Kişisel Verilerin Saklanması ve İmha Politikası
-
MADDE - GİRİŞ
-
1.1. Giriş
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ile Veri Sorumluları Siciline kayıtolmakla yükümlü olan veri sorumlularına kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir. Merkez adresi Beylikdüzü OSB Mah. Hürriyet Bulvarı No:10/9, 34524 Beylikdüzü İstanbul olan İstanbul Ticaret Sicili’nde kayıtlı Ekom Elektrik Elektronik Sanayi ve Ticaret Anonim Şirketi (“Şirket yahut “EKOM”) kanun ve ikincil mevzuattan doğan ilgili yükümlülükleri hassasiyetle yerine getirmekte, bu amaçla işlediği kişisel verilerin saklama ve imha süreçleri ile detaylarını işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile düzenlemektedir.
-
1.2. Amaç ve Kapsam
-
1.2.1. Amaç
Politika, Şirket’in faaliyetleri sırasında işlediği kişisel verileri, belirlediği yahut kanundan doğan azami süreler kapsamında saklama, silme, yok etme veya anonim hale getirme süreçlerini yerine getirme, periyodik imha süreçlerinin öngörülen zamanda belirlenen kişiler aracılığıyla yürürlükteki mevzuata uygun bir biçimde yapılmasını sağlama ve veri sahiplerini bilgilendirerek süreçte uygulanacak yöntemler hakkında şeffaflığı sağlayabilme amacıyla hazırlanmıştır. Tüm bu hususların yanında Politika’da;hazırlanma amacına, kişisel verilerin kayıt ortamlarına, hukuki ve teknik terimlerin tanımlarına, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alan personelin unvan, görev ve sorumluluk tanımlarına, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliklere de yer verilmiştir.
-
1.2.2. Kapsam
Politika, şirket nezdinde tutulan ve Kanun ile tanımlanmış tüm kişisel veriler ile özel nitelikli kişisel verilerin yanı sıra, şirket bünyesinde görev yapmakta olan çalışanları, çalışan adayları ve ziyaretçileri, yönetici ve danışmanları, kişisel veri paylaşımının söz konusu olduğu durumlarda iştirakleri, iş birliği yapılan üçüncü kişileri ve sair hukuki ilişki kurulan tüm gerçek ve tüzel kişileri kapsar. Yukarıda bahsi geçen, Politika’ya konu ilgili veri konusu kişi grupları, Şirket’in hazırladığı “Kişisel Verilerin İşlenmesi ve Korunması Politikası”nda detaylı bir şekilde belirtilmiştir.
-
1.2.1. Amaç
-
1.3. Politika ve Yürürlükteki Hukuk
İşbu Politika Kanun ve ilgili mevzuat ile kişisel veri işleme hususunda getirilen yükümlülüklerin sistematik bir şekilde yerine getirilmesini sağlamayı amaçlar. Şirketimizin öncelik ve hassasiyeti “bireylerin T.C. Anayasası’ndan doğan kişisel verilerinin korunması hakkını koruma maksadıyla mevzuata uygun davranmak” olduğundan işbu Politika ve Yürürlükteki Hukuk hükümleri arasında bir çelişki olması durumunda Şirket’imiz Yürürlükteki Hukuk’un uygulanması için çalışacaktır.
-
1.4. Politika’nın Yürürlüğü ve Değişimi
İşbu Politika Şirket’in Kişisel Verileri Koruma Komisyonu’nun titiz çalışmaları ve önderliğinde hazırlanmış olup yetkili organı tarafından onaylanarak yürürlüğe girmiştir.
Kişisel Verileri Koruma Komisyonu tarafından her 6 ayda bir denetlenecek ve gerekli ise ilgili güncel mevzuata uyumlu hale gelmesi için ilgili değişiklikler yapılacaktır. Bu değişiklikler Şirket’in yetkili organının onayı ile Website’de yayınlanacaktır. Talep halinde mevzuat sınırları ışığında ve Şirket’in inisiyatifinde olarak İlgili Kişi’nin bilgisine farklı mecralar üzerinden de sunulabilecektir.
