Veri Saklama ve İmha Politikası
BEŞLER YEM VE UN SANAYİ TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASI POLİTİKASI
Yürürlük Tarihi:
28.01.2021
İÇİNDEKİLER
BÖLÜM – I
AMAÇ, KAPSAM VE TANIMLAR
- POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
- TANIMLAR VE KISALTMALAR
BÖLÜM – II
SORUMLULUK VE KAYIT ORTAMINA İLİŞKİN HUSUSLAR
- SORUMLULUK VE GÖREV DAĞILIMLARI
- KİŞİSEL VERİLERİN KAYIT ORTAMLARI
BÖLÜM – III
KİŞİSEL VERİLERİN SAKLANMASI, KORUNMASI VE İMHASI
- KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN HUSUSLAR
- Kişisel Verileri Saklama
- Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
- Kişisel Verileri İşleme Amaçları
- Kişisel verilerin korunması
- İdari Tedbirler
- Teknik Tedbirler
- KİŞİSEL VERİLERİN İMHASI
- Kişisel Verilerin Silinmesi
- Kişisel Verilerin Anonim Hale Getirilmesi
- Kişisel Verilerin İmha Süreleri
- Kişisel Verilerin Periyodik İmha Süresi
Kişisel Verileri Saklama ve İmha Politikasının Yürürlüğü ve Güncellenmesi
--------------------------------------------------------------------------------------------------------------------------
VERİ SORUMLUSU ÜNVANI |
Beşler Yem ve Un Sanayi Ticaret A.Ş. |
VERİ SORUMLUSU ADRESİ |
Organize Sanayi Bölgesi 1.Cad. 4.Sok No:5, 25700 Aziziye/Erzurum |
VERİ SORUMLUSU MERSİS NUMARASI |
0167000078700017 |
--------------------------------------------------------------------------------------------------------------------------
BÖLÜM - I
AMAÇ, KAPSAM VE TANIMLAR
- Politikanın Hazırlanma Amacı ve Kapsamı
Kişisel Verileri İşleme, Saklama ve İmha Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu olan Beşler Yem ve Un Sanayi Ticaret A.Ş. (Beşler Yem ve Un A.Ş. veya Şirket)’nin gerçekleştirmekte olduğu kişisel veri işleme, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasları belirlemek amacıyla hazırlanmıştır.
Beşler Yem ve Un A.Ş. veri sorumlusu sıfatıyla, temel ilkeler doğrultusunda şirket çalışanları, iş başvuru adayları, iş ortakları/alt yükleniciler, müşteriler, tedarikçiler, ziyaretçiler ve Şirkete ait http://www.beslerunyem.com.tr/ adresli internet adresini ziyaret eden kişilere ait kişisel verilerini, T.C. Anayasası, Uluslararası Sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarının etkin bir şekilde kullanılmasının sağlanmasını ilke olarak belirlemiştir.
Beşler Yem ve Un A.Ş. çalışanları görevlerini yerine getirirken iş bu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür.
İş bu Politika doğrultusunda Şirket faaliyetleri içerisinde kişisel verilerin işlenmesi ve korunması için, kişisel veri farkındalığının yükseltilmesi için gereken eğitimler yapılmaktadır. Şirket, hissedarları, yetkilileri ve çalışanları ile ticari iş ortaklarının KVKK’ya uyum için gerekli tüm idari ve teknik tedbirler alınarak periyodik denetim süreçleri işletilecektir.
Kişisel verilerin işlenmesi, saklanması ve imhasına ilişkin iş ve işlemler Beşler Yem ve Un A.Ş. tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında hazırlanmış olan işbu KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI’na göre gerçekleşecektir.
- Tanımlar ve Kısaltmalar
KISALTMA |
TANIM |
ALICI GRUBU |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
AÇIK RIZA |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
ANONİM HALE GETİRME |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
ÇALIŞAN |
Kişisel Verileri Koruma Kurumu personeli |
EBYS |
Elektronik Belge Yönetim Sistemi |
ELEKTRONİK ORTAM |
Kişisel verileri elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirebildiği ve yazılabildiği ortamlar |
ELEKTRONİK OLMAYAN ORTAM |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
HİZMET SAĞLAYICI |
Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İLGİLİ KİŞİ |
Kişisel verisi işlenen gerçek kişi |
İLGİLİ KULLANICI |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
İMHA |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
KANUN/KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu |
KAYIT ORTAMI |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
KİŞİSEL VERİ |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
KİŞİSEL VERİ İŞLEME ENVANTERİ |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
KİŞİSEL VERNİN İŞLENMESİ |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
KURUL |
Kişisel Verileri Koruma Kurulu |
ÖZEL NİTELİKLİ KİŞSEL VERİ |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
PERYODİK İMHA |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
POLİTİKA |
Kişisel Verileri Saklama ve İmha Politikası |
VERİ İŞLEYEN |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir |
VERİ KAYIT SİSTEMİ |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
VERİ SORUMLUSU |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
YÖNETMELİK |
28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
BÖLÜM - II
SORUMLULUK VE KAYIT ORTAMINA İLİŞKİN HUSUSLAR
- Sorumluluk ve Görev Dağılımı
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki Tabloda gösterilmiştir.
