KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
BELLO TEKSTİL SANAYİ VE TİCARET LTD. ŞTİ.
KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI
İÇİNDEKİLER
1.
GİRİŞ
1.1.
Politikanın
Amacı
1.2.
Politikanın
Kapsamı
1.3.
Tanımlar
1.4.
Politikanın
Uygulanmasına İlişkin İlkeler
2.
KİŞİSEL
VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1.
Veri
Güvenliğine İlişkin Yükümlülükler
3.
KİŞİSEL VERİ
SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
3.1.
Kişisel Veri
Sahiplerinin Haklarını Kullanması
3.2.
Şirketimizin
İlgililerin Başvurularına Cevap Vermesi
4.
KİŞİSEL
VERİLERİN SAKLANMASI VE İMHASI
4.1.
Kişisel
Verilerin Saklanmasına İlişkin Açıklamalar
4.1.1.
Verilerin
Saklanmasını Gerektiren Hukuki Sebepler
4.1.2.
Verilerin
Saklanmasını Gerektiren İşleme Amaçları
4.2.
Kişisel
Verilerin İmhasını Gerektiren Sebepler
4.3.
Kişisel
Verilerin Şirketimizce Saklanması ve İmha Usulleri
4.3.1.
Kayıt Ortamları
4.3.2.
Teknik ve İdari
Tedbirler
4.3.3.
Personel
4.3.4.
Kişisel
Verilerin İmha Usulleri
4.3.4.1 Kişisel
Verilerin Silinmesi
4.3.4.2 Kişisel
Verilerin Yok Edilmesi
4.3.4.3 Kişisel
Verilerin Anonim Hale Getirilmesi
5.
SAKLAMA VE İMHA
SÜRELERİ
6.
PERİYODİK İMHA
SÜRESİ
7.
POLİTİKANIN YAYINLANMASI
VE SAKLANMASI
8.
POLİTİKANIN GÜNCELLENME
PERİYODU
9.
POLİTİKANIN
YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
- GİRİŞ
1.1.
Politikanın
Amacı
Kişisel Veri Saklama ve İmha Politikamız
(“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”
ya da “Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca veri
sorumlusu sıfatıyla Bello Tekstil Sanayi ve Ticaret Ltd. Şti. (“Şirket”) tarafından
yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel
verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin
belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri
hakkında bilgilendirmek amacıyla hazırlanmıştır.
1.2. Politikamızın Kapsamı
Bu Politika; Şirketimiz çalışanları da
dahil kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel
verilerine ilişkindir. Şirketimiz tarafından kişisel verisi işlenecek ilgili
kişilere yönelik gerçekleştirilen kişisel veri işleme faaliyetlerine ve
politikaya ayrıca; https://bellotekstil.com.tr/sayfa-kisisel-verileri-saklama-ve-imha-politikasi-8adresimiz üzerinden ulaşabilirsiniz.
1.3. Tanımlar
TANIM |
KISALTMA |
Kanun/KVKK |
6698
Sayılı Kişisel Verilerin Korunması Kanunu |
Yönetmelik |
Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik |
Kurul |
Kişisel
Verileri Koruma Kurulu |
Politika |
Kişisel
Verilerin Saklama ve İmha Politikası |
Veri
Sorumlusu |
Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri
Sahibi/İlgili Kişi |
Kişisel
verisi işlenen gerçek kişi. |
Veri
İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak
onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Kişisel
Veri |
Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel
Nitelikli Veri |
Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri. |
Çalışan
/ Personel |
Şirket personeli |
Şirket |
Bello
Tekstil Sanayi ve Ticaret Ltd. Şti. |
Kişisel
Verilerin İşlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlemesi, açıklanması, aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel
Verilerin Silinmesi |
Kişisel
verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemi. |
Kişisel
Verilerin Yok Edilmesi |
Kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve
tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel
Verilerin Anonim Hale Getirilmesi |
Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi. |
Kişisel
Verilerin Saklanması |
Kişisel
verilerin fiziki ortamda veya dijital ortamda muhafaza edilmesi. |
Kişisel
Verilerin Paylaşılması |
Kişisel
verilerin hukuka uygun şekilde paylaşılması. |
Kişisel
Verilerin 3.Kişiye Aktarılması |
Kişisel
verilerin yurt içinde veya yurt dışında tüzel veya gerçek kişiye aktarılması. |
Veri
Kayıt Sistemi |
Kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemi. |
Veri
Güvenliği |
Verinin
izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden,
izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya
bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. |
VERBİS |
Veri
Sorumluları Sicil Bilgi Sistemi. |
İrtibat
Kişisi |
Türkiye’de
yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin
sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından
yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişi. |
Kayıt
Ortamı |
Tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu
her türlü ortam. |
Soft
Ortam |
Dijital ortam. |
Başvuru
Formu |
Kişisel veri sahibinin şirkete
başvuru durumunda dolduracağı matbu form. |
Özel
Vekaletname |
Bir
kimsenin başka bir kimseyi belirli işlerde kendi adına hareket edebilmesi
için yazılı olarak yetkilendirdiğine ait yazılı bir belgedir. |
Elektronik
Ortam |
Kişisel verilerin
elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği
ve yazılabildiği ortamlar. |
Elektronik
Olmayan Ortam |
Elektronik
ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Açık
Rıza |
Belirli bir konuya ilişkin,
bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi. |
İlgili
Kullanıcı |
Verilerin teknik olarak depolanması,
korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki
ve talimat doğrultusunda kişisel verileri işleyen gerçek kişilerdir. |
Periyodik
İmha |
Kanunda yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini. |
Alıcı
Grubu |
Veri
sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi. |
Kişisel
Veri İşleme Envanteri |
Veri
sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki
sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar
için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı
öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanter. |
Aydınlatma
Yükümlülüğü |
Kişisel verilerin elde
edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
|
Güncellenme Periyodu |
İşbu politikada yapılan
güncellemelere ilişkin tablo. |
1.4. Politikanın
Uygulanmasına İlişkin İlkeler
Şirketimiz tarafından kişisel verilerin
saklanması ve imhasında aşağıdaki ilkeler çerçevesinde hareket edilmektedir:
1.
Kişisel
veriler; Kanun’un 4. Maddesinde sayılan hukuka ve dürüstlük kurallarına uygun
olma, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için
işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme ilkeleri gözetilerek işlenir.
2.
Şirketimiz
Kanun’un 12. Maddesi uyarınca öngörülen Veri Güvenliğine ilişkin yükümlülükler
doğrultusunda hareket etmekte ve kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesinde politikanın 4.3.2. maddesinde belirtilen teknik ve
idari tedbirler, ilgili mevzuat hükümleri ve Kurul kararları nazara
alınmaktadır.
3.
Kişisel
verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan
tüm işlemler şirketimiz tarafından kayıt altına alınmakta ve söz konusu
kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 1 yıl
süreyle saklanmaktadır.
4.
Kurul
tarafından aksine bir karar alınmadıkça ya da mevzuatta (kanun ile ikincil
yönetmelikler) öngörülmedikçe, kişisel verileri re’sen silme, yok etme veya
anonim hale getirme yöntemlerinden uygun olanı Şirketimiz tarafından
seçilmektedir. Ancak ilgili kişinin talebi halinde; uygun yöntem gerekçesi
açıklanarak seçilecektir.
5.
Kanun’un
5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması halinde, kişisel veriler şirketimiz tarafından
re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya
anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından şirketimize
başvurulması halinde;
a.
İletilen
talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili
kişiye bilgi verilmektedir,
b.
Talebe
konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum
verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler
nezdinde gerekli işlemlerin yapılması temin edilmektedir.
2.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Bu
kapsamda Şirketimiz, Kurul tarafından yayımlanmış olan rehberlere uygun olarak
gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta
ve denetimleri yapmaktadır.
2.1. Veri
Güvenliğine İlişkin Yükümlülükler
Şirketimiz; kişisel verilerin hukuka
aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak
erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almaktadır.