-
1.1. Giriş
-
MADDE - TANIMLAR
Kısaltma Tanım Anonim Hale Getirme Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder. Kişisel Verilerin Silinmesi Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. Kişisel Veri Saklama Tablosu Kişisel verilerin şirket nezdinde tutulacağı süreleri gösteren tabloyu ifade eder. Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları rehber dokümanı ifade eder. Kişisel Verileri Koruma Komisyonu Şirket nezdinde KVKK ve sair ilgili mevzuata uyumun sağlanması, sürecin yönetilmesi için kurulmuş görevli birimi ifade eder. Kurul Kişisel Verileri Koruma Kurulu’nu ifade eder. Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder. Talep Yönetim Prosedürü İlgili Kişi’nin Kanun’un 11. maddesinde tanınan Veri Sorumlusu’na başvuru hakkının ve Şirket’in başvuruya ilişkin cevap sürecinin detaylarını belirleyen rehber prosedürü ifade eder. İlgili Kişi Kişisel verisi işlenen gerçek kişiyi ifade eder. Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri, bu Politika özelinde bu faaliyetten sorumlu Şirket’i ifade eder. Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. VERBİS Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder. Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. Bu Politikada, aksi açıkça belirtilmediği sürece, Tablo-1 de gösterilen ifadeler, karşısında yazılı anlamları taşıyacaktır. İşbu Politikada yer almayan tanımlar için “Kişisel Verilerin İşlenmesi ve Korunması Politikası” ve Kanun’da yer alan tanımlar geçerlidir.
-
MADDE - KİŞİSEL VERİLERİN KAYIT ORTAMLARI
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
Şirket tarafından toplanan kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli ortamlara kaydedilebilmektedir. Şirket kişisel verileri ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklamaktadır. Aşağıda kişisel verilerin hangi ortamlarda kayıt altına alındığı belirtilmiştir.-
3.1. Elektronik Ortamlar:
Yazılım, bulut, merkezi sunucu, taşınabilir medya, veri tabanı gibi ortamlar.
-
3.2. Fiziksel Ortamlar:
Birim dolapları, arşiv, kâğıt, ağ cihazı, flash tabanlı ortamlar, manyetik bant, manyetik disk, mobil telefon, optik disk, yazıcı, kapı geçiş/güvenlik sistemi gibi çevresel sistemler.
-
3.1. Elektronik Ortamlar:
-
MADDE - KİŞİSEL VERİLERİN KAYIT ORTAMLARI
-
4.1. Veri Güvenliğine İlişkin Açıklamalar
6698 Kişisel Verilerin Korunması Kanunu’nun 12. maddesi gereği Veri Sorumlusu sıfatıyla Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme, kişisel verilerin muhafazasını sağlama ve sair hususlarda veri güvenliğine ilişkin yükümlülüklerini yerine getirmeye yönelik her türlü teknik ve idari tedbirleri almaktadır.
-
4.2. Kişisel Verileri Saklamayı Gerektiren Amaçlar
Şirket, kişisel verileri belirli ve meşru amaçlarla, Kanun’da ve Politika’da detaylandırılan ilkeler ışığında saklamaktadır. Şirketin kişisel verileri saklamasını gerektiren birincil sebep, yürürlükte olan kanun ve bu kanunlar uyarınca işleme konulan ikincil mevzuattan kaynaklı yükümlülüklerdir. Kişisel veriler öncelikle kanunlar çerçevesinde öngörülen süreler kadar saklanmaktadır. Süreye ilişkin kanuni bir düzenlemenin bulunmadığı durumlarda Şirket, ilgili kişisel veriyi, işleme süreci ve olası ihtilaflarda delil vasfı ve zamanaşımı def’i de göz önüne alarak kanuni zamanaşımı süresi kadar muhafaza eder. Herhangi bir ihtilafa konu olması mümkün görülmeyen süreçlerde ise kişisel verinin işlenmesini gerektiren sebeplerin varlığı ışığında teamül gereği makul bir süre ilgili verileri saklayabilecektir.