UNVAN |
BİRİMİ |
GÖREVLERİ |
Kurum KVKK Sorumlu Başkanı |
Kurucu Temsilcisi |
Çalışanların politikalara uygun hareket etmesinden sorumludur. |
Veri Yönetimi Sorumlusu |
Kurucu Temsilcisi |
Politikaların hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
Veri Güvenliği Sorumlusu |
Bilgi İşlem |
Politikaların uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
Veri İşleme, Saklama, Silme Sorumluları |
Bilgi İşlem |
Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur. |
İnsan Kaynakları |
Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur. |
|
Mali İşler |
Görevlerine uygun olarak Politikaların yürütülmesinden sorumludur. |
- Kişisel Verilerin Kayıt Ortamları
Kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Sunucular (Etki alanı, yedekleme, e posta, veri tabanı, web, dosya paylaşım, vb.) |
Kâğıt |
Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) |
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) |
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) |
Yazılı, basılı, görsel ortamlar |
Kişisel bilgisayarlar (Masaüstü, dizüstü) |
|
Mobil cihazlar (telefon, tablet vb.) |
|
Optik diskler (CD, DVD vb.) |
|
Çıkartılabilir bellekler (USB, Hafıza Kart vb.) |
|
Yazıcı, tarayıcı, fotokopi makinesi |
BÖLÜM - III
KİŞİSEL VERİLERİN SAKLANMASI, KORUNMASI VE İMHASI
- Kişisel Verilerin Saklanmasına İlişkin Hususlar
Elde ettiğimiz kişisel veriler, Şirket faaliyetlerinin yerine getirilebilmesi amacıyla, uygun süre zarfıyla fiziksel veya elektronik ortamda güvenli olarak saklanmaktadır. Şirket elde ettiği kişisel verileri KVKK başta olmak üzere ilgili tüm mevzuattaki yükümlülüklere uygun hareket etmektedir. Kişisel verilerin işlenmesi amaçları veya saklama süresinin sona ermesi durumunda resen Şirket tarafından en geç 6 (altı) ayda bir yapılan periyodik imhalarda veya ilgililerin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak imha edilir.
Veri sorumlusu Şirketin meşru menfaatinin olduğu durumlarda, işlenme amacı ve ilgili kanunlarda belirtilen sürelerin sona ermesine rağmen ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyecek şekilde kişisel veriler, Borçlar Kanunu, Ticaret Kanunu, İş Kanunu, Tüketici Kanunu ve ilgili sair mevzuatta yer alan zamanaşımı süreleri dolana kadar saklayıp bahsi geçen zamanaşımı süresinin sona ermesi sonrasında kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir.
- Kişisel Verileri Saklama
KVKK 4. Maddesinde uyarınca kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar kayıt altında tutulmaktadır.
- Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
Şirket tarafından kayıt altına alınan kişisel veriler aşağıda sayılan mevzuatlar ve sayılanlarla sınırlı olmamak üzere yayınlanan ve yayınlanacak olan mevzuat hükümleri gereğince saklanmaktadır.
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 6098 sayılı Türk Borçlar Kanunu
- 6102 sayılı Türk Ticaret Kanunu
- 4857 sayılı İş Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 213 sayılı Vergi Usul Kanunu
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6502 sayılı Tüketicinin Korunması Hakkında Kanun
- 5237 sayılı Türk Ceza Kanunu
- 5237 sayılı Terörle Mücadele Kanunu
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Arşiv Hizmetleri Hakkında Yönetmelik
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
- Kişisel Verileri İşleme Amaçları
Şirket tarafından, kişisel veriler özellikle çalışan süreçlerinin planlanması ve yönetilmesi, ticari faaliyetlerin sürdürülmesi, hukuki ihtilafların yönetilmesi, müşteri pazarlama tekniklerinin geliştirilmesi, internet sitesinin geliştirilmesi amacıyla fiziki veya elektronik ortamlarda güvenli bir şekilde KVKK ve diğer sair mevzuat kapsamında saklanmaktadır. Ayrıntılarıyla aşağıda sayılmaktadır.
