Genel İmha Politikası
PARK KENT MOBİLYALARI İNŞAAT PAZARLAMA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
GİRİŞ
Türkiye Cumhuriyeti Anayasa’sının 20’nci maddesine göre; herkes özel hayatına ve aile hayatına saygı gösterilmesini ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
İşbu Kişisel Veri Saklama ve İmha Politikası ("İmha Politikası"), Park Kent Mobilyaları İnşaat Pazarlama Sanayi Ve Ticaret Anonim Şirketi ("Şirket") tarafından KVK Kanunu’nun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca hazırlanmıştır.
İmha Politikasının amacı, işlenmesini gerektiren sebeplerin ortadan kalkması halinde,
Kişisel verilerin muhafazası ve silinmesi amacıyla Kanun ve Yönetmelik'e uygun sürelerin belirlenmesi,
Şirket dâhilinde müşteriler, ziyaretçiler, tedarikçiler, taşeronlar, tedarikçilerin/taşeronların çalışanları, hissedarlar, iş birliği içinde olduğumuz firmalar, iş ortakları, internet sitesi ve ağ bağlantılarını kullananlar kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel verilerin, hangi süre ve koşullarda saklanacağına ilişkin bilginin sağlanması ,
Şirket tarafından tutulan kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemlerinin dayanağını açıklaması,
Tutulması gerekli kişisel verilerin Kanun ve Yönetmelik'e uygun olarak saklanmasının sağlanması,
Tutulan kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin sağlanmasıdır.
TANIMLAR
İşbu İmha Politikası’nda kullanılan terimler aşağıda yer alan anlamlara gelmektedir:
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
İlgili Kişi Kişisel verisi işlenen gerçek kişi;
Veri İşleyen Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek ve tüzel kişiler;
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi;
KVK Kurulu Kişisel Verileri Koruma Kurulu.
KVK Kurumu Kişisel Verileri Koruma Kurumu.
Kanun 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu;
Verbis Veri Sorumluları Sicil Bilgi Sistemi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi;
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Kişisel Veri İşleme Envanteri
Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılmış olan envanter.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi;
İmha Politikası Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika.
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam;
Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri;
Maskeleme Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi;
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN GÖREVLİLERİN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.
Birim Komite Üyesi Görev Tanımı
İnsan Kaynakları Sorumlusu Burcu ULUSOY Komite Başkanı-Yönetim Ve İletişimden Sorumlu
Muhasebe Departmanı Sorumlusu Ihsan TARLABÖLEN Bilgi Teknolojileri Ve Veri Güvenliğinden Sorumlusu
Kalite Yönetim Temsilcisi Nilgün UYAR KVKK Risk Yönetimi, Politika Ve Prosedürlerden Sorumlusu
Satış ve Pazarlama Müdürü Emre YILMAZ İş Süreçlerinin Planlanması-Raporlama Sorumlusu
Satın Alma Sorumlusu Emel AYAN KVKK Uyum Ve Denetim Sorumlusu
KAYIT ORTAMLARI
Şirket, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:
Elektronik Ortamlar
Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, bulut, web, dosya paylaşım vb.),
Yazılımlar (ofis yazılımları, kurum içi portal, kamera kayıt görüntüleme,VERBİS vb.),
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.),
Kişisel bilgisayarlar (masaüstü, dizüstü),
Mobil cihazlar (telefon, tablet vb.),
Optik diskler (CD, DVD, hard disk vb.),
Çıkartılabilir bellekler (USB, hafıza kartı vb.),
Yazıcı, tarayıcı, fotokopi makinesi,fotoğraf makinası
Elektronik Olmayan Ortamlar
Kağıt,
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)
Yazılı –basılı görsel ortam
Birim dolapları
Klasörler
Arşiv
KİŞİSEL VERİLERİN SAKLANMASI
Şirket tarafından; müşteriler, ziyaretçiler, çalışanlar, tedarikçiler, taşeronlar, hissedarlar, iş ortakları, internet sitesi ve kioskları kullananlar, kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirket faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.
KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER VE İŞLEME AMAÇLARI
6.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler
Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatlarda öngörülen sebepler ve süreler dahilinde muhafaza eder;
6698 Sayılı Kişisel Verilerin Korunması Kanunu,
6098 Sayılı Türk Borçlar Kanunu,
6102 Sayılı Türk Ticaret Kanunu,
4734 Sayılı Kamu İhale Kanunu,
657 Sayılı Devlet Memurları Kanunu,
5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu,
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 Sayılı Kamu Mali Yönetimi Kanunu,
6331 Sayılı İş Sağlığı Ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 Sayılı İş Kanunu,
2547 Sayılı Yükseköğretim Kanunu,
5434 Sayılı Emekli Sağlığı Kanunu,
2828 Sayılı Sosyal Hizmetler Kanunu,
6585 Sayılı Perakende Ticaretin Düzenlenmesi Hakkında Kanun,
İşyeri Bina Ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
6.2. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır;
Şirket İnsan Kaynakları Prosedür, Politika Ve Süreçlerini Planlanması Ve/Veya Uygulanması Amacıyla;
“Çalışanlarının iş faaliyetlerinin takibi ve/veya denetimi, görevlendirme süreçlerinin mevzuata uygun yönetilmesi, İş sağlığı ve/veya güvenliği çerçevesinde gerçekleştirilmesi gereken faaliyetlerin planlanması ve/veya icrası, Disiplin/etik süreçleri ile ilgili gerekli operasyonel faaliyetlerin planlanması ve/veya icrası, Alt işveren çalışanlarının özlük kayıtlarının oluşturulması, denetimi ve/veya takibi faaliyetlerinin planlanması ve/veya “ alt amaçları ile birlikte
Şirketimizin Ve/Veya Şirketimizle İş İlişkisi İçerisinde Olan Üçüncü Kişilerin Hem Hukuki Hem Teknik Anlamda Güvenliğinin Sağlanması Faaliyetlerinin Planlanması Ve /Veya Uygulanması Amacıyla;
“Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin düzenlenmesi ve/veya icrası ve güvenliği ile faaliyetlerin mevzuata uygun yürütülmesi, Şirket iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası, Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, Hukuk işlerinin, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması, Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin düzenlenmesi ve/veya icrası, Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası, Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi, Erişim yetkilerinin yürütülmesi, Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi, Verilerin doğru ve/veya güncel olmasının sağlanması, Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini, Fiziksel mekân güvenliğinin temini, Lojistik Faaliyetlerinin Yürütülmesi” alt amaçları ile birlikte
Şirket tarafından ve/veya Şirket nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak ve Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi için gerekli çalışmaların gerçekleştirilmesi ve ilgili iş süreçlerinin devamlılığının sağlanması Amacıyla;
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, Dijital ve/veya diğer mecralar aracılığı ile toplanan müşteri talep ve/veya şikâyetlerinin değerlendirilmesi, Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım, kapmanya, promosyon ve/veya pazarlama aktivitelerinin tasarlanması ve/veya icrası, Şirket Web sitesi de dahil olmak üzere yazılı ve görsel basın, sosyal medya veya afiş/katalog/bülten gibi şirketin haberlerinin ve reklamlarının geçtiği tüm belge ve mecralarda yayınlanması/paylaşılması, Kurumsal iletişim ve bu kapsamda sair organizasyon, etkinlik, kampanya, konser ve davetlerin düzenlenmesi ve bunlar hakkında bilgilendirme yapılması, pazar araştırma çalışmalarının yürütülmesi, Satış ve pazarlama analiz çalışmalarının ile Ürün/Hizmetlerin pazarlama süreçlerinin yönetilmesi, Ziyaretçi kayıtlarının oluşturulması ve takibi” alt amaçları ile birlikte ,
Şirket Tarafından Yürütülen Ticari Ve/Veya Operasyonel Faaliyetlerin Gerçekleştirilmesi Için Ilgili Iş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması Ve Buna Bağlı Iş Süreçlerinin Yürütülmesi Amacıyla,
Mal/hizmet satın alma süreçlerinin planlanması ve yürütülmesi, Mal/hizmet satış süreçlerinin yürütülme, mal hizmet satış sonrası destek hizmetlerin yürütülmesi, Finans ve/veya muhasebe işlerinin takibi, İş faaliyetlerinin verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, Kurumsal yönetim faaliyetlerinin planlanması ve/veya icrası, Şirketimiz ürünlerinin stok ve/veya sevkiyat işlemlerinin planlanması ve/veya icrası, Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi, Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya uygulanması, Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası” alt amaçları ile birlikte
Şirket Ticari Hayatının ve İş Geliştirme Stratejilerinin Planlanması, Düzenlenmesi ve Uygulanması Amacıyla,
“Şirketin finansal risk süreçlerinin planlanması ve/veya icrası, Saklama ve arşiv faaliyetlerinin yürütülmesi, Yatırım süreçlerinin yönetilmesi, İş ortakları /tedarikçi ve taşeronlarla olan ilişkilerin yönetimi, Hissedarları, bağlı ortaklıkları ve iştiraklari ile olan organik bağ süreçlerinin getirdiği faaliyetlerin düzenlenmesi ve süreçlerin yönetimi, Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası” alt amaçları ile birlikte.
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Şirket, KVK Kanunu’nun 12’inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda Şirket, bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
7.1. İdari Tedbirler
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar ile Şirket arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiğine, kişisel verilerin ifşa edilmemesi gerektiğine, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiğine ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiğine ilişkin kayıtlar eklenmektedir.
