli Çekmeceler
Arşiv Odaları

4. Saklamaya İlişkin Sorumluluk ve Görev Dağılımı

Mildmania bünyesinde, işbu Politika’da belirlenen usul ve esaslar ile tedbirlerin uygulanması, çalışanların farkındalığının artırılması, izlenmesi ve denetimi ile kişisel verilerin korunmasının Kanun ve mevzuata uygun şekilde işlenmesinin sağlanması, kişisel verilere hukuka aykırı erişimin engellenmesinin sağlanması amacıyla Kişisel Veri Korunması Komitesi (“Komite”) oluşturulmuştur. Söz konusu Komite, bir yönetici, İrtibat Kişisi ve bir hukuki danışmandan oluşmaktadır. Bunun yanında, Mildmania bünyesinde yer alan tüm birimlerdeki çalışanlar Kanun ve ilgili mevzuata uygun şekilde davranmakla yükümlü olup Komite’ye ve İrtibat Kişisi’ne destek vermekte ve tüm çalışanlar kişisel verilerin korunması ve kişisel verilere hukuka aykırı olarak erişimin sağlanmasının engellenmesinden sorumludur.

Bu doğrultuda, Mildmania bünyesindeki tüm çalışanlar ile İrtibat Kişisi ve Komite’nin görevleri aşağıdaki gibidir:

Politika’nın periyodik olarak güncellenmesi, geliştirilmesi, yayımlanması ve yürütülmesini sağlamak
Tüm çalışanların kişisel verilerin korunması ile ilgili bilgilendirilmesi ve eğitilmesi faaliyetlerini yürüterek Mildmania bünyesindeki faaliyetlerin ve iş süreçlerinin Politika’ya uygun şekilde uygulanmasını sağlamak
Mildmania bünyesinde tutulan Kişisel Veri İşleme Envanteri’nin doğruluğunu ve güncelliğini sağlamak
Gerektiği durumlarda VERBİS’e yapılan bildirimin güncelliğini sağlamak
Tüm çalışanların Kanun ve ilgili mevzuata uygun hareket etmesini sağlamak
Kişisel verilerin korunmasının sağlanması ve hukuka aykırı işlenmesinin önlenmesi için gerekli tüm teknik ve idari tedbirleri almak
İlgili Kişiler’in taleplerinin incelenmesi ve değerlendirmesi sonucunda alınan Komite kararının uygulanmasını sağlamak
Kurum ile gerekli iletişimi sağlamak
Kişisel verilerin korunmasına ilişkin olmak üzere yılda en az iki defa toplantı gerçekleştirmek

5. Saklama ve İmhaya İlişkin Açıklamalar

Mildmania tarafından işlenen kişisel veriler, Kanun’un 4. Maddesi doğrultusunda hukuka ve dürüstlük kurallarına uygun olarak, doğru ve güncel bir şekilde, belirli, açık ve meşru amaçlar kapsamında, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek işlenmektedir. Bunun yanında Mildmania tarafından işlenen kişisel veriler Kanun’un 5 ve 6. Maddesi’nde belirtilen şartlara ve ilgili mevzuata uygun şekilde işlenmektedir.

5.1. Saklamayı Gerektiren Hukuki Sebepler

Mildmania tarafından işlenen kişisel veriler, ilgili mevzuatta belirtilen süre kadar muhafaza edilir. Bu doğrultuda kişisel veriler, Kanun kapsamında veri sorumlusu olan Mildmania’nın (i) hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması ile (iii) veri sorumlusu Mildmania’nın meşru menfaatleri için veri işlenmesinin zorunlu olması ve (iv) bir hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması hukuki sebepleri ile aşağıda belirtilen mevzuat ile yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen süreler kadar saklanır:

6698 Sayılı Kişisel Verilerin Korunması Kanunu
6098 Sayılı Türk Borçlar Kanunu
6102 Sayılı Türk Ticaret Kanunu
5237 Sayılı Türk Ceza Kanunu
193 Sayılı Gelir Vergisi Kanunu
1136 Sayılı Avukatlık Kanunu
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
213 Sayılı Vergi Usul Kanunu
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
4857 Sayılı İş Kanunu

