Kişisel Veri Saklama, İşleme ve İmha Prosedürü

17.12.2020

1.AMAÇ: Çalışanlarımızın görevlerini ifa ederken ellerine geçen ya da bilgileri dahiline giren tüm Kişisel Verileri (aşağıdaki tanımlara bakınız) gizli tutmalarını ve yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara uymalarını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.

2.KAPSAM: Bu prosedür kapsamını müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilerin otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri oluşturur. Çalışanlarının kişisel verilerinin korunması ve işlenmesine ilişkin hususlar ise Kişisel Veri Saklama, İşleme Ve İmha Prosedürü kapsamına ilişkin olarakuygulanır.

3.KISALTMA veTANIMLAR: Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler.
Müşteriler/ Müşteri Adayları: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Dalzemin tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler.
Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Üçüncü Kişiler: Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler.
VERBİS: Veri sorumluları (Dalzemin) veri sicil bilgi sistemi
Veri İrtibat Kişisi: Kişisel verileri koruma kurumu ile kurulacak iletişim için Dalzemin Yönetim Kurulu tarafından VERBİS’e kayıt esnasından bildirilen gerçek kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Ziyaretçiler: Dalzemin fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.

4.REFERANSDOKÜMANLAR: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması ve Kullanılması Aydınlatma Metni SZ-DALZEMİN-02 Gizlilik Sözleşmesi

5.UYGULAMADETAYLARI: KİŞİSEL VERİ SAKLAMA VE İŞLEMEFAALİYETLERİ

İş faaliyetleri sırasında çalışanlarımız, işbu prosedürde öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmektedir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

5.1.1Saklamaya İlişkinAçıklamalar KVKK’nın 3.(üçüncü) maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış 4.(dördüncü) maddesinde işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5 (beş) ve 6.(altıncı)  maddelerde ise “kişisel verilerin işleme şartları”sayılmıştır.

Buna göre, kişisel veriler, Dalzemin iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu prosedürün 5.8 maddesinde belirtilmiş olan sürelerde saklanır.

5.1.2Saklamayı Gerektiren HukukiSebepler Dalzemin, iş faaliyetleri çerçevesinde işlenen kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder. Bu kapsamda kişisel veriler;

- 6098 Sayılı Türk BorçlarKanunu
- 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6361 Sayılı İş Sağlığı ve Güvenliği Kanunu
- 6305 Sayılı Afet Sigortaları Kanunu
- 6102 Sayılı Ticaret Kanunu
- 4857 Sayılı İş Kanunu
- 2918 Sayılı Karayolları Trafik Kanunu
- 6502 Sayılı Tüketicinin Korunması Hakkında Kanun

İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkinYönetmelik

Bu kanunlar uyarınca, yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere; Dalzemin uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta veişlenmektedir.

5.1.3Saklamayı Gerektiren İşlemeAmaçları Kişisel veriler Dalzemin Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde detaylandırılmış bulunan ve aşağıda sıralanmış amaçlarla saklanmaktadır:

- Kurumsal iletişimisağlamak,
- Kurum güvenliğinisağlamak,
- İstatiksel çalışmalar yapabilmek,
- Reklam ve kampanya süreçlerininyürütülmesi,
- Satış ve pazarlama: Çalışanlar, müşteri ile ticari faaliyetlerin yürütülmesi kapsamında sipariş açma, fatura oluşturma, müşteri şikayetleri ve müşteri memnuniyeti süreçlerinde müşteriler hakkında Kişisel Verileri işbu prosedürde anılmış şartlarla toplayabilir, işleyebilir ve aktarabilirler.
- İnsan kaynakları süreçlerini yürütmek: Çalışanlar, iş başvuruları, Dalzeminçalışanlarının işe alınması, ücretleri, yan hakları ve bağlantılı konular, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, insan kaynakları süreçlerinin planlanması, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi gibi kişisel verileri mevcut yasalar çerçevesinde toplayabilir, işleyebilir veaktarabilirler.   - Tedarikçiler:Birlikteçalışılacak,hizmet alınacak herhangi bir şahıs şirketi olması durumunda yetkili gerçek kişinin verileri toplanabilir, işlenebilir ve aktarılabilir.