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda Şirket tarafından bilgilendirilmekte ve bu doğrultuda çalışanlardan gerekli taahhütlenameler alınmaktadır.
Çalışanlar tarafından gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin edilmektedir. Kişisel veri işleme faaliyetleri neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulmaktadır. Bu kapsamda; kişisel verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırılmakta veya sınırlandırılmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve KVK Kurul’una bildirilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde iş birimi bazında kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Şirket tarafından kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilmektedir.
Şirket tarafından, iş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
Şirket tarafından çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilmektedir.
Şirket tüzel kişiliği nezdinde KVK Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve/veya yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmektedir.
Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığını sağlanmaktadır.
Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Şirket’in, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12’inci maddesi uyarınca sorumluluğu bulunmaktadır. Bu nedenle; Şirket tarafından üçüncü kişilere veri aktarılırken, Şirket ile üçüncü kişiler arasında imzalanacak sözleşmelerde ve her türlü düzenlemede bu şartların sağlanmasını ve Şirket’e denetim yapma yetkisi verilmesini içeren taahhütler üçüncü kişilerden alınmaktadır.
Teknik Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yolu ile kişisel verilerin aktarımında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınmaktadır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilmekte ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kişisel verilerin güvenliğini sağlamak için gereken tüm makul önlemler alınmaktadır. Alınan önlemler, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanmaktadır.
Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıklarının kapatılması sağlanmaktadır.
Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmek ve yenilenmektedir.
Teknik konularda bilgili personel istihdam edilmektedir.
Veri korunması ile ilgili şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
KVK Kanunu kapsamında, Şirket veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11’inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirilebilir.” şeklinde düzenleme yapılmıştır.
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi hususlarıdır.
Şirket tarafından, KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu asıl yetkili İnsan Kaynakları Sorumlusu olmak üzere; Muhasebe Departmanı Sorumlusu, Kalite Yönetim Temsilci, Satış ve Pazarlama Müdürü, Satın Alma Sorumlusu yetkili kılınmıştır. Her bir komite üyesi, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ile Saklama ve İmha Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm komite üyeleri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri İnsan Kaynakları Sorumlusu’na raporlayacaktır. İnsan Kaynakları Sorumlusu, tüm komite üyelerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetim Kurulu’na sunacaktır. Karar alınmasını gerektiren durumlarda İnsan Kaynakları Sorumlusu’nun da görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.
KİŞİSEL VERİLERİN İMHASI:
Şirket elde ettiği kişisel verileri;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine siler, yok eder ya da re’sen silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN ALINAN TEDBİRLER
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır.
Şirket tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
Şirket, kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
9.1. Kişisel Verilerin Silinmesi Yöntemleri
Hizmet olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmamaktadır.
Kâğıt Ortamında Bulunan Kişisel Veriler
Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Yerel Sistemler
Fiziksel Ortamda Yer Alan Kişisel Veriler; Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler; Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir
Çevresel Sistemler
Ağ cihazları (switch, router vb.)
Flash tabanlı ortamlar
Manyetik bant
Manyetik disk gibi üniteler
Mobil telefonlar
Optik diskler
Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Kağıt ve mikrofiş ortamları
Bulut ortamı
Verilerinin imhasına yönelik yöntemler kullanılmaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değişkenleri çıkartma
Kayıtları çıkartma
Bölgesel Gizleme
Global Kodlama
Alt ve üst sınır kodlama
Bölgesel gizleme
Örnekleme
Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Mikro-Birleştirme
Veri Değiş-Tokuşu
Gürültü Ekleme
Tekrar Örnekleme
Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler
K-Anonimlik
L-Çeşitlilik
T-Yakınlık
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Şirket re’sen kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alacak olup, seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyerek İş bu politikanın 3. Maddesinde tabloda yer alan kişiler aracılığı ile kullanabilecektir. Ayrıca Yönetmelik’in 13üncü maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda şirket serbesti içinde olacaktır.
SAKLAMA VE PERİYODİK İMHA SÜRELERİ
Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen imha edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler aşağıdaki tabloda belirtilen azami süre boyunca saklanacaktır. Bu süreler; şirketin veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.
Kayıt Türü Detaylar Saklama Süresi İmha Süresi
Kimlik Bilgisi Kişinin kimliğine dair bilgilerin bulunduğu verileri ifade etmektedir. (Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, medeni hal, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası vb.)
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Bilgisi Telefon numarası, adres, e-posta ve benzeri iletişim bilgileri anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Lokasyon Bilgisi Çalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler anlamına gelmektedir. 3 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finansal Bilgi Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, mal varlığı bilgisi gibi veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Özlük Dosyaları Çalışanların, Şirket'te çalışmaları boyunca tutulan tüm kayıtları teşkil etmekte ve aşağıdakileri de içermektedir:
İş Sözleşmesi,
Feshe İlişkin Belgeler,
İzin Belgeleri,
Terfi Belgeleri,
Çalışan Özet Bilgisi,
Eğitim Kayıtları,
İşe Giriş Başvuruları,
Yan Haklar.