3. KİŞİSEL VERİ
SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
Kişisel veri sahipleri aşağıda yer alan haklara
sahiptirler:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi
talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin
aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş
olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
3.1 Kişisel
Veri Sahiplerinin Haklarını Kullanması
Kişisel
Veri Sahipleri bu bölümün 3. Başlığı altında sıralanan haklarına ilişkin
taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda
belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği
diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Bello Tekstil Sanayi ve
Ticaret Ltd. Şti.’ne ücretsiz olarak
iletebileceklerdir:
(1) https://bellotekstil.com.tr/sayfa-kvkk-bilgi-edinme-basvuru-formu-9 adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının
bizzat elden veya noter aracılığı ile “Muratpaşa mah. Ata cad. Özden sok. no:3
Bayrampaşa/İstanbul” adresine iletilmesi
(2) www.bellotekstil.com.tr
adresinde bulunan formun doldurulup imazalandıktan sonra
soft ortamda mehmetilhan@bellotekstil.com adresine elektronik posta ile
gönderilmesi
Kişisel
veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri
sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
3.2
Şirketimizin İlgililerin Başvurularına Cevap Vermesi
Şirketimiz,
kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve Yönetmelik’e
uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri
almaktadır. Kişisel veri sahibinin, bu bölümün 3.1. başlıklı kısmında yer alan
usule uygun olarak talebini iletmesi durumunda şirketimiz talebin niteliğine
göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından
başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
4.KİŞİSEL
VERİLERİN SAKLANMASI VE İMHASI
4.1Kişisel Verilerin
Saklanmasına İlişkin Açıklamalar
Veri
sahiplerine ait kişisel veriler, şirketimiz tarafından özellikle (i) hukuki
yükümlülüklerin yerine getirilebilmesi, (ii) ticari faaliyetlerin
sürdürülebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması
ve ifası, (iv) kanunda açıkça öngörülmüş olması, (v) müşteri ilişkilerinin
yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda
güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde
saklanmaktadır.
Saklamayı
gerektiren sebepler aşağıdaki gibidir:
a.
Mevzuatta açıkça öngörülmesi,
b.
Kişisel verilerin işlenmesinin; fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
c.
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya
ilgili olması nedeniyle saklanması,
d.
Şirketimizin mevzuat tarafından ön görülen hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
e.
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
f.
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla
saklanmasının zorunlu olması.
g.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
h.
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek
kaydıyla şirketimizin meşru menfaatleri için saklanmasının zorunlu olması,
ı.
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri
açısından veri sahiplerinin açık rızasının bulunması.
4.1.1 Verilerin
Saklanmasını Gerektiren Hukuki Sebepler
- 6698
sayılı Kişisel Verilerin Korunması Kanunu,
- 6098
sayılı Türk Borçlar Kanunu,
- 657 sayılı
Devlet Memurları Kanunu,
- 5510
sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5018
sayılı Kamu Mali Yönetimi Kanunu,
- 6331
sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982
Sayılı Bilgi Edinme Kanunu,
- 3071
sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857
sayılı İş Kanunu,
- 2547
sayılı Yükseköğretim Kanunu,
- 5434
sayılı Emekli Sağlığı Kanunu,
- 2828
sayılı Sosyal Hizmetler Kanunu
- İşyeri
Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin
Yönetmelik,
- Arşiv
Hizmetleri Hakkında Yönetmelik
4.1.2.
Verilerin Saklanmasını Gerektiren İşleme Amaçları
Şirketimiz, faaliyetleri çerçevesinde
işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
- İnsan
kaynakları süreçlerini yürütmek.
·
Kurumsal iletişimi sağlamak.
·
Kurum güvenliğini sağlamak,
·
İstatistiksel çalışmalar yapabilmek.
·
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
·
VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri
sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit
etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde
güncellemek.
·
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak.
·
Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
·
Yasal raporlamalar yapmak.
·
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
4.2. Kişisel
Verilerin İmhasını Gerektiren Sebepler
Yönetmelik
uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, şirketimiz
tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
a.
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili
mevzuat hükümlerinin değiştirilmesi veya ilgası,
b.
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan
kalkması,
c.
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren
şartların ortadan kalkması.
d.
Kişisel verileri işlemenin sadece açık rıza şartına istinaden
gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e.
İlgili kişinin, Kanun’un 11. maddesinin2 (e) ve (f) bentlerindeki hakları
çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
f.
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok
edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu
reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen
süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu
talebin Kurul tarafından uygun bulunması,
g. Kişisel verilerin saklanmasını
gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
4.3.
Kişisel Verilerin Şirketimizce Saklanması ve İmha Usulleri
4.3.1 KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, şirketimiz
tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri
olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği
prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik
Olmayan Ortamlar |
Elektronik
Ortamlar |
Kağıt
(klasör, dosya v.b.) |
Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) |
4.3.2 TEKNİK VE İDARİ TEDBİRLER
Kişisel
verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak
işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha
edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde, şirketimiz
tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
a. İdari Tedbirler:
Şirketimiz
idari tedbirler kapsamında;
1.
Saklanan
kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli
personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel
nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
2.
İşlenen
kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi
hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
3.
Kişisel
verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı
kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin
çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile
veri güvenliğini sağlar.
4.