- Yetkili servis başvurusu ve yetkili servis sözleşmeleri kapsamında ilgili süreçlerinyürütülmesi,
- Dalzeminile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibatsağlamak,
- Yasal raporlamalar yapmak,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispatyükümlülüğü

5.1.4 İmhayı Gerektiren Sebepler Kişisel veriler;

- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veyailgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadankalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok  edilmesine ilişkin yaptığı başvurunun Dalzemintarafından kabuledilmesi,
- Dalzemin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygunbulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Dalzemintarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim halegetirilir.

5.2 KAYIT ORTAMLARI Kişisel veriler Dalzemin tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır.
Tablo 1: Kişisel veri saklama ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

1.Yazılımlar

(1)

Manuel veri kayıt ortamları

Server,

(a)

Formlar,

Netsis,

(b)

Belgeler

2.Güvenlik duvarı : Draytek Security Firewall

(c)

Ziyaretçi kayıt defteri

3.Antivirüs: AVG business

   

4.Kişisel bilgisayarlar

   

5.Cep telefonları

   

6.Tabletler

   

7.Optik diskler.

   

8.Kamera kayıt sistemleri

   

9.Ses kayıt sistemleri

   

10. Yazıcılar

   

11. Fotokopimakinaları

   

5.3 KİŞİSEL VERİ İŞLEMEKOŞULLARI Kişisel verilerin bu prosedüre ve Dalzemin Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’ne uygun olarak işlenebilmesi ve kullanılabilmesi için, Veri Kişisine işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi ve Veri Kişisinin açık rızasının alınması gerekir.

Bu amaçla çalışanlarımız tarafından, onaylanan formlar, sözleşmeler, açık rıza metinlerine göre çalışılmalıdır.

Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde Veri Kişisinden açık rıza alma şartı uygulanmamalıdır:

- Kişisel Verileri işlemenin, Veri Kişisinin de taraf olduğu bir sözleşmenin ifası ve uygulanması için ya da bir sözleşmeye girmeden önce Veri Kişisinin talebi üzerine gerekli adımları atmak için zorunlu olması halinde,
- Kişisel Verileri işlemenin bir kanuni yükümlülüğe uymak için zorunlu olmasıhalinde,
- KişiselVerileriişlemeninbirkamuotoritesininyadaresmimakamınyetkileridahilindekibirgörevinifası için gerekli olmasıhalinde,
- Kamuyaaçıkolangenelbilgilerin,yorumadayananbilgilerinve/veyaistatistikverivebilgilerininişlenmesi halinde.

5.3.1 Veri Sorumlusu Olarak Dalzemin AydınlatmaYükümlülüğü Veri Sorumlusu olarak işbu prosedürün 5.5 maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman Veri Kişisinden açık rıza alınması şartı bulunmasa dahi, Dalzemin her zaman Veri Kişilerine aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır:

- Veri Sorumlusunun ve varsa temsilcisininkimliği,
- Kişisel verilerin hangi amaçlaişleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçlaaktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukukisebebi,
- İşbu prosedürün 5.5. maddesinde sayılmış Veri Kişisinin diğerhakları.
Dalzemin, kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatmaktadır. Bu kapsamda web sitesinde Aydınlatma metni yayınlamıştır. Dalzemin zaman zaman iş süreçlerinin yürütülmesi, iletişim sağlanması amaçlarıyla tedarikçilerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda sözü edilen tedarikçiye karşı Dalzemin aydınlatma yükümlülüğünün yerine getirilmesini teminen ilgili Dalzemin yetkililerinin “Tedarikçi Açık Rıza Ve Aydınlatma Metni Sözleşmesi” göndermesi mümkündür.

5.3.2 Özel Nitelikli Kişisel Verilerin işlenmesinde UyulacakKurallar: İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve bu prosedür başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilendurumlarharicinde,ÖzelNitelikliKişiselVerilerişlenmedenöncebu verileriişlemekiçinilgilikişininaçık izin ve rızasını mutlaka ve daima almakgerekir.