İş sözleşmesi süresi boyunca + 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşe Alınmayan Çalışan Adaylarının Kişisel Verileri İşe alım sürecinde toplanan tüm kayıtları içermektedir:
Özgeçmişler.
6 Ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler Sözleşmeler ve ilgili iletişimleri teşkil etmektedir. Sözleşme süresi boyunca + 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Alt İşveren / Taşeron / Tedarikçi Çalışan Bilgileri Alt işveren, taşeron ve tedarikçi çalışanlarının ücretlerinin ve SGK bildirimlerinin düzenli olarak yapıldığına/ödendiğine dair belgeleri teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekân Güvenliği Bilgileri-1 Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlara ilişkin kişisel veriler; kamera kayıtları gibi verileri teşkil etmektedir. Güvenlik Kamera Kayıtları 3 Gün
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görsel/İşitsel Veriler Fiziksel mekân güvenlik bilgileri kapsamına girmeyen ve fotoğraf, ses ve görüntü kaydı gibi kişisel verilerdir. Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç.)
1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş Ortağı İlişkileri ve Taahhütler İş ortakları, hissedarlar, Şirket'in katıldığı organizasyonlar, haber bültenleri ve kurumsal iletişim faaliyetlerini teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sigorta Başvuru Kayıtları ve Risk Değerlendirmeleri Sigorta katılım kayıtları, başvurular ve yenilemeleri teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İşlem Güvenliği Bilgisi Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler (örneğin log kayıtları, IP adres bilgileri, internet giriş-çıkış bilgileri, şifre ve parola bilgileri) anlamına gelmektedir.
2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem ve Uyum Bilgisi Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler,çalışanların icra dosya bilgileri ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep/Şikayet Yönetimi Bilgisi Şirketimize yöneltilmiş olan her türlü talep ve/veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler anlamına gelmektedir. 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Denetim ve Teftiş Bilgisi Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında iç veya dış denetim faaliyetleri sırasında işlenen kişisel veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özel Nitelikli Kişisel Veri Kişilerin sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler anlamına gelmektedir.
Sağlık Verileri 15 Yıl
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Verileri 10 Yıl
Biyometrik Veri Kişi İşte Çalıştığı Sürece Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem Verisi Müşterilerin satın aldığı ürün ve hizmetlerin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri, gibi veriler anlamına gelmektedir.
10 Yıl
KİŞSEL VERİ SAHİBİNİN BAŞVURU HAKKI
Kişisel veri sahiplerinin KVK Kanunu’ndan doğan haklarına ilişkin başvurularının, KVK Kanunu’nun 13. maddesine uygun bir biçimde yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği diğer yöntemler ile tarafımıza iletilmesi gerekmektedir:
BAŞVURU YÖNTEMİ BAŞVURU YAPILACAK ADRES BAŞVURUDA GÖSTERİLECEK BİLGİ
Yazılı Olarak Başvuru Islak imzalı şahsen başvuru veya
Noter vasıtasıyla
Ahi Evran 1. OSB Mahallesi,
Oğuz Caddesi, No : 44/1 Sincan/Ankara Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) Yolu ile Başvuru Kayıtlı Elektronik Posta (KEP) adresi ile
[email protected] E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.
Sistemimizde Bulunan Elektronik Posta Adresi ile Başvuru Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiyle
[email protected]
E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır ve sonuç yazılı olarak ya da elektronik ortamda tarafınıza bildirilecektir. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, tarafınızdan Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilerek alınacaktır.
Şirket tarafından, yapılan başvuru ve talep haklı görülmesi halinde gereği gecikmeksizin yerine getirilecektir. Yapılan başvuru ve talebin reddi halinde ise, red gerekçesi ilgili kişiye başvuru ve talep dilekçesinde belirtildiği şekilde yazılı olarak veya elektronik ortamda bildirilecektir.
Şirket tarafından başvuru ve talebin red edilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde, ilgili kişinin başvuru ve talep cevabını öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içinde KVK Kurulu’na şikâyette bulunma hakkı vardır
PERİYODİK İMHA SÜRESİ
Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ya da muhafaza süresinin sona ermesi halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Şirketin periyodik imha süresi 6 aydır. Saklama süresi dolan kişisel veriler, işbu Politikada belirtilen imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Periyodik imha sürecinin takibi konusunda şirket verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da idari birim /insan kaynakları/ danışma da saklanır.
POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ve https://www.parkkent.com/kvkk sitemizde ilan edilecektir.
