TÜZÜN KARDEŞLER MAKİNE SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI, SAKLANMASI VE İMHASI POLİTİKASI
BÖLÜM 1 – GİRİŞ
1.1 AMAÇ
İşbu Kişisel Verilerin İşlenmesi, Korunması, Saklanması ve İmhası Politikası ile; Tüzün Kardeşler Makine Sanayi ve Ticaret A.Ş. (“Şirket”) tarafından kişisel verilerin işlenmesi, korunması, saklanması ve imha edilmesi sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan düzenlemelere nasıl uyulacağına ilişkin temel ilkeler ortaya konulmaktadır ve KVKK’ya uyum bakımından benimsenen temel prensipler açıklanarak Veri Sahipleri bilgilendirilmek suretiyle gerekli şeffaflık sağlanmaktadır.
1.2 KAPSAM
KVK Politikası, Şirket tarafından yürütülmekte olan kişisel verilerin işlenmesi, korunması, saklanması ve imha edilmesine yönelik tüm faaliyetlerde uygulanmaktadır. KVK Politikası; Şirket ortaklarının, yetkililerinin, çalışanlarının, çalışan adaylarının, müşterilerinin, müşteri yetkilisi veya müşteri çalışanlarının, tedarikçilerinin, tedarikçi yetkilisi veya tedarikçi çalışanlarının, Şirket’in işbirliği içerisinde olduğu kurum ve kuruluş çalışanlarının ve üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
1.3 POLİTİKANIN UYGULANMASI
Kişisel verilerin işlenmesi, korunması, saklanması ve imha edilmesine ilişkin olarak yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacak olup; mevzuat hükümleri ile KVK Politikası arasında uyumsuzluk olması halinde, mevzuat hükümleri esas alınacaktır.
KVK Politikası, ilgili mevzuat kapsamında var olan kuralların Şirket uygulamalarına ilişkin olarak somutlaştırılarak düzenlenmesinden oluşturulmuştur.
1.4 TANIMLAR
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
| Kişisel Verilerin İmha Edilmesi | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
| Kurul | Kişisel Verileri Koruma Kurulu’nu ifade eder. |
| Kurum | Kişisel Verileri Koruma Kurumu’nu ifade eder. |
| KVK Politikası | Şirket’in Kişisel Verilerin İşlenmesi, Korunması, Saklanması ve İmhası Politikası’nı ifade eder. |
| KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
| Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
| Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
| Şirket | Tüzün Kardeşler Makine Sanayi ve Ticaret A.Ş. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
| Veri Sahibi | Kişisel verisi işlenen gerçek kişidir. |
| Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |
| Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
BÖLÜM 2 – KİŞİSEL VERİLERİN KORUNMASIYLA İLGİLİ HUSUSLAR
2.1 KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket, KVKK’ya uygun olarak; kişisel verilerin hukuka aykırı şekilde açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik risklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almaktadır. Bu çerçevede Şirket, Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVKK, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan birtakım kişisel verilere ayrıca bir önem atfetmiş olup; Özel Nitelikli Kişisel Veri olarak nitelendirilen bu veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirket, özel nitelikli kişisel verilerin güvenliğinin sağlanması için gerekli hassasiyeti göstermektedir ve bu verilerin hukuka uygun işlenmesini sağlamak amacıyla yasal gerekliliklere ve Kurul tarafından belirlenen önlemlere uyum sağlamak amacıyla almış olduğu teknik ve idari tedbirler özenle uygulanmaktadır.
BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİYLE İLGİLİ HUSUSLAR
3.1 KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
Kişisel veriler işlenirken aşağıda yazılı bulunan ilkeler dikkate alınmaktadır:
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket, kişisel verilerin işlenmesinde Türkiye Cumhuriyeti Anayasası başta olmak üzere hukuki düzenlemelere ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede kişisel veriler; Veri Sahibinin haberi olmadan toplanmamakta, işlenmemekte ve Veri Sahibine karşı haksızlığına neden olacak şekilde kullanılmamaktadır ve Şirket’in faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için teknik imkanları dahilinde gerekli tedbirleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli kanalları açık tutmaktadır ve gerekli mekanizmaları kurmaktadır.
