KİŞİSEL VERİLERİN SAKLANMASI VE İMHA POLİTİKASI
İş bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince; kişisel verilerin saklanması ve imhası ile diğer yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektedir.
- AMAÇ
İş bu politika, Gürçay Gıda Sanayi ve Ticaret Anonim Şirketi (Gürçay veya Şirket) tarafından; kişisel verilerin saklanması, saklama süreleri, silinmesi, yok edilmesi ile diğer yükümlülüklerine ilişkin bilgilendirme amacıyla hazırlanmıştır.
- KAPSAM
İş bu politika, Gürçay çalışan ve çalışan adaylarını, hissedar ve yetkililerini, müşterilerini, müstahsil ve tedarikçilerini, ziyaretçilerini ve Şirket ile ilişki içinde bulunan ve kişisel verileri işlenen diğer tüm gerçek kişileri kapsamaktadır.
- TANIMLAR
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriyi,
İlgili kişi : Kişisel verisi işlenen gerçek kişiyi,
Kişisel veri işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Kurum : Kişisel Verileri Koruma Kurumunu,
Kurul : Kişisel Verileri Koruma Kurulunu,
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen
kişisel verilerin bulunduğu her türlü ortamı,
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini,
Kişisel Veri Envanteri :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Anonim Hale Getirme : Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Verilerin Silinmesi : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Verilerin Yok Edilmesi : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
- SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm çalışanları, Politika kapsamında kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu ekiplere destek verir. Bu kapsamda Şirketin Genel Müdürü; tüm çalışanların politikaya uygun hareket etmesinden, İnsan Kaynakları Sorumlusu (Muhasebe müdürü); politikanın takibi ve güncellenmesi ile fiziksel ortamdaki kişisel verilerin imha sürecinden sorumludur.
- KAYIT ORTAMLARI
İlgili kişilere ait kişisel veriler, Şirket tarafından aşağıda belirtilen ortamlarda KVKK hükümleri, ilgili mevzuatlar dikkate alınarak güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar :
- Sunucular (Yedekleme Sistemi, E-posta Sistemi, Veri Tabanı, Web Uygulaması, Dosya Paylaşım)
- Yazılımlar (Muhasebe yazılımları vs.)
- Bilgi Güvenliği Sistemleri (Antivirüs, Günlük kayıt dosyası)
- Kişisel Bilgisayar ve Cihazlar (Masaüstü ve dizüstü bilgisayarlar, telefon ve tablet vs.)
- Bellekler (CD, DVD, USB Bellek, Harici Disk)
- Diğer (Yazıcı, Tarayıcı, Fotokopi Makinesi vb.)
Fiziksel Ortamlar :
- Birim Dolapları
- Manuel veri kayıt sistemleri (anket formları vs.)
- Yazılı, basılı, görsel ortamlar
- Arşiv
- SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Gürçay, çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan 3. kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel verileri Kanuna uygun olarak saklar ve imha eder. KVKK m.4/d kapsamında kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği hüküm altına alınmıştır. Bu kapsamda, Şirketimizin faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.
-
- Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler;
Gürçay, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4857 sayılı 1475 Sayılı İş Kanunu,
- 193 sayılı Gelir Vergisi Kanunu ile diğer ilgili mevzuat ve ikincil düzenlemeler çerçevesinde öngörülen süreleri aşmayacak şekilde saklanmaktadır.
