Kişisel Verileri Saklama ve İmha Politikası
RYS Rota İnşaat Metal Yapı Sistemleri Sanayi ve Ticaret Limitet Şirketi
Kişisel Verileri Saklama ve İmha Politikası
ADRES : Saray Mah. Keresteciler Sanayi Sit. 15. Sokak No:25 Kazan / ANKARA
TELEFON : 0 (312) 815 22 41
WEB : www.rysrota.com
MAİL : info@rysrota.com
1.GİRİŞ
1.1 Amaç
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), RYS Rota İnşaat Metal Yapı Sistemleri Sanayi ve Ticaret Limitet Şirketi’nce (Şirket) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; çalışanlarımıza, stajyerlerimize, çıraklarımıza, ana yüklenici firma yetkilisi ve çalışanına, şirket yetkilisi-hissedar-ortaklarına, vekil edilenlere, ziyaretçilere, kayıt altına alınanlara, potansiyel ve mevcut tedarikçi yetkilisi ve çalışanlarına, idari kurum yetkililerine, ürün veya hizmet alan ile alınanlara ve ilişki içerisine girdiğimiz üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlanmayı öncelik amaç olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan iş bu Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Çalışanlarımız, stajyerlerimiz, çıraklarımız, ana yüklenici firma yetkilisi ve çalışanı, şirket yetkilisi-hissedar-ortakları, vekil edilenler, ziyaretçiler, kayıt altına alınanlar, potansiyel ve mevcut tedarikçi yetkilisi ve çalışanları, idari kurum yetkilileri, ürün veya hizmet alan ile alınanlar ve ilişki içerisine girdiğimiz üçüncü kişiler, bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3 Kısaltmalar ve Tanımlar
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Kişisel Verileri Koruma Kurumu personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Maskeleme: Kişisel Verinin temel belirleyici bilgisinin veri içerisinden çıkartılarak Kişisel Verinin anonim hale getirilmesi yöntemi.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
2.SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
| ÜNVAN | BİRİM | GÖREV TANIMI |
| GENEL MÜDÜR | YÖNETİM | Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. Gelişen ve değişen iş süreçlerine yönelik olarak politikanın güncellenmesinden ve yayınlatılmasından sorumludur.
Diğer birimlerce iletilen başvuruların cevaba yetkili birimlere iletilmesi görevi Genel Müdür’e aittir. |
| MUHASEBE MÜDÜRÜ
FİNANS MÜDÜRÜ |
MUHASEBE VE FİNANS | Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. İş Kan., TBK, TTK ve Vergi Usul Kanunu ile sair kanunlar kapsamındaki kişisel veri saklama süreçlerinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur. |
| İNSAN KAYNAKLARI | İNSAN KAYNAKLARI | Çalışan, çalışan adayı ile diğer İK muhatabı ilgili kişilerin başvuru ve yerleştirme süreçlerine ilişkin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. İş. K,TBK, TTK ve Vergi Usul Kanunu ile sair kanunlar kapsamındaki kişisel veri saklama süreçlerinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanması, çalışanların kişisel verilere ilişkin politikalara uyumunun sağlanmasından sorumludur. |
| SATIN ALMA MÜDÜRÜ | SATIN ALMA | Tedarikçiler ile hizmet alan veya alınan gerçek kişilerin kişisel verilerinin saklama sürelerine uygunluğunun sağlanması, ilgili olduğu periyodik imha sürecinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur. |
| TEKLİF VE TEKNİK MÜDÜRÜ | TEKLİF VE TEKNİK | Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi Kamu İhale Kanunu ile bağlı ikincil mevzuatı, TBK, TTK ve Vergi Usul Kanunu ile sair kanunlar kapsamındaki kişisel veri saklama süreçlerinin yönetimi. İlgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından sorumludur. |
| BİLGİ İŞLEM HİZMET SAĞLAYICISI | HİZMET ALINAN ÜÇÜNCÜ KİŞİ | Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi. BT sistemleri muhataplarına ve ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ile taleplerin alınarak cevaplanmasından, politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
Tüm birim ve çalışanlar görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
Tüm birim müdürleri imha tutanaklarını Yönetim’e teslimden sorumludur.
3.KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
| -Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.)
