KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

BELLO TEKSTİL SANAYİ VE TİCARET LTD. ŞTİ.

KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

1. GİRİŞ

1.1. Politikanın Amacı

1.2. Politikanın Kapsamı

1.3. Tanımlar

1.4. Politikanın Uygulanmasına İlişkin İlkeler

2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1. Veri Güvenliğine İlişkin Yükümlülükler

3. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

3.1. Kişisel Veri Sahiplerinin Haklarını Kullanması

3.2. Şirketimizin İlgililerin Başvurularına Cevap Vermesi

4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

4.1. Kişisel Verilerin Saklanmasına İlişkin Açıklamalar

4.1.1. Verilerin Saklanmasını Gerektiren Hukuki Sebepler

4.1.2. Verilerin Saklanmasını Gerektiren İşleme Amaçları

4.2. Kişisel Verilerin İmhasını Gerektiren Sebepler

4.3. Kişisel Verilerin Şirketimizce Saklanması ve İmha Usulleri

4.3.1. Kayıt Ortamları

4.3.2. Teknik ve İdari Tedbirler

4.3.3. Personel

4.3.4. Kişisel Verilerin İmha Usulleri

4.3.4.1 Kişisel Verilerin Silinmesi

4.3.4.2 Kişisel Verilerin Yok Edilmesi

4.3.4.3 Kişisel Verilerin Anonim Hale Getirilmesi

5. SAKLAMA VE İMHA SÜRELERİ

6. PERİYODİK İMHA SÜRESİ

7. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

8. POLİTİKANIN GÜNCELLENME PERİYODU

9. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

GİRİŞ

1.1. Politikanın Amacı

Kişisel Veri Saklama ve İmha Politikamız (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca veri sorumlusu sıfatıyla Bello Tekstil Sanayi ve Ticaret Ltd. Şti. (“Şirket”) tarafından yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla hazırlanmıştır.

1.2. Politikamızın Kapsamı

Bu Politika; Şirketimiz çalışanları da dahil kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Şirketimiz tarafından kişisel verisi işlenecek ilgili kişilere yönelik gerçekleştirilen kişisel veri işleme faaliyetlerine ve politikaya ayrıca; https://bellotekstil.com.tr/sayfa-kisisel-verileri-saklama-ve-imha-politikasi-8adresimiz üzerinden ulaşabilirsiniz.

1.3. Tanımlar

TANIM	KISALTMA
Kanun/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kurul	Kişisel Verileri Koruma Kurulu
Politika	Kişisel Verilerin Saklama ve İmha Politikası
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Çalışan / Personel	Şirket personeli
Şirket	Bello Tekstil Sanayi ve Ticaret Ltd. Şti.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlemesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi	Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel Verilerin Saklanması	Kişisel verilerin fiziki ortamda veya dijital ortamda muhafaza edilmesi.
Kişisel Verilerin Paylaşılması	Kişisel verilerin hukuka uygun şekilde paylaşılması.
Kişisel Verilerin 3.Kişiye Aktarılması	Kişisel verilerin yurt içinde veya yurt dışında tüzel veya gerçek kişiye aktarılması.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Güvenliği	Verinin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi.
İrtibat Kişisi	Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişi.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Soft Ortam	Dijital ortam.
Başvuru Formu	Kişisel veri sahibinin şirkete başvuru durumunda dolduracağı matbu form.
Özel Vekaletname	Bir kimsenin başka bir kimseyi belirli işlerde kendi adına hareket edebilmesi için yazılı olarak yetkilendirdiğine ait yazılı bir belgedir.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek kişilerdir.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini.
Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Aydınlatma Yükümlülüğü	Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi vermek.
Güncellenme Periyodu	İşbu politikada yapılan güncellemelere ilişkin tablo.

1.4. Politikanın Uygulanmasına İlişkin İlkeler

Şirketimiz tarafından kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler çerçevesinde hareket edilmektedir:

1. Kişisel veriler; Kanun’un 4. Maddesinde sayılan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri gözetilerek işlenir.

2. Şirketimiz Kanun’un 12. Maddesi uyarınca öngörülen Veri Güvenliğine ilişkin yükümlülükler doğrultusunda hareket etmekte ve kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde politikanın 4.3.2. maddesinde belirtilen teknik ve idari tedbirler, ilgili mevzuat hükümleri ve Kurul kararları nazara alınmaktadır.

3. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler şirketimiz tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 1 yıl süreyle saklanmaktadır.