5.3.3 Çalışanların ve Çalışan Adaylarının Kişisel Verilerinin İşlenmesinde UyulacakKurallar Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Dalzemin tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Dalzemin çalışanı bulunan kişilere “KVKK Personel Bilgilendirme ve Muvafakatname”nin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir.

Hali hazırda Dalzemin çalışanı durumunda bulunmayan, işe alım süreci olumlu şekilde tamamlanacak olan kişilere ilişkin kişisel verilerin işlenebilmesinin için, ilgili kişiye imzalatılacak olan iş sözleşmesine “İş Sözleşmesine Eklenecek Kişisel Veri Koruma Maddesi”nin eklenmesi ve iş sözleşmesinin bu haliyle imzalanması suretiyle aydınlatma yükümlülüğünün yerine getirilmesi mümkündür.

5.3.4 Müşterilere Ait Kişisel Verilerin Pazarlama Amaçlarıyla İşlenmesi ve Kullanılmasında Uyulacak Esaslar Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce Veri kişisi müşterinin açık rızasının alınmış olması gerekir. Bunun haricinde Veri Kişilerine ticari iletişim kurulması rızasından vazgeçme imkanlarının hem alınacak rıza sırasında hem de her iletişimde sağlanması gerekir.

5.3.5 Görevi Gereği Kişisel Veri İşleyen Çalışanların Özel Olarak Dikkat Etmesi Beklenen Hususlar Görevlerinin bir gereği olarak ve görevleri esnasında, Dalzemin adına Kişisel Verileri işlerken, çalışanlarımızın işbu prosedürde yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:

- Kişisel Verilerin Veri Koruma Mevzuatı’na uygun bir şekilde, meşru yollarla ve adil bir biçimde işlenmesi gerekir.
- Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesigerekir.
 * Veri Kişisine açıklamayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve saklanmaması gereklidir.
 * KişiselVerilerinişlenmeamacıiçinyeterliolması,buamaçlailişkilivebağlantılıolmasıveişlenmeamacına kıyasla aşırı miktarda veya sayıda olmamasıgerekir.
- Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesigerekir.
- Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmamasıgerekir.

5.3.6 Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar Görevlerinin bir gereği olarak ve görevleri esnasında Dalzemin adında Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu prosedürün diğer maddeleri ve 5.3.6. maddede sözü edilen hususları gözetmelerinin yanı sıra KVKK mevzuatı uyarınca Gizlilik Sözleşmesi’ni imzalamalarıgerekmektedir.

5.3.7 Kişisel Verilerin Transferi ve Devri Gerçekleştirirken Uyulması Gereken Kurallar Çalışanlarımız, bu prosedürde belirlenen koşullar haricinde herhangi bir üçüncü kişiye veri transfer etmeyeceklerdir.

5.4 TEKNİK VE İDARİTED BİRLER Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu’nu uyarınca yeterli önlemler çerçevesinde olmak üzere Dalzemin tarafından teknik ve idari tedbirler alınmaktadır.

5.4.1 Teknik Tedbirler Dalzemin tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır:

- Ağ güvenliği ve uygulama güvenliğisağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağkullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemlerialınmaktadır.
- Erişim logları düzenli olaraktutulmaktadır.
- Güncel antivirüs sistemlerikullanılmaktadır.
- Güvenlik duvarlarıkullanılmaktadır.
- Kullanıcıhesapyönetimiveyetkikontrolsistemiuygulanmaktaolupbunlarıntakibideyapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekildetutulmaktadır.
- Mevcut risk ve tehditlerbelirlenmiştir.
- Saldırı tespit ve önleme sistemlerikullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulaması sürekli takipedilmektedir.
- Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerekaktarılmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığısağlanmaktadır.
- Veri kaybı önleme yazılımlarıkullanılmaktadır.