-Yazılımlar (ofis yazılımları, portal ) -Kişisel bilgisayarlar (Masaüstü, dizüstü) -Mobil cihazlar (telefon, tablet vb.) -Çıkartılabilir bellekler (USB, hafıza kartı vb.) -Yazıcı, tarayıcı, fotokopi makinesi -E-fatura, E-defter sistemi -Kamera Kayıt Sunucusu |
-Kâğıt
-Otomatik olmayan veri kayıt sistemleri (İş müracaat formu vb.) -Yazılı, basılı, görsel ortamlar -Dolaplar |
4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından işlenen; çalışanlarımıza, stajyerlerimize, çıraklarımıza, ana yüklenici firma yetkilisi ve çalışanına, şirket yetkilisi-hissedar-ortaklarına, vekil edilenlere, ziyaretçilere, kayıt altına alınanlara, potansiyel ve mevcut tedarikçi yetkilisi ve çalışanlarına, idari kurum yetkililerine, ürün veya hizmet alan ile alınanlara ve ilişki içerisine girdiğimiz üçüncü kişilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1 Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. İlgili sürelerin tespitinde önceliğimiz mevzuattan kaynaklanan sürelerin tatbik edilmesidir.
4.1.1 Saklamayı Gerektiren Hukuki Sebepler
Şirketimiz, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
-6698 sayılı Kişisel Verilerin Korunması Kanunu
-4857 sayılı İş Kanunu
-5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
-213 Sayılı Vergi Usul Kanunu
-265 Nolu Gelir Vergisi Genel Tebliğ
-6331 sayılı İş Sağlığı ve Güvenliği Kanunu
-1111 sayılı Askerlik Kanunu
-Yıllık Ücretli İzin Yönetmeliği
-6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu
-İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
-İş Kanununa İlişkin Fazla Çalışma ve Fazla Sürelerle Çalışma Yönetmeliği
-6098 sayılı Türk Borçlar Kanunu
-3308 sayılı Mesleki Eğitim Kanunu
-6102 sayılı Türk Ticaret Kanunu
-İcra ve İflas Kanunu
-Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
-5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
-TOBB ile Odalar ve Borsalar Kanun
-Kamu İhale Kanunu
– Araçların Satış, Devir ve Tescil Hizmetlerinin Yürütülmesi Hakkında Yönetmelik
– Kurumlar Vergisi Kanunu
-Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemelerp
Çerçevesinde öngörülen saklama süreleri ve açık rızanın varlığı halinde veri işleme amacına uygun düşecek süre kadar saklanmaktadır.
4.1.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
| Ana Amaçlar | Alt Amaçlar |
| Şirketin İnsan Kaynakları Politikalarının Yürütülmesi |
– Çalışanların İş Akdi Ve Mevzuattan Kaynaklı Asli Ve Yan Haklarına İlişkin Süreçlerin Yürütülmesi, – Sözleşme İlişkisi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, – Çalışan Adayı, Stajyer Ve Çırak Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi İle Staj Desteği Sağlanması, – İnsan Kaynakları Süreç Ve Politikalarının Yürütülmesi, – İş Başvurularının Ve İşe Uygunluğun Değerlendirilmesine Yönelik İşlemlerin Gerçekleştirilmesi, – Görevlendirme Kapsamında Vekaletname Verilmesi Ve Yetkilendirme Süreçleri İle Performans Değerlendirme Süreçlerinin Yürütülmesi. |
| Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi Ve Güvenliği İçin Gerekli Çalışmaların, Araştırmaların Ve Planlamaların Yapılması Ve İcrası |
– Kurumsal Yönetim Ve İletişim Faaliyetlerinin Kurgulanması, Geliştirilmesi Ve İcrası, – Şirketin Ticari Ve İş Faaliyetlerinin Ve/Veya İş Süreçlerinin Planlanması Ve İcrası, – Mal Veya Hizmet Satın Alım Faaliyetleri Dolayısıyla Tedarik İlişkileri Ve Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi, – Malzeme Fiyatı Ve Teknik Bilgi Temin Edilmesi İle Malzeme Talebinde Bulunulması Ve Sipariş Takibinin Sağlanması, – Pazarlama Ve Tedarik Analiz Çalışmalarının Ve İletişim Faaliyetlerinin Yürütülmesi, – Yönetim Faaliyetlerinin Yürütülmesi, – Müşteri Ve Proje Araştırılması Kapsamında Maliyet Ve Teklif Hazırlanması İle Teklif Sunumu Ve Takibi, – Sözleşme Süreçlerinin Yürütülmesi, – Uygulama Ölçülerinin Alınması, Projelerinin Hazırlanması, Proje Onayının Alınması Ve Siparişlerin Hazırlanması, – Şirketin İş Stratejilerinin Ve Yatırım Süreçlerinin Belirlenmesi, İcrası Ve Geliştirilmesi İle İş Sürekliliği Sağlanması Faaliyetlerinin Yürütülmesi, – Üretim, Tedarik Ve/Veya Operasyon Süreçlerinin Planlanması Ve Yerine Getirilmesi, – Şantiyeyle İlgili Siparişlerin Güncel Durumunun Ve Mevcut İmalat Durumunun Takip Edilmesi İle Değişen İmalatın Bilgilendirilmesi Veya Yeni İmalat Eklenmesi, – Şantiyeyle İlgili Yeni Bir Talep Veya Mevcut Talebin Revize Edilmesi, – İhale Süreçlerinin Yürütülmesi, – Mal Ve Hizmet Satış Süreçlerinin Yürütülmesi, – Potansiyel Malzeme Tedarik Edilecek Firmaların Belirlenmesi. |
