KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

 

1.     TANIMLAR VE KISALTMALAR

Kurum : MİNT FİLM YAPIMCILIK ANONİM ŞİRKETİ

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Politika: Kişisel Veri Saklama ve İmha Politikası.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

 

2.   AMAÇ VE KAPSAM

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kurum tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kurum; çalışanlar, tedarikçi çalışanları, kiracı çalışanları, çalışan adayları, stajyerler, stajyer adayları, oyuncu adayları, film ekibi üyeleri, müşteri çalışanları ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Kurum tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

Çalışanlar, tedarikçi çalışanları, kiracı çalışanları, çalışan adayları, stajyerler, stajyer adayları, oyuncu adayları, film ekibi üyeleri, müşteri çalışanları ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

3.   SORUMLULUK ve GÖREV DAĞILIMLARI

Kurumun tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların ünvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki gibidir.

 

Unvan Görev
Yönetim Kurulu Politikayı onaylayarak yürürlüğe girmesini sağlar. Üst Yönetimin ve çalışanların Politikaya uygun hareket etmesinden sorumludur. Politikanın uygulanması için gerekli bütçeyi oluşturarak destek ve kaynak sağlar.
Üst Yönetim Politikanın işletilmesi ve yürütülmesi kapsamında yapılan çalışmaların takibinden sorumludur. Politikanın yürütülmesi için gerekli kararları alma ve uygulama faaliyetlerini yürütür.
KVKK Sorumlusu Politikanın oluşturulmasından ve onaylanması sonrasında ilgili ortamlarda yayınlanmasından sorumludur. Politikanın uygulanmasında Üst Yönetimin karar verdiği ve kaynak sunduğu teknik çözümlerin uygulanması faaliyetlerini yürütür.
İnsan Kaynakları

Muhasebe ve Finans

İdari İşler ve Güvenlik

Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

 

4.   KAYIT ORTAMLARI

Kişisel veriler, Kurum tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (Muhasebe uygulaması sunucusu, web sunucusu, vb.) Kağıt
Yazılımlar (Muhasebe ve IK yazılımı, Ofis uygulamaları, VERBIS, vb.) Manuel veri kayıt sistemleri (formlar, raporlar, vb.)
Bilgi güvenliği cihazları (Güvenlik duvarı, vb.) Yazılı, basılı ortamlar
Kişisel bilgisayarlar (Masaüstü, dizüstü)  
Taşınabilir medya (USB, yedekleme hard diskleri, görüntülerin depolandığı cihalar)  
Yazıcı, tarayıcı, fotokopi makinası  

 

5.   SAKLAMA ve İMHAYA İLİŞKİN AÇIKLAMALAR

Kurum tarafından; çalışanlar, tedarikçi çalışanları, kiracı çalışanları, çalışan adayları, stajyerler, stajyer adayları, oyuncu adayları, film ekibi üyeleri, müşteri çalışanları, kamu görevlileri, borçlular, avulatlar, dava tarafları, tanıklar, çalışan adayı referansları, çalışan adayı birinci derece yakınları, stajyer adayı referansları, stajyer adayı birinci derece yakınları, oyuncu adayı yasal temsilcileri, potansiyel ürün ve hizmet alıcıları ve ziyaretçilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

5.1. Saklamaya İlişkin Açıklamalar       

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurum faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

5.2. Saklamayı Gerektiren Sebepler     

Kurum faaliyetleri çerçevesinde işlenen kişisel veriler, aşağıdaki hususlar çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır:

  • Kurumun tabi olduğu aşağıda yer alan kanunlar ve düzenlemelerin öngördüğü saklama süreleri,
    • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
    • 6098 sayılı Türk Borçlar Kanunu,
    • 6102 sayılı Tük Ticaret Kanunu,
    • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
    • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
    • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
    • 4982 sayılı Bilgi Edinme Kanunu,
    • 4857 sayılı İş Kanunu,
    • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
    • Belirtilen kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
  • Kurumun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen saklama süreleri,
  • Çalışanlar ile yapılan iş sözleşmeleri, tedarikçilerden mal veya hizmet alımı için yapılan sözleşmelerin gerektirdiği saklama süreleri,
  • Kurumun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süreler,
  • Kişisel verilerin saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süreler,
  • Kurum tarafından, kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süreleri,
  • Kurumun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süreler.

5.3. Saklamayı Gerektiren İşleme Amaçları

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini

 

5.4. İmhayı Gerektiren Sebepler

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Kurum tarafından silinir, yok edilir, anonim hale getirilir ya da re’sen silinir, yok edilir, anonim hale getirilir.

 

6.     TEKNİK ve İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Kurum tarafından teknik ve idari tedbirler alınır.

 

6.1. Teknik Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
  • Kablosuz ağ bağlantısı için güvenli şifreleme metodu kullanılmaktadır.

 

 

6.2. İdari Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır .
  • Mevcut risk ve tehditler belirlenmiştir.

 

7.   KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

7.1. Kişisel Verilerin Silinmesi

Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle silinir.

 

 

Veri Kayıt Ortamı Açıklama
Sunucularda yer alan kişisel veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için Bilgi Sistemleri Sorumlusu tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Sorumlusu hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu çalışan hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir medyada bulunan kişisel veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece Bilgi Sistemleri Sorumlusunda olacak şekilde şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2. Kişisel Verilerin Yok Edilmesi

Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle yok edilir.

 

Veri Kayıt Ortamı Açıklama
Fiziksel ortamda yer alan kişisel veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik/manyetik medyada yer alan kişisel veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi veya parçalanması gibi fiziksel olarak yok edilmesi işlemi uygulanır.

 

7.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmesi için; kişisel veriler, Kurum veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

 

8.   SAKLAMA ve İMHA SÜRELERİ

Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri kişisel veri işleme envanterinde;
  • Veri kategorileri bazında saklama süreleri VERBİSe kayıtta;
  • Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında

yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kurum tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Kurum Bilgi Sistemleri Sorumlusu tarafından yerine getirilir.

 

Süreç Saklama Süresi İmha Süresi
AGİ Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
BES Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Bilgi Sistemleri Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çekim 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Dava Süreci 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Dava ve Şikayet Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Denetim 30 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Güvenlik 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İcra İşlemleri Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşe Alım Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İSG Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşten Çıkış 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İzin İşlemleri Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Maaş Ödeme Hukuki ilişki sonlandıktan sonra  20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ödeme İşlemleri 20 yıl

Hukuki ilişki sonlandıktan sonra  10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Oyuncu Seçimi Hukuki ilişki sonlandıktan sonra  10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşme Yönetimi Hukuki ilişki sonlandıktan sonra  10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Stajın Tamamlanması Hukuki ilişki sonlandıktan sonra 1 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Stajyer Alım Hukuki ilişki sonlandıktan sonra 1 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Tedarikçi Yönetimi Hukuki ilişki sonlandıktan sonra 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yasal Bildirimleri 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yönetim Kurulu Raportörlüğü 20 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

9.   PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Kurum, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Ocak ve Temmuz aylarında periyodik imha işlemi gerçekleştirilir.

 

10.POLİTİKANIN GÖZDEN GEÇİRİLMESİ

Kurum Kişisel Verileri Saklama ve İmha Politikasını ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.

 

11.POLİTİKANIN UYGULAMA SORUMLULUĞU

Politika, Yönetim Kurulu tarafından onaylanlandığında yürürlüğe girmiş kabul edilir. Politika çalışanlara duyurulur.