RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş.

  KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

 

GİRİŞ

1. Tanımlar

2. Amaç

3. Risk değerlendirmesi

4. Uygulama alanı

5. Veri koruma ilkeleri

6. Veri aktarımı

7. İlgili kişinin hakları

8. Veri Sorumlusuna Başvuru

9-Veri Sorumlusunun Rolü ve Sorumlulukları

10. Bilgi güvenliği organizasyonu

11. Bildirim Yükümlülüğü

12. İmha Politikası

 

Ek 1 - Üçüncü şahıslarla veri koruma sözleşmeleri

Ek 2 - Veri koruma ihlallerine ilişkin yükümlülüklerin bildirilmesi

Ek 3 - Kişisel veri saklama süreleri

 

GİRİŞ

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. kişisel verilerin işlenmesinde yüksek düzeyde koruma sağlamayı taahhüt eder.

Kişisel verilerin korunması politikamız, müşterilerin, işçilerin, tedarikçilerin, taşeronların kişisel verilerinin korunduğu sürdürülebilir ve yenilikçi bir politikadır.  

Kişisel verilerin gizliliği / korunması konusundaki mevcut mevzuatın temel ilkeleri gözden geçirilmiş ve politikamız mevzuatla da uyarlı bir şekilde hazırlanmıştır. Politikayı mevzuata uygun olarak hazırlarken sektörde verdiğimiz hizmetler de göz önünde bulundurulmuştur. 

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. tarafından desteklenen ve sunulan hizmetler ve faaliyetler referans alınarak analiz edilmiştir. Kişisel verilerin korunması konusunda kendi alanımız dışında verilerinizi en yüksek düzeyde koruyan şirketlerin arasında olmaktan gurur duyacağımızı ifade etmek isteriz. 

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI 6698 sayılı yasaca düzenlenmesi zorunlu olan bir disiplin olup, politikayı hazırlarken aşağıda yer alan mevzuattan yararlandığımızı belirtmek isteriz: 

- GDPR (Genel Veri Koruma Yönetmeliği) olarak bilinen 2016/679 sayılı AB Tüzüğü

- 6698 sayılı Kişisel Verilerin Korunması Yasası

-Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik

-Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

-Veri Sorumluları Sicili Hakkında Yönetmelik

-Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

-Kurul Kararları

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. POLİTİKA’nın herkes tarafından erişilebilir, anlaşılabilir, okunabilir olmasını sağlar. (Müşteriler / tedarikçiler / ortak çalışanlar).

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. şirket profilinde tanımlı kurumsal değerlerle uyumlu ve gelecekte de akredite kriterlerini tutturabilecek bir sistem kurar. 

Bu Politikaya dayanarak, Yönetim bir sistemin geliştirilmesini stratejik bir seçenek olarak kabul eder.

Şirketimiz sektörde faaliyet göstermek, geçerli bir sözleşme ilişkisi kurmak, kamu kurum ve kuruluşları tarafından bildirilmesi zorunlu durumlar için müşterilerinin ve işçilerinin kişisel ve özel nitelikli kişisel verilerini toplamaktadır. 

1.TANIMLAR

Bu Politikaya göre, koyu olarak vurgulanan aşağıdaki terimler aşağıdaki anlama gelir:

AÇIK RIZA, belli bir konuya ilişkin, bilgilendirmeye dayanan, özgür iradeyle açıklanan rızayı,

ANONİM HALE GETİRME, kişisel verilerin, başka verilerle eşleştirerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

İLGİLİ KİŞİ, Kişisel verisi işlenen gerçek kişiyi,

KİŞİSEL VERİ, Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi,

KİŞİSEL VERİLERİN İŞLENMESİ, kişisel verilerin tamamen veya kısmen otomatik olan veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

KURUL, Kişisel Verilerin Korunması Kurulu’nu,

KURUM, Kişisel Verilerin Korunması Kurumu’nu,

VERİ İŞLEYEN, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ve tüzel kişiyi,

VERİ KAYIT SİSTEMİ, Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

VERİ SORUMLUSU, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi,

İfade eder.

2. AMAÇ

Kişisel verilerin işlenmesi, RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. şirketinin 6698 sayılı yasa kapsamına giren şirket olması dolayısı ile sorumluluğunun bir parçasıdır.

