ZTAŞ YAPI SANAYİ VE TİCARET A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
2020 İstanbul
İçindekiler
I. Politika Amaç ve Kapsamı 1
II. İlgili Mevzuat ve Diğer Belgeler 1
III. Tanımlar 2
IV. Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler 3
V. Kişisel Verilerin İşlenmesi 3
İşleme Kavramı 3
Yasal İşleme Şartları 3
Kişisel Veri İşleme Amaçları 3
Kişisel Verilerin Aktarılması 3
VI. KVKK Kapsamında Şirket’nin Yükümlülükleri 4
Aydınlatma Yükümlülüğü 4
İdari ve Teknik Tedbirler İle Denetim 4
Veri Sorumluluları Siciline Kayıt 4
İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü 4
Silme/Yok Etme/Anonimleştirme 4
VII. Politika Sorumluları 4
VIII. Politika’ya Uyum 4
IX. Yürürlük 4
I. Politika Amaç ve Kapsamı
Kişisel verilerin güvenliği ZTAŞ YAPI SANAYİ VE TİCARET A.Ş. (Şirket) için büyük önem taşımakta olup, kişisel verilerin mevzuatın öngördüğü şartlara uygun olarak, mümkün olan en güvenli şekilde ve hukuki yükümlülüklerin gerektirdiği süreyle işlenmesi ve mevzuata uygun koşullarda saklanması Şirket açısından yüksek önemi haizdir. Bu bağlamda ’nin, kişisel verilerin işlenmesi açısından mevzuata uygun hareket etmesi ve uyumluluğu tesis etmesi hukuka uygunluk açısından oldukça önemlidir.
Şirket , 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlusu sıfatıyla kişisel verilerin korunması ve hukuka uygun işlenmesine yönelik her türlü yasal düzenlemeye tam olarak uyum sağlamayı hedeflemektedir.
İşbu Politika kapsamındaki tüzel kişilik ZTAŞ YAPI SANAYİ VE TİCARET A.Ş.’dir.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (‘’Politika’’) amacı, İlgili Şirket tarafından, ürün veya hizmet alan kişiler, çalışanlar, aday çalışanlar ve diğer üçüncü kişilerin kişisel verilerinin işlenmesine yönelik prensipler ile usul ve esasların belirlenmesidir. İşbu Politika, Şirket’in ilgili birimleri ve çalışanlarının kişisel verilerin işlenmesi sırasındaki görev ve sorumluluklarını da ihtiva etmektedir.
İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur.
Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket yönetim organlarınca kabul edilerek yürürlüğe girmiştir.
II. İlgili Mevzuat ve Diğer Belgeler
o 6698 sayılı Kişisel Verilerin Korunması Kanunu
o 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
o 30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik
o 10 Mart 2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
o 6098 sayılı Türk Borçlar Kanunu
o 4857 sayılı İş Kanunu
o 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
o 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
o 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
o Şirket Veri Saklama ve İmha Politikası
o Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü
III. Tanımlar
Bu Politika’da yer alan terimler, aşağıda yer verilen anlamları ifade eder.
Tanım Açıklama
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hâle Getirme Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
İlgili Kişi Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun veya KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Şirket ZTAŞ YAPI SANAYİ VE TİCARET A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi
(VERBİS) Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.
IV. Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler
KVKK kapsamında Veri Sorumlusu sıfatıyla Şirket kişisel verilerin mevzuat ve Politika hükümlerine aykırı olacak şekilde işlenmesini ve/veya aktarımını, kişisel verilere hukuka aykırı erişimi ve meydana gelebilecek olası güvenlik eksikliklerini önlemek adına, mevcut teknik imkanlar dahilinde ve ilgili kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
Yasallık. Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir Şirket kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde davranarak, azami hassasiyet ve kontrol ile kişisel verileri işlemektedir. Bu doğrultuda Şirket kişisel verileri kanunda ön görülen sınırlar çerçevesinde kişisel verilerin işlenmesine yönelik olarak ilgili kişileri mevzuat çerçevesinde aydınlatarak ve gerekmesi halinde ilgili kişilerin açık rızasını alarak verileri işler.
Doğruluk ve Güncellik.İşlenen verilerin doğru ve güncel olması gerekmektedir. Şirket işlenen verilerin doğruluğunu her işleme seviyesinde kontrol eder ve gerektiğinde güncel olması için gerekli hazırlıkları yaparak Kişisel Veri İşleme Envanteri’nde ilgili çalışmaları gerçekleştirir.
Şeffaflık ve Belirlilik.Verilerin işlenmesi esnasında hangi verilerin işlendiği açık ve ne amaçla işlendiği belirli, hukuka uygun, eş söyleyişle meşru olmalıdır. Şirket, sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin işleme amaçlarının belirli olmasına özen göstermektedir. Şirketelde edilen kişisel veri ve bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına belirgin ve açık amaçlarla verileri işlemektedir.