Şirket, Kişisel Veri İşleme Envanteri’nde detaylı bir biçimde yer verdiği ve kategorize ettiği kişisel verileri, hukuki yükümlülükleri yerine getirilebilmek, çalışan haklarını ve yan haklarını planlayabilmek, müşteri ilişkilerini yönetilebilmek ve ticari faaliyetlerini sürdürülebilmek amacıyla madde 4‘te belirtilen fiziki yahut elektronik ortamlarda kanunda öngörülen ilke ve süreler ışığında ve aşağıdaki amaçlar doğrultusunda saklamakadır.- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesinin sağlanması,
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Satış oranları yahut performans değerlendirmeleri gibi hususlarda gerekli istatistiksel çalışmaların ve yasal raporlamaların yapılabilmesi
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
- İnsan kaynakları süreçlerinin yürütülmesi ile şirket içi yahut şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibatın sağlanması,
- Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması yahut mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Şirket güvenliğinin sağlanması,
- Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü gereği,
- Acil durum yönetimi süreçlerinin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Çalışan adayı, stajyer ve öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
- Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
- Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
- Denetim ve etik faaliyetlerinin yürütülmesi,
- Eğitim faaliyetlerinin yürütülmesi,
- Erişim yetkilerinin yürütülmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Firma, ürün ve hizmetlere bağlılık süreçlerinin yürütülmesi,
- Fiziksel mekân güvenliğinin temini,
- Görevlendirme süreçlerinin yürütülmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi,
- İetişim faaliyetlerinin yürütülmesi,
- İş faaliyetlerinin yürütülmesi ve denetimi,
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
- İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
- İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
- Lojistik faaliyetlerinin yürütülmesi,
- Mal ve hizmet satın alım süreçlerinin yürütülmesi,
- Mal ve hizmet satış sonrası destek hizmetlerinin yürütülmesi,
- Mal ve hizmet satış süreçlerinin yürütülmesi,
- Mal ve hizmet üretim ve operasyon süreçlerinin yürütülmesi,
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
- Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
- Organizasyon ve etkinlik yönetimi,
- Pazarlama analiz çalışmalarının yürütülmesi,
- Performans değerlendirme süreçlerinin yürütülmesi,
- Reklam, kampanya ve promosyon süreçlerinin yürütülmesi,
- Risk yönetimi süreçlerinin yürütülmesi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Sponsorluk faaliyetlerinin yürütülmesi,
- Stratejik planlama faaliyetlerinin yürütülmesi,
- Talep ve şikâyetlerin takibi,
- Taşınır mal ve kaynakların güvenliğinin temini,
- Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
- Ücret politikasının yürütülmesi,
- Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi,
- Veri sorumlusu operasyonlarının güvenliğinin temini,
- Yabancı personel çalışma ve oturma izni işlemleri,
- Yatırım süreçlerinin yürütülmesi,
- Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Yönetim faaliyetlerinin yürütülmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi.
-
4.1. Veri Güvenliğine İlişkin Açıklamalar
-
MADDE - KİŞİSEL VERİLERİN İMHASI
-
5.1. Kişisel Verilerin İmhasını Gerektiren Sebepler
Şirket tarafından re’sen veya ilgili kişinin talebi üzerine hangi hallerde kişisel verilerin silme, yok etme yahut anonim hale getirme işlemlerinin gerçekleştirileceği aşağıda belirtilmiştir. İlgili Kişinin bu hususla ilgili başvurusu Talep Yönetim Prosedürü’nde belirtilen usul ve esaslara göre yanıtlanır.
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- İlgili Kişi’nin, Kanun’un 11. Maddesinin ilgili bentlerindeki hakları çerçevesinde kişiselverilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
- Şirket’in, İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
-
5.2. Kişisel Verilerin İmha Teknikleri
Şirket, kanunda öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sona ermesi halinde kişisel verileri, yine ilgili kanun hükümlerine uygun bir biçimde aşağıda belirtilen tekniklerle imha eder.
-
5.2.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirket’i kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen şekilde silme işlemini yerine getirir.- Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
- Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office365 vb.): Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir.
- Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yönetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
- Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
- Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır;
- Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
-
5.2.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirket kişisel verileri yok etmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki buyöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.
- Fiziksel Yok Etme/Kağıt İmha Makinesi İle Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.
- Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.
-
5.2.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Verilerin anonim hale getirilmesi, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.Kişisel Verilerin anonim hale getirilmiş olması için; kişisel verilerin; Şirket’in, verilerin aktarıldığı üçüncü kişi veya kişiler tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirket kişisel verileri anonim hale getirmek için “Değişkenleri Çıkartma, Kayıtları Çıkartma, Alt ve Üst Sınır Kodlama, Bölgesel Gizleme, Örnekleme, Mikro-Birleştirme, Veri Değiş-Tokuşu, Gürültü Ekleme, K-Anonimlik, L-Çeşitlilik, T-Yakınlık” yöntemlerden bir veya birkaçını kullanabilir:
Veri Sorumlusu sıfatıla Şirket, ilgili süreçlerde hangi yöntemi uygulayacağına, ilgili verinin kayıt ortamı, niteliği, büyüklüğü, sağlanmak istenen fayda ve işleme amacı gibi özellikleri tespit ederek karar verir.
