KVKK KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
- BÖLÜM: SAKLAMA VE İMHA POLİTİKASININ NİTELİĞİ VE AMACI
GİRİŞ
Bu imha politikası, “Doruk Çelik Halat” olarak adlandırılan (“Doruk Çelik Halat”) firması tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatlar uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi amacıyla belirlenen usul ve esasları içermektedir.
Bu çerçevede, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir şekilde “Doruk Çelik Halat” bünyesinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde yasalara uygun bir şekilde yönetilmektedir.
TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Kişisel Verileri Koruma Kurumu personeli.
EBYS: Elektronik Belge Yönetim Sistemi.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
- BÖLÜM ORTAMLAR VE GÜVENLİK TEDBİRLERİ
KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
“Doruk Çelik Halat” bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. “Doruk Çelik Halat” her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.
ELEKTRONİK ORTAMLAR
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web)
- Yazılımlar (ERP Programları, Ofis Yazılımları)
- Kişisel Bilgisayarlar (Masaüstü, Dizüstü)
- Mobil Cihazlar (Telefon, Tablet)
- Çıkartılabilir Bellekler (USB, Hafıza Kart vb.)
ELEKTRONİK OLMAYAN ORTAMLAR
- Kâğıt
- Manuel veri kayıt sistemleri
- Yazılı ve Basılı Fatura
ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
“Doruk Çelik Halat”, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
- KİŞİSEL VERİLERİN İMHASI
SAKLAMA VE İMHA NEDENLERİ
SAKLAMA NEDENLERİ
“Doruk Çelik Halat” bünyesinde tutulan çalışanlara ait veriler, çalışanların mali ve özlük haklarının yerine getirilmesi amacıyla saklanmaktadır. Müşterilere ait veriler ise müşterilerle yapılan sözleşmeler, fatura bilgilerinin işlenmesi, çek, senet ve diğer ticari evrakların düzenlenmesi, “Doruk Çelik Halat” bünyesinde kullanılan ERP programı kapsamında tutulmaktadır.
İMHA NEDENLERİ
“Doruk Çelik Halat” bünyesinde bulunan kişisel veriler, ilgili kişinin talebi halinde veya Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması durumunda resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler şunlardır:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
İMHA YÖNTEMLERİ
“Doruk Çelik Halat”, Kanuna ve diğer mevzuata uygun olarak sakladığı kişisel verileri, işlenmeyi gerektiren sebeplerin ortadan kalkması halinde ilgili kişinin talebi doğrultusunda veya işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
“Doruk Çelik Halat” tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri şunlardır:
FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER
Kâğıt ortamında yer alan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER
Elektronik ortamda yer alan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
- BÖLÜM: KİŞİSEL VERİLERİN İMHASI
SAKLAMA VE İMHA NEDENLERİ
SAKLAMA NEDENLERİ
“Doruk Çelik Halat” bünyesinde tutulan çalışanlara ait veriler, çalışanların mali ve özlük haklarının yerine getirilmesi amacıyla saklanmaktadır. Müşterilere ait veriler ise müşterilerle yapılan sözleşmeler, fatura bilgilerinin işlenmesi, çek, senet ve diğer ticari evrakların düzenlenmesi, “Doruk Çelik Halat” bünyesinde kullanılan ERP programı kapsamında tutulmaktadır.
