Kişisel Verileri Saklama ve İmha Politikası

Kişisel Verileri Saklama ve İmha Politikası

  1. GİRİŞ

 

    1. Amaç

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kürkçüoğlu İç ve Dış Ticaret A.Ş. (‘Kürkçüoğlu’’ veya ‘’Şirket’’) tarafından işlenmekte olan kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket; hissedarları, şirket çalışanları, stajyer adayları, stajyerleri, çalışan adayları, stajyer ve çalışan yakınları, mal ve hizmet sağlayıcıları ve onların yetkilileri veya çalışanları, ziyaretçiler, aktif ve potansiyel müşteriler ve ilişkili olduğu diğer üçüncü kişilere ait kişisel verilerin;  T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun veya KVKK”), diğer ilgili mevzuat ve Kurul Kararları ile ‘Kişisel Verilerin Korunması ve İşlenmesi Politikası’na uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin korunması ve işlenmesi sürecinde, kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.

 

    1. Kapsam

İşbu Politikanın kapsamını, Şirket tarafından, otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen hissedarlar, stajyer adayları, stajyerler, şirket çalışanları, çalışan adayları, ziyaretçiler, aktif ve potansiyel müşteriler ve tedarikçileri, tedarikçi çalışanları, pazarlamacıları ve pazarlamacı çalışanları, şirketin ilişkili olduğu diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamlardaki kişisel verilerin saklanması ve imha edilmesi işlemlerine yönelik faaliyetlerde işbu Politika uygulanır.

Şirket, işbu Politika ile yönetilen; yukarıda belirtilen kişilere ait kişilere ait kişisel saklanması ve imhası için gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.

 

    1. Politikanın Yayınlanması, Güncellenmesi ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda saklanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Yönetim Sistemleri Müdürlüğünde/Biriminde dosyasında saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

    1. Politikanın Yürürlüğü Ve Yürürlükten Kaldırılması

Şirket tarafından hazırlanan bu Politika, Genel Müdür tarafından onaylanmasını müteakip internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür kararıyla Yönetim Sistemleri Müdürü tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Yönetim Sistemleri Müdürlüğünde/Biriminde dosyasında saklanır.

 

    1. Kişisel Verileri Saklama ve İmha Politikası’nın Diğer Politikalarla Olan İlişkisi

Şirket, bu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaların yanı sıra Şirket içinde temel politikalar oluşturabilir. Bu iç politikaların esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.

 

  1. REFERANSLAR
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • 4857 sayılı İş Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 6102 sayılı Türk Ticaret Kanunu
  • 213 sayılı Vergi Usul Kanunu
  • Veri Sorumluluğu Sicil Yönetmeliği
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
  • Kurul Kararları
  • Kişisel Verilerin Korunması ve İşlenmesi Politikası
  • Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası

 

  1. KISALTMALAR VE TANIMLAR
  • Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
  • Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
  • Elektronik Olmayan Ortam: Elektronik ortamlar dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
  • Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen şirketin organizasyonu dışındaki kişiler.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
  • Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • Kurul: Kişisel Verileri Koruma Kurulu
  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
  • Politika: Kişisel Verileri Saklama ve İmha Politikası
  • Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  • Şirket: Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
  • Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
  • Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
  • Ziyaretçiler: Şirket’in fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

 

  1. SORUMLULUK ve YETKİ
  • Genel Müdür: Politikanın uygulanmasından ve çalışanların politikaya uygun hareket etmesinden sorumludur.
  • İnsan Kaynakları Sorumlusu: Periyodik imha süresi uyarınca, kişisel verilerin saklama süresine uygunluğunun sağlanması, kişisel veri imha sürecinin yönetiminden sorumludur.
  • Yönetim Sistemleri Sorumlusu: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
  • Bilgi İşlem Sorumlusu: Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından, veri güvenliği ile ilgili teknik tedbirlerin alınmasından sorumludur.
  • Bölüm Sorumluları: Görevlerine uygun olarak Politikanın yürütülmesi, Görevi dahilinde olan süreçlerdeki kişisel verilerin saklama süresine uygunluğunun sağlanmasından sorumludur.

 

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce bu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

  1. KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.

 

Tablo 1. Kayıt Ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, Exchange server, file server, Sap Hybris, SQL server, SAP HANA server)

Kağıt

Yazılımlar (Ofis yazılımları, CRM, Logo, SAP, QDMS, eBA, Sap Hybris)

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri, vb.)

Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs, DLP Yazılımı)

Yazılı, basılı, görsel ortamlar

Kişisel bilgisayarlar (Masaüstü, dizüstü)

 

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Yazıcı, tarayıcı, fax, fotokopi makinesi

 

  1. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

 

İş faaliyetleri sırasında veri sorumlusu sıfatıyla “Şirket” tarafından belirlenen amaçlar ve usullerle, şirket çalışanlarınca ya da veri işleyenlerce, ‘Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilmiş olan amaçlar doğrultusunda kişisel veriler toplanmaktadır.