-
5.2.1. Kişisel Verilerin Silinmesi
-
5.1. Kişisel Verilerin İmhasını Gerektiren Sebepler
-
MADDE - SAKLAMA VE İMHA SÜRELERİ
-
6.1. Kişisel Verilerin Saklama ve İmha Sürelerine İlişkin Açıklama
Şirket, KVKK ve ikincil mevzuata uygun biçimde elde ettiği kişisel verilerin saklama ve imha süreçlerindeki süre tespitine ilişkin olarak; öncelikle mevzuatta bir süre öngörülmüş ise bu süreye riayet etmektedir.
Belirtilen sürenin sona ermesi halinde veya mezkur mevzuatta saklamaya ilişkin herhangi bir süre öngörülmemiş ise; kişisel veriler, KVKK’nın 6. maddesi dikkate alınarak kişisel veriler ve özel nitelikli kişisel veriler olarak ayrıma tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. İlgili verinin imha işlemindeki yöntem, verinin niteliği ve Şirket nezdindeki önem derecesine göre belirlenir. Kişisel veri sınıfındaki verinin saklanması hususunda kanunun belirttiği ilkelere uygunluğu sorgulanır. Verinin saklanmasında Şirket’in meşru bir amacının olmadığı yahut KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanması KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisna kapsamında ise gereken makul süreler tespit edilir ve makul sürenin bitiminde ilgili veriler silinir, yok edilir ya da anonim hale getirilir. Şirket’in kanun ve diğer mevzuata uygun olarak işlemekte olduğu kişisel verilerin, veri bazında saklama sürelerine “Kişisel Veri İşleme Envanteri”nde yer verilmiştir. Veri kategorileri bazında saklama süreleri ise “VERBİS”te kayıt altındadır. İşbu Politika’da süreç bazında saklama süreleri yer almaktadır.
Saklama sürelerinde güncelleme yapılması gerekmesi halinde, ilgili değişiklik, Kişisel Veri Koruma Komisyonu tarafından yapılır. -
6.2. İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi, Süreler ve Yapılacak İşlemler
İlgili Kişi, Kanundan doğan hak ve taleplerini tercihen “Şirket Başvuru Formu”nu kullanarak yazılı olarak yahut Kurul’un belirlediği diğer yöntemlerle Şirket’e iletir.
Şirket, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Başvuru ve akabindeki süreç, “Talep Yönetim Prosedürü”ndeki usul ve esaslara göre gerçekleştirilir.
İlgili Kişi, işbu Politika’da Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; Şirket, ilgili verilerin saklanma şartları tamamen ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu süreçte izlenecek yöntem ve işlemi yapacak birim aşağıda belirtilmiştir:- Elektronik ortamdaki işlemler (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında), Kişisel Veri Koruma Komisyon’unda belirtilen üye tarafından Bilgi İşlem Birimi gözetiminde söz konusu işlem kayıt altına alınmak sureti ile gerçekleştirilir.
- Şirket bilgisayar, telefon, e‐ mail hesabı, tablet vb. ortamında bu işlem, Genel Müdür Yardımcısı’nın, Kişisel Veri Koruma Komsyon Başkanı’nın ve Bilgi İşlem Birimi Müdürü’nün bilgisine sunularak ilgili veri kullanıcısı çalışan tarafından bizzat yerine getirilir. Çalışanlar, iş amacıyla kendilerine tahsis edilen bu elektronik ortamlarda yapacakları silme, yok etme işlemlerini envantere uygun bir biçimde gerçekleştirirler. İmha sebebi saklama süresinin dolmasından önce gerçekleşirse Komisyon Başkanı’nın görüş ve talimatı alınıp bu talimata uygun şekilde işlem tamamlanır. Bilgi İşlem Birimi Yöneticisi elektronik ortamdaki bu silme, yok etme, anonimleştirme işlemlerinin kayıt altına alınması için gerekli teknik donanımı çalışana sağlamaktan sorumludur.