GİRİŞ
Türkiye Cumhuriyeti Anayasa’sının 20’nci maddesine göre; herkes özel hayatına ve aile hayatına saygı gösterilmesini ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
İşbu Kişisel Veri Saklama ve İmha Politikası ("İmha Politikası"), Park Kent Mobilyaları İnşaat Pazarlama Sanayi Ve Ticaret Anonim Şirketi ("Şirket") tarafından KVK Kanunu’nun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca hazırlanmıştır.
İmha Politikasının amacı, işlenmesini gerektiren sebeplerin ortadan kalkması halinde,
Kişisel verilerin muhafazası ve silinmesi amacıyla Kanun ve Yönetmelik'e uygun sürelerin belirlenmesi,
Şirket dâhilinde müşteriler, ziyaretçiler, tedarikçiler, taşeronlar, tedarikçilerin/taşeronların çalışanları, hissedarlar, iş birliği içinde olduğumuz firmalar, iş ortakları, internet sitesi ve ağ bağlantılarını kullananlar kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel verilerin, hangi süre ve koşullarda saklanacağına ilişkin bilginin sağlanması ,
Şirket tarafından tutulan kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemlerinin dayanağını açıklaması,
Tutulması gerekli kişisel verilerin Kanun ve Yönetmelik'e uygun olarak saklanmasının sağlanması,
Tutulan kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin sağlanmasıdır.
TANIMLAR
İşbu İmha Politikası’nda kullanılan terimler aşağıda yer alan anlamlara gelmektedir:
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
İlgili Kişi Kişisel verisi işlenen gerçek kişi;
Veri İşleyen Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek ve tüzel kişiler;
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi;
KVK Kurulu Kişisel Verileri Koruma Kurulu.
KVK Kurumu Kişisel Verileri Koruma Kurumu.
Kanun 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu;
Verbis Veri Sorumluları Sicil Bilgi Sistemi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi;
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Kişisel Veri İşleme Envanteri
Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılmış olan envanter.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi;
İmha Politikası Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika.
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam;
Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri;
Maskeleme Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi;
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN GÖREVLİLERİN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.
Birim Komite Üyesi Görev Tanımı
İnsan Kaynakları Sorumlusu Burcu ULUSOY Komite Başkanı-Yönetim Ve İletişimden Sorumlu
Muhasebe Departmanı Sorumlusu Ihsan TARLABÖLEN Bilgi Teknolojileri Ve Veri Güvenliğinden Sorumlusu
Kalite Yönetim Temsilcisi Nilgün UYAR KVKK Risk Yönetimi, Politika Ve Prosedürlerden Sorumlusu
Satış ve Pazarlama Müdürü Emre YILMAZ İş Süreçlerinin Planlanması-Raporlama Sorumlusu
Satın Alma Sorumlusu Emel AYAN KVKK Uyum Ve Denetim Sorumlusu
KAYIT ORTAMLARI
Şirket, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:
Elektronik Ortamlar
Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, bulut, web, dosya paylaşım vb.),
Yazılımlar (ofis yazılımları, kurum içi portal, kamera kayıt görüntüleme,VERBİS vb.),
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.),
Kişisel bilgisayarlar (masaüstü, dizüstü),
Mobil cihazlar (telefon, tablet vb.),
Optik diskler (CD, DVD, hard disk vb.),
Çıkartılabilir bellekler (USB, hafıza kartı vb.),
Yazıcı, tarayıcı, fotokopi makinesi,fotoğraf makinası
Elektronik Olmayan Ortamlar
Kağıt,
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)
Yazılı –basılı görsel ortam
Birim dolapları
Klasörler
Arşiv
KİŞİSEL VERİLERİN SAKLANMASI
Şirket tarafından; müşteriler, ziyaretçiler, çalışanlar, tedarikçiler, taşeronlar, hissedarlar, iş ortakları, internet sitesi ve kioskları kullananlar, kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirket faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.
KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER VE İŞLEME AMAÇLARI
6.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler
Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatlarda öngörülen sebepler ve süreler dahilinde muhafaza eder;
6698 Sayılı Kişisel Verilerin Korunması Kanunu,
6098 Sayılı Türk Borçlar Kanunu,
6102 Sayılı Türk Ticaret Kanunu,
4734 Sayılı Kamu İhale Kanunu,
657 Sayılı Devlet Memurları Kanunu,
5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu,
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 Sayılı Kamu Mali Yönetimi Kanunu,
6331 Sayılı İş Sağlığı Ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 Sayılı İş Kanunu,
2547 Sayılı Yükseköğretim Kanunu,
5434 Sayılı Emekli Sağlığı Kanunu,
2828 Sayılı Sosyal Hizmetler Kanunu,
6585 Sayılı Perakende Ticaretin Düzenlenmesi Hakkında Kanun,
İşyeri Bina Ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
6.2. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır;
Şirket İnsan Kaynakları Prosedür, Politika Ve Süreçlerini Planlanması Ve/Veya Uygulanması Amacıyla;
“Çalışanlarının iş faaliyetlerinin takibi ve/veya denetimi, görevlendirme süreçlerinin mevzuata uygun yönetilmesi, İş sağlığı ve/veya güvenliği çerçevesinde gerçekleştirilmesi gereken faaliyetlerin planlanması ve/veya icrası, Disiplin/etik süreçleri ile ilgili gerekli operasyonel faaliyetlerin planlanması ve/veya icrası, Alt işveren çalışanlarının özlük kayıtlarının oluşturulması, denetimi ve/veya takibi faaliyetlerinin planlanması ve/veya “ alt amaçları ile birlikte
Şirketimizin Ve/Veya Şirketimizle İş İlişkisi İçerisinde Olan Üçüncü Kişilerin Hem Hukuki Hem Teknik Anlamda Güvenliğinin Sağlanması Faaliyetlerinin Planlanması Ve /Veya Uygulanması Amacıyla;
“Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin düzenlenmesi ve/veya icrası ve güvenliği ile faaliyetlerin mevzuata uygun yürütülmesi, Şirket iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası, Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, Hukuk işlerinin, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması, Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin düzenlenmesi ve/veya icrası, Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası, Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi, Erişim yetkilerinin yürütülmesi, Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi, Verilerin doğru ve/veya güncel olmasının sağlanması, Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini, Fiziksel mekân güvenliğinin temini, Lojistik Faaliyetlerinin Yürütülmesi” alt amaçları ile birlikte
Şirket tarafından ve/veya Şirket nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak ve Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi için gerekli çalışmaların gerçekleştirilmesi ve ilgili iş süreçlerinin devamlılığının sağlanması Amacıyla;
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, Dijital ve/veya diğer mecralar aracılığı ile toplanan müşteri talep ve/veya şikâyetlerinin değerlendirilmesi, Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım, kapmanya, promosyon ve/veya pazarlama aktivitelerinin tasarlanması ve/veya icrası, Şirket Web sitesi de dahil olmak üzere yazılı ve görsel basın, sosyal medya veya afiş/katalog/bülten gibi şirketin haberlerinin ve reklamlarının geçtiği tüm belge ve mecralarda yayınlanması/paylaşılması, Kurumsal iletişim ve bu kapsamda sair organizasyon, etkinlik, kampanya, konser ve davetlerin düzenlenmesi ve bunlar hakkında bilgilendirme yapılması, pazar araştırma çalışmalarının yürütülmesi, Satış ve pazarlama analiz çalışmalarının ile Ürün/Hizmetlerin pazarlama süreçlerinin yönetilmesi, Ziyaretçi kayıtlarının oluşturulması ve takibi” alt amaçları ile birlikte ,
Şirket Tarafından Yürütülen Ticari Ve/Veya Operasyonel Faaliyetlerin Gerçekleştirilmesi Için Ilgili Iş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması Ve Buna Bağlı Iş Süreçlerinin Yürütülmesi Amacıyla,
Mal/hizmet satın alma süreçlerinin planlanması ve yürütülmesi, Mal/hizmet satış süreçlerinin yürütülme, mal hizmet satış sonrası destek hizmetlerin yürütülmesi, Finans ve/veya muhasebe işlerinin takibi, İş faaliyetlerinin verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, Kurumsal yönetim faaliyetlerinin planlanması ve/veya icrası, Şirketimiz ürünlerinin stok ve/veya sevkiyat işlemlerinin planlanması ve/veya icrası, Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi, Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya uygulanması, Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası” alt amaçları ile birlikte
Şirket Ticari Hayatının ve İş Geliştirme Stratejilerinin Planlanması, Düzenlenmesi ve Uygulanması Amacıyla,
“Şirketin finansal risk süreçlerinin planlanması ve/veya icrası, Saklama ve arşiv faaliyetlerinin yürütülmesi, Yatırım süreçlerinin yönetilmesi, İş ortakları /tedarikçi ve taşeronlarla olan ilişkilerin yönetimi, Hissedarları, bağlı ortaklıkları ve iştiraklari ile olan organik bağ süreçlerinin getirdiği faaliyetlerin düzenlenmesi ve süreçlerin yönetimi, Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası” alt amaçları ile birlikte.
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Şirket, KVK Kanunu’nun 12’inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda Şirket, bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
7.1. İdari Tedbirler
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar ile Şirket arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiğine, kişisel verilerin ifşa edilmemesi gerektiğine, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiğine ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiğine ilişkin kayıtlar eklenmektedir.