Bu Politikanın amacı veri korumasını sağlamak ve koruma ile ilgili riskleri en aza indirmektir.

3. RİSK DEĞERLENDİRMESİ

Veri korumayla ilgili ihlallerin ciddi yasal sonuçları olabilir ve kişisel verilerin yüksek düzeyde korunması şirketlerimize, müşterilere, çalışanlara veya ilgili taraflara ekonomik faydalar. 

Kişisel verilerinizin korunması şirketimizin imajı için de çok önemli olması nedeni ile Kişisel Verilerin Korunması Kurumu tarafından yayımlanan “Veri Sorumlusunun Alması Gereken Teknik ve İdari Tedbirler ile KVKK kapsamında düzenlenen yükümlülükler tarafımızca yerine getirilmektedir.

Kişisel verilerinizin güvenli bir datada saklanması, gerektiğinde maskelenmesi, imha koşulları oluştuğunda imhası, sadece veri işleyenler tarafından işlenmesi, güvenli fiziki ya da dijital ortamlarda tutulması gibi tedbirler riskleri azaltmak üzere alınmıştır. 

Bu Politikanın uygulanması, veri korumayla ilgili riskleri en aza indirir.

4. UYGULAMA ALANI

Bu Politika, kişisel verilerin, özellikle veri sorumlusu tarafından atanan veri işleyenler  tarafından işlenmesini kapsar.

Politika; müşterileri, çalışanları, tedarikçileri, taşeronları kapsar.

5. VERİ KORUMA İLKELERİ

Kişisel veriler yasal olarak ve gizlilik haklarını koruyacak şekilde işlenmelidir.

Bu amaçla, aşağıdaki veri koruma ilkelerine uyulmalıdır.

5.1 Hukuka ve dürüstlük kurallarına uygun olarak işleme:

Bu temel ilke, veri işleme süreçlerinde belirliliğin sağlanmasını beraberinde getirir.

5.2 Oransallık :

Kişisel verilerin işlenmesinde orantılılık ilkesi gözetilmelidir. Kişisel verileriniz işlenirken amaçla orantılı şekilde işlenmelidir.

5.3 Şeffaflık:

Prensip olarak, ilgili kişinin verilerine talep ettiği anda ulaşabilmeli, veri sorumlusu tarafından da yeterli şekilde bilgilendirilmelidir.

5.4 Veri ekonomisi ve "bilmenin gerekliliği":

Kişisel veriler, belirlenen amaçlara ulaşmak için gereken ölçüde işlenmelidir. Verileri işleme hedefine de makul bir veri talebi ile ulaşılmalıdır. Prensip olarak, kişisel veriler önceden toplanamaz ve potansiyel yöntemler ya da durumlar için saklanamaz. 

Kanuni düzenlemelerin, sözleşme ilişkilerinin yönetilmesi ile kamu kurum ve kuruluşlarının talebi ile kişisel verileriniz amaçla orantılı olarak işlenir. 

İmha koşulları oluştuğunda verileriniz silinecektir. 

Kişisel bilgilere erişim, "bilme gereği ilkesi" temelinde sağlanır. 

Bu ilke, insanların kesintisiz ve kişisel bilgilere bağlı olarak kişisel verilere erişebilecekleri anlamına gelir.

5.5 Veri kalitesi:

Kişisel veriler, objektif olarak düzeltilecek şekilde toplanmalı ve işlenmelidir.

Yanlış veya eksik verilerin doğru, güncel ve entegre olduğundan emin olmak için yeterli önlemler alınmalıdır.

5.6 İşlemin gizliliği:

Kişisel veriler yetkisiz kişilerin erişiminden korunmalıdır. Kişisel verilerin yetkisiz kişiler tarafından işlenmesi yasaktır. Yetkili olarak görevlendirilen kişilerin, veri işleme faaliyetini ya da erişimini yetkilendirilmemiş kişilere devri de yasaktır ve bu konuda politikada ve gizlilik sözleşmelerinde düzenlenen hassasiyet gösterilir. 

6. VERİ AKTARIMI

Kişisel veriler sadece kişisel verinin işlenme amacı ile ilgili olarak taşeronlara, tedarikçilere ve sözleşme ilişkisi içinde olduğu diğer firmalara aktarılabilir. Aktarma şartları aydınlatma metninde ayrıca düzenlenmiştir. 