Hissedarların, müşterilerin, potansiyel müşterilerin, çalışan adaylarının, çalışanların, stajyer adaylarının, stajyerlerin, stajyer ve çalışan yakınlarının, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerin, pazarlamacıların, tedarikçilerin ve şirketin iş birliği içinde olduğu kurumların çalışanlarının, hissedarları ve yetkililerinin ve şirketin ilişkili olduğu diğer üçüncü kişilerin kişisel verileri, Kanuna uygun olarak Şirket tarafından saklanır ve işleme amacının ortadan kalkması halinde imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

    1.  Saklamaya İlişkin Açıklamalar

Kanunun 3.maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4.maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6.maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, azami ilgili mevzuatta öngörülen süre kadar saklanır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Şirketin o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirketin uygulamaları ve ticari yaşamının teamülleri, işlenmelerindeki amaçlar veya ilgili kanunlarda öngörülen genel zamanaşımı süreleri uyarınca işlenmesini gerektiren süre kadar işlenmektedir. Bu sürelerin sonunda ise bu politikada belirtilen esaslara göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş ise, Şirket açısından saklanma sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.

Buradaki sürelerin belirlenmesinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel veriler silinmekte yani ilgili kullanıcılarca erişilmemekte ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman Bilgi İşlem Müdürü tarafından ilgili kişisel verilere erişim sağlanmaktadır. Bu süreler de sona erdikten sonra kişisel veriler yok edilmekte veya anonim hale getirilmektedir. Kişisel verileri saklama ve imha süreleri Tablo 4’de gösterilmiştir.

      1. Saklamayı Gerektiren Hukuki Sebepler ve İşleme Araçları

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıdaki kanunlar uyarınca ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • 213 sayılı Vergi Usul Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • 4982 Sayılı Bilgi Edinme Kanunu
  • 4857 sayılı İş Kanunu
  • 4632 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu
  • 6102 sayılı Türk Ticaret Kanunu
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
  • 6502 Sayılı Tüketicinin Korunması Hakkında Kanun
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik

 

Şirket tarafından işlenen kişisel veriler ve özel nitelikli kişisel veriler yukarıdaki kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

      1. Saklamayı Gerektiren İşleme Amaçları

Veri sahiplerine ait kişisel veriler, Madde 6.1.1’de verilen hukuki sebepler ile Kişisel Verilerin korunması Kanunu ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmakta ve Şirket tarafından aşağıdaki amaçlar için işlenmektedir. Bu amaçlar veri sorumluları sicil sisteminde de belirtilmiştir.

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Kargo süreçlerinin yürütülmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • Organizasyon ve Etkinlik Yönetimi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
  • Risk Yönetimi Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Sponsorluk Faaliyetlerinin Yürütülmesi
  • Stratejik Planlama Faaliyetlerinin Yürütülmesi
  • Talep / Şikayetlerin Takibi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ücret Politikasının Yürütülmesi
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  • Ayrıca, düzenleyici ve denetleyici kurumlarla, yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, Kanunda belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş gereklilik ve zorunluluklar kapsamında

Yukarıda belirtilen amaçlara, Şirket’in gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için başka amaçlar da eklenebilecektir.

 

    1. İmhayı Gerektiren Sebepler

 

Veri sahiplerine ait kişisel veriler, aşağıda açıklanan durumlarda, Şirket tarafından ilgili kişinin talebi üzerine ya da re’ sen silinir, yok edilir veya anonim hale getirilir.

 

  • Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması.

 

  1. KİŞİSEL VERİLERİN SAKLANMASINDA İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6/4. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen (2018/10 sayılı Kurul Kararı) yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

    1. Teknik Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sıralanmıştır.

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

 

    1. İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sıralanmıştır.

  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Erişim, bilgi ve veri güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Şirketin tüm süreçleri göz önüne alınarak Kişisel Veri İşleme Envanteri hazırlanmıştır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

 

  1. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’ sen veya ilgili kişinin Şirkete başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Şirket bünyesinde gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak, kişisel veri kültürünün geliştirilmesi ve farkındalıkların artırılması amacıyla eğitimler yapılmaktadır.

 

    1. Kişisel Verilerin Silinmesi

Kişisel veriler Şirket tarafından Tablo 2’de verilen yöntemlerle silinir.

Tablo 2. Kişisel Verilerin Silinmesi

 

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır

 

 

    1. Kişisel Verilerin Yok Edilmesi        

 

Kişisel veriler Şirket tarafından Tablo 3’te verilen yöntemlerle yok edilir.

 

Tablo 3. Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir

 

    1. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesi sağlanmaktadır.

Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Anonimleştirme işlemi sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması hedeflenmektedir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket tarafından anonimleştirme işlemi yapılması gerekmesi halinde Kurum tarafından yayınlanan ‘Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi’nde belirtilen yöntemlerden biri veya birkaçı kullanılacaktır.

 

  1. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel veriler, ilgili kişisel veri bazında saklama ve imha sürelerine ‘Kişisel Veri İşleme Envanteri’nde
  • Süreç bazında saklama ve imha süreleri ise Tablo 4’de
  • Veri kategorileri bazında saklama süreleri Tablo 5’de yer alır.

Şirketin periyodik imha süresi her yılın Haziran ve Aralık ayında olmak üzere 6 ay olarak belirlenmiştir. İnsan Kaynakları Sorumlusu, bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir. Saklama süresi dolan kişisel veriler, Tablo 4’de yer alan imha süreleri çerçevesinde, işbu Politika’da yer verilen usullere uygun olarak imha edilir.

 

Kişisel Verilerin imha edilmesi sürecinde de Kanun’un 4 maddesinde sayılan “Genel İlkeler”e uygun hareket edilir. İlgili kişinin talep etmesi halinde, ilgili kişinin seçeceği imha tekniği kullanılır. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

Tablo 4. Süreç Bazında Kişisel Verileri Saklama ve İmha Süreleri

Süreç

Saklama Süresi

(*İlişkinin Sona Ermesinden İtibaren)

İmha Süresi

Acil Durum Yönetimi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Bilgi Güvenliği

*10 yıl

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde

Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme

*1 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Çalışan Adaylarının Başvuru

*1 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Çalışan Memnuniyeti ve Bağlılığı

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

*15 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Çalışanlar İçin Yan Haklar

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Denetim

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Eğitim Faaliyetleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Erişim Yetkilerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Faaliyetlerin Mevzuata Uygun Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Finans ve Muhasebe İşlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Fiziksel Mekân Güvenliğinin Temini

1 Ay

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Görevlendirme Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Hukuk İşlerinin Takibi ve Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İletişim Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İnsan Kaynakları Süreçleri

*15 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İş Faaliyetlerinin Yürütülmesi / Denetimi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İş Sağlığı / Güvenliği Faaliyetleri

*15 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

İş Sürekliliğinin Sağlanması Faaliyetleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Lojistik Faaliyetleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Mal / Hizmet Satın Alım Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Mal / Hizmet Satış Sonrası Destek Hizmetleri Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Mal / Hizmet Satış Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Mal / Hizmet Üretim ve Operasyon Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Müşteri İlişkileri Yönetimi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Müşteri Memnuniyeti Süreci

*10 yıl

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde

Organizasyon ve Etkinlik Yönetimi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Pazarlama Analiz Çalışmaları

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Performans Değerlendirme Süreci

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Reklam / Kampanya / Promosyon Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Risk Yönetimi Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Sözleşme Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Sponsorluk Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Stratejik Planlama Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Talep / Şikayetlerin Takibi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Taşınır Mal ve Kaynakların Güvenliğinin Temini

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Tedarik Zinciri Yönetimi Süreçleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Ücret Politikasının Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Ürün / Hizmetlerin Pazarlama Süreçler

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Yetenek / Kariyer Gelişimi Faaliyetleri

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Yönetim Faaliyetlerinin Yürütülmesi

*10 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

Ziyaretçi Süreçleri

*1 yıl

Sürenin dolmasını müteakip takip eden ilk periyodik imha sürecinde

 

Tablo 5. Veri Kategorileri Bazında Saklama Süreleri

KİŞİSEL VERİ KATEGORİSİ

SAKLAMA SÜRESİ

Kimlik

Hukuki ilişkinin sona erdiği tarihten itibaren 15 yıl

İletişim

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Özlük

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Mesleki Deneyim

Hukuki ilişkinin sona erdiği tarihten itibaren 15 yıl

Hukuki İşlem

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Müşteri İşlem

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Fiziksel Mekân Güvenliği

3 Hafta

İşlem Güvenliği

Hukuki ilişkinin sona erdiği tarihten itibaren 1 yıl

Finans

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Pazarlama

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Görsel/İşitsel Kayıtlar

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Sağlık

Hukuki ilişkinin sona erdiği tarihten itibaren 15 yıl

Ceza Mahkumiyeti ve Güvenlik Tedbiri

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Biyometrik Veri

Personel Çalıştığı Süre Boyunca

Ayakkabı Numarası ve Kıyafet Beden Ölçüsü

Personel Çalıştığı Süre Boyunca

Aile bireyleri ve yakını bilgisi

Hukuki ilişkinin sona erdiği tarihten itibaren 15 yıl

Denetim ve Teftiş Bilgisi

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl

Talep/Şikâyet Yönetimi Bilgisi

Hukuki ilişkinin sona erdiği tarihten itibaren 10 yıl