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda Şirket tarafından bilgilendirilmekte ve bu doğrultuda çalışanlardan gerekli taahhütlenameler alınmaktadır.
Çalışanlar tarafından gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin edilmektedir. Kişisel veri işleme faaliyetleri neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulmaktadır. Bu kapsamda; kişisel verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırılmakta veya sınırlandırılmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve KVK Kurul’una bildirilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde iş birimi bazında kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Şirket tarafından kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilmektedir.
Şirket tarafından, iş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
Şirket tarafından çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilmektedir.
Şirket tüzel kişiliği nezdinde KVK Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve/veya yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmektedir.
Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığını sağlanmaktadır.
Şirket tarafından, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Şirket’in, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12’inci maddesi uyarınca sorumluluğu bulunmaktadır. Bu nedenle; Şirket tarafından üçüncü kişilere veri aktarılırken, Şirket ile üçüncü kişiler arasında imzalanacak sözleşmelerde ve her türlü düzenlemede bu şartların sağlanmasını ve Şirket’e denetim yapma yetkisi verilmesini içeren taahhütler üçüncü kişilerden alınmaktadır.
Teknik Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yolu ile kişisel verilerin aktarımında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınmaktadır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilmekte ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kişisel verilerin güvenliğini sağlamak için gereken tüm makul önlemler alınmaktadır. Alınan önlemler, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanmaktadır.
Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıklarının kapatılması sağlanmaktadır.
Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmek ve yenilenmektedir.
Teknik konularda bilgili personel istihdam edilmektedir.
Veri korunması ile ilgili şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
KVK Kanunu kapsamında, Şirket veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11’inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirilebilir.” şeklinde düzenleme yapılmıştır.
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi hususlarıdır.
Şirket tarafından, KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu asıl yetkili İnsan Kaynakları Sorumlusu olmak üzere; Muhasebe Departmanı Sorumlusu, Kalite Yönetim Temsilci, Satış ve Pazarlama Müdürü, Satın Alma Sorumlusu yetkili kılınmıştır. Her bir komite üyesi, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ile Saklama ve İmha Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm komite üyeleri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri İnsan Kaynakları Sorumlusu’na raporlayacaktır. İnsan Kaynakları Sorumlusu, tüm komite üyelerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetim Kurulu’na sunacaktır. Karar alınmasını gerektiren durumlarda İnsan Kaynakları Sorumlusu’nun da görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.
KİŞİSEL VERİLERİN İMHASI:
Şirket elde ettiği kişisel verileri;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine siler, yok eder ya da re’sen silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN ALINAN TEDBİRLER
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır.
Şirket tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
Şirket, kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
9.1. Kişisel Verilerin Silinmesi Yöntemleri
Hizmet olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmamaktadır.
Kâğıt Ortamında Bulunan Kişisel Veriler
Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Yerel Sistemler
Fiziksel Ortamda Yer Alan Kişisel Veriler; Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler; Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir
Çevresel Sistemler
Ağ cihazları (switch, router vb.)
Flash tabanlı ortamlar
Manyetik bant
Manyetik disk gibi üniteler
Mobil telefonlar
Optik diskler
Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Kağıt ve mikrofiş ortamları
Bulut ortamı
Verilerinin imhasına yönelik yöntemler kullanılmaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değişkenleri çıkartma
Kayıtları çıkartma
Bölgesel Gizleme
Global Kodlama
Alt ve üst sınır kodlama
Bölgesel gizleme
Örnekleme
Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Mikro-Birleştirme
Veri Değiş-Tokuşu
Gürültü Ekleme
Tekrar Örnekleme
Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler
K-Anonimlik
L-Çeşitlilik
T-Yakınlık
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Şirket re’sen kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alacak olup, seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyerek İş bu politikanın 3. Maddesinde tabloda yer alan kişiler aracılığı ile kullanabilecektir. Ayrıca Yönetmelik’in 13üncü maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda şirket serbesti içinde olacaktır.
SAKLAMA VE PERİYODİK İMHA SÜRELERİ
Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen imha edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler aşağıdaki tabloda belirtilen azami süre boyunca saklanacaktır. Bu süreler; şirketin veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.
Kayıt Türü Detaylar Saklama Süresi İmha Süresi
Kimlik Bilgisi Kişinin kimliğine dair bilgilerin bulunduğu verileri ifade etmektedir. (Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, medeni hal, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası vb.)
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Bilgisi Telefon numarası, adres, e-posta ve benzeri iletişim bilgileri anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Lokasyon Bilgisi Çalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler anlamına gelmektedir. 3 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finansal Bilgi Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, mal varlığı bilgisi gibi veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Özlük Dosyaları Çalışanların, Şirket'te çalışmaları boyunca tutulan tüm kayıtları teşkil etmekte ve aşağıdakileri de içermektedir:
İş Sözleşmesi,
Feshe İlişkin Belgeler,
İzin Belgeleri,
Terfi Belgeleri,
Çalışan Özet Bilgisi,
Eğitim Kayıtları,
İşe Giriş Başvuruları,
Yan Haklar.