5.2. Saklamayı Gerektiren Veri İşleme Amaçları

Kişisel verilerin saklanması işlemi, Mildmania bünyesinde yürütülen her bir faaliyet sırasında işlenen veriler ve veri kategorileri bakımından belirli veri işleme şartları kapsamında gerçekleştirilmektedir. Bu doğrultuda, Mildmaniatarafından işlenen kişisel verilerin saklanma amaçları aşağıdaki gibidir:

Faaliyetlerin mevzuata uygun yürütülmesi,
Çalışanlar için iş akdi ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi,
Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İş faaliyetlerinin yürütülmesi,
Tasarım faaliyetlerinin yürütülmesi,
Kod yazımı faaliyetlerinin yürütülmesi,
Tasarım dokümanı oluşturma faaliyetlerinin yürütülmesi,
Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
İşe alım ve işten çıkarma faaliyetlerinin yürütülmesi,
İnsan kaynakları süreçlerinin planlanması ve yürütülmesi,
Performans değerlendirme süreçlerinin yürütülmesi,
Görevlendirme süreçlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
Mal/hizmet satın alım süreçlerinin yürütülmesi,
Mal/hizmet satış süreçlerinin yürütülmesi,
Mal/hizmet üretim süreçlerinin yürütülmesi,
Finans ve muhasebe işlerinin yürütülmesi,
İdari işlerin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi,
Müşteri ilişkilerinin yürütülmesi,
Lojistik faaliyetlerin yürütülmesi,
Konferans ve fuar katılımı faaliyetlerinin yürütülmesi,
İş geliştirme faaliyetlerinin yürütülmesi
Yönetim faaliyetlerinin yürütülmesi
Yetkili kişi, kurum ve kuruluşlarına bilgi verilmesi

Mildmania’nın faaliyetleri sırasında işlediği kişisel verilere ilişkin veri işleme amaçları Mildmania’nın yürüttüğü faaliyetler ve iletişimde bulunduğu kişi özelinde yapılan aydınlatmalar kapsamında değişiklik gösterebilecektir. Kişisel verilerin işlenmesine ilişkin aydınlatma ve bilgilendirme, İlgili Kişi’nin Mildmania ile kurduğu hukuki ilişkinin niteliğine bağlı olarak, Mildmania tarafından yürütülen faaliyet ve söz konusu hukuki ilişki özelinde yapılmakta olup kişisel veri işleme amaçları da bu doğrultuda değişiklik göstermektedir. Bu sebeple, yukarıda yazılı olan kişisel veri işleme amaçları, Mildmania’nın yürüttüğü faaliyetler kapsamında olan genel amaçlardır. Yukarıda yazılan amaçlar, kişisel verileri işlenen her bir İlgili Kişi için tümüyle aynı şekilde uygulanabilir olarak yorumlanamaz. Bu durum aynı zamanda, Kanun’un 4. Maddesi kapsamında, kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak, doğru ve güncel bir şekilde, belirli, açık ve meşru amaçlar kapsamında, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek işlenmesi ilkelerine ve kişisel verilerin korunmasına ilişkin sair Mevzuat’a tam uyum sağlanmasının bir gereğidir. Mildmania’nın kişisel veri işleme amaçlarını belirlemek ve bu amaçlarda değişiklik yapmaya ilişkin her türlü hakkı saklı olup işbu Politika, Mildmania’nın bu doğrultuda herhangi bir hakkından feragat ettiği şeklinde de yorumlanamaz.

5.3. İmhayı Gerektiren Sebepler

Mildmania tarafından işlenen kişisel veriler, aşağıda belirtilen durumlarda veya İlgili Kişi’nin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir:

Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin açık rızasını geri alması
Kanun’un 11. Maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi
Mildmania’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

6. Teknik ve İdari Tedbirler

Mildmania kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi ve kişisel verilerin hukuka aykırı olarak imha edilmesinin önlenmesi amacıyla, Kanun’un 12. Maddesi ve Kanun’un 6. Maddesi kapsamında özel nitelikli verilerin korunması için Kurul tarafından belirlenen esaslara uygun şekilde gerekli tüm idari ve teknik tedbirleri almaktadır.