Ölçülülük ve Sınırlılık.Verilerin işlenme amacına sadık, amaçla bağlantılı, o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirket yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde ilgili kişilerin verilerini işlemektedir.
Belirli Süre.Kişisel verilerin işlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması halinde söz konusu kişisel veriler silinir. Kanunlarda verilerin tutulmasına ilişkin sürelerin ön görülmesi halinde ise bu veriler, ilgili mevzuatta ön görülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta ön görülen sürenin dolmasından sonra ise bu veriler Şirket tarafından verilerin saklandığı sistemlerden, cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir, yok edilir veya anonimleştirilir.
Aydınlatma ve Açık Rıza.Şirket,kişisel verilerin işlenmesi ile ilgili olarak ilgili kişiyi mevzuatta belirlenen şekilde, tam ve gereği gibi bilgilendirmeyi hedefler. Gereken durumlarda, ilgili kişinin söz konusu işleme ile ilgili olarak açık rızasını alır ve vermiş olduğu açık rızayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma seçeneği sunmaktadır.
V. Kişisel Verilerin İşlenmesi
İşleme Kavramı
KVKK, kişisel verilerin işlenmesi ifadesini, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleşen her türlü işlem olarak tanımlamaktadır.
Yasal İşleme Şartları
Kanun’a göre kişisel veriler, kaideten, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza, Kanun’un 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan beyan olarak tanımlanmıştır. Bununla birlikte, “yasal işleme şartlarının” varlığı halinde de ilgili kişinin kişisel verisi Açık Rıza aranmaksızın işlenebilecektir.
Bu itibarla yasal işleme şartları aşağıdaki gibi tanımlanmaktadır:
o İlgili Kişinin Açık Rızası,
o Veri işlemenin kanunlarda açıkça öngörülmesi,
o Veri işlemenin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
o Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
o Veri işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
o Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
o İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Veri İşleme Amaçları
Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu bağlamda Şirket, kişisel verileri ve özel nitelikli kişisel verileri hukuka uygun olarak işlemek amacıyla ilgili kişinin açık rızasını veya hukuka uygun işleme nedenlerinin varlığını arar. Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
Şirket’in kişisel veri işleme amaçları, Şirket Kişisel Veri İşleme Envanteri’nin ilgili kısmında yer almaktadır.
Şirket tarafından bina girişleri ve/veya bina içerisinde gerçekleştirilen kişisel veri işleme faaliyetleri, Anayasa’ya, Kanun’a ve ilgili diğer mevzuata uygun bir biçimde yürütülür. Bu kapsamda Şirket, güvenliğin sağlanması amacıyla gerekli görürse kamera ile görüntü kaydı tutar. Ayrıca ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işler. Ziyaretçilerin Şirket işyerlerini ziyaretleri sırasında kişisel verileri elde edilirken ilgili kişiler söz konusu işleme faaliyetleri hakkında bilgilendirilmek suretiyle aydınlatılırlar. Ayrıca, Şirket işyerlerini ziyaretleri sırasında ziyaretçilerimize internet erişimi sağlanabilmekte olup böyle bir durumda ‘log’ kayıtları tutulabilmektedir. Şirket, söz konusu kamera, ‘log’ ve sair ziyaretçi kayıtlarının işlenmesinde, güvenliğin gereği gibi ve mümkün olan en yüksek seviyede alınması amacını güderek yürürlükteki mevzuata tam uygunluğu hedefler. Şirket, söz konusu dijital kayıtlara yalnızca belirli sayıda yetkilendirilmiş kişiler tarafından ve bu Politika ilkelerine uygun olarak erişilmesini temin eder.
Şirket veya üçüncü kişi hizmet sağlayıcıları, Şirket internet sayfasının nasıl kullanıldığıyla ilgili olarak bilgi toplamak amacıyla “çerez” adı verilen (cookie) standart bir uygulamayı kullanabilir. Şirket, söz konusu kayıt işleminin gerçekleştirilmesinde yürürlükteki mevzuata gereği gibi uygunluğu sağlamayı hedefler. Bu bağlamda ilgili internet sayfasında teknik bilgilerle birlikte şu uyarı yer alır: “Çerezlerin kullanımı ile ilgili kişisel verilerinizin toplanmasını veya benzer surette işlenmesini istemiyorsanız, ilgili tarayıcı ayarlarında buna ilişkin seçimleri yapmanızı rica ederiz. Önemle belirtmek isteriz ki çerezlerin kullanımını reddetmeniz halinde Şirket internet sayfasının birtakım özelliklerini kullanamayabilirsiniz.”
