1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
İş bu Kişisel Veri Saklama Ve İmha Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Kanunun ikinci düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasıyla silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Saygı Tekstil San. Ve Tic. Ltd. Şti. tarafından hazırlanmıştır.
Şirket Personelleri, personel adayları, hizmet sağlayıcılar ve diğer 3. Kişilere ait kişisel veriler bu politika kapsamındadır.
2. TANIMLAR
Kısaltmalar ve tanımları aşağıda belirtilmiştir.
- Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
- İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
- İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
- Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Kayıt Ortamı
Kişisel verilerin elektronik aygıtlar ile okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar ile elektronik ortamların dışında kalan tüm yazılı, basılı, görsel v.b. diğer ortamlar.
- Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da her hangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, düzenlenmesi, açıklanması, aktarılması, sınıflandırılması ya da kullanımının engellenmesi gibi verilen üzerinde gerçekleştirilen her türlü işlem.
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
- Kişisel Verilerin Silinmesi
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
- Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.
- Özel Nitelikli Kişisel Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya inançları, kılık ve kıyafeti, dernek, vakıf ve ya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
- Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
- Veri Sahibi/İlgili Kişi
Kişisel verisi işlenen gerçek kişi.
- Veri Sorumlusu
Kişisel verilen işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi.
- Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
3. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ilişkin kişisel veriler, Saygı Tekstil tarafından ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla fiziki veya elektronik ortamlarda güvenli bir şekilde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler:
-
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan ilgili olması nedeniyle,
-
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla,
-
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Saygı Tekstil’in meşru menfaatleri için saklanmasının zorunlu olması,
-
Kişisel verilerin Saygı Tekstil’in her hangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla,
-
Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
-
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Saygı Tekstil tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
-
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
-
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
-
Kanunun 5. Ve 6. Maddesindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
-
Kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
-
İlgili kişinin, Kanunun 11. Maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
-
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi durumunda; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
-
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
4. SAKLAMA VE İMHA SÜRELERİ
Saygı Tekstil tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
-
Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre öngörülmüş ise bu süreye uyulur. Bu sürenin sona ermesi akabinde veri hakkında 2. Bent kapsamında işlem yapılır.
-
Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre öngörülmemiş ise sırasıyla aşağıda belirtilen işlemler yapılır;
a. Kişisel veriler, KVKK’nın 6. Maddesine göre kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırılır. Özel nitelikli kişisel veriler niteliklerine ve önem derecesine göre veri sorumlusu tarafından belirlenecek yöntemle imha edilir.
b. Saklanmasının KVKK’nın 4. Maddesinde yer alan ilkelere aykırılık teşkil edeceği tespit edilen kişisel veriler silinir, yok edilir veya anonim hale getirilir.
c. KVKK’nın 5. ve 6. Maddesine göre kişisel verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürenin sona ermesi halinde veriler silinir, yok edilir veya anonim hale getirilir.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHA USULLERİ
1. KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Saygı Tekstil tarafından aşağıda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuatta uygun olarak ve uluslararası veri güvenliği çerçevesinde güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar:
- Mikrokom GMS Bodro
- ETA
Fiziksel Ortamlar:
- Birim Dolapları
- Arşiv
2. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde, Saygı Tekstil tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.
İdari Tedbirler:
a. Saklanan kişisel verilere şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırılmıştır.
b. Kişisel veri işlemeye başlamadan önce Saygı Tekstil tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmiş ve ilgili kişilerden muvaffakatleri yazılı olarak alınmıştır.
c. Kişisel veri işleme envanteri hazırlanmıştır.
Teknik Tedbirler:
a. Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi politikası uygulanmaktadır.
b. Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
c. Çevresel tehditlere karşı bilişim sistemlerinin güvenliğinin sağlanması için, donanımsal (7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi v.b.) ve yazılımsal (güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler v.b.) önlemler alınmaktadır.
d. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
6. KİŞİSEL VERİLERİN İMHA USULLERİ
6.1. Kişisel Verilerin Silinmesi
- Elektronik Ortamda Yer Alan Kişisel Veriler : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
- Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için hiçbir şekilde erişilemez ve kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
6.2. Kişisel Verilerin Yok Edilmesi
- Fiziksel Ortamda Yer Alan Kişisel Veriler: : Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde ya da yakılarak geri döndürülemeyecek şekilde yok edilir.
6.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
7. Sorumluluk ve Görev Dağılımları
Aşağıda belirtilen sorumluluk ve görev dağılımları şu formatta belirtilmiştir; personel (görev): Sorumluluk metni
-
İşveren (Veri Sorumlusu): Kişisel Verilerin İşleme Amaçlarını ve ne şekilde işleneceğinin belirleyen veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir.
-
Avukat (Hukuk Departmanı - Kişisel Veri Saklama Ve İmha Politikası uygulama sorumlusu): Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
-
İnsan Kaynakları Sorumlusu (Kişisel veri saklama ve imha politikası uygulama sorumlusu): Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
-
Muhasebe Müdürü (Kişisel veri saklama ve imha politikası uygulama sorumlusu): Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
8. Saklama ve İmha Süreleri
Aşağıda belirtilen saklama ve imha süreleri şu formatta belirtilmiştir: süreç (saklama süresi): imha süresi
-
Sözleşmelerin Hazırlanması (10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
İşe Alım (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Bordrolama (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Çalışanlara Araç Tahsis Edilmesi (1 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
İş Sağlığı ve Güvenliği Uygulamaları (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Personel Takip Sistemi (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Ödeme İşlemleri (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Personel Finansman Süreçleri (İş ilişkisinin sona ermesine müteakip 10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Eğitim Kayıtlarının Dosyalanması (10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde
-
Personelle ilgili Mahkeme/İcra bilgi taleplerinin cevaplanması (10 yıl): Saklama süresinin bitimin takip eden 180 gün içerisinde