6.1. Teknik Tedbirler

Kişisel verilerin güvenliğinin sağlanması ile Kanun ve mevzuata uygun şekilde saklama ve imha faaliyetinin gerçekleştirilmesi amacıyla Mildmania tarafından aşağıda belirtilen teknik tedbirler alınmaktadır:

Ağ güvenliği sağlanmıştır.
Uygulama güvenliği sağlanmıştır.
Şifreleme yapılmaktadır.
Yedekleme yapılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Güncel antivirüs sistemleri kullanılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Kişisel veri içeren dosyalara yetkisiz erişim teşebbüsü olması halinde bildirim iletilmektedir.
Verilerin e-posta ile iletmesi halinde söz konusu e-postalar, şifreli kurumsal e-posta adresleri kullanılarak iletilmektedir.
Kişisel veri içeren kayıt ortamlarına ulaşım sağlanmasında iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Yazılan kodların ilk satırına telif ve tescil metni konmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır

Yukarıda belirtilen teknik tedbirler Mildmania’nın faaliyetleri kapsamında gerek duyulması halinde değiştirilebilecektir. Söz konusu teknik tedbirlere ilişkin değişiklik yapılması halinde işbu Politika gerçekleştirilen değişiklikler doğrultusunda güncellenir ve güncel hali Mildmania’nın internet sitesinde yer alır.

6.2. İdari Tedbirler

Kişisel veri içeren ortam ve/veya dokümanlar kapalı ve kilitli dolap ve çekmecelerde tutulmaktadır
Kişisel veri içeren ortam ve/veya dokümanlara erişim sağlayabilecek kişiler belirli ve sınırlıdır
Çalışanlarla gizlilik protokolleri imzalanmaktadır
Görev değişikliği olan ya da işten ayrılan çalışanların ilgili alanlardaki kişisel verilere erişim yetkileri kaldırılmaktadır
Çalışanlar için veri güvenliği konusunda eğitim ve farkındalık çalışmaları yapılmaktadır
Kişisel veri güvenliği politika ve usulleri belirlenmektedir
Kişisel veri güvenliğinin sağlanmasına ilişkin denetimler yapılmaktadır
Kişisel veri içeren ortamlara giriş çıkışlarda gerekli güvenlik önlemleri alınmaktadır
Mildmania’nın taraf olduğu sözleşmelerde gizliliğe ilişkin hükümler ile kişisel verilerin hukuka uygun olarak korunmasına ve işlenmesine ilişkin hükümlere yer verilmektedir veya gizlilik ve kişisel verilerin korunmasına ilişkin olarak protokol imzalanmaktadır
Kişisel veri içeren ortamların dış risklere (yangın, sel vb.) ve erişim yetkisi olmayan kişilere karşı güvenliği sağlanmaktadır
Kişisel verilerin güvenliğinin sağlanmasına ilişkin mevcut risk ve tehditler belirlenmektedir
Veri işleyen hizmet sağlayıcıların kişisel verilerin korunmasına ilişkin farkındalığı sağlanmaktadır
VERBİS bildirimi yapılmıştır
Mildmania’nın yürüttüğü faaliyetler kapsamında kişisel verilerin işlenmesine ve korunmasına ilişkin olarak Kişisel Verilerin İşlenmesi ve Korunması Politikası, Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası hazırlanarak Mildmania’nın internet sitesinde yayımlanmıştır
Kişisel verilerin saklanması ve imha edilmesine ilişkin olarak Kişisel Veri Saklama ve İmha Politikası Mildmania’nın internet sitesinde yayınlanmıştır
Veri İhlali Olay Yönetim Prosedürü Oluşturulmuştur

Yukarıda belirtilen idari tedbirler Mildmania’nın faaliyetleri kapsamında gerek duyulması halinde değiştirilebilecektir. Söz konusu idari tedbirlere ilişkin değişiklik yapılması halinde işbu Politika gerçekleştirilen değişiklikler doğrultusunda güncellenir ve güncel hali Mildmania’nın internet sitesinde yer alır.