Kişisel Verilerin Aktarılması
Şirket , hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini ve/veya özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Aktarımın yurt dışına yapılması halinde ise, Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilecektir. Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilir.
Şirket yurt dışına kişisel veri aktarımı konusunda KVKK’nın 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmekte olup, yurtdışına aktarım için ilgili kişinin açık rızası veya yasal işleme şartlarından birinin varlığını mutlak surette aramaktadır.
VI. KVKK Kapsamında Şirket Yükümlülükleri
Aydınlatma Yükümlülüğü
Şirket, KVKK uyarınca ve Kurul’un Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği uyarınca, veri sorumlusunun aydınlatma yükümlülüğü kapsamında kişisel veri sahibi İlgili Kişilere kişisel verilerinin işlenmesi hakkında bilgi verir. Bu doğrultuda aşağıdaki bilgiler tüm ilgili kişilere ve/veya yasal temsilcilerine, kişisel verilerinin elde edildiği anda sağlanır:
• Şirket’nin ticari unvanı ve temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• İlgili Kişinin KVKK’nın 11. maddesinde sayılan diğer hakları.
İdari ve Teknik Tedbirler ile Denetim
Şirket yönetici ve çalışanları, kişisel verilere, yalnızca söz konusu görevin kapsam ve amacına uygun olacak şekilde erişebilir. Yönetici ve çalışanların erişimi olan kişisel veriler, sair kişisel veya ticari amaçlar gözeterek işlenemeyeceği gibi; bu amaçlarla kişisel veriler yetkisiz kişilere açıklanamaz veya bu bilgiler ifşa edilemez.
Şirket, yönetici ve çalışanlarını, iş amaçları gereği elde ettikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hususlarında bilgilendirir, gerekli eğitimleri verir ve kendileriyle bu yönde anlaşmalar akdeder.
Şirket tarafından kişisel veri işleme faaliyetleri detaylı şekilde ve periyodik olarak gerek hukuk gerekse bilgi teknolojileri alanındaki uzmanlarca incelenmekte ve denetlenmektedir. Teknolojinin imkân verdiği ölçüde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. Şirket’in ilgili departmanı ve gerek hukuk gerekse bilgi teknolojileri alanındaki danışmanları bu faaliyetlerin yürütülmesinde ve denetlenmesinde uyumlu bir şekilde çalışmaktadır. Şirket, Şirket bünyesinde ve kişisel veri aktarımı yaptığı üçüncü kişiler nezdinde kişisel verilerin korunması yönündeki Şirket ilkeleri ile kişisel verilerin hukuka uygun işlenmesine yönelik mevzuat gereklerini sağlamak amacıyla belirli aralıklarla, özellikle teknik ve idari tedbirlere ilişkin gerekli sorgulamaları ve gerekli ise denetimleri yapmaktadır.
Veri Sorumluluları Siciline Kayıt
Şirket, ilgili mevzuat gereği Kurum tarafından kurulan veri sorumluları siciline, Kurul’un 19/07/2018 tarihli ve 2018/88 sayılı kararı uyarınca, Şirket’in yıllık çalışan sayısının 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olması halinde kaydolacaktır.
İlgili sicil kapsamında aşağıdaki bilgiler yer alır;
• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü
Kişisel verileri işlenen ilgili kişiler, Şirket’e başvurarak kendileriyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
f) Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir. Bu kapsamda Şirket, ilgili kişiler tarafından kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. İlgili kişinin kişisel verisinin işlenmesi açık rızaya dayanıyor ise, ilgili kişinin açık rızasını geri çekmesi halinde Şirket gerekli adımları atar.
Şirket tarafından, Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü hazırlanarak yürürlüğe girmiş olup; söz konusu başvurular anılan prosedür ve ekleri uyarınca ilgili birimlerce yürütülür.
Silme/Yok Etme/Anonimleştirme
KVKK kapsamında, veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişisel verileri re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur. Bu doğrultuda, Şirket Kişisel Veri Saklama ve İmha Politikası düzenlenerek yürürlüğe girmiştir.
VII. Politika Sorumluları
İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur. Bu bağlamda Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Özel olarak, İnsan Kaynakları Birimi çalışanların politikaya uygun hareket etmesinden; Bilgi Teknolojileri Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumlu olup, bahse konu her iki birim ayrıca Politika’nın geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi açısından yetkili ve görevlidir.
VIII. Politika’ya Uyum
Tüm Şirket çalışanları, kişisel verilerin işlenmesi ve muhafazası sırasında Politika hükümlerine tam ve gereği gibi riayet etmekle mükellef olup, mezkûr politika çalışanların iş sözleşmelerinin ayrılmaz bir parçasını teşkil etmektedir.
