AZİM ORTAK SAĞLIK GÜVENLİK BİRİMİ
KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI
İÇİNDEKİLER
1.
GİRİŞ
1.1.
Politikanın Amacı
1.2.
Politikanın Kapsamı
1.3.
Tanımlar
1.4.
Politikanın
Uygulanmasına İlişkin İlkeler
2.
KİŞİSEL VERİLERİN
KORUNMASINA İLİŞKİN HUSUSLAR
2.1.
Veri Güvenliğine
İlişkin Yükümlülükler
3.
KİŞİSEL VERİ
SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
3.1.
Kişisel Veri
Sahiplerinin Haklarını Kullanması
3.2.
Şirketimizin
İlgililerin Başvurularına Cevap Vermesi
4.
KİŞİSEL VERİLERİN
SAKLANMASI VE İMHASI
4.1.
Kişisel Verilerin
Saklanmasına İlişkin Açıklamalar
4.1.1.
Verilerin
Saklanmasını Gerektiren Hukuki Sebepler
4.1.2.
Verilerin
Saklanmasını Gerektiren İşleme Amaçları
4.2.
Kişisel Verilerin
İmhasını Gerektiren Sebepler
4.3.
Kişisel Verilerin
Şirketimizce Saklanması ve İmha Usulleri
4.3.1.
Kayıt Ortamları
4.3.2.
Teknik ve İdari
Tedbirler
4.3.3. Personel
4.3.4. Kişisel Verilerin İmha Usulleri
4.3.4.1 Kişisel
Verilerin Silinmesi
4.3.4.2 Kişisel
Verilerin Yok Edilmesi
4.3.4.3 Kişisel
Verilerin Anonim Hale Getirilmesi
5.
SAKLAMA VE
İMHA SÜRELERİ
6.
PERİYODİK
İMHA SÜRESİ
7.
POLİTİKANIN
YAYINLANMASI VE SAKLANMASI
8.
POLİTİKANIN
GÜNCELLENME PERİYODU
9.
POLİTİKANIN
YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
GİRİŞ
1.1.
Politikanın
Amacı
Kişisel Veri Saklama ve İmha Politikamız
(“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”
ya da “Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca veri
sorumlusu sıfatıyla Azim Ortak Sağlık Güvenlik
Birimi (“Şirket”) tarafından yükümlülüklerimizi yerine getirmek
ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli
olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve
anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla hazırlanmıştır.
1.2. Politikamızın Kapsamı
Bu Politika; Şirketimiz çalışanları da
dahil kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel
verilerine ilişkindir. Şirketimiz tarafından kişisel verisi işlenecek ilgili
kişilere yönelik gerçekleştirilen kişisel veri işleme faaliyetlerine ve
politikaya ayrıca; http://azimosgb.com.tr/web
adresimiz üzerinden ulaşabilirsiniz.