| Şirket’in, Şirket Çalışanlarının Ve Şirket İle İş İlişkisi İçinde Olan Kişilerin Hukuki, Teknik Ve İş Güvenliğinin Temini | – Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
– Hukuki Süreçlerin Takibi Ve Yürütülmesi, – Şirketin Hukuki Ve Cezai Sorumluluğuna Karşı Korunması, – İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi, – Bina İçerisinde Ve Çevresinde Taşınır Mal Ve Kaynaklar İle Personel Güvenliğinin Temini, – Faaliyetlerin Mevzuata Uygun Yürütülmesi, – Bilgi, İşlem, Veri Ve Cihaz Güvenliğinin Sağlanması Ve Kötü Amaçlı Kullanımın Önlenmesi, – Bilgi İşlem Süreçlerinin Ve Veri Güvenliği Faaliyetlerinin Planlanması Ve İcrası, – Sistemlere Ve Fiziki Ortamlara Erişime Yönelik Faaliyetlerin/Geliştirmelerin Ve Analizlerin Gerçekleştirilmesi Ve Kontrollü Geçiş Noktalarındaki Giriş-Çıkış Bilgilerinin Takip Edilmesi, – Firmaya Ait Araçların Konumlarının Güvenlik Ve İfa Nedeniyle Takip Edilmesi, – Şirketimizin Hukuki Ve Ticari Güvenlik Önlemlerini Alması İle Yükümlülüklerini Yerine Getirmesi, – İşyerindeki Güvenlik Önlemlerinin Alınmasını Sağlamak Ve İşyerindeki Çalışma Ortamının Bozulmasını Önlemek. |
| Şirketin Denetim Faaliyetlerinin İcrası Ve Tüketiciler Üzerine Uyandırdığı Güvenin Korunması | – Disiplin, Şikayet, İç Soruşturma Ve Denetim Faaliyetlerinin Yürütülmesi İçin Gereken Bilgilerin Toplanması,
– Müşteri İlişkileri Yönetimi Çalışmalarının Yürütülmesi Kapsamında Müşteri Memnuniyetinin Ölçümlenmesi Ve Arttırılması İle Talep Ve Şikayetlerin Takibi, – Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi Kapsamında Hizmet/Sözleşme İfasına İlişkin Kalite Kontrolü Ve Değerlendirmesi, – Kurumsal Tanıtım Amaçlı Anonim Kullanıcı Deneyimine Dayalı Analizlerin Elde Edilmesi. |
|
Şirketin İş İlişkisi İçerisinde Olduğu Kişiler İle Şirket Çalışanlarına Yapılacak Ödeme Süreçlerinin Planlanması Ve İcrası
|
– Finans, Muhasebe Ve Ücret Ödemelerine İlişkin Süreç Ve Politikaların Yürütülmesi,
– Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi. |
| Acil Durumlarda Şirket Çalışanlarının Güvenliğinin Temini | – Acil Durum Yönetimi Süreçlerinin Yürütülmesi. |
| Şirketimiz Tarafından Sunulan Ürün Ve Hizmetlerin Kişisel Veri Sahiplerinin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına Göre Özelleştirilerek Kişisel Veri Sahiplerine Önerilmesi İçin Gerekli Çalışmaların Yapılması | – Hizmetlerimizin İlgili Kişilerin Beğenisine Sunulması, Önerilmesi Ve Tanıtılması İçin Gerekli Olan Aktivitelerin Planlanması,
– Çevrimiçi Deneyim Kalitesinin Arttırılması, – İnternet Sitemizdeki Çevrimiçi Kullanıcı Deneyiminin Sağlanması, Kolaylaştırılması İle İşlevselliğinin Ve Performansının Arttırılması. |
4.2 İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
- silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi, Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5.TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
Şirket tarafından işlenen kişisel verilere ilişkin olarak alınan teknik tedbirler aşağıda sıralanmıştır:
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin
- güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve kurumsal posta hesabı kullanılarak gönderilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Sızma testi uygulanmaktadır
- Güvenlik duvarı kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Güvenlik duvarı ve ağ geçidi tedbirleri alınmaktadır.