Aktarma sadece işlemin amacı ve niteliği ile ölçülü olarak ve veri sorumlusunun yetkisi ile yapılmaktadır. 

Veri paylaşımı ise sadece ilgili kişinin açık rızası alınmak sureti ile yapılır. İlgili kişinin verisi kendisi dışında yakınları dahil kimse ile paylaşılamaz. 

İlgili kişinin kendisi dışında verilerinin 3. Kişi tarafından edinilmesini istiyor ise sadece noter kanalı ile düzenlenmiş ve özel yetki içerir geçerli bir yetki belgesi ile 3. kişinin başvurusu kabul edilecektir. 

İlgili kişinin ölmesi durumunda, kişisel verileri; ancak mahkeme kanalı ile ilgili kişinin mirasçıları ile paylaşılacaktır.

7. İLGİLİ KİŞİNİNNİN HAKLARI

Kişisel verilerin işlenmesi durumunda, ilgili taraflar bu konuda bilgi edinme fırsatına sahip olmalıdır.

KVKK m. 11 ilgili kişinin haklarını saymıştır. Buna göre;

7.1. Kişisel veri işlenip işlenmediğini öğrenme,

7.2.Kişisel verileri işlenmiş ise buna ilişkin veri talep etme,

7.3.Kişisel verilerin işlenme amacını ve bu amaca uygun olarak kullanılıp kullanılmadığını öğrenme,

7.4.Yurtiçinde ve yurtdışında kişisel verilerinin aktarıldığı 3. Kişileri bilme,

7.5.Kişisel verilerin eksik ve hatalı olarak işlenmesi halinde düzeltilmesini talep etme,

7.6.Kişisel verilerin işleme süresi doldu ise silinmesini ve yok edilmesini isteme,

7.7. Kişisel verilerinin hukuka aykırı olarak işlenmesi dolayısı ile zarar gördüğü hallerde zararın giderilmesini isteme hakları vardır. 

8. VERİ SORUMLUSUNA BAŞVURU

İlgili kişi KVKK hükümlerinin uygulanması için taleplerini önce veri sorumlusuna iletecektir. İlgili kişi bu başvuruyu yazılı olarak yapabileceği gibi, kayıtlı e-posta adresi, e-imza, m-imza, veri sorumlusuna önceden bildirilmiş ve onda kayıtlı bulunan e-posta adresi ya da başvuruya yönelik geliştirilmiş yazılım uygulama aracılığı ile gerçekleştirilebilir. 

Veri sorumlusu’nun başvuruya cevabını öğrendiği tarihten itibaren 30 gün ve herhalde 60 gün içinde Kurul’a şikayet başvurusunda bulunulabilir. Başvuru formu için tıklayınız. 

9. VERİ SORUMLUSUNUN ROLÜ VE SORUMLULUKLARI

Veri sorumlusu kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişilmesini önlemek ve muhafazasını sağlamak zorundadır. 

Verilerin başka bir gerçek / tüzel kişi tarafından işlenmesi durumunda müştereken ve müteselsilen sorumluluk söz konusudur. 

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. kişisel verilerin korunması için gerekli tüm idari ve teknik tedbirleri alır ve gereken denetimleri zamanında yaptırır. 

Kişisel verilerin korunması konusunda tüm idari ve teknik tedbirler alınmasına rağmen verilerin başkaları tarafından elde edilmesi halinde veri sorumlusu durumu en kısa sürede Kişisel Verilerin Korunması Kurulu’na bildirir.  

RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş.’nin veri işleme açısında iki makro alan vardır:

1.Veri Sorumlusunun rolüyle ilgili çalışanların, tedarikçilerin ve müşterilerin verilerinin işlenmesi,

2- Araç otomozisasyon verileri, mobilveri.