- Kâğıt ortamındaki silme, yok etme veya anonim hale getirme işlemi ise ilgili birim yöneticisine ve Kişisel Veri Koruma Komisyon Başkanı’na bilgi verilmek suretiyle, veri kullanıcısı çalışan tarafından, tutanakla kayıt altına alınarak gerçekleştirilir.
- Şirket, İlgili Kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde işbu Politika kapsamında gerekli işlemlerin yapılmasını temin eder.
-
6.3 Saklama ve İmha Süreleri Tablosu
Şirket Tablo-2’de, tarafınca işlenen verilere ait genel süreçler bazında saklama ve imha sürelerine yer vermiştir.
Süreç Saklama Süresi İmha Süresi Genel kurul ve yönetim kurulu işlemleri, şirket ortakları ve yönetim kurulu üyelerine ilişkin bilgiler 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmelerin akdedilmesi Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İnsan kaynakları dair süreçlerin yürütülmesi İş akdinin sona ermesinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışanların sistem ve Yazılımlar atanımlanması, tahsis ve erişimyetkisi verilmesi (e-mail adresi, kullanıcı adı, şifre, parola gibi) İş akdinin bitiminden itibaren 3 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Genel kalite süreçlerine ilişkin faaliyetlerdeki bilgiler, çalışanların şirket içi/dışı eğitim kayıtları İş akdinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışanlara araç tahsis edilmesi İş akdinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışan adaylarına ilişkin veriler Başvuru tarihinden itibaren 1 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş sağlığı ve güvenliği uygulamaları İş akdinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Mahkeme, icra, idari mercilerin bilgi taleplerinin cevaplanması İşlem tarihinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Rehber kayıtları, kurumsal iletişimfaaliyetleri, planlanması ve icrası İş ilişkisinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Toplantı notlarının katılımcılar ile paylaşılması 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Genel muhasebe süreçleri, ödeme ve tahsilat işlemleri İş ilişkisinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Personel finansman süreçleri İş ilişkisinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde KVK Süreçleri (Aydınlatma, AçıkRıza, Başvuru ve Şikayetler) İlgili sürecin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Silme, yok etme, anonim hale getirme kayıt süreci İşlem tarihinden itibaren 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş yeri kamera kayıtları 2 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Log kayıtları 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sevkiyat kayıtları (nakliye, irsaliye vb.) İşlem tarihinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Tedarik ve satış süreçleri, teknik bilgi talepleri, müşteri şikayetlerinin yanıtlanması Ticari ilişkinin bitiminden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sair ilgili mevzuat gereği toplanan veriler İlgili mevzuatta öngörülen süre kadar Saklama süresinin bitimini takip eden ilk periyodik imha süresinde -
6.4. Periyodik İmha
Saklama süresi dolan kişisel veriler, işbu Politika’nın 6.3. maddesinde yer alan tablodaki bilgilere istinaden, 6 aylık periyodlarla imha edilir. Şirket Ocak ve Haziran aylarında periyodik imha işlemlerini gerçekleştirecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçlerine ilişkin tüm işlemler kayıt altına alınır ve ilgili kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Mevzuat uyarınca saklama süreleri, zamanaşımı yahut hak düşürücü süre vb. için daha uzun bir süre öngörülmüş ise, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilecektir.
-
6.1. Kişisel Verilerin Saklama ve İmha Sürelerine İlişkin Açıklama
-
MADDE - TEKNİK ve İDARİ TEDBİRLER
Şirket, KVKK’nın 12. maddesinde düzenlenen ilkeler çerçevesinde, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile verilerin hukuka uygun olarak imha edilmesi amacıyla aldığı idari ve teknik tedbirlere aşağıda yer vermiştir:
-
Şirket idari tedbirler kapsamında;
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- Kişisel veri işleme envanteri hazırlanmıştır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılır.
- Veri Sahiplerini aydınlatma yükümlülüğü yerine getirilir.
- Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar veya yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Çalışanlarla ve üçüncü şahıslarla akdedilecek sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında, Kişisel Verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları açıkça düzenlenmekte, hukuka ve sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler eklenmektedir.
-
Şirket teknik tedbirler kapsamında;
- Ağ güvenliği ve uygulama güvenliği sağlanmakta, kapalı sistem ağ kullanılmakta ve bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Güncel anti-virüs sistemleri ve güvenlik duvarları kullanılmaktadır.