-
- Kişisel Verilerin Saklanması Amaçları;
Gürçay, ticari faaliyetlerin yürütülmesi esnasında kişisel verilerinizi kanundan doğan hak ve yükümlülüklerin yerine getirilmesi ile sözleşmenin ifası için gerekli olması sebebiyle işlemektedir. Bununla birlikte Şirketimizin, her bir grup veriyi işleme amaçları detaylı şekilde VERBİS sisteminde kamuya açık şekilde kayıtlı olup, aşağıda sıralanmıştır;
- İş faaliyetlerinin yürütülmesi ve denetimi,
- İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
- İletişim faaliyetlerinin yürütülmesi,
- Mal ve hizmet üretimi alım ve satım, pazarlama işlerinin yürütülmesi,
- Çalışan adaylarının değerlendirilmesi,
- Sözleşmeler ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
- Yetkili kişi ve kurumlara bilgi verilmesi,
- İş sağlığı ve güvenliği ile acil durum yönetimi faaliyetlerinin yürütülmesi,
- Yönetim ve insan kaynakları süreçlerinin planlanması,
- Ücret politikasının yürütülmesi,
- Hukuk, finans ve muhasebe işlerinin yürütülmesi,
- Talep ve şikayetlerin takibi,
- Eğitim faaliyetlerinin yürütülmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Bilgi güvenliği ve erişim yetkilerinin yürütülmesi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Fiziksel mekân güvenliğinin temini
-
- Kişisel Verilerin İmhasını Gerektiren Sebepler;
- Kişisel verilerin işlenmesine dayanak ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Sadece açık rızaya istinaden işlenen kişisel verilerde ilgili kişinin açık rızasını geri alması,
- KVKK m.11 gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun m.11 kapsamında Kurula yaptığı şikâyetin Kurul tarafından kabulü,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında veri sorumlusu tarafından ilgili kişinin talebi üzerine veya resen silinir, yok edilir ya da anonim hale getirilir.
- TEKNİK VE İDARİ TEDBİRLER
Gürçay, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesindeki ilkeler çerçevesinde gereken teknik ve idari tedbirler alınır.
-
- Şirket Tarafından Alınan İdari Tedbirler;
- Veri güvenliğine ilişkin çalışanların iş sözleşmelerine gizlilik maddeleri eklenmiştir.
- Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik denetimler yapılır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilir.
- Çalışanlara KVKK ile ilgili hususlarında içeren bilgi güvenliği eğitimleri verilmektedir.
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi
- Şirket Tarafından Alınan Teknik Tedbirler:
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, güncel anti-virüs programı, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI
Kişisel verileriniz; ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
-
- Kişisel Verilerin Saklanma ve İmha Süresi
VERİ SAHİBİ
|
VERİ KATEGORİSİ
|
SAKLAMA SÜRESİ
|
İMHA SÜRESİ
|
Tedarikçi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı
|
Kimlik
İletişim
Finans
|
Hukuki İşlem Süresince + 10 Yıl
|
İlk periyodik imhada
|
Ürün veya Hizmet Alan Kişi
|
Kimlik
İletişim
Müşteri İşlem
Finans
Pazarlama
|
Hukuki İşlem Süresince + 10 Yıl
|
İlk periyodik imhada
|
Ziyaretçi
|
Kimlik
|
6 Ay
|
İlk periyodik imhada
|
Ziyaretçi/ Potansiyel Ürün ve Hizmet Alıcı
|
İşlem Güvenliği
|
6 Ay
|
İlk periyodik imhada
|
Tüm Kişi Grupları ve Ziyaretçiler
|
Fiziksel Mekân Güvenliği
|
1 Ay
|
Otomatik Olarak Silinmektedir.
|
Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş̧ ise bu süreye riayet edilir.
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş̧ olması halinde KVKK’daki şart ve amaçlara uygun olarak belirlenen süre boyunca saklanır. Bu süre sonunda yetkili personel tarafından imha edilir.
- Şirket, periyodik imha süresini 6 ay olarak belirlemiştir.
- İlgili kişi tarafından, KVKK m.13 istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumu 3. kişiye bildirir ve gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
-
- Kişisel Verilerin Silinmesi ve Yok Edilmesi
VERİ KAYIT ORTAMI
|
AÇIKLAMA
|
Fiziksel Ortam
|
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, kâğıt öğütücü cihazlarda geri döndürülemeyecek şekilde yok edilir.
|
Elektronik Ortam
|
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya kırılması gibi fiziksel olarak yok edilmesi işlemi uygulanır.
|
Yazılım ve Sunucu Ortamı
|
Yazılım ve sunucu ortamında tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla geri dönülemez biçimde silinir.
|
-
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
- POLİTİKA’NIN SAKLANMASI VE GÜNCELLENMESİ
Gürçay, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda KVK Politikalarında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.