Kişisel
verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve
personeline kişisel verilerin korunması mevzuatı ve veri güvenliği
kapsamında gerekli eğitimleri verir. İşbu eğitimlerle şirket bünyesindeki
personellerin teknik bilgi/becerisi geliştirilmekte ve kişisel verilerin
işlenmesi/saklanması ve imhası prosedürlerinin, ilgili personeller tarafından
hukuka ve mevzuata uygun şekilde yürütülmesi sağlanmaktadır.
5.
Kendi
tüzel kişiliği nezdinde kanun hükümlerinin uygulanmasını ve kontrolünü sağlamak
amacıyla gerekli denetimleri periyodik olarak yapar ve yaptırır. Denetimler
sonucunda ortaya çıkan/çıkma ihtimali bulunan gizlilik ve güvenlik
zaafiyetlerini giderir.
6.
Kişisel
verilerin korunması ve veri güvenliğinin sağlanması amacıyla, şirket tarafından
yürütülen faaliyetlere ilişkin olarak çalışanlarla gizlilik sözleşmeleri
imzalar veya var ise mevcut sözleşmelere eklenen hükümler ile veri güvenliğini
sağlar.
7.
Kişisel
veri işlemeye başlamadan önce kişisel verileri işlenen ilgili kişilere bu
verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği,
kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vererek aydınlatma
yükümlülüğünü yerine getirir.
8.
Mevzuat
tarafından ön görülen istisnai haller dışında; kişisel verileri ilgilinin açık
rızası olmadan işlemeyeceğini ilgili kişilere taahhüt etmektedir. Açık rıza
alınması gerekli hallerde ise; ilgili kişinin belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızası alınarak söz
konusu yükümlülük yerine getirilir.
9.
Kanunda
ön görülen veya politikada belirtilen veri saklama süresinin dolması halinde;
şirket tarafından yapılacak ilk periyodik imha işleminde işbu kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesi süreci işletilir.
10.
Bilginin
çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul
önlemlerin alınması sağlanır.
b. Teknik Tedbirler:
Şirketimiz
teknik tedbirler kapsamında;
1.
Kurulan
sistemler kapsamında gerekli iç kontrolleri yapar.
2.
Bilişim
sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınır.
3.
Kurulan
sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki
analizinin gerçekleştirilmesi süreçlerini yürütür.
4.
Hukuka
aykırı veri işlemeye yönelik riskler belirler ve işbu risklere uygun teknik
tedbirler alır. Hukuka aykırı veri işlendiğinin tespiti halinde ise, ilgili
kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturur.
5.
Erişim
yetki ve rol dağılımları için prosedürler oluşturulur ve uygulanır. Yetki
matrisi uygulanır, erişimler kayıt altına alınarak uygunsuz erişimler kontrol
altında tutulur, saklama ve imha politikasına uygun imha süreçleri tanımlanır
ve uygulanır
6.
Düzenli
olarak ve ihtiyaç halinde sızma (penetrasyon) testi hizmeti satın alınarak;
bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya
çıkarılır ve gerekli önlemler alınır.
7.
Düzenli
olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem
zafiyetlerinin kontrolünü sağlar.
8.
Bilgi
teknolojileri birimlerinde çalışanların kişisel verilere erişim
yetkilerinin kontrol altında tutulmasını sağlar.
9.
Kişisel
verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak
şekilde sağlanır.
10.
Kanun’un
12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam,
bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut
kriptografik yöntemler ile korunur. Güvenlik açıkları takip edilerek uygun
güvenlik yamaları yüklenir.
11.
Kişisel
verilerin güvenli olarak saklanmasını sağlayan yedekleme programları
kullanılır.
12.
Belirlenen
kurallara göre güvenli işlem kayıtları (Log kaydı) tutulur.
13.
Belirlenen
kurallara göre işlem kayıtları (log kaydı) tutulur.
14.
Şirket
içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili
raporlama ve analiz çalışmaları yapılır.
15.
Kişisel
verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulur.
16.
Kişisel
verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılır.
17.
Elektronik
olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
18.
Çevresel
tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol
sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar
anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi,
iklimlendirme sistemi vb.) ve yazılımsal (Güvenlik duvarları, atak önleme
sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.)
önlemler alınır.
4.3.3 PERSONEL
Kişisel
veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve
görev tanımlarına işbu Politika’nın EK-1’nde yer alan listeden
ulaşabilirsiniz.