İş sözleşmesi süresi boyunca + 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşe Alınmayan Çalışan Adaylarının Kişisel Verileri İşe alım sürecinde toplanan tüm kayıtları içermektedir:
Özgeçmişler.
6 Ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler Sözleşmeler ve ilgili iletişimleri teşkil etmektedir. Sözleşme süresi boyunca + 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Alt İşveren / Taşeron / Tedarikçi Çalışan Bilgileri Alt işveren, taşeron ve tedarikçi çalışanlarının ücretlerinin ve SGK bildirimlerinin düzenli olarak yapıldığına/ödendiğine dair belgeleri teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekân Güvenliği Bilgileri-1 Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlara ilişkin kişisel veriler; kamera kayıtları gibi verileri teşkil etmektedir. Güvenlik Kamera Kayıtları 3 Gün
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görsel/İşitsel Veriler Fiziksel mekân güvenlik bilgileri kapsamına girmeyen ve fotoğraf, ses ve görüntü kaydı gibi kişisel verilerdir. Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç.)
1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş Ortağı İlişkileri ve Taahhütler İş ortakları, hissedarlar, Şirket'in katıldığı organizasyonlar, haber bültenleri ve kurumsal iletişim faaliyetlerini teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sigorta Başvuru Kayıtları ve Risk Değerlendirmeleri Sigorta katılım kayıtları, başvurular ve yenilemeleri teşkil etmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İşlem Güvenliği Bilgisi Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler (örneğin log kayıtları, IP adres bilgileri, internet giriş-çıkış bilgileri, şifre ve parola bilgileri) anlamına gelmektedir.
2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem ve Uyum Bilgisi Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler,çalışanların icra dosya bilgileri ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep/Şikayet Yönetimi Bilgisi Şirketimize yöneltilmiş olan her türlü talep ve/veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler anlamına gelmektedir. 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Denetim ve Teftiş Bilgisi Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında iç veya dış denetim faaliyetleri sırasında işlenen kişisel veriler anlamına gelmektedir.
10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özel Nitelikli Kişisel Veri Kişilerin sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler anlamına gelmektedir.
Sağlık Verileri 15 Yıl
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Verileri 10 Yıl
Biyometrik Veri Kişi İşte Çalıştığı Sürece Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem Verisi Müşterilerin satın aldığı ürün ve hizmetlerin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri, gibi veriler anlamına gelmektedir.
10 Yıl
KİŞSEL VERİ SAHİBİNİN BAŞVURU HAKKI
Kişisel veri sahiplerinin KVK Kanunu’ndan doğan haklarına ilişkin başvurularının, KVK Kanunu’nun 13. maddesine uygun bir biçimde yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği diğer yöntemler ile tarafımıza iletilmesi gerekmektedir:
BAŞVURU YÖNTEMİ BAŞVURU YAPILACAK ADRES BAŞVURUDA GÖSTERİLECEK BİLGİ
Yazılı Olarak Başvuru Islak imzalı şahsen başvuru veya
Noter vasıtasıyla
Ahi Evran 1. OSB Mahallesi,
Oğuz Caddesi, No : 44/1 Sincan/Ankara Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) Yolu ile Başvuru Kayıtlı Elektronik Posta (KEP) adresi ile
[email protected] E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.
Sistemimizde Bulunan Elektronik Posta Adresi ile Başvuru Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiyle
[email protected]
E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır ve sonuç yazılı olarak ya da elektronik ortamda tarafınıza bildirilecektir. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, tarafınızdan Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilerek alınacaktır.
Şirket tarafından, yapılan başvuru ve talep haklı görülmesi halinde gereği gecikmeksizin yerine getirilecektir. Yapılan başvuru ve talebin reddi halinde ise, red gerekçesi ilgili kişiye başvuru ve talep dilekçesinde belirtildiği şekilde yazılı olarak veya elektronik ortamda bildirilecektir.
Şirket tarafından başvuru ve talebin red edilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde, ilgili kişinin başvuru ve talep cevabını öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içinde KVK Kurulu’na şikâyette bulunma hakkı vardır
PERİYODİK İMHA SÜRESİ
Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ya da muhafaza süresinin sona ermesi halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Şirketin periyodik imha süresi 6 aydır. Saklama süresi dolan kişisel veriler, işbu Politikada belirtilen imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Periyodik imha sürecinin takibi konusunda şirket verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da idari birim /insan kaynakları/ danışma da saklanır.
POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ve https://www.parkkent.com/kvkk sitemizde ilan edilecektir.