7. Kişisel Verileri İmha Teknikleri ve Periyodik İmha Süresi

İlgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan saklama süresinin sona ermesi durumunda Mildmania tarafından işlenen kişisel veriler, Mildmania tarafından re’sen veya ilgili kişinin başvurusu üzerine, Kanun ve mevzuat hükümlerine uygun olarak ve aşağıda belirtilen yöntemler kullanılarak imha edilir.

Kişisel verilerin imha edilmesi için aşağıda belirtilen yöntemlerden hangisinin kullanılacağı kararı re’sen Mildmaniatarafından verilir. İmhanın ilgili kişinin talebi üzerine gerçekleşecek olması halinde, imha yöntemine ilişkin ilgili kişinin talebi de dikkate alınır. İlgili kişinin talebine uygun imha yöntemi seçilmeyecek ve başka bir yöntem izlenecek ise buna ilişkin gerekçe ilgili kişinin başvurusunun Mildmania’ya ulaştığı tarihten itibaren en geç 30 (otuz) gün içinde ilgili kişiye bildirilir. İlgili kişi tarafından Kurul’a şikâyette bulunulması ve Kurul’un ilgili kişinin şikâyetini haklı bularak o yönde karar vermesi durumunda Mildmania, Kurul’un kararıyla bağlı olur.

7.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi işlemi, Yönetmelik’in 8. Maddesinde de belirtildiği üzere, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Mildmania bünyesinde işlenen kişisel veriler saklandıkları kayıt ortamına uygun şekilde silinir. Mildmania, kişisel verilerin Kanun ve mevzuata uygun olarak silinmesi için gerekli tüm idari ve teknik tedbirleri almıştır. Kişisel verilerin silinmesine ilişkin süreç aşağıdaki gibidir:

Silme işlemine konu teşkil edecek kişisel verinin belirlenmesi,
Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi,
İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi,
İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması aşamalarının izlenmesi

7.1.1. Fiziksel Ortamlarda Tutulan Kişisel Veriler

Fiziksel kayıt ortamlarında tutulan kişisel veriler, saklanmasını gerektiren sürenin sona ermesi halinde, fiziksel yöntemler kullanılarak silinmektedir. Dosya, klasör ve/veya kâğıt ortamında tutulan kişisel verilerin silinmesinde, ilgili kişisel verinin üzeri silinerek, çizilerek ve/veya boyanarak karartma yöntemi kullanılır ve söz konusu evrakın arşivlenmesinden sorumlu kişi ve/veya kişiler haricinde herhangi başka bir üçüncü kişinin erişimi mümkün olmayacak hale getirilir.

7.1.2. Elektronik Kayıt Ortamlarında Tutulan Kişisel Veriler

İşbu Politika’nın 3.1. Elektronik Kayıt Ortamları başlığında belirtilen kayıt ortamlarında tutulan kişisel veriler, saklanmasını gerektiren sürenin sona ermesi halinde aşağıda belirtilen yöntemlerden biri veya birkaçı kullanılarak silinir:

Yazılımlar ve veri tabanında yer alan kişisel veriler, ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilerek, veri tabanında belirtilen ilgili silme komutlarının kullanılması yoluyla (“DELETE” vb.) silinir.
Sunucu, yazılım ve yedekleme sistemlerinde yer alan kişisel veriler, ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilerek, ilgili dosyanın bulunduğu işletim sistemindeki silme komutu ile silinir ve dosya ya da dosyanın bulunduğu dizin üzerindeki ilgili kullanıcının erişim yetkisi kaldırılır.
Bulut sistemi, yazılım ve yedekleme sistemlerinde yer alan kişisel veriler, ilgili kullanıcının bulut sistemi üzerinde silinmiş olan verileri getirme yetkisi olması halinde söz konusu yetkisi de ortadan kaldırılarak, ilgili bulut sisteminde yer alan silme komutu kullanılarak silinir.
Çıkartılabilir/harici bellekler, CD’ler, kişisel bilgisayarlar, mobil cihazlar gibi taşınabilir medyada bulunan kişisel veriler, şifreli olarak saklanmaktadır ve bu ortamlara uygun yazılımlar ve komutlar kullanılarak silinmektedir.