- Belirli, Açık ve Meşru Amaçlar İçin İşleme
Şirket, kişisel verilerin hangi amaçla işleneceği belirlemekte ve bu doğrultuda kişisel verilerin işlenme amaçlarını ortaya koyarak, faaliyetleri doğrultusunda ve bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri yalnızca faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir. Bu doğrultuda Şirket, kişisel veri işlemeye başlamadan önce kişisel veri işleme amacını belirlemekte olup; ileride kullanılma ihtimaline dayanarak veri işleme faaliyeti gerçekleştirmemektedir.
3.1.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda Şirket, öncelikle ilgili kişisel verilerin saklanması için mevzuatta bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Mevzuat kapsamında belirlenmiş bir süre yok ise kişisel veriler, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.
3.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirket, kişisel veri işleme faaliyetini, aşağıda sayılı şartların varlığı halinde gerçekleştirmekte olup; belirtilen şartlardan hiçbirisinin mevcut olmaması halinde kişisel veri işlenmemektedir. Kişisel veri işleme faaliyeti, aşağıda sayılı şartlardan yalnızca birisine dayanabileceği gibi birden fazla şarta da dayanabilmektedir.
3.2.1.Veri Sahibinin Açık Rızasının Bulunması
Kişisel veri işleme şartlarından birisi, Veri Sahibinin açık rızasıdır ve bu rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı olarak, özgür irade ile açıklanmalıdır. Aşağıda sayılı bulunan diğer kişisel veri işleme şartlarının varlığı durumunda Veri Sahibinin açık rızasına ihtiyaç olmaksızın kişisel veriler işlenebilir.
3.2.2.Kanunlarda Açıkça Öngörülmesi
İlgili kanunda, kişisel verilerin işlenebileceğine ilişkin açık bir hüküm olması halinde veri işleme şartının varlığından söz edilecek ve bu şarta dayalı olarak veri işleme faaliyeti gerçekleştirilebilir.
3.2.3.Fiili İmkansızlık Sebebiyle Veri Sahibinin Açık Rızasının Alınamaması
Veri Sahibinin rızasını açıklayamayacak durumda olması, başka bir anlatımla fiili imkansızlığın söz konusu olması veya Veri Sahibinin rızasına geçerlilik tanınamayacak olması, başka bir anlatımla hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması hallerinde, Veri Sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise Veri Sahibinin kişisel verileri işlenebilir.
3.2.4.Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
Veri Sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla kişisel veri işleme faaliyeti gerçekleştirilebilir.
3.2.5.Bir Hukuki Yükümlülüğün Yerine Getirilmesi
Şirket’in hukuki bir yükümlülüğünü yerine getirebilmesi için kişisel veri işlenmesinin zorunlu olması durumunda Veri Sahibinin kişisel verileri işlenebilir.
3.2.6.Kişisel Verinin Sahibi Tarafından Alenileştirilmesi
Veri Sahibinin, kişisel verisini alenileştirmiş yani herhangi bir şekilde kamuya açıklanmış olması halinde, yalnızca alenileştirme amacıyla sınırlı olacak şekilde ilgili kişisel veriler işlenebilir.
3.2.7.Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması
Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, bu zorunluluk ile paralel olacak şekilde kişisel veri işleme faaliyeti gerçekleştirilebilir.
3.2.8.Şirketin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması
Şirket’in meşru menfaatleri için kişisel veri işlenmesinin zorunlu olması durumunda, Veri Sahibinin temel hak ve özgürlüklerine kesinlikle zarar vermemek kaydıyla kişisel veri işleme faaliyeti gerçekleştirilebilir. Bu şartın varlığının tespiti için, uygulamada kabul gören “denge testi” yapılmaktadır.
3.3 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler Şirket tarafından, işbu KVK Politikası’nda belirtilen ilkelere uygun olarak, Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli idari ve teknik tedbirler alınarak ve aşağıda belirtilen şekilde işlenmektedir:
(a) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmektedir. Aksi halde, söz konusu özel nitelikli kişisel verilerin işlenebilmesi için Veri Sahibinin açık rızası alınmaktadır.
(b) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler; kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde Veri Sahibinin açık rızası aranmaksızın işlenebilmektedir. Aksi halde, söz konusu özel nitelikli kişisel verilerin işlenebilmesi için Veri Sahibinin açık rızası alınmaktadır.
3.4 KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
Şirket, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin Veri Sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlere aktarıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve Veri Sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
- KİŞİSEL VERİLERİN AKTARILMASI
3.5.1.Kişisel Verilerin Yurt içinde Aktarımı
Şirket, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve Kurul tarafından alınan kararlara uygun bir şekilde hareket etmekle yükümlüdür. Bu kapsamda Şirket, kişisel verileri ve özel nitelikli kişisel verileri; KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun şekilde, meşru amaçlar doğrultusunda ve gerekli güvenlik önlemlerini alarak, gerçek kişiler veya özel hukuk tüzel kişileri, yetkili kamu kurum ve kuruluşları, iş ortakları ve ilgili diğer üçüncü kişilere aktarabilmektedir.
3.5.2.Kişisel Verilerin Yurt dışına Aktarımı
KVKK’nın 9. maddesi uyarınca kişisel veriler kural olarak, Veri Sahibinin açık rızası olmaksızın yurt dışına aktarılmamaktadır. Bununla birlikte kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızaya ihtiyaç duyulmayan işlenme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması gerekmekte olup; yeterli korumanın sağlanıp sağlanmadığı Kurul tarafından belirlenmekte ve ilan edilmektedir.
Yeterli korumanın bulunmaması durumunda ise hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması gerekmektedir.
BÖLÜM 4 – KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kişisel Veriler Şirket tarafından; çalışan işe alım ve işten çıkış, iş sağlığı ve güvenliği süreci, personel süreçlerinin takip edilmesi, izin süreci, şirket operasyonlarının yürütülmesi, maaş ödenmesi, iş kazası veya meslek hastalığı, güvenlik ve iş/performans takibi yapılması, vergi yükümlülüğünün yerine getirilmesi, hukuki süreçler, kişisel verilerin korunması süreçleri dahil Şirket’in yürütmekte olduğu çeşitli süreçler kapsamında; çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, sözleşme süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, faaliyetlerin mevzuata uygun yürütülmesi, iş sağlığı / güvenliği faaliyetlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, iş faaliyetlerinin yürütülmesi / denetimi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, finans ve muhasebe işlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, sözleşme süreçlerinin yürütülmesi, yönetim faaliyetlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, görevlendirme süreçlerinin yürütülmesi, çalışanlar için yan haklar menfaatler süreçlerinin yürütülmesi, iç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi, denetim/etik faaliyetlerin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, acil durum yönetimi süreçlerinin yürütülmesi, iç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi, çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi gibi amaçlar doğrultusunda işlenmektedir.
BÖLÜM 5 – KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
5.1 KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda kişisel veriler, sayılanlarla sınırlı olmamakla beraber, başlıca; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, 6102 Sayılı Ticaret Kanunu, 4857 Sayılı İş Kanunu kapsamında ve bu kanunlar uyarınca yürürlükte olan ikincil düzenlemeler ile sayılanlarla sınırlı olmamak üzere; Şirket’in uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca saklanmaktadır.
5.2 KİŞİSEL VERİLERİN TUTULDUĞU ORTAM
Kişisel veriler Şirket tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanmaktadır.
| Elektronik Ortam | Fiziksel Ortam |
| · CPM Muhasebe Programı
· Bilgisayar Ortamı · Şirket E-posta Hesabı · Personel Devam Takip Yazılım Sistemi · Veri İşleyen Sunucusu · Kayıt Cihazı |
· Fiziksel Klasör
· Kağıt · Manuel veri kayıt sistemleri · Yazılı, basılı, görsel ortamlar |
5.3 VERİNİN İŞLENDİĞİ SÜREÇ, AZAMİ SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından işlenmekte olan kişisel verilerle ilgili olarak, her bir kişisel veri bazında saklama süreleri Şirket’in kişisel veri işleme envanterinde; veri kategorileri bazında saklama süreleri Şirket’in VERBİS kaydında; süreç bazında saklama süreleri ise aşağıdakilerle sınırlı olmamak kaydıyla işbu KVK Politikası’nda yer almaktadır.
Söz konusu saklama sürelerinde, gerekmesi halinde güncelleme ve değişikliler yapılacaktır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Şirket tarafından gerçekleştirilmektedir.
| Veri İşleyen Departman | Verini İşlendiği Süreç | Verinin Tutulduğu Ortam | Saklama Süresi
(Envanterde belirtilen azami süreler esas alınmıştır) |
İmha Süresi | |
| Elektronik | Fiziksel | ||||
| Muhasebe Birimi | İşe Alım | E-Posta Hesabı | Fiziksel Klasör | Çalışanın iş akdi devam ettiği süre boyunca ve çalışan işten ayrıldıktan sonra 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İzin Süreci | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör | |||
| Maaş Ödeme | Bilgisayar Ortamı, E-Posta Hesabı, CPM Muhasebe Programı | ||||
| İşten Çıkış | x | Fiziksel Klasör
|
|||
| İş Sağlığı /Güvenliği | Bilgisayar Ortamı, E-Posta Hesabı | İşten ayrılma tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | ||
| Şirket Operasyonlarının Yürütülmesi | Personel Devam Takip Yazılım Sistemi, Bilgisayar Ortamı, E-Posta Hesabı, CPM Muhasebe Programı | x | Süresiz | Gerektiğinde güncellenmektedir. | |
| Güvenlik ve İş/Performans Takibi Yapılması | Kayıt cihazı | x | |||
| Muhasebe Birimi | Personel Süreçlerinin Takip Edilmesi | Bilgisayar Ortamı, E-Posta Hesabı, CPM Muhasebe Programı | Fiziksel Klasör | Çalışanın iş akdi devam ettiği süre boyunca ve çalışan işten ayrıldıktan sonra 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kişisel Verilerin Koruması | x | Fiziksel Klasör | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
| Vergisel Süreçler | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
| Hukuki Süreçler | x | Fiziksel Klasör | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
| Finans Birimi | Maaş Ödenmesi | Bilgisayar Ortamı, E-Posta Hesabı
|
Fiziksel Klasör
|
10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket Operasyonlarının Yürütülmesi | 5 yıl
|
||||
| Kalite /Kalite Kontrol /Kalite Yönetim Birimi | Şirket Operasyonlarının Yürütülmesi | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör | Süresiz | Süreli olanlar saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilmekte, süresiz olanlar gerektiğinde güncellenmektedir.
|
| Üretim Birmi | Şirket Operasyonlarının Yürütülmesi
|
Veri İşleyen Sunucusu, Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör
|
15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Maaş Ödenmesi | CPM Muhasebe Programı | Çalışanın iş akdi devam ettiği süre boyunca ve çalışan işten ayrıldıktan sonra 10 yıl | |||
| Personel Süreçlerinin Takip Edilmesi | x | ||||
| Satın Alma Birimi | Şirket Operasyonlarının Yürütülmesi | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör | 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İdari İşler Birimi | Şirket Operasyonlarının Yürütülmesi | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel Klasör
|
5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Depo/Sevkiyat Birimi | Şirket Operasyonlarının Yürütülmesi | E-Posta Hesabı | Fiziksel Klasör
|
10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bakım Onarım Birimi | Şirket Operasyonlarının Yürütülmesi | Bilgisayar Ortamı | Fiziksel Klasör
|
1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Tüm Birimler | E-postalar ve şirket içi yazışmalar | Bilgisayar Ortamı, E-Posta Hesabı | Fiziksel dosya | Süresiz | Gerekli hallerde güncellenmektedir. |
| İletişim Bilgilerinin Saklanması | |||||
5.4 PERİYODİK İMHA SÜRESİ
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11. maddesi uyarınca Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket’te her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
5.5 KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Kişisel veriler, Şirket tarafından, veri işleme amacının gerektirdiği süre ile sınırlı olarak ve/veya kanunlarda açıkça öngörülmüş olması durumunda ilgili mevzuatta belirlenmiş olan süre ile sınırlı olarak saklanmaktadır. Kişisel veriler, periyodik imha sürelerinde artık toplanma amacına hizmet etmediği veya ilgili mevzuat gereğince saklanması gerekliliğinin ortadan kalktığı anda Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