- Kurulanan sistemler kapsamında gerekli iç kontrolleri yapar.
- Verilerin kurum dışına sızmasını engelleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Bilgi işlem güvenliği ile ilgili birimde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yahut kriptografik yöntemler ile korunur.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
-
Şirket idari tedbirler kapsamında;
-
MADDE - PERSONEL ve SORUMLULUK DAĞILIMI
-
8.1. Kişisel Verilerin Saklanma ve İmha Süreçlerinde Görev Alanların Unvanları, Birimleri ve Görev Tanımları
Şirket’in yürüttüğü faaliyetlerde görev alan tüm birimler ve çalışanları, kişisel veriler hususunda alınan teknik ve idari tedbirlerin gereği gibi uygulanması, farkındalığının oluşması ve arttırılması ile veri işlenentüm ortamlarda veri güvenliğinin sağlanması alanında sorumlu birimlere destek olur. Kişisel veri saklama ve imha sürecinde yer alan personel unvan, görev ve sorumluluklarına aşağıda yer verilmiştir.
Unvan Görev Sorumluluk Kişisel Verileri Koruma Komisyonu Kişisel veri saklama ve imha politikasının uygulanmasının sağlanması Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden sorumludur. Politikaya aykırı durumlarda Yönetim Kurulu’na gerekli bildirimleri yapar. Genel Müdür (Komisyon Başkanı) Kişisel veri saklama ve imha politikasındaki uygulama faaliyetlerinin denetimi Komisyon Başkanı olarak Komisyon’un görevlerinin yürütümünden, çalışanların görevlerine uygun olarak politikayı yürütümünün sağlanmasından, düzenlemelere uyulmadığı takdirde yaptırımların belirlenmesi ve üst gözetimden ve birim/çalışanları denetlemekten sorumludur. Kalite Departman Sorumlusu (Komisyon Başkan Yardımcısı) Kişisel veri saklama ve imha politikasındaki uygulama faaliyetlerinin denetimi Komisyon Başkan Yardımcısı olarak Komisyon’un görevlerinin yürütümü, çalışanların görevlerine uygun olarak politikayı yürütümün sağlanması, hukuk danışmanları ile iletişim, politika ve prosedür güncellemelerinin takibinden ve Kanun kapsamında yapılanların kaydının tutulmasından sorumludur. İnsan Kaynakları Departman Sorumlusu (Komisyon Başkan Yardımcısı) Kişisel veri saklama ve imha politikası uygulama sorumlusu Komisyon Başkan Yardımcısı olarak görevlerin yürütümünden, güncel dokümanın kurum içi dağıtımından ve yeni çalışanlara bildirilmesinden, kişisel verilerin güncelliğinin sağlanmasından, görevine özgü süreçlerin saklama süresine uygunluğunu sağlamaktan sorumludur. Bilgi İşlem Sorumlusu/ IT Departman Sorumlusu Politika’nın teknik bakımdan uygulanabilirliliğini sağlama Politikaya uyum için gerekli teknik tedbirlerin alınarak uygulanmasından, güncel dokümanların websitesinde yayınlanmasından, elektronik kayıt ortamlarındaki silme, yok etme, anonim hale getirme işlemlerinin yürütüm ve denetiminden, periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur. Finans-Muhasebe, Satış Pazarlama ve Müşteri Hizmetleri, Depo İthalat ve Sevkiyat Departmanlarının Komisyon’da yer alan Çalışanları Kendi faaliyet alanı dahilinde olan süreçlerin uygulanmasını sağlama Her departman görev kapsamındaki süreçlerin saklama süresine uygun olup olmadığını denetler ve icrasını gerçekleştirir.
-
8.1. Kişisel Verilerin Saklanma ve İmha Süreçlerinde Görev Alanların Unvanları, Birimleri ve Görev Tanımları
-
MADDE - GÜNCELLEME TABLOSU ve DİĞER HUSUSLAR
İşbu Politika, 1.4 “Politika’nın Yürürlüğü ve Değişimi” maddesinde belirtildiği şekilde Kişisel Verileri Koruma Komisyonu tarafından her 6 ayda bir denetlenir gerekli ise ilgili güncel değişiklikler yapılır. Yapılan değişiklikler aşağıdaki tabloda yer almaktadır.