1.3. Tanımlar
TANIM |
KISALTMA |
Kanun/KVKK |
6698
Sayılı Kişisel Verilerin Korunması Kanunu |
Yönetmelik |
Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik |
Kurul |
Kişisel
Verileri Koruma Kurulu |
Politika |
Kişisel
Verilerin Saklama ve İmha Politikası |
Veri
Sorumlusu |
Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri
Sahibi/İlgili Kişi |
Kişisel
verisi işlenen gerçek kişi. |
Veri
İşleyen |
Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişi. |
Kişisel
Veri |
Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel
Nitelikli Veri |
Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri. |
Çalışan
/ Personel |
Şirket personeli |
Şirket |
Azim
Ortak Sağlık Güvenlik Birimi |
Kişisel
Verilerin İşlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlemesi, açıklanması, aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel
Verilerin Silinmesi |
Kişisel
verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemi. |
Kişisel
Verilerin Yok Edilmesi |
Kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve
tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel
Verilerin Anonim Hale Getirilmesi |
Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi. |
Kişisel
Verilerin Saklanması |
Kişisel
verilerin fiziki ortamda veya dijital ortamda muhafaza edilmesi. |
Kişisel
Verilerin Paylaşılması |
Kişisel
verilerin hukuka uygun şekilde paylaşılması. |
Kişisel
Verilerin 3.Kişiye Aktarılması |
Kişisel
verilerin yurt içinde veya yurt dışında tüzel veya gerçek kişiye aktarılması. |
Veri
Kayıt Sistemi |
Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri
Güvenliği |
Verinin izinsiz
kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz
değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere
yapılacak olan izinsiz erişimleri engelleme işlemi. |
Verbis |
Veri Sorumluları Sicil Bilgi Sistemi. |
İrtibat
Kişisi |
Türkiye’de yerleşik olan tüzel kişilerin ve
tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle
ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata
geçilmek üzere atanan gerçek kişi. |
Kayıt
Ortamı |
Tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortam. |
Soft Ortam |
Dijital
ortam. |
Başvuru Formu |
Kişisel
veri sahibinin şirkete başvuru durumunda dolduracağı matbu form. |
Özel Vekaletname |
Bir kimsenin başka bir kimseyi belirli işlerde
kendi adına hareket edebilmesi için yazılı olarak yetkilendirdiğine ait
yazılı bir belgedir. |
Elektronik Ortam |
Kişisel verilerin elektronik
aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve
yazılabildiği ortamlar. |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı,
basılı, görsel vb. diğer ortamlar. |
Açık Rıza |
Belirli bir konuya ilişkin,
bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması,
korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki
ve talimat doğrultusunda kişisel verileri işleyen gerçek kişilerdir. |
Periyodik İmha |
Kanunda yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini. |
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin
aktarıldığı gerçek veya tüzel kişi kategorisi. |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri
işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve
veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel
verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanter. |
Aydınlatma Yükümlülüğü |
Kişisel verilerin elde edilmesi sırasında
veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
|
Güncellenme Periyodu |
İşbu
politikada yapılan güncellemelere ilişkin tablo. |
1.4. Politikanın Uygulanmasına İlişkin İlkeler
Şirketimiz tarafından kişisel verilerin
saklanması ve imhasında aşağıdaki ilkeler çerçevesinde hareket edilmektedir:
1.
Kişisel
veriler; Kanun’un 4. Maddesinde sayılan hukuka ve dürüstlük kurallarına uygun
olma, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için
işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme ilkeleri göz’etilerek işlenir.
2.
Şirketimiz
Kanun’un 12. Maddesi uyarınca öngörülen Veri Güvenliğine ilişkin yükümlülükler
doğrultusunda hareket etmekte ve kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesinde politikanın 4.3.2 maddesinde belirtilen teknik ve
idari tedbirler, ilgili mevzuat hükümleri ve Kurul kararları nazara
alınmaktadır.
3.
Kişisel
verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan
tüm işlemler şirketimiz tarafından kayıt altına alınmakta ve söz konusu
kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 1 yıl süreyle saklanmaktadır.
4.
Kurul
tarafından aksine bir karar alınmadıkça ya da mevzuatta (kanun ile ikincil
yönetmelikler) öngörülmedikçe, kişisel verileri re’sen silme, yok etme veya
anonim hale getirme yöntemlerinden uygun olanı Şirketimiz tarafından
seçilmektedir. Ancak ilgili kişinin talebi halinde; uygun yöntem gerekçesi
açıklanarak seçilecektir.
5.
Kanun’un
5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması halinde, kişisel veriler şirketimiz tarafından
re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya
anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından şirketimize
başvurulması halinde;
a.
İletilen
talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili
kişiye bilgi verilmektedir,
b.
Talebe
konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum
verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler
nezdinde gerekli işlemlerin yapılması temin edilmektedir.
2.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Bu
kapsamda Şirketimiz, Kurul tarafından yayımlanmış olan rehberlere uygun olarak
gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta
ve denetimleri yapmaktadır.