KİŞİSEL VERİ YETKİ MATRİSİ

 

KİŞİSEL VERİ SORUMLUSU ŞİRKET YÖNETİM KURULU BAŞKANI Şirket içinde KVKK uygulanmasını sağlamak)

 

KİŞİSEL VERİ İRTİBAT KİŞİSİ -KVKK ile ilişkileri sağlamak, -Personelin eğitim ve farkındalığını sağlamak, -kişisel verilerin hukuka uygun kaydını sağlamak ve denetlemek, -İdari denetimler yapmak/ yaptırmak, -teknik denetimler yapmak/ yaptırmak

 

KİŞİSEL VERİ İŞLEYENLER -Kişisel verileri üstlerinin talimatları ve usul ve yasaya uygun işlemek -Kişisel verileri yetkisiz kişilerle paylaşmamak, -Üstlerinin uygun gördüğü eğitimlere katılmak, -Sistem ve işleyişteki aksaklıkları vakit geçirmeksizin üstlerine bildirmek.

10. BİLGİ GÜVENLİĞİ ORGANİZASYONU

Özellikle teknik ve kurumsal önlemlere atıfta bulunarak, KVKK, yönetmelikler ve uluslar arası düzenlemeler baz alınarak hazırlanan politikamız her daim kişisel verilerinizin en yüksek düzeyde korunması için çaba harcamaktır. Bu nedenle Şirketimiz ve alt şirketler bünyesinde kişisel verilerinizin korunması için bilgi güvenliği organizasyonu yapılmıştır. Organizasyon şeması şu şekildedir:

11. BİLDİRİM YÜKÜMLÜLÜĞÜ

Kişisel verilerin burada tanımlanan ilkelere aykırı olarak işlenmesi durumunda RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş. gerekli idari ve teknik tedbirleri alır ve kurula aykırılık olması durumunu en kısa zamanda bildirir. Bu durum bir rapora bağlanır ve gerekli idari / teknik tedbirlerin alındığı hususu da raporda belirtilir ve hangi tedbirlerin alındığı listelenir. 

 

12. KİŞİSEL VERİLERİN İMHA POLİTİKASI

 

 

                             KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

 

 

6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Kapsamında kişisel verisini işlediğimiz veri sahiplerinin verilerinin ne kadar süre sistemimizde tutulduğunu ve imha koşulları, süreleri hakkında bilgilendirmek isteriz. Veri sorumlusu olarak RENAR TURİZM OTOMATİV İNŞAAT RENT A CAR SANAYİ VE TİC. A.Ş’nde söz konusu saklama ve imha politikası uygulanacaktır.

 

Tanımlar

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Veri İşleyen: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul:Kişisel Verileri Koruma Kurulu.

Periyodik İmha:Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Kişisel Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

 

İlkeler

 Öncelikle şirket olarak gereklere uygun bir veri saklama yöntemi ve aracı kullandığımızı belirtmek isteriz.

*  6698 sayılı yasaya ve yönetmeliklere ve 108+ sözleşmesine ve Kişisel Verilerin Korunması Kurulu Kararlarına aykırı bir imha politikası benimsenmemiştir.  

*Öncelikli olarak yetkisiz erişim, değiştirme veya yayımlama yanında kazara veya yetkisiz tahribe karşı otomatik veri dosyalarında yer alan kişisel verilerin korunması için uygun güvenlik önlemleri alınmıştır.

*Hem kazara kayıp veya tahrip gibi doğal tehlikelere karşı, hem de yetkisiz erişim, verilerin dolandırıcılık amacıyla kötüye kullanımı gibi insan kaynaklı tehlikelere ya da bilgisayar virüslerinin bulaşmasına karşı dosyaları koruyacak uygun önlemler alınmıştır.

*Kişisel verilerin korunması politikamız ve aydınlatma metninde belirttiğimiz alanlarda topladığımız kişisel verileriniz güvenli alanda kayıt altına alınmakta, saklanmakta ve hukuki yükümlülükler gereği saklama faaliyetimiz hariç en az 3 yıl saklanmaktadır.

*6698 sayılı Kanun ve Yönetmelik tarafımıza kişisel verilerin imha yöntemi sürecini seçme ve yönetme hakkı tanımıştır. Kişisel verinin türüne göre veri sorumlusu imha yöntemini kendisi belirleyecektir. İlgili kişinin talebi olması durumunda ise uygun yöntem gerekçe açıklayarak seçilecektir. Veri sorumlusu veriyi imha etmeden önce ilgili kişinin kayıtlı e-posta adresine ya da kayıