6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) UYARINCA KİŞİSEL VERİLERİN KORUNMASI HAKKINDA
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
1. AMAÇ
Türkiye’de kurulu Genmar Sanayi Ürünleri Pazarlama Anonim Şirketi (“Şirket”) 29677 Sayılı Kişisel Verilerin Korunması Kanunu’nu (“KVKK”) yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren olan mevzuat hükümlerine uyum sağlanması için çalışmaktadır.
KVKK’nın dayanağı olduğu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) 28 Ekim 2017 tarihinde yayınlanmıştır ve yürürlük tarihi 1 Ocak 2018 olarak belirlenmiştir.
İşbu Kişisel Veri Saklama ve İmha Politikasının (“Politika”) hazırlanma amacı, Şirket tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin KVKK ve Yönetmelik’e uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin politikanın belirlenmesidir.
2. KAPSAM
Bu Politika, Şirketimizin iş süreçleri esnasında temas edilen tüm çalışanlar, çalışan adayları, şirket yetkilileri, iş ortakları/çalışanları, tedarikçiler/çalışanları, müşteriler/çalışanları, ziyaretçiler iş birliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve bunlarla sınırlı olmamak üzere tüm üçüncü kişilere ait her türlü kişisel veriyi kapsamaktadır.
3. TANIMLAR
KISALTMA |
AÇIKLAMA
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Alıcı Grubu |
Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, |
Elektronik Ortam
|
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları, |
Elektronik Olmayan Ortam
|
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri |
Kişisel Veri İşleme Envanteri/ Envanter
|
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
KVKK |
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu
|
Veri İşleyen
|
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi.
|
Veri Sahibi/İlgili Kişi
|
Kişisel verisi işlenen gerçek kişi.
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
|
Kayıt Ortamı
|
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
|
Özel Nitelikli Kişisel Veri
|
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
|
Kişisel Verilerin İşlenmesi
|
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
|
Kişisel Verilerin Anonim Hale Getirilmesi
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
|
Kişisel Verilerin Silinmesi
|
Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
|
Kişisel Verilerin Yok Edilmesi
|
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
|
Periyodik İmha
|
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
|
Yönetmelik
|
28 Ekim 2017 tarihli 30224 sayılı Resmî Gazete ‘de yayımlanan ve 1 Ocak 2018 tarihi itibariyle yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
|
Şirket |
Genmar Sanayi Ürünleri Pazarlama Anonim Şirketi |
KVK Kurulu/ Kurul |
Kişisel Verileri Koruma Kurulu |
KVK Kurumu / Kurum |
Kişisel Verileri Koruma Kurumu |
Anlamına gelmektedir. Burada yer verilmeyen yahut anlamında ihtilafa düşülen tanımlara ilişkin olarak Kanun madde 3’te yer alan tanımlar geçerli olacaktır.
4.KAYIT ORTAMI
Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
ELEKTRONİK ORTAMLAR |
ELEKTRONİK OLMAYAN ORTAMLAR |
|
|
5. SORUMLULUK VE GÖREV DAĞILIMLARI
Kişisel veriler, Şirket tarafından aşağıda Tablo 1’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Saklama ve İmha Süreçleri Görev Dağılımı
UNVAN
|
BİRİM |
GÖREV
|
Genel Müdür |
Genel Müdürlük |
Çalışanların Politikaya uygun hareket etmesinden sorumludur.
|
İnsan Kaynakları Müdürü |
İnsan Kaynakları Departmanı |
Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden, Kurum ile gerekli yazışmaların gerçekleştirilmesinden, kişisel veri işleme envanterinin güncellenmesinden, VERBİS kaydının güncellenmesinden sorumludur.
|
Bilgi İşlem Uzmanı |
- |
Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
|
6. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLERE İLİŞKİN AÇIKLAMALAR
Şirketimiz, kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:
Şirketimiz, kişisel verileri, yukarıda bahsi geçen ilkelerle ve kanunun ilgili maddelerinde yer alan kişisel veri işleme şartlarıyla uyumlu şekilde, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklayıp işlemekte, söz konusu şartların tamamının ortadan kalkması halinde re ‘sen veya kişisel veri sahibinin talebi üzerine ancak her halükârda işleme amacı ortadan kalmışsa imha etmektedir.
6.1. Saklamayı Gerektiren Hukuki Nedenler
Şirket’in, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
6.2. Saklamayı Gerektiren İşleme Amaçları
6.3. İmhayı Gerektiren Hukuki Sebepler
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
7. KİŞİSEL VERİLERE İLİŞKİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Şirket; kişisel verilerin işlenmesinde dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda, KVKK ve ilgili mevzuat ile getirilen kurallara uygun olarak işlemekte ve İlgili Kişi’ye duyurulan amaçlar dışındaki amaçlarla kişisel veri işlememektedir. Bu uygunluğu temin etmek amacıyla teknolojik olanaklar ve maliyet durumlarına bakılarak gerekli teknik ve idari tedbirler alınmaktadır.
7.1. Teknik Tedbirler
7.2. İdari Tedbirler
8. KİŞİSEL VERİLERİN İMHA USULLERİ
Şirket kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. İlgili mevzuatlarda öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuatlara uygun olarak aşağıda belirtilen tekniklerle imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır.
8.1. Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
8.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
8.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir
9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler haricinde, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilmektedir.
Süreç |
Saklama Süresi |
İmha Süresi |
Sözleşmelerin hazırlanması |
Sözleşmenin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları ve Muhasebe Süreçlerinin Yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bordrolama |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.) |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel Finansman Süreçleri |
İş ilişkisinin sona ermesini müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takip Sistemleri |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi ve Toplantı Katılımcılarının Kaydı |
Etkinliğin sona ermesini takiben 2 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları |
6 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
10. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
11. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da …([AA1] ............) dosyasında saklanır.
12.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
13.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirket Verbis Sistemine kaydolduğunda yürürlüğe girer. Politika metni ve içeriğinde değişiklik olması durumunda, eski nüsha 5 yıl saklanmak üzere arşive kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.
[AA1]Şirket içerisinde saklayacak yetkili kişinin adı yazılacak.
Size daha iyi bir hizmet verebilmek için sitemizde çerezlere yer veriyoruz. Sitemizi kullandığınız sürece Gizlilik ve çerez politikamızı kabul etmektesiniz. Çerez Politikamız ve Aydınlatma metnimize ulaşmak için tıklayınız Kabul ediyorum