5.6 KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel veriler aşağıda yer alan yöntemlerle silinir.
| Kişisel Verinin Tutulduğu Ortam | İlgili Açıklama |
| Kayıt Cihazında Yer Alan Kişisel Veriler | Kayıt Cihazında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, ilgili yönetici tarafından silme işlemi gerçekleştirilir. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili evrakın arşivlenmesinden sorumlu birim yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir ve üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
5.7 KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel veriler aşağıdaki yöntemler kullanılarak yok edilir.
| Kişisel Verinin Tutulduğu Ortam | İlgili Açıklama |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgilerin tespitini engelleyecek biçimde kağıt imha makinası kullanılarak ya da yakılarak geri döndürülemeyecek şekilde yok edilir. |
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
5.8 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirket veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
BÖLÜM 6 – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1 KİŞİSEL VERİ SAHİPLERİNİN HAKLARI
Kişisel verileri Şirket tarafından işlenen gerçek kişiler; Şirket’in internet sitesinde yer alan başvuru formunda yazılı bulunan yönlendirmelere uygun şekilde Şirket’e başvurarak kendileriyle ilgili;
(a) Kişisel veri işlenip işlenmediğini öğrenme,
(b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(f) İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
6.2 KİŞİSEL VERİ SAHİPLERİNİN BAŞVURULARINA ŞİRKET’İN CEVAP VERME YÜKÜMLÜLÜĞÜ
Veri Sahibinin yukarıda bahsi geçen haklarıyla ilgili olarak Şirket’e başvurması durumunda Şirket, talebin niteliğine göre en geç otuz gün içerisinde ilgili başvuruyu sonuçlandıracaktır. Veri Sahibinin başvurusu kapsamında talep ettiği işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret Şirket tarafından Veri Sahibinden alınabilir.
Şirket, başvuruda bulunan kişinin ilgili kişisel verinin sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir ve başvuruda yer alan hususları netleştirmek adına, Veri Sahibine başvurusu ile ilgili soru yöneltebilir.
Şirket, başvuru kapsamındaki talebi kabul ederek gereğini yerine getirebilir veya gerekçesini açıklayarak talebi reddedebilir. Başvurunun Şirket’in hatasından kaynaklanması hâlinde, Veri Sahibinden herhangi bir ücret alındıysa, bu ücret iade edilir.
Veri Sahibi; başvurusunun reddedilmesi, Şirket tarafından verilen cevabı yetersiz bulması veya başvurusuna Şirket tarafından süresi içerisinde cevap verilmemesi hallerinde Kurul’a şikayette bulunma hakkına sahiptir. Şirket, bu tarz şikayetleri engellemek adına Veri Sahiplerine zamanında ve tatmin edici cevaplar verilmesi konusunda özen göstermektedir.
BÖLÜM 7 – GÖZDEN GEÇİRME VE GÜNCELLEME
İşbu KVK Politikası, her takvim yılında bir kez gözden geçirilir ve yasal düzenlemelerde meydana gelecek değişiklikler veya Şirket’in kişisel veri işleme süreçlerinde meydana gelecek değişikliklere paralel olarak güncellenir.