- Donanım ve yazılımlar güvenli kurulum ve yapılandırma işlemlerine tabi tutulmaktadır.
- Kullanılmayan yazılım ve servislerin silinmektedir.
- Sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmektedir.
- Kişisel veri içeren sistemlere erişimin sınırlandırılmaktadır.
- Düzenli aralıklarla şifre ve parolaların değiştirilmesini sağlanmaktadır.
- İlişkileri kesilen çalışanlar için zaman kaybetmeksizin hesap silme işlemi sağlanmaktadır.
- Kötü amaçlı yazılımlardan korunmak için bilgi sistem ağını düzenli olarak tarayan ve tehlike tespit eden anti virüs, anti spam gibi ürünlerin kullanılmaktadır.
- Farklı internet siteleri/ mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.
- Bilişim ağlarında hangi yazılım ve servislerin çalıştığı kontrol edilmektedir.
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı belirlenebilmektedir.
- Güvenlik sorunları mümkün olduğunca hızlı bir şekilde raporlanmaktadır.
- Kişisel verilerin yer aldığı elektronik ve basılı ortamlara giriş çıkışların kontrol altına alınmıştır.
- Söz konusu ortamların yangın, sel vb. dış risklere karşı uygun yöntemlerle korunması sağlanmıştır.
- Elektronik ortamda bulunan kişisel veriler için ağ bileşenleri arasındaki erişimin sınırlandırılması veya bileşenlerin ayrılması sağlanmıştır.
- Elektronik posta yoluyla veri aktarılacak olması halinde gerekli güvenlik tedbirlerinin alınmaktadır.
- Kişisel veri içeren basılı evrakların, sunucuların, yedekleme cihazlarının ve USB gibi cihazların ek güvenlik önlemlerinin alınacağı ayrı bir kısımda tutulması ve bu alanlara giriş çıkışların kontrol altına alınması sağlanmıştır.
- Kişisel verilerin tam olarak korunmasına yardımcı olacak ve uluslararası kabul gören şifreleme programlarının kullanılmaktadır.
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Aydınlatma yükümlülüğünün yerine getirilmesi getirilmesinde uygulanacak usul ve esaslar hakkında tebliğ ile Kişisel Verilerin Korunması Kanunu 10. Ve 11. Maddeleri kapsamında aydınlatma metinleri düzenlenmiş ve kullanılmaktadır.
- Kişisel verilerin Korunması ve İşleme Politikası hazırlanmış ve kullanılmaktadır.
- Kişisel Veri İşleme Envanteri hazırlanmış ve politikalar, metinler vb. bu envanter ışığında oluşturulmuştur.
- Kişisel Verilerin Korunması Kanunu madde 11 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ çerçevesinde başvuru formu oluşturularak ilgili kişilerin erişimine sunulmuştur. Bu kapsamda başvuru cevap metinleri ile yasal süresi içerisinde talebin yerine getirilmesi aksi halde ise yasal süresi içerisinde gerekçenin ilgili kişiye bildirilmesi hedeflenmektedir.
- Kişisel veri ihlali gerçekleşmesi durumunda sürecin en kısa zamanda ve en az zararla atlatılmasına yönelik olarak ilgili kişi ve kuruma bildirim alt yapısı ile İhlal Bildirim Politikası oluşturulmuştur.