2.1. Veri Güvenliğine İlişkin Yükümlülükler
Şirketimiz;
kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere
hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri almaktadır.
3. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN
KULLANILMASI
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü
kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz
etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme.
3.1 Kişisel Veri Sahiplerinin Haklarını Kullanması
Kişisel
Veri Sahipleri bu bölümün 3. Başlığı altında sıralanan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen
yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer
yöntemlerle Başvuru Formu’nu doldurup imzalayarak Azim Ortak Sağlık Güvenlik
Birimi’ne ücretsiz olarak iletebileceklerdir:
Kişisel
veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri
sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
3.2 Şirketimizin
İlgililerin Başvurularına Cevap Vermesi
Şirketimiz,
kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve Yönetmelik’e
uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri
almaktadır. Kişisel veri sahibinin, bu bölümün 3.1. başlıklı kısmında yer alan
usule uygun olarak talebini iletmesi durumunda şirketimiz talebin niteliğine
göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından
başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
4.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
4.1Kişisel Verilerin Saklanmasına İlişkin Açıklamalar
Veri
sahiplerine ait kişisel veriler, şirketimiz tarafından özellikle (i) hukuki
yükümlülüklerin yerine getirilebilmesi, (ii) ticari faaliyetlerin
sürdürülebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması
ve ifası, (iv) kanunda açıkça öngörülmüş olması, (v) müşteri ilişkilerinin
yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda
güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar
çerçevesinde saklanmaktadır.
Saklamayı
gerektiren sebepler aşağıdaki gibidir:
a.
Mevzuatta açıkça öngörülmesi,
b.
Kişisel verilerin işlenmesinin; fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
c.
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya
ilgili olması nedeniyle saklanması,
d.
Şirketimizin mevzuat tarafından ön görülen hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
e.
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
f.
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla
saklanmasının zorunlu olması.
g.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
h.
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek
kaydıyla şirketimizin meşru menfaatleri için saklanmasının zorunlu olması,
ı.
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri
açısından veri sahiplerinin açık rızasının bulunması.
4.1.1 Verilerin Saklanmasını Gerektiren Hukuki Sebepler
4.1.2. Verilerin
Saklanmasını Gerektiren İşleme Amaçları
Şirketimiz,
faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar:
· İnsan kaynakları
süreçlerini yürütmek.
· Kurumsal iletişimi sağlamak.
· Kurum güvenliğini sağlamak,
· İstatistiksel çalışmalar yapabilmek.
· İmzalanan sözleşmeler ve protokoller
neticesinde iş ve işlemleri ifa edebilmek.
· VERBİS kapsamında, çalışanlar, veri
sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin
tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek
ve gerekmesi halinde güncellemek.
· Yasal düzenlemelerin gerektirdiği veya
zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
· Kurum ile iş ilişkisinde bulunan gerçek /
tüzel kişilerle irtibat sağlamak.
· Yasal raporlamalar yapmak.
· İleride doğabilecek hukuki uyuşmazlıklarda
delil olarak ispat yükümlülüğü.
4.2. Kişisel Verilerin İmhasını Gerektiren Sebepler
Yönetmelik
uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, şirketimiz
tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale
getirilir:
a.
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili
mevzuat hükümlerinin değiştirilmesi veya ilgası,
b.
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan
kalkması,
c.
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren
şartların ortadan kalkması.
d.
Kişisel verileri işlemenin sadece açık rıza şartına istinaden
gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e.
İlgili kişinin, Kanun’un 11. maddesinin2 (e) ve (f) bentlerindeki hakları
çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
f.