Bu Politika’da yer alan hükümlerin ihlaline ilişkin somut emarelerin varlığı halinde Şirket yönetim organı şüphelenilen Politika ihlallerini araştırarak gerekli tedbirleri alır. İşbu politikaya uyulmaması, müşteri güven kaybı, dava, prestij kaybı, finansal kayıp ve Şirket itibarına zarar veya kişisel zarar dahil ve bunlarla sınırlı olmaksızın çeşitli olumsuz sonuçlara neden olabilir. Bu sebeple, bu politikaya herhangi bir şekilde uyulmaması Şirket çalışanları ya da ilgili sair kişiler hakkında disiplin soruşturması veya işin ya da sözleşmenin sona ermesi ile sonuçlanabilir. Anılan ihlal aynı zamanda dahil olan kişiler aleyhine hukuki işlemde bulunulmasına dahi yol açabilir.
IX. Yürürlük
Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket yönetim organı tarafından onaylanarak yürürlüğe girmiştir.
Politika, basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda yayınlanır. İç iletişime özgülenmiş elektronik ortamda çalışanlara açıklanır, basılı kâğıt nüshası da İnsan Kaynakları Departmanında saklanır. Politika, ihtiyaç hasıl oldukça gözden geçirilir ve gerektiğinde ilgili bölümler güncellenir.
ZTAŞ YAPI SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
2019 İstanbul
İçindekiler
I. Politika Amaç ve Kapsamı 1
II. İlgili Mevzuat ve Diğer Belgeler 1
III. Tanımlar 1
IV. Genel Saklama Prensipleri 2
Saklama Süresi 2
Saklama Kuralları ve Tedbirler 2
V. Kişisel Verilerin İmhası 3
Genel Olarak Kişisel Verilerin İmha Şartları 3
Kişisel Verilerin İmha Teknikleri 3
Periyodik İmha 3
VI. Politika Sorumluları 3
VII. Politika’ya Uyum 3
VIII. Yürürlük 3
Ek-1: Saklama ve İmha Süreleri Tablosu 3
EK-2: Özel Nitelikli Kişisel Verilerin İşlenmesi Prosedürü 5
I. Politika Amaç ve Kapsamı
Kişisel verilerin güvenliği Balcıoğlu Grup Standart İzolasyon ve Yapı Materyalleri San. Tic. A.Ş. (Şirket) için büyük önem taşımakta olup, kişisel verilerin mevzuatın öngördüğü şartlara uygun olarak, mümkün olan en güvenli şekilde ve hukuki yükümlülüklerin gerektirdiği süreyle işlenmesi ve mevzuata uygun koşullarda saklanması Şirket Kimya açısından yüksek önemi haizdir. Bu bağlamda Şirket, kişisel verilerin işlenmesi açısından mevzuata uygun hareket etmesi ve uyumluluğu tesis etmesi hukuka uygunluk açısından oldukça önemlidir.
6698 sayılı Kişisel Verilerin Korunması Kanununun 16’ncı maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5’inci maddesi kapsamında hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası’nın (‘’Politika’’) amacı, Şirket tarafından işlenen,ürün veya hizmet alan kişi, çalışanlar, aday çalışanlar ve diğer üçüncü kişilerin kişisel verilerinin, gerekli saklama sürelerini ve imha edilmelerinde uygulanacak asgari standartları belirlemektir.
İşbu Politika kapsamındaki tüzel kişilik Balcıoğlu Grup Standart İzolasyon ve Yapı Materyalleri San. Tic. A.Ş.’dir.
İşbu Politika, veri sorumlusuŞirket’in işlediği kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak teşkil etmektedir.
İşbu politika,Şirket’in tüm birimlerine, süreçlerine ve diğer üçüncü kişilerle işilişkilerine uygulanır. Bu Politika tüm Şirket yöneticilerine, çalışanlarına, danışmanlara, hizmet sağlayıcılara ya da veri toplayabilen, işleyebilen ya da verilere erişebilen (kişisel verileri ve/veya özel nitelikli kişisel verileri içeren) hizmet sağlayıcılara uygulanır.
İşbu Politika Şirket tarafından toplanan tüm kişisel verilere ve bilgilere uygulanır.İşbu Politika ile düzenlenen ve kişisel verilerin yer aldığı, elektronik ve elektronik olmayankayıt ortamları ve/veya belgeler şunlardır:
o Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.)
o Yazılımlar (ofis yazılımları, portal)
o Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.)
o Kişisel bilgisayarlar (masaüstü, dizüstü)
o Mobil cihazlar (telefon, tablet vb.)
o Optik diskler (CD, DVD, Blu-Ray vb.)
o Çıkartılabilir bellekler (USB, Hafıza Kart, Taşınabilir Bellek vb.)
o Yazıcı, tarayıcı, fotokopi makinesi.
o Basılı ortamdaki bilgi ve belgeler,
o Video ve ses kayıtları,
o Fiziksel erişim kontrol sistemleri tarafından üretilen veriler.
II. İlgili Mevzuat ve Diğer Belgeler
o 6698 sayılı Kişisel Verilerin Korunması Kanunu
o 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
o 30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik
o 10 Mart 2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
o 6098 sayılı Türk Borçlar Kanunu
o 4857 sayılı İş Kanunu
o 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
o 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
o 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
o Şirket Grup Kişisel Verilerin Korunması ve İşlenmesi Politikası
o Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü
III. Tanımlar
Bu Politika’da yer alan terimler, aşağıda yer verilen anlamları ifade eder.
Tanım Açıklama
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hâle Getirme Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
İlgili Kişi Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun veya KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Şirket Balcıoğlu Grup Standart İzolasyon ve Yapı Materyalleri San. Tic. A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi
(VERBİS) Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
IV. Genel Saklama Prensipleri
Saklama Süresi
Şirket, kişisel veri saklama süresi boyunca saklanması gereken belgeler ve elektronik kayıtlar için süre tanımını Ek-1’de yer alan Saklama ve İmha Süreleri Tablosu’nda yapar ve günceller.
Bu Politika ve eklerinde aksi belirtilmedikçe, ŞirketKişisel Veri İşleme Envanteri’ndeki veri kategorilerinde yer alan kişisel veriler, kural olarak ilgili kişisel verinin elde edildiği tarihten itibarenEk-1’de belirtilen süreler ile saklanır.
İstisnai olarak, veri saklama süreleri aşağıdaki durumlarda uzatılabilir:
o Resmi mercilerce yürütülen soruşturma veya araştırmalarda talep edilmesi halinde ve/veya Şirket’in hukuki yükümlülüğü veya yasal haklarının gerektirdiği hallerde;
o Yargılama veya sair yasal süreçlerinde yürürlükteki mevzuat kapsamındaki hakların kullanılması için gerektiği hallerde.
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
o İlgili veri kategorisinin işlenme amacı kapsamında Şirket’in faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
o İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
o İlgili veri kategorisinin işlenme amacına bağlı olarak Şirket’in elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
o İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
o Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
o Şirket’in hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
o Şirket tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
Şirket, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken veuygularken, söz konusu sürelerinŞirketKişisel Veri İşleme Envanteri’nde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
o Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
o Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
o Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi tatbik edilir.
Saklama Kuralları ve Tedbirler
Kişisel verilerin saklanması sürecinde, ilgili kişisel verinin saklama veya arşivleme için kullanılan veri ortamının (yazılı, dijital vb.) yıpranma ihtimali göz önünde bulundurulur. Eğer kişisel verilerin elektronik ortamda depolama yöntemi ile saklanması seçilmiş ise,ağ bileşenleri arasında saklama süresince sınırlı ve sadece yetkili kişilerce erişim sağlanır.
Şirket’te yer alan cihazlarda ya da kâğıt ortamında saklanan kişisel veriler, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunur. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamlar da dış risklere(yangın, sel vb.) karşı uygun yöntemlerle korunur. Bu ortamlara giriş / çıkışlar kontrol altına alınır.
Aynı seviyedeki önlemler, Şirket dışında yer alan ve Şirket’ ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınır.
Şirket’in işlenen kişisel verilerin güvenliğine yönelik almış olduğu tedbirlere aşağıda yer verilmektedir:
o Şirket tarafından, sızma testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
o Bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler Şirket tarafından sürekli olarak izlenmektedir.
o Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile güvenlik tanımları aracılığı ile yapılmaktadır.
o Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
o Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
o Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
o Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
o Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
o Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
o Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
o Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
o Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
o Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
o Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
o Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
o Özel nitelikli kişisel verilerin güvenliğine yönelik, işbu Politikaya ek, “EK-2 Özel Nitelikli Kişisel Verilerin İşlenmesi Prosedürü”adıyla ayrı bir politika belirlenmiştir.
V. Kişisel Verilerin İmhası
Genel Olarak Kişisel Verilerin İmha Şartları
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir. Buna göre;
o Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
o Şirket ile ilgili kişi arasındaki sözleşmeninhiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
o Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
o Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
o Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
o İlgili kişinin, Kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
o Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
o Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
o Kanunun 5 ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
hallerinde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi gerekir.
Kişisel Verilerin İmha Teknikleri
Kişisel verilerin silinmesi;söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olmasını temin eder.
Şirket tarafından kişisel verilerin silinmesi işleminde aşağıdaki süreç tatbik edilir:
o Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi;
o Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgilikullanıcıların tespit edilmesi;
o İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinintespit edilmesi;
o İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki veyöntemlerinin kapatılması ve ortadan kaldırılması.
Kayıt ortamlarına göre kişisel veriler aşağıdaki şekilde silme işlemine tabi tutulur:
o Sunucularda yer alan kişisel verilerden,saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
o Elektronik ortamda yer alan kişisel verilerdensaklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
o Taşınabilir medyada bulunan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Yok etme;bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
Kayıt ortamlarına göre kişisel veriler aşağıdaki şekilde yok etme işlemine tabi tutulur:
o Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
o Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
Kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Anonimleştirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümlerine tabi olamayacaktır. Veri setleri anonimleştirme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Periyodik İmha
Şirketbünyesinde işlenen kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11’inci maddesi uyarınca, ilgili takvim yılının ilk günü itibariyle altı ayda bir periyodik imha işlemine tabi tutulur.
İşbu Politika kapsamında, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.
İlgili kişinin, KVKK’nın 13’üncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;
o Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirket, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
o Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Politika ve ilgili mevzuat kapsamında gerekli işlemlerin yapılmasını temin eder.
o Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
VI. Politika Sorumluları
İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur. Bu bağlamda Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Özel olarak, İnsan Kaynakları Birimi çalışanların politikaya uygun hareket etmesinden; Bilgi Teknolojileri Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumlu olup, bahse konu her iki birim ayrıca Politika’nın geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi açısından yetkili ve görevlidir.
VII. Politika’ya Uyum
Tüm Şirket çalışanları, kişisel verilerin işlenmesi ve muhafazası sırasında Politika hükümlerine tam ve gereği gibi riayet etmekle mükellef olup, mezkûr politika çalışanların iş sözleşmelerinin ayrılmaz bir parçasını teşkil etmektedir.
Bu Politika’da yer alan hükümlerin ihlaline ilişkin somut emarelerin varlığı halinde Şirket yönetim organı şüphelenilen Politika ihlallerini araştırarak gerekli tedbirleri alır. İşbu politikaya uyulmaması, müşteri güven kaybı, dava, prestij kaybı, finansal kayıp ve Şirket itibarına zarar veya kişisel zarar dahil ve bunlarla sınırlı olmaksızın çeşitli olumsuz sonuçlara neden olabilir. Bu sebeple, bu politikaya herhangi bir şekilde uyulmaması Şirket çalışanları ya da ilgili sair kişiler hakkında disiplin soruşturması veya işin ya da sözleşmenin sona ermesi ile sonuçlanabilir. Anılan ihlal aynı zamanda dahil olan kişiler aleyhine hukuki işlemde bulunulmasına dahi yol açabilir.
VIII. Yürürlük
Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirketyönetim organı tarafından onaylanarak yürürlüğe girmiştir.
Politika, basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda yayınlanır. İç iletişime özgülenmiş elektronik ortamda çalışanlara açıklanır, basılı kağıt nüshası da İnsan Kaynakları Departmanında saklanır. Politika, ihtiyaç hasıl oldukça gözden geçirilir ve gerektiğinde ilgili bölümler güncellenir.
Ek-1: Saklama ve İmha Süreleri Tablosu
İlgili Süreç ve Veri Kategorisi Saklama Süresi Açıklama
Çalışanlara ait kişisel sağlık verileri İş ilişkisinin sona erme tarihinden itibaren 10 yıl İş akdinin devamında ve hitamından itibaren olası meslek hastalığı/iş kazası tespit ve ihbarı ihtimaline karşılık 10 yıl süreyle saklanmaktadır.
Çalışanların işe alım dosyaları, özlük verileri İş ilişkisinin sona erme tarihinden itibaren 30 yıl Akdin kurulması için kullanılan veriler; olası bir hizmet/ücret tespiti talebi ile Sosyal Güvenlik Kurumu’nun alacak talebine istinaden hizmet akdinin devamınca ve hitamından itibaren 30 yıl süreyle muhafaza edilir.
Çalışan aday başvuru formları, özgeçmişleri Başvuru tarihinden itibaren 1 yıl En fazla 2 yıl olmak üzere özgeçmişin ve başvuru formlarının güncelliğini kaybedeceği süre kadar saklanır.
İş sağlığı ve güvenliği uygulamaları kapsamında elde edilen kişisel veriler İş ilişkisinin sona erme tarihinden itibaren 15 yıl İş akdinin taraflara yüklediği sorumluluklar kapsamında herhangi bir sağlık sorunu iddiasına karşılık iş ilişkisinin sona erme tarihinden itibaren 15 yıl süre ile saklanır.
Potansiyel müşteri bilgileri Bilgilerin alındığı tarihten itibaren 5 yıl Satış sözleşmesinin kurulabilmesi için aday müşterilerden elde edilen veriler 5 yıl müddetle muhafaza edilmektedir.