İMHA NEDENLERİ
“Doruk Çelik Halat” bünyesinde bulunan kişisel veriler, ilgili kişinin talebi halinde veya Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması durumunda resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler şunlardır:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
İMHA YÖNTEMLERİ
“Doruk Çelik Halat”, Kanuna ve diğer mevzuata uygun olarak sakladığı kişisel verileri, işlenmeyi gerektiren sebeplerin ortadan kalkması halinde ilgili kişinin talebi doğrultusunda veya işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
“Doruk Çelik Halat” tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri şunlardır:
FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER
Kâğıt ortamında yer alan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLER
Elektronik ortamda yer alan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
---|---|---|
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve hitamından itibaren de 50(elli) yıl müddetle muhafaza edilir. |
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. |
Çalışan | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin devamında ve hitamından itibaren 30(otuz) yıl müddetle muhafaza edilir. |
İş Ortağı/Çözüm Ortağı/Danışman | İş Ortağı/Çözüm Ortağı/Danışman ile DORUK ÇELİK HALAT arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri | İş Ortağı/Çözüm Ortağı/Danışmanın, DORUK ÇELİK HALAT’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Ziyaretçi | DORUK ÇELİK HALAT’a ait fiziki mekana girişte alınan Ziyaretçi’ye ait ad, soyad, T.C.K.N. | 2 yıl süre ile saklanır. |
İnternet Sitesi Ziyaretçisi | İnternet Sitesi Ziyaretçisi’ne ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri | 2 yıl süre ile saklanır. |
Müşteri | Müşteri’ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, gezinme hareketleri bilgileri, ürün/hizmet tercihleri, işlem geçmişi, özel gün bilgileri | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Müşteri | Kamera görüntüleri | 1 Ay süre ile saklanır. |
Potansiyel Müşteri | Potansiyel Müşteri ile DORUK ÇELİK HALAT arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler | 2 yıl süre ile saklanır. |
DORUK ÇELİK HALAT‘ın İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi, Fason Üretici, Bayi/Franchise | DORUK ÇELİK HALAT ile İşbirliği İçinde Olduğu Kurum/Firmalar ile DORUK ÇELİK HALAT arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, DORUK ÇELİK HALAT’ın İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri | DORUK ÇELİK HALAT’ın İşbirliği İçinde Olduğu Kurum/Firmaların, DORUK ÇELİK HALAT ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Kişisel Veri Komitesi, Doruk Çelik Halat bünyesinde, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi, bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşmaktadır. Kişisel Veri Komitesinde görevli Doruk Çelik Halat çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
Yönetici:
- Unvan: Genel Müdür
- Görev Tanımı: Kişisel Veri Komitesi başkanlığını yürütmek, politikaların uygulanmasını denetlemek, raporlama ve iletişimden sorumlu olmak.
İdari Uzman:
- Unvan: İnsan Kaynakları Müdürü
- Görev Tanımı: Personel verileriyle ilgili işlemleri yönetmek, çalışanlar arasında farkındalık oluşturmak, politika uygulamalarını denetlemek.
Teknik Uzman:
- Unvan: Bilgi İşlem Sorumlusu
- Görev Tanımı: Teknik güvenlik önlemlerini yönetmek, bilgi sistemlerini güncel tutmak, veri güvenliğini sağlamak.
İlgili kişiler, Kişisel Veri Komitesine başvurarak kendi kişisel verileriyle ilgili taleplerde bulunabilirler. Talepler, Kanunun ve politikaların öngördüğü şekilde değerlendirilir ve gerekli işlemler uygulanır.
Kişisel Veri Komitesi, Doruk Çelik Halat’ın kişisel verilerle ilgili yükümlülüklerini yerine getirmek ve süreçleri etkin bir şekilde yönetmek adına düzenli toplantılar düzenler ve güncel mevzuat değişikliklerine göre politika ve süreçleri günceller.
Unvan | Görev Tanımı |
---|---|
Kişisel Veri Komitesi Yöneticisi | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
KVK Uzmanı (Teknik ve İdari) | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
- BÖLÜM GÜNCELLEME VE UYUM
Doruk Çelik Halat, mevzuatta yapılan değişiklikler, şirket kararları veya sektördeki bilişim gelişmeleri doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikası ile işbu Kişisel Veri Saklama ve İmha Politikası’nda değişiklik yapma hakkını saklı tutar.
Politikalarda yapılan değişiklikler hemen metne işlenir ve değişikliklere ilişkin açıklamalar politikanın son kısmında yer alır.
- BÖLÜM POLİTİKANIN YÜRÜRLÜĞE GİRMESİ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Doruk Çelik Halat’ın internet sitesinde yayınlandıktan sonra yürürlüğe girmiş sayılır. Politika’nın kaldırılmasına karar verildiğinde, ıslak imzalı eski nüshalar Kurul Kararı ile iptal edilir, üzerine iptal kaşesi vurularak veya iptal yazılarak imzalanır ve en az 5 yıl süreyle Komite tarafından saklanır.