- Kişisel Verilerin Korunması Kurumu kararları farkındalık ve uyum eğitimleri kapsamında veri güvenliği süreçlerine dâhil edilmiş ve yeni kararlar takip edilmektedir.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Kişisel veri işleme envanteri hazırlık sürecinde Erişim ve Yetki Kontrol Matrisi oluşturulmuş ve denetim amaçlanmıştır.
- Çalışanların farkındalığına ve iş süreçlerinin güvenliğine yönelik “iletişim araçlarının kullanımına yönelik politika” ile “parola politikası” hazırlanmıştır.
- Çalışanların iş sözleşmeleri kişisel verilerin korunmasına bakımından revize edilmiştir.
- Erişim ve yetki politikası, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri işlenmesini gerektiren süreçlere ilişkin gerekli Prosedürler hazırlanmış ve kullanılmaya başlanmıştır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel Verilerin Korunması Kanunu’nun 5. ile 6. Maddelerindeki istisnalar dışında veri işlenmesinde kullanılmak üzere ve geçici madde 1/3 kapsamında açık rıza metinleri hazırlanarak kullanılmaya başlamıştır. Rızasını geri almak isteyen ilgililer için rıza geri alım formu oluşturularak sürecin rıza verilmesindeki hız ve verimlilikle sürdürülmesi hedeflenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik ayrı bir politika ve prosedürler belirlenmiş ve uygulanmaktadır.
- Kişisel Verilerin Korunması Kanunu’nun 5. ile 6. Maddelerindeki istisnalar dışında veri işlenmesinde kullanılmak üzere ve geçici madde 1/3 kapsamında açık rıza metinleri hazırlanarak kullanılmaya başlamıştır. Rızasını geri almak isteyen ilgililer için rıza geri alım formu oluşturularak sürecin rıza verilmesindeki hız ve verimlilikle sürdürülmesi hedeflenmiştir.
- Kişisel veri aktarımına ilişkin genel çerçeveyi ortaya koyacak “aktarım politikası” hazırlanmıştır.
- Üçüncü kişiye aktarılmış verilerle ilgili res ’en yahut talep üzerine imha süreçlerinin etkili bir biçimde sürdürülebilmesi için üçüncü kişiye aktarılmış veri imha ihtar oluşturulmuştur. Ayrıca ilgilinin düzeltme talebi olabileceği göz önünde bulundurularak üçüncü kişiye aktarılmış verilere yönelik düzeltme ihtarı oluşturulmuştur.
- Kişisel veri aktarımına ilişkin genel çerçeveyi ortaya koyacak “aktarım politikası” hazırlanmıştır.
- Web sitesi aracılığıyla otomatik olan yahut yine sitede bulunan başvuru formu aracılığıyla otomatik olmayan yollarla veri edilen durumlara ilişkin “Gizlilik ve Çerez” politikaları hazırlanmıştır.
6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re ’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
Tablo 3: Kişisel Verilerin Silinmesi
| Veri kayıt ortamı | Açıklama |
| Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar veya üçüncü kişiler (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yönetici hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi uygulanır. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için silme işlemi yapılır. |
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Kurum tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi
| Veri Kayıt Ortamı | Açıklama |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde veya yakma suretiyle geri döndürülemeyecek şekilde yok edilir. |
| Optik/Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirket,
Verinin niteliği,
Verinin büyüklüğü,
Verinin bulunduğu fiziki ortamın yapısı,
Verinin çeşitliliği,
Verinin işlenme sıklığı,
Verinin imha edilmesi için harcanacak çabanın orantılığı,
İmhanın etkisiz olması halinde ortaya çıkabilecek zararın büyüklüğü,
İmhanın etkisiz olma ihtimali,
Verinin merkezilik oranı,
Kullanıcıların ilgili veriye erişim yetki kontrollerini göz önünde bulundurarak imha yöntemlerinden uygun olanı seçip res’en ya da ilgili kişinin başvurusu üzerine imha sürecini yönetir.
Silinen, yok edilen veya anonim hale getirilen veriler tutanak altına alınmaktadır. İş bu tutanaklar 3 yıl süreyle saklanmaktadır.
7. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Genel Müdür tarafından güncellemeler yapılır. Yapılan güncellemeler tarih kaydıyla birlikte Politikaya eklendikten sonra güncel hali yayınlanır.
Saklama süreleri sona eren kişisel veriler için re ‘sen silme, yok etme veya anonim hale getirme işlemi Fiziksel ortamda yer alan veriler bakımından ilgili bölüm müdürü tarafından, Elektronik ortamda yer alan veriler bakımından IT danışman tarafından yerine getirilir.
7.1 Süreç Bazında Saklama ve İmha Süreleri
Tablo 5: Süreç bazında saklama ve imha süreleri tablosu
| SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
| İş sözleşmelerinin kurulması ve ifasına yönelik faaliyetler ile ilgili sürecin mevzuat yükümlülüklerinin yerine getirilmesi | İş sözleşmesinin sona ermesinden itibaren 10 yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| İş sağlığı ve güvenliğinin sağlanması ile çalışanların kişisel sağlık dosyalarının oluşturulması | İş sözleşmesinin sona ermesinden itibaren 15 yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Hukuki süreçlerin yürütülmesine ilişkin faaliyetler | Kesinleşme tarihinden itibaren 10 yıl
Son tutanağın düzenlenme tarihinden itibaren 10 yıl Kaza tarihinden itibaren 10 Yıl (Cezayı Gerektiren Bir Fiilin Meydana Gelmesi Halinde Ceza Zamanaşımı Boyunca) |
Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| İş faaliyetlerinin yürütümü ve denetimi için tahsis veya yetki işlemleri | Çalıştığı süre boyunca | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Çırak ve stajyer seçme yerleştirme çalışma faaliyetleri | Hukuki ilişkinin bitiminden itibaren 5 Yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Ticari faaliyetlerin yürütülmesine ilişkin iş ve işlemler | Hukuki ilişkinin bitiminden itibaren 10 yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| İş başvurularının değerlendirilmesine ilişkin özel nitelikli kayıtlar | Teyit edildikten sonraki
İlk periyodik imha süresine kadar |
Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Ticari faaliyetlerinin ve iş süreçlerinin yürütülmesi için tutulan ancak mevzuatta düzenlenmemiş veriler | Genel teamül gereği 10 Yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Sözleşme süreçlerinin yürütülmesine ilişkin iş ve işlemler | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| WEB sitesi aracılığıyla sunulan iletişim faaliyetleri | Okununcaya kadar (hukuki ilişki kurulması halinde dâhil olduğu süre kadar) | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Kamera kayıtları | 15 Gün | Kayıt sistemi 15 günlük alana sahip olup 16. Günde 1. Günün üstüne yazılmak suretiyle çalışmaktadır |
| Ticari defterlerin dayanağı belgelerin düzenlenme ve muhafaza süreçleri | Düzenlendiği takvim yılının
Sonundan itibaren 10 yıl Oluştuğu takvim yılının sonundan itibaren 10 Yıl Son kayıt tarihinden itibaren 10 Yıl |
Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Log/Kayıt/Takip sistemleri | 2 Yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| Pazarlama süreç ve faaliyetleri | 3 Yıl | Saklama Süresinin bitimini takip eden 180 gün içerisinde |
| İfa süreçlerinin takibi amacıyla işlenen konum bilgisi | Araç satılıncaya ya da kiralama süresi bitinceye kadar | Anlık olarak tutulmakta olup ek kayıt sistemine dahil edilmemektedir. |
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır
7.2 Talebe Bağlı İmha Süreleri
Talep halinde ve kişisel verileri işleme şartlarının tamamının ortadan kalkması durumunda Şirket talebe konu kişisel verileri silecek, yok edecek veya anonim hale getirecektir. Bu talep en geç 30 gün içinde yerine getirilerek ilgili kişiye bildirilecektir.
Kişisel verilerin üçüncü kişiye aktarılması halinde ise Şirket ilgili talebi üçüncü kişilere aktararak talebin iletilmesini sağlar.
Kişisel verileri işleme şartlarının tamamının ortadan kalkmaması halinde bu talep reddedilebilir. Bu durum gerekçesiyle birlikte 30 gün içinde ilgili kişiye bildirilir. Bildirim yazılı veya elektronik ortamda yapılabilir. Tercihen iletişim kolaylığı açısından ilgili kişinin talep için kullandığı yöntem ile bildirim gerçekleştirilir.
8. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Genel Müdür’de bulunan “Kişisel Verilerin Korunmasında Uygulanacak Usul ve Esaslar” dosyasında saklanır.
10.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Yapılan güncellemeler tarih kaydıyla birlikte Politikaya eklendikten sonra güncel hali yayınlanır.
11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Genel Müdür tarafından saklanır.