4. Kurul tarafından aksine bir karar alınmadıkça ya da mevzuatta (kanun ile ikincil yönetmelikler) öngörülmedikçe, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirketimiz tarafından seçilmektedir. Ancak ilgili kişinin talebi halinde; uygun yöntem gerekçesi açıklanarak seçilecektir.

5. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler şirketimiz tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından şirketimize başvurulması halinde;

a. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,

b. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Bu kapsamda Şirketimiz, Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta ve denetimleri yapmaktadır.

2.1. Veri Güvenliğine İlişkin Yükümlülükler

Şirketimiz; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

3. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

(1) Kişisel veri işlenip işlenmediğini öğrenme,

(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

3.1 Kişisel Veri Sahiplerinin Haklarını Kullanması

Kişisel Veri Sahipleri bu bölümün 3. Başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Bello Tekstil Sanayi ve Ticaret Ltd. Şti.’ne ücretsiz olarak iletebileceklerdir:

(1) https://bellotekstil.com.tr/sayfa-kvkk-bilgi-edinme-basvuru-formu-9 adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “Muratpaşa mah. Ata cad. Özden sok. no:3 Bayrampaşa/İstanbul” adresine iletilmesi

(2) www.bellotekstil.com.tr adresinde bulunan formun doldurulup imazalandıktan sonra soft ortamda mehmetilhan@bellotekstil.com adresine elektronik posta ile gönderilmesi

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

3.2 Şirketimizin İlgililerin Başvurularına Cevap Vermesi

Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve Yönetmelik’e uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, bu bölümün 3.1. başlıklı kısmında yer alan usule uygun olarak talebini iletmesi durumunda şirketimiz talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

4.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

4.1Kişisel Verilerin Saklanmasına İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, şirketimiz tarafından özellikle (i) hukuki yükümlülüklerin yerine getirilebilmesi, (ii) ticari faaliyetlerin sürdürülebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası, (iv) kanunda açıkça öngörülmüş olması, (v) müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

a. Mevzuatta açıkça öngörülmesi,

b. Kişisel verilerin işlenmesinin; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

d. Şirketimizin mevzuat tarafından ön görülen hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

f. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanmasının zorunlu olması.

g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

h. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin meşru menfaatleri için saklanmasının zorunlu olması,

ı. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

4.1.1 Verilerin Saklanmasını Gerektiren Hukuki Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
657 sayılı Devlet Memurları Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5018 sayılı Kamu Mali Yönetimi Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik

4.1.2. Verilerin Saklanmasını Gerektiren İşleme Amaçları

Şirketimiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

İnsan kaynakları süreçlerini yürütmek.

· Kurumsal iletişimi sağlamak.

· Kurum güvenliğini sağlamak,

· İstatistiksel çalışmalar yapabilmek.

· İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

· VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

· Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

· Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

· Yasal raporlamalar yapmak.

· İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

4.2. Kişisel Verilerin İmhasını Gerektiren Sebepler

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, şirketimiz tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

a. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

d. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

e. İlgili kişinin, Kanun’un 11. maddesinin2 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

4.3. Kişisel Verilerin Şirketimizce Saklanması ve İmha Usulleri

4.3.1 KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, şirketimiz tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik Olmayan Ortamlar	Elektronik Ortamlar
Kağıt (klasör, dosya v.b.) Manuel veri kayıt sistemleri (anket formları, aday başvuru formu …….) Yazılı, basılı, görsel ortamlar	Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, …….) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Çıkartılabilir bellekler (USB, Hafıza Kartı, vb.)

4.3.2 TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde, şirketimiz tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

a. İdari Tedbirler:

Şirketimiz idari tedbirler kapsamında;

1. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

3. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

4. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir. İşbu eğitimlerle şirket bünyesindeki personellerin teknik bilgi/becerisi geliştirilmekte ve kişisel verilerin işlenmesi/saklanması ve imhası prosedürlerinin, ilgili personeller tarafından hukuka ve mevzuata uygun şekilde yürütülmesi sağlanmaktadır.

5. Kendi tüzel kişiliği nezdinde kanun hükümlerinin uygulanmasını ve kontrolünü sağlamak amacıyla gerekli denetimleri periyodik olarak yapar ve yaptırır. Denetimler sonucunda ortaya çıkan/çıkma ihtimali bulunan gizlilik ve güvenlik zaafiyetlerini giderir.

6. Kişisel verilerin korunması ve veri güvenliğinin sağlanması amacıyla, şirket tarafından yürütülen faaliyetlere ilişkin olarak çalışanlarla gizlilik sözleşmeleri imzalar veya var ise mevcut sözleşmelere eklenen hükümler ile veri güvenliğini sağlar.

7. Kişisel veri işlemeye başlamadan önce kişisel verileri işlenen ilgili kişilere bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vererek aydınlatma yükümlülüğünü yerine getirir.

8. Mevzuat tarafından ön görülen istisnai haller dışında; kişisel verileri ilgilinin açık rızası olmadan işlemeyeceğini ilgili kişilere taahhüt etmektedir. Açık rıza alınması gerekli hallerde ise; ilgili kişinin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızası alınarak söz konusu yükümlülük yerine getirilir.

9. Kanunda ön görülen veya politikada belirtilen veri saklama süresinin dolması halinde; şirket tarafından yapılacak ilk periyodik imha işleminde işbu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreci işletilir.

10. Bilginin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul önlemlerin alınması sağlanır.

b. Teknik Tedbirler:

Şirketimiz teknik tedbirler kapsamında;

1. Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

2. Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınır.

3. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

4. Hukuka aykırı veri işlemeye yönelik riskler belirler ve işbu risklere uygun teknik tedbirler alır. Hukuka aykırı veri işlendiğinin tespiti halinde ise, ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturur.

5. Erişim yetki ve rol dağılımları için prosedürler oluşturulur ve uygulanır. Yetki matrisi uygulanır, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulur, saklama ve imha politikasına uygun imha süreçleri tanımlanır ve uygulanır

6. Düzenli olarak ve ihtiyaç halinde sızma (penetrasyon) testi hizmeti satın alınarak; bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılır ve gerekli önlemler alınır.

7. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

8. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.

9. Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.

10. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenir.

11. Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılır.

12. Belirlenen kurallara göre güvenli işlem kayıtları (Log kaydı) tutulur.

13. Belirlenen kurallara göre işlem kayıtları (log kaydı) tutulur.

14. Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılır.

15. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulur.

16. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.

17. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

18. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (Güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınır.

4.3.3 PERSONEL

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın EK-1’nde yer alan listeden ulaşabilirsiniz.

4.3.4 KİŞİSEL VERİLERİN İMHA USULLERİ

Şirketimiz tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

4.3.4.1 Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda belirtilen yöntemlerle silinir.

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

4.3.4.2 Kişisel Verilerin Yok Edilmesi

Kişisel verileriniz, şirketimiz tarafından aşağıdaki yöntemlerle silinir.

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya kırılması getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, sunucularda var olan eski verilerin üzerine yeni veriler kaydedilmek suretiyle eski veriler silinir.

4.3.4.3 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

5.SAKLAMA VE İMHA SÜRELERİ

Şirketimiz tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

1. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.

2. Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Fiziki veya dijital ortamlarda mevcut bulunan ve özel nitelikte olduğu tespit edilen tüm kişisel veriler veri sahibinin açık rızasının bulunmadığı durumlarda imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının şirketimiz nezdindeki önem derecesine göre belirlenir.
Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Bello Tekstil Sanayi ve Ticaret Ltd. Şti.’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Bello Tekstil Sanayi ve Ticaret Ltd. Şti. tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinde (Ek-2) yer alan ‘‘Saklama, İmha ve Periyodik İmha Sürelerine ilişkin Tablo”’dan ulaşabilirsiniz.

Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde (Ek-2) yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. İmha edilen verilere ilişkin “Veri İmha Tutanağı’na” Ek-4’den ulaşabilirsiniz.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az ….yıl süreyle saklanır.

6. PERİYODİK İMHA SÜRESİ

Şirketimiz tarafından, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre her yıl haziran ve aralık aylarında imha gerçekleştirilir.

7. POLİTİKAMIZIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, şirketimizin internet sayfasında açıklanır. Basılı kâğıt nüshası da şirketimizin genel merkezinin muhasebe departmanında saklanır.

8. POLİTİKAMIZIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça ve ilgililerden talep olması durumunda gözden geçirilir ve gerekli olan bölümler güncellenir. Yapılan güncellemeler 30 iş günü içerisinde şirketimizin “Muratpaşa mah. Ata cad. Özden sok. no:3 Bayrampaşa/İstanbul” adresinde, basılı nüshası ise şirketimizin genel merkezinin muhasebe departmanında ilan edilir.

9. POLİTİKAMIZIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika şirketimiz tarafından düzenlenerek 01.02.2020 tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Gerekliliğinde yapılabilecek güncellemelere ilişkin Güncelleme Tablosu Ek-3’te yer almaktadır. KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.