Müşteri talep ve şikâyet yönetimi sırasında elde edilen veriler İlk kaydın yapıldığı tarihten itibaren 5 yıl Hizmetin devamını, kalitesini artırmak ve alıcının taleplerini değerlendirmek amacıyla alınan kişisel veriler ilk kaydın yapıldığı tarihten itibaren 5 yıl süre ile saklanmaktadır.
Finansal/Ödeme işlemlerine ait kayıtlar İş ilişkisinin sona erme tarihinden itibaren 10 yıl Akdin taraflara yüklediği yükümlülükler altında çalışanlara ücret ödemek için alınan veriler 10 yıl süre ile saklanmaktadır.
Şirkete ve şirketin projelerine ilişkin bilgiler Bilgilerin alındığı tarihten itibaren 10 yıl Şirketin ve şirketin proje süreçlerine ilişkin kişisel veriler 10 yıl müddetle saklanmaktadır.
Şirket’in iş birliği içinde olduğu firmalar/kurumlar ile paylaşılan bilgiler İş akdi süresince ve bitiminden itibaren 10 yıl İş akdi süresince aktarılan veriler ilgili iş süresince ve bitiminden itibaren sözleşme zamanaşımı olarak belirtilen 10 yıl süre ile saklanmaktadır.
Satış sözleşmesinin muhafazası İş ilişkisinin sona ermesinden itibaren 10 yıl Sözleşmeden doğabilecek itilaflar için sözleşme zamanaşımı süresince saklanmaktadır.
Üçüncü kişilerle imzalanan sözleşmeler Sözleşmenin sona ermesinden itibaren 10 yıl Sözleşme ilişkisi gereği 10 yıllık zamanaşımı süresince saklanmaktadır.
Çalışanlar için yurtiçi ve yurtdışı organizasyonları düzenlenmesi için alınan veriler Organizasyonun sona ermesini takiben 5 yıl Alınan veriler şirketin yurtiçi ve yurtdışında temsil edilebilmesi için alınmakta ve 5 yıl süre ile muhafaza edilmektedir.
Çalışan eğitimleri ve çalışan performans değerlendirmesi için alınan veriler İş akdi süresince ve sona ermesini takiben 10 yıl İş akdi kapsamında, çalışanların performans süreçlerini takip etmek, iş hayatındaki eksiklerini tamamlamak için eğitimler düzenlenmek amacıyla elde edilen kişisel veriler 10 yıl süre saklanmaktadır.
Çalışanlara araç tahsis edilmesi Araç kullanımının bitimini takiben 10 yıl İş ilişkisinden doğan yükümlülükleri ifa etmek amacıyla çalışanlara araç tedarik edilmesi için alınan kişisel veriler 10 yıl süre ile saklanmaktadır.
Sosyal medya süreçleri (çekiliş vb.) sırasında alınan veriler Süreç bitimini takiben 10 yıl İlgili sözleşme kapsamında veriler 10 yıl saklanır.
Kablosuz internet hizmet kullanımına ilişkin veriler İlk kaydın yapıldığı tarihten itibaren 5 yıl İnternet erişim hizmetinin sağlanması için elde edilen veriler yasa gereği 5 yıl süre ile saklanmaktadır.
Log kayıt takip sistemleri Kaydın alındığı tarihten itibaren 2 yıl İnternet erişim hizmetinin güvenli bir ortamda sağlanması amacıyla elde edilen kişisel veriler yasa gereği 2 yıl müddetle saklanmaktadır.
Güvenlik kamerası kayıtları 30 gün İş yeri güvenliğini sağlamak amacıyla 30 gün süre ile muhafaza edilmektedir.
EK-2: Özel Nitelikli Kişisel Verilerin İşlenmesi Prosedürü
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:
o Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
o Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Özel Nitelikli Kişisel Verilerin İşlenmesi Sırasında Alınacak Tedbirler
Şirket’in işlenen özel kişisel verilerin güvenliğine yönelik alınması gereken tedbirlere aşağıda yer verilmektedir:
o Şirket bünyesinde, özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler düzenlenir, iş sözleşmelerinde gizlilik maddelerine yer verilir ve verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanır.
o Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ortamlarda tutulur;
o Tüm işlem kayıtları loglanır;
o Ortamların güvenlik güncellemeleri sürekli takip edilir;
o Gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanır;
o Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınır ve fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
o Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmalıdır.
o Özel nitelikli kişisel veriler taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı ortamda tutulmalıdır.
o Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımı gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmelidir.
o Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizli” formatta gönderilmelidir.
Yorumlar
Önerilen metin: Ziyaretçiler sitede yorum bıraktığında yorum formunda gösterilen verileri ve ayrıca istenmeyen yorum tespitine yardımcı olmak için ziyaretçinin IP adresi ve tarayıcı bilgisi metnini de toplarız.
E-posta adresinizden oluşturulmuş anonimleştirilmiş bir metin (hash olarak da adlandırılır) Gravatar hizmetine, servisi kullanıp kullanmadığınızı görmek için, sağlanabilir. Gravatar servisinin gizlilik politikası şu adrestedir: https://automattic.com/privacy/. Yorumunuzun onaylanmasından sonra profil resminiz yorumunuzla birlikte herkese görünür.
Ortam
Önerilen metin: Görselleri web sitesine yüklerseniz, gömülmüş konum verileri (EXIF GPS) içeren görseller yüklemekten kaçınmalısınız. Web sitesi ziyaretçileri, web sitesindeki görsellerden herhangi bir konum bilgisini indirip çıkarabilir.
Çerezler
Önerilen metin: Sitemize bir yorum bırakırsanız, isminizi, e-posta adresinizi ve web sitenizi çerezlerde kaydetmeyi seçebilirsiniz. Bunlar size kolaylık sağlamak içindir, böylece başka bir yorum bıraktığınızda bilgilerinizi tekrar doldurmanız gerekmez. Bu çerezler bir yıl süresince kalır.
Eğer giriş sayfasımızı ziyaret ederseniz, tarayıcınızın çerezleri kabul edip etmediğini belirlemek için geçici bir çerez ayarlayacağız. Bu çerez hiçbir kişisel veri içermez ve tarayıcınızı kapattığınızda atılır.
Giriş yaptığınızda, giriş bilgilerinizi ve ekran görüntüleme seçiminizi kaydetmek için birkaç çerez kaydedeceğiz. Giriş çerezleri iki gün ve ekran seçenekleri çerezleri bir yıl boyunca kalır. “Beni hatırla” seçeneğini seçereniz, girişiniz iki hafta boyunca devam eder. Hesabınızdan çıkış yaparsanız, giriş çerezleri kaldırılacaktır.
Bir makaleyi düzenler veya yayınlarsanız tarayıcınıza ek bir çerez kaydedilir. Bu çerez hiçbir kişisel veri içermez ve sadece düzenlediğiniz makalenin yazı kimliğini gösterir. 1 gün sonra zaman aşımına uğrar.
Diğer sitelerden gömülen içerik
Önerilen metin: Bu sitedeki makaleler gömülü içerik (ör. videolar, görseller, makaleler, vb.) Içerebilir. Diğer web sitelerinden gömülen içerik, ziyaretçinin diğer web sitesini ziyaret etmiş gibi, tam olarak aynı şekilde davranır.
Bu web siteleri sizin hakkınızda veri toplayabilir, çerez kullanabilir, üçüncü taraf tarafından gömülmüş şeklide takip yapabilir ve bir hesabınız varsa ve bu web sitesinde oturum açtıysanız, gömülen içerikle etkleşiminizi takip etme dahil olmak üzere, bu gömülen içerikle etkileşiminizi izleyebilir.
Verinizi kimlerle paylaşıyoruz
Önerilen metin: Parola sıfırlama isteğinde bulunduğunuzda, IP adresiniz sıfırlama e-postasına eklenir.
Verilerinizi ne kadar süre tutarız
Önerilen metin: Bir yorum bırakırsanız, yorum ve meta verileri süresiz olarak saklanır. Böylece, takip eden yorumlarınızı denetim kuyruğunda tutmak yerine otomatik olarak tanıyabilir ve onaylayabiliriz.
Web sitemize kayıt yaptıran kullanıcılar için (varsa) kullanıcı profilinde sağladıkları kişisel bilgileri de saklarız. Tüm kullanıcılar kişisel bilgilerini istedikleri zaman görebilir, düzenleyebilir veya silebilir (kullanıcı adı değiştirme hariç). Web sitesi yöneticileri de bu bilgileri görebilir ve düzenleyebilir.
Verileriniz üzerindeki haklarınız neler
Önerilen metin: Bu sitede bir hesabınız veya yorumlarınız varsa, bize sağladığınız veriler dahil olmak üzere, hakkınızda tuttuğumuz kişisel verilerin dışa aktarılmış bir dosyasını almayı isteyebilirsiniz. Ayrıca, hakkınızda tuttuğumuz tüm kişisel verileri de silmeyi isteyebilirsiniz. Bu, idari, yasal veya güvenlik amaçlarına uymak zorunda olduğumuz hiçbir veriyi içermez.
Verinizi nereye gönderiyoruz
Önerilen metin: Ziyaretçi yorumları otomatik istenmeyen yorum algılama servisi aracılığıyla kontrol edilebilir.