4.3.4 KİŞİSEL VERİLERİN İMHA USULLERİ
Şirketimiz
tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel
veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının
ortadan kalkması halinde şirketimiz tarafından re’sen yahut İlgili Kişinin
başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak
aşağıda belirtilen teknikler ile imha edilecektir.
4.3.4.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıda belirtilen yöntemlerle
silinir.
Veri Kayıt
Ortamı |
Açıklama |
Sunucularda
Yer Alan Kişisel Veriler |
Sunucularda
yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için
sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi
kaldırılarak silme işlemi yapılır. |
Elektronik
Ortamda Yer Alan Kişisel Veriler |
Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar)
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel
Ortamda Yer Alan Kişisel Veriler |
Fiziksel
ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler
için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır. |
Taşınabilir
Medyada Bulunan Kişisel Veriler |
Flash
tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını
gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve
erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla
güvenli ortamlarda saklanır. |
4.3.4.2 Kişisel Verilerin Yok Edilmesi
Kişisel
verileriniz, şirketimiz tarafından aşağıdaki yöntemlerle silinir.
Veri Kayıt Ortamı |
Açıklama |
Fiziksel
Ortamda Yer Alan Kişisel Veriler |
Kâğıt
ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik
/ Manyetik Medyada Yer Alan Kişisel Veriler |
Optik
medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenlerin eritilmesi, yakılması veya kırılması getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, sunucularda var olan
eski verilerin üzerine yeni veriler kaydedilmek suretiyle eski veriler
silinir. |
4.3.4.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim
hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun
tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
5.SAKLAMA VE
İMHA SÜRELERİ
Şirketimiz
tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen
kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda
sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
1.
Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre
öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi
akabinde veri hakkında 2. bent kapsamında işlem yapılır.
2.
Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta
öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin
saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda
sırasıyla;
- Kişisel
veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel
veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi
tutulur. Fiziki veya dijital ortamlarda mevcut bulunan ve özel nitelikte
olduğu tespit edilen tüm kişisel veriler veri sahibinin açık rızasının
bulunmadığı durumlarda imha edilir. Söz konusu verilerin imhasında
uygulanacak yöntem verinin niteliği ve saklanmasının şirketimiz
nezdindeki önem derecesine göre belirlenir.
- Verinin
saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu
örneğin; verinin saklanmasında Bello Tekstil Sanayi ve Ticaret Ltd. Şti.’nin
meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4.
maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen
veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin
saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan
istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit
edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması
gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi
halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Bello
Tekstil Sanayi ve Ticaret Ltd. Şti. tarafından
tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın
ekinde (Ek-2) yer alan ‘‘Saklama, İmha ve Periyodik İmha Sürelerine ilişkin
Tablo”’dan ulaşabilirsiniz.
Saklama
süresi dolan kişisel veriler, işbu Politika’nın ekinde (Ek-2) yer alan imha
süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen
usullere uygun olarak imha edilir. İmha edilen verilere ilişkin “Veri İmha
Tutanağı’na” Ek-4’den ulaşabilirsiniz.
Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan
bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki
yükümlülükler hariç olmak üzere en az ….yıl süreyle saklanır.
6. PERİYODİK
İMHA SÜRESİ
Şirketimiz tarafından, periyodik imha süresi 6 ay olarak
belirlenmiştir. Buna göre her yıl haziran
ve aralık aylarında imha gerçekleştirilir.
7. POLİTİKAMIZIN
YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik
ortamda olmak üzere iki farklı ortamda yayımlanır, şirketimizin internet
sayfasında açıklanır. Basılı kâğıt nüshası da şirketimizin genel merkezinin muhasebe
departmanında saklanır.
8. POLİTİKAMIZIN
GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça ve ilgililerden talep
olması durumunda gözden geçirilir ve gerekli olan bölümler güncellenir. Yapılan
güncellemeler 30 iş günü içerisinde şirketimizin “Muratpaşa mah. Ata cad. Özden
sok. no:3 Bayrampaşa/İstanbul” adresinde, basılı nüshası ise şirketimizin genel
merkezinin muhasebe departmanında ilan edilir.
9. POLİTİKAMIZIN
YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika şirketimiz tarafından düzenlenerek 01.02.2020
tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda,
Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda
güncellenecektir. Gerekliliğinde yapılabilecek güncellemelere ilişkin Güncelleme
Tablosu Ek-3’te yer almaktadır. KVKK ve ilgili diğer mevzuat hükümleri ile
işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili
diğer mevzuat hükümleri uygulanacaktır.