Asıl Amaçlar |
Alt Amaçlar |
İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi |
Çalışanların işe giriş–işten çıkış süreçlerinin yürütülmesi, çalışanlar için özlük dosyası oluşturulması |
Çalışanlar için yan haklar ve menfaatler süreçlerinin yürütülmesi |
|
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi |
|
Çalışan performans değerlendireme süreçlerinin yürütülmesi |
|
Yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi |
|
Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi |
|
Stajyer kabul ve eğitim süreçlerinin yürütülmesi |
|
Çalışan adaylarının başvuru, seçme ve yerleştirme süreçlerinin yürütülmesi |
|
Görevlendirme süreçlerinin yürütülmesi |
|
Yabancı personel çalışma ve oturma izni işlemleri |
|
Şirket’in Ticari Devamlılığının Sağlanması ve İş Faaliyetlerinin Yürütülmesi ve Denetlenmesi |
Şirket’in iş ilişkisinde olduğu kişilerle sözleşme süreçlerini yürütmesi |
Şirket’in iş ilişkisinde olduğu kişilerle iletişim faaliyetlerini yürütmesi |
|
Finans ve muhasebe işlerinin yürütülmesi |
|
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi |
|
Ücret politikasının oluşturulma süreçlerinin yürütülmesi |
|
Mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi |
|
Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi |
|
Pazarlama analiz çalışmalarının yürütülmesi |
|
Mal/hizmet satın alım süreçlerinin yürütülmesi |
|
Mal/hizmet satış süreçlerinin yürütülmesi |
|
Mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi |
|
Müşteri ilişkileri yönetim süreçlerinin yürütülmesi |
|
Müşteri memnuniyetine yönelik faaliyetlerin yürütülmesi |
|
Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi |
|
Lojistik faaliyetlerinin yürütülmesi |
|
Organizasyon ve etkinlik yönetim süreçlerinin yürütülmesi |
|
Yatırım süreçlerinin yürütülmesi |
|
Tedarik zinciri yönetim süreçlerinin yürütülmesi |
|
Reklam/kampanya ve promosyon süreçlerinin yürütülmesi |
|
Şirket’in Fiziki, İşlemsel ve Hukuki Güvenliği Temine Yönelik Faaliyetlerini Yürütmesi |
Bilgi güvenliği süreçlerinin yürütülmesi |
Acil durum yönetim süreçlerinin yürütülmesi |
|
Risk yönetim süreçlerinin yürütülmesi |
|
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi |
|
İş süreçlerinin iyileştirilmesine yönelik tedbir ve önerilerin alınması ve değerlendirilmesine yönelik faaliyetlerinin yürütülmesi |
|
Fiziksel mekân güvenliğinin temini faaliyetlerinin yürütülmesi |
|
Ziyaretçi kayıtlarının oluşturulması ve takibi |
|
Taşınır mal ve kaynakların güvenliğini temin faaliyetlerinin yürütülmesi |
|
Veri sorumlusunun operasyonlarının güvenliğinin teminine yönelik faaliyetlerin yürütülmesi |
|
Şirket’in İdari Görev ve Yetkilerini Kullanmasına İlişkin Faaliyetlerin Yürütülmesi |
Denetim/etik faaliyetlerinin yürütülmesi |
Erişim yetkilerinin kullanılması/yürütülmesi |
|
İç denetim/soruşturma ve istihbarat faaliyetlerinin yürütülmesi |
|
Stratejik planlama faaliyetlerinin yürütülmesi |
|
Saklama ve arşiv faaliyetlerinin yürütülmesi |
|
Talep ve şikayetlerin takibi |
|
Şirket’in Hukuk İşlerinin Yürütülmesi |
Hukuk işlerinin takibi ve yürütülmesi |
Faaliyetlerin mevzuata uygun yürütülmesi |
|
Yasal uyumluluk faaliyetlerinin yürütülmesi |
|
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi |
|
Diğer |
Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi |
Sponsorluk faaliyetlerinin yürütülmesi |
|
Diğer |
- KİŞİSEL VERİLERİN KORUNMASI
Şirket işlemekte olduğu kişisel verileri hukuka aykırı olarak işlenmesini, hukuka aykırı olarak erişilmesini önlemek ve verilerin güvenle muhafazasını sağlamak için gerekli olan teknik ve idari tedbirleri almakla birlikte gerekli denetimleri yapıp, yaptırmaktadır.
Alınan tüm teknik ve idari tedbirlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda şirket en kısa sürede ilgili birim ve kurumlara haber verir.