5.4.2 İdari Tedbirler Dalzemin tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:

- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemelerimevcuttur.
 * Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisioluşturulmuştur.
- Gizlilik taahhütnameleriyapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerikaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleriiçermektedir.
- Kişisel veri güvenliği politika ve prosedürleribelirlenmiştir.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşıgüvenliğisağlanmaktadır.
- Kişisel veri içeren ortamların güvenliğisağlanmaktadır.
- Kişisel veriler mümkün olduğuncaazaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği desağlanmaktadır.
- Kurum içi periyodik ve / veya rastgele denetimler yapılmakta veyaptırılmaktadır.
- Mevcut risk ve tehditlerbelirlenmiştir.
- Özelniteliklikişiselverigüvenliğineyönelikprotokolveprosedürlerbelirlenmişveuygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarakgönderilmektedir.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığısağlanmaktadır.

5.5 VERİ KİŞİLERİNİN HAKLARI Dalzemin tarafından kişisel verileri işlenmekte olan veri süjeleri Dalzemin’e başvurarak kendisi ile ilgili;

- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talepetme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığınıöğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesiniisteme,
- Veri Koruma Mevzuatı’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel veri ile ilgili yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesiniisteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itirazetme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, Veri Kişisi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir.

5.6 GÜVENLİK KOŞULLARI Dalzemin çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar;

- Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutmak.
- Uygunsa, şifre korumalı elektronik dosyalarıkullanmak.
- Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.
- KişiselVerilereyetkisizerişimveyaKişiselVerilerinusulsüzkullanımıgibiolayvedurumlardanhaberdarolduğunda bunları derhal âmirinebildirmek.
- Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili Veri Kişisinden açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerinegetirmek.

Kişisel Verileri korumak için alınan güvenlik tedbirleri periyodik olarak denetlenmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir.

5.7 KİŞİSEL VERİLERİ İMHATEKNİKLERİ İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Dalzemintarafındanre‘sen(periyodikimhasüreleri)veyailgilikişininbaşvurusuüzerineyineilgilimevzuathükümlerine uygun olarak aşağıda belirtilen tekniklerle imhaedilir.

Kişisel Verilerin Silinmesi Kişisel veriler Tablo-2’de verilen yöntemlerle silinir.
Tablo 2: Kişisel Verilerin Silinmesi
 

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişimyetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.


Kişisel Verilerin Yok Edilmesi Tablo 3 : Kişisel Verilerin Yok edilmesi

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdangeçirilerekyüksekdeğerdemanyetikalanamaruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.


Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

5.8 VERİ TÜRLERİNE GÖRE SAKLANMA VE İMHASÜRELERİ Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, departman yöneticileri sorumludur.

Departman yöneticilerinin takibinden sorumlu olduğu Dalzemin periyodik imha süresi 1 yıl olarak belirlenmiştir. Departman yöneticileri bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir.

Tablo 4: Kişisel veri saklama ve imha süreleri
 

VERİ TÜRÜ

MUHAFAZA SÜRESİ

İMHA SÜRESİ

E-postalar ve şirket içi yazışmalar

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sözleşmeler

Sözleşmenin sona ermesini takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Müşteri Kayıtları

Müşteri ile girilen son etkileşimi takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Çalışan Kayıtları

Çalıştıkları süre boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Eski Çalışan Kayıtları

İşten ayrılmalarını takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Çalışan Adaylarına İlişkin Kayıtlar

Başvuruyu takip eden 2 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Muhasebe ve Finans Kayıtları

5 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Şirket İçi Şikayetler ve İlgili Belgeler

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Hukuk Kayıtları

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Resmi Yazışmalar

Süresiz

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Satınalma Kayıtları

İş ilişkisinin sona erme tarihinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Yetkili Servis Kayıtları

İş ilişkisinin sona erme tarihinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Vergi Kayıtları

5 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kamera Kayıtları

10 gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Ziyaretçi Kayıtları

120 gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde



Lütfen telefonunuzu dik konuma getiriniz.

Tüm Çerezleri Kabul Et

Kişisel verilerin korunma ve işlenme politikası web sitemizde yer almaktadır. Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız.
Detaylar için veri politikamızı inceleyebilirsiniz.

Gönderiliyor...

HIZLI TEKLİF AL

Lütfen aşağıda istenilen bilgileri doğru ve eksiksiz bir şekilde girip gönderiniz.