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok
edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu
reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen
süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu
talebin Kurul tarafından uygun bulunması,
g. Kişisel verilerin saklanmasını
gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
4.3. Kişisel
Verilerin Şirketimizce Saklanması ve İmha Usulleri
4.3.1 KAYIT
ORTAMLARI
Veri
sahiplerine ait kişisel veriler, şirketimiz tarafından aşağıdaki tabloda
listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata
uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde
güvenli bir şekilde saklanmaktadır:
Elektronik
Olmayan Ortamlar |
Elektronik
Ortamlar |
Kağıt
(klasör, dosya v.b.) |
Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) |
4.3.2 TEKNİK
VE İDARİ TEDBİRLER
Kişisel
verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak
işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha
edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde, şirketimiz
tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
a.
İdari Tedbirler:
Şirketimiz
idari tedbirler kapsamında;
1.
Saklanan
kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli
personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel
nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
2.
İşlenen
kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi
hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
3.
Kişisel
verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı
kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve
sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri
güvenliğini sağlar.
4.
Kişisel
verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve
personeline kişisel verilerin korunması mevzuatı ve veri güvenliği
kapsamında gerekli eğitimleri verir. İşbu eğitimlerle şirket bünyesindeki
personellerin teknik bilgi/becerisi geliştirilmekte ve kişisel verilerin
işlenmesi/saklanması ve imhası prosedürlerinin, ilgili personeller tarafından
hukuka ve mevzuata uygun şekilde yürütülmesi sağlanmaktadır.
5.
Kendi
tüzel kişiliği nezdinde kanun hükümlerinin uygulanmasını ve kontrolünü sağlamak
amacıyla gerekli denetimleri periyodik olarak yapar ve yaptırır. Denetimler
sonucunda ortaya çıkan/çıkma ihtimali bulunan gizlilik ve güvenlik
zaafiyetlerini giderir.
6.
Kişisel
verilerin korunması ve veri güvenliğinin sağlanması amacıyla, şirket tarafından
yürütülen faaliyetlere ilişkin olarak çalışanlarla gizlilik sözleşmeleri
imzalar veya var ise mevcut sözleşmelere eklenen hükümler ile veri güvenliğini
sağlar.
7.
Kişisel
veri işlemeye başlamadan önce kişisel verileri işlenen ilgili kişilere bu
verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği,
kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vererek aydınlatma
yükümlülüğünü yerine getirir.
8.
Mevzuat
tarafından ön görülen istisnai haller dışında; kişisel verileri ilgilinin açık
rızası olmadan işlemeyeceğini ilgili kişilere taahhüt etmektedir. Açık rıza
alınması gerekli hallerde ise; ilgili kişinin belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızası alınarak söz
konusu yükümlülük yerine getirilir.
9.
Kanunda
ön görülen veya politikada belirtilen veri saklama süresinin dolması halinde;
şirket tarafından yapılacak ilk periyodik imha işleminde işbu kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesi süreci işletilir.
10.
Bilginin
çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul
önlemlerin alınması sağlanır.
b.
Teknik Tedbirler:
Şirketimiz
teknik tedbirler kapsamında;
1.
Kurulan
sistemler kapsamında gerekli iç kontrolleri yapar.
2.
Bilişim
sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınır.
3.
Kurulan
sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki
analizinin gerçekleştirilmesi süreçlerini yürütür.
4.
Hukuka
aykırı veri işlemeye yönelik riskler belirler ve işbu risklere uygun teknik
tedbirler alır. Hukuka aykırı veri işlendiğinin tespiti halinde ise, ilgili
kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturur.
5.
Kişisel
verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak
şekilde sağlanır.
6.
Şirket
içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili
raporlama ve analiz çalışmaları yapılır.
7.
Elektronik
olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
4.3.3 PERSONEL
Kişisel veri
saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve
görev tanımlarına işbu Politika’nın EK-1’nde yer alan listeden
ulaşabilirsiniz.
4.3.4 KİŞİSEL
VERİLERİN İMHA USULLERİ
Şirketimiz
tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel
veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının
ortadan kalkması halinde şirketimiz tarafından re’sen yahut İlgili Kişinin
başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak
aşağıda belirtilen teknikler ile imha edilecektir.
4.3.4.1 Kişisel
Verilerin Silinmesi
Kişisel
veriler aşağıda belirtilen yöntemlerle silinir.
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan
Kişisel Veriler
|
Sunucularda yer alan
kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem
yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme
işlemi yapılır. |
Elektronik Ortamda Yer Alan
Kişisel Veriler
|
Elektronik ortamda yer alan
kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı
yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan
Kişisel Veriler |
Fiziksel ortamda tutulan
kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak
arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır. |
Taşınabilir Medyada Bulunan
Kişisel Veriler |
Flash tabanlı saklama
ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona
erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece
sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda
saklanır. |
4.3.4.2 Kişisel
Verilerin Yok Edilmesi
Kişisel
verileriniz, şirketimiz tarafından aşağıdaki yöntemlerle silinir.
Veri Kayıt
Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan
Kişisel Veriler |
Kâğıt ortamında yer alan
kişisel verilerden saklanmasını gerektiren süre sona erenler, yakma
yöntemiyle geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada
Yer Alan Kişisel Veriler
|
Optik medya ve manyetik
medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel
olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir
cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması
suretiyle üzerindeki veriler okunamaz hale getirilir. |
4.3.4.3 Kişisel
Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale
getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için;
kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri
döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı
ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale
getirilmesi gerekir.
5.SAKLAMA VE İMHA SÜRELERİ
Şirketimiz tarafından
KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel
verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla
belirtilen ölçütlerden yararlanılmaktadır:
1. Mevzuatta söz
konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş
ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri
hakkında 2. bent kapsamında işlem yapılır.
2. Söz konusu kişisel
verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona
ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak
herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
Kurtsan Holding tarafından
tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın
ekinde (Ek-2) yer alan ‘‘Saklama, İmha ve Periyodik İmha Sürelerine ilişkin
Tablo”’dan ulaşabilirsiniz.
Saklama süresi dolan
kişisel veriler, işbu Politika’nın ekinde (Ek-2) yer alan imha süreleri
çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere
uygun olarak imha edilir. İmha edilen verilere ilişkin “Veri İmha Tutanağı’na”
Ek-4’den ulaşabilirsiniz.
Kişisel verilerin
silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün
işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki
yükümlülükler hariç olmak üzere en az 1.yıl
süreyle saklanır.
6. PERİYODİK İMHA SÜRESİ
Şirketimiz
tarafından, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre her yıl Aralık ve
Haziran aylarında imha gerçekleştirilir.
7. POLİTİKAMIZIN YAYINLANMASI VE SAKLANMASI
Politika,
ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı
ortamda yayımlanır, şirketimizin internet sayfasında açıklanır. Basılı kâğıt
nüshası da şirketimizin genel
merkezinin Mesul Müdürlük departmanında saklanır.
8. POLİTİKAMIZIN GÜNCELLENME PERİYODU
Politika,
ihtiyaç duyuldukça ve ilgililerden talep olması durumunda gözden geçirilir ve
gerekli olan bölümler güncellenir. Yapılan güncellemeler 15 iş günü içerisinde şirketimizin BEYLIKDÜZÜ OSB MAH. BIRLIK SAN. SIT. 3. CAD. NO:3 KELEŞOĞLU İŞ
MERKEZI D:52 Beylükdüzü/İstanbul adresinde,
basılı nüshası ise şirketimizin genel merkezinin Mesul Müdürlük departmanında
ilan edilir.
9. POLİTİKAMIZIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika şirketimiz tarafından düzenlenerek 05.03.2020 tarihinde
yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın
yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Gerekliliğinde
yapılabilecek güncellemelere ilişkin Güncelleme Tablosu Ek-3’te yer
almaktadır. KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika
arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat
hükümleri uygulanacaktır.