- İdari Tedbirler
- Çalışanlara Şirket Hukuk Müşaviri tarafından KVKK ve kişisel veri farkındalığı ve önemi eğitimi verilmektedir.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Şirket kişisel veri ile etkileşim halinde olan çalışanlarını deneyimli kişilerden istihdam eder ve bu kapsamda kişisel verilerin hukuka aykırı erişimini önleyen tedbirlerin eğitimi verir.
- Gizlilik taahhütnameleri yapılmaktadır.
- Şirket içerisinde kişisel veriye erişim sınırlandırılması yapılmış kişisel verilere erişim yetkili görevler dışında diğer çalışanların erişimine, şifreli yazılımlar kullanmak suretiyle kapatılmıştır.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Çalışanlar, Şirket arayıcılığıyla öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak açıklayamayacağı ve verileri işleme amacı dışında asla kullanamayacağı bu yükümlüğünün işten ayrılması sonrasında da devam edeceği konusu anlatılmakta ve bu konuda çalışanlarda gereken taahhütler alınmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmadır.
- Üçüncü kişilerle yapılan sözleşmelerde KVKK kapsamında Kişisel verilerin aktarılamayacağı, aktarılması durumunda sözleşme tarafı üçüncü kişinin cezai yükümlülüğü olacağı, üçüncü kişinin kişisel veri aktarması sonucu Şirket e yükletilecek tazminat veya idari para cezasının üçüncü kişiye rücu edileceği hükmü yer almaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Şirket periyodik olarak KVKK hükümlerinin uygulanması amacıyla gerekli denetimleri yapar/yaptırır. Denetim sonucunda ortaya çıkan zafiyetleri giderir.
- Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Sızma testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan şifreli erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler şifre ile açılan kilit ile korunmakta ve alanlar kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için konunun uzamanı tarafından yok edilmesi sağlanmaktadır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Şifreleme yapılmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre yetkili kişiler harici erişime kapatılmıştır.
- Özel nitelikli kişisel verilerin güvenliğine yönelik politika belirlenmiştir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- KİŞİSEL VERİLERİN İMHASI
Şirket tarafından işlenen veriler KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- Kişisel Verilerin Silinmesi
- Sunucularda Yer Alan Kişisel Veriler, teknik personel tarafından gereken silme işlemi yapılır.
- Elektronik Ortamda Yer Alan Kişisel Veriler, teknik personel veya birim sorumlusu tarafından gereken silme işlemi yapılır.
- Fiziksel Ortamda Yer Alan Kişisel Veriler, sorumlu tarafından tespit edilen kişisel veriler erişilmez hale getirilir, üzeri silinemeyecek şekilde çizilir veya karartılır.
- Fiziki Ortamda Yer Alan Kişisel Veriler, sorumlu tarafından tespit edilen kişisel veriler kâğıt imha makinesi vasıtasıyla imha edilir.
- Optik/Manyetik (Harddisk) Medyada Yer Alan Kişisel Veriler, teknik personel tarafından imha edilir.
- Kişisel Verilerin Anonim Hale Getirilmesi
Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Şirket bünyesinde kişisel verilerin silinmesi uyarınca imhası politikası uygulanmakta; kişisel verilerin anonim hale getirilmesi yöntemi uygulanmamaktadır.
- Kişisel Verilerin Saklanması ve İmhası Süreleri
Şirket tarafından işlenmekte olan kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler şirket tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; KVKK ve ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri belirlenmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, en geç 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Kişisel veri bazında saklama ve imha süreleri aşağıdaki tabloda gösterilmiştir.
- Kişisel Verilerin Periyodik İmha Süresi
Şirket periyodik imha süresini KVKK kapsamında değerlendirerek 6 ay olarak belirlemiştir. Şirket kişisel verilerin imha sürecine önem vermektedir. Bu süreye göre Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilmektedir.
- Kişisel Verileri Saklama ve İmha Politikasının Yürürlüğü ve Güncellenmesi
En güncel hali yayınlanana kadar en son tarihli politika yürürlükte kabul edilir.
Politika şirket tarafından gerekli görülmesi halinde gerekli olan bölümler güncellenir.
İş bu politika 28.01.2021 tarihinde yürürlüğe girmiştir.
- Hakkımızda
- Kurumsal
- Biz
- Bölge Sorumluları
- Markalar
- Sertifikalar
- Galeri
- KVK Genel Aydınlatma Metni
- KVKK
- İş Başvurusu Bilgilendirme Metni
- Çalışanlar İçin KVK Hakkında Bilgilendirme Metni
- Müşteri - Tedarikçi - İş Ortağı İçin KVK Hakkında Bilgilendirme Metni
- Veri Sahibi Başvuru Formu
- Veri Saklama ve İmha Politikası