7.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi işlemi, Yönetmelik’in 9. Maddesinde de belirtildiği üzere, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Mildmania bünyesinde işlenen kişisel veriler saklandıkları kayıt ortamına uygun şekilde yok edilir. Mildmania, kişisel verilerin Kanun ve mevzuata uygun olarak yok edilmesi için gerekli tüm idari ve teknik tedbirleri almıştır.

7.2.1. Fiziksel Kayıt Ortamlarında Tutulan Kişisel Veriler

Fiziksel kayıt ortamlarında tutulan kişisel veriler, saklanmasını gerektiren sürenin sona ermesi halinde, fiziksel yöntemler kullanılarak yok edilmektedir. Bu doğrultuda, fiziksel olarak kâğıt, klasör ve/veya dosyada bulunan ve kişisel veri içeren evraklar, ilgili belgenin kâğıt imha ve kırpma makineleri ile tekrar bir araya getirilmesi veya geri döndürülmesi mümkün olmayacak şekilde yırtılıp küçük parçalara ayrılması ya da yakılması yoluyla yok edilir.

7.2.2. Elektronik Kayıt Ortamlarında Tutulan Kişisel Veriler

Yazılımlar ve veri tabanında yer alan kişisel veriler, ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilerek, veri tabanında belirtilen ilgili silme komutlarının kullanılması yoluyla, geri döndürülmesi mümkün olmayan şekilde silinerek yok edilir.
Sunucu, yazılım ve yedekleme sistemlerinde yer alan kişisel veriler, ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilerek, ilgili dosyanın bulunduğu işletim sistemindeki silme komutu ile silinerek yok edilir ve dosya ya da dosyanın bulunduğu dizin üzerindeki ilgili kullanıcının erişim yetkisi kaldırılır.
Bulut sisteminde yer alan kişisel veriler, bir daha geri getirilemeyecek şekilde dijital komutla silinir ve kullanılan bulut sistemine ilişkin bilişim hizmeti sona erdiğinde kişisel verileri kullanılır hale getirmek için kullanılan gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
Çıkartılabilir/harici bellekler gibi ortamlarda tutulan kişisel veriler, (i) <block erase> komutu kullanılarak, (ii) üreticinin önerdiği yok etme yöntemi kullanılarak veya (iii) De-manyetize etme, Fiziksel Yok Etme, Üzerine Yazma yöntemlerinden biri veya birkaçı kullanılarak yok edilir.
CD, DVD gibi optik disklerde saklanan kişisel kişisel veriler, yakma, küçük parçalara ayırma veya eritme yollarından biri kullanılarak fiziksel şekilde yok edilir.
Yukarıda sayılanlar haricindeki elektronik ortamlarda tutulan tüm kişisel veriler, (i) De-manyetize etme, (ii) Fiziksel Yok Etme, (iii) Üzerine Yazma yöntemlerinden biri veya birkaçı kullanılarak yok edilir.

Yukarıda belirtilen ortamlara ek olarak, arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi aşağıdaki yöntemlerin biri ya da birkaçının kullanılması yoluyla gerçekleştirilir:

İlgili cihazların bakım ve/veya onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler (i) De-manyetize etme, (ii) Fiziksel Yok Etme, (iii) Üzerine Yazma yöntemlerinden biri veya birkaçı kullanılarak yok edilmesi
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının önüne geçilmesi için gerekli önlemlerin alınması

7.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi işlemi, Yönetmelik’in 10. Maddesinde de belirtildiği üzere, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi için kullanılabilecek yöntemler;

Değer Düzensizliği Sağlamayan Anonim Hale Getirme

Değişkenleri Çıkartma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılması işlemidir.
Kayıtları Çıkartma: İlgili kişiye ait kişisel verinin tekillik ihtiva etmesi halinde söz konusu verinin çıkarılması işlemidir.
Alt ve Üst Sınır Kodlama: İlgili kişinin belirlenebilmesine olanak sağlayabilecek belirli bir kişisel veri değişkeni için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerlerin birleştirilmesi yöntemini ifade eder.
Genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemini ifade eder.
Bölgesel Gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde ilgili kişinin verisinin ayırt edici nitelikte durması halinde istisnai ve ayırt edici durumu yaratan verinin silinmesi veya “bilinmiyor” olarak değiştirilmesi yöntemini ifade eder.
Global Kodlama: Alt ve Üst Sınır Kodlaması yönteminin mümkün olmadığı durumda ve sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde, belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde, seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtların bu yeni tanım ile değiştirilmesi işlemini ifade eder.
Örnekleme: Kişisel verilerin yer aldığı bütün veri kümesi yerine, verilerin yer aldığı kümeden alınan bir alt kümenin açıklanması veya paylaşılması yöntemidir.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri ifade eder.
Değer Düzensizliği Sağlayan Anonim Hale Getirme

Mikro Birleştirme: Kişisel verilerin yer aldığı veri kümesindeki bütün kayıtların anlamlı bir sıraya göre dizilip sonrasında bütün kümenin belirli sayıda alt kümelere ayrılması ve sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değerin ortalama değer ile değiştirilmesi yöntemini ifade eder.
Veri Değiş-Tokuşu: Kişisel verilerin yer aldığı kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle kayıt değişikliği oluşturulması yöntemini ifade eder.
Gürültü Ekleme: Kişisel veriye ilişkin olarak seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartma yapılması yöntemini ifade eder.
Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler

K-Anonimlik: Anonim hale getirilmiş veri kümelerinde, kişisel verilerin yer aldığı bir veri kümesindeki belirli alanlara, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engelleme yöntemini ifade eder.
L-Çeşitlilik: K-Anonimlik’in eksikleri üzerinden yürütülen çalışmalar ile oluşan L-Çeşitlilik yöntemi, aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliğin dikkate alan bir yöntemdir.
T-Yakınlık: Kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi yöntemini ifade eder.

Şeklinde gruplanabilecektir.

Mildmania tarafından işlenen kişisel veriler, kişisel verilerin saklanmasını gerektiren sürenin sona ermesi halinde, Mildmania’nın tasarrufuna bağlı olarak, yukarıda belirtilen yöntemlerden biri ya da birkaçı kullanılarak anonim hale getirilebilecektir.

7.4. Periyodik İmha Süreleri

Mildmania tarafından işlenen kişisel verilerin periyodik olarak imha süresi, Yönetmelik’in 11. Maddesi kapsamında 6 (altı) ay olarak belirlenmiştir. Buna göre Mildmania tarafından, yılda 2 (iki) kez olmak üzere her 6 (altı) ayda bir, periyodik olarak kişisel verilerin imha edilmesi işlemi gerçekleştirilir.

8. Saklama ve İmha Süreleri

Mildmania tarafından yürütülen faaliyetler kapsamında işlenen kişisel verilere ilişkin olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde,
Veri kategorileri bazında işleme süreleri VERBİS’e kayıtta,
Süreç bazında işleme süreleri ise işbu Politika’da yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Mildmania tarafından güncellemeler yapılabilir.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi, Mildmania’nın ilgili personeli tarafından yerine getirilir.

Bu doğrultuda, süreç bazında saklama ve imha süreleri aşağıdaki tabloda belirtildiği gibidir:

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Sözleşme Süreçlerinin Yürütülmesi

Sözleşmenin Sona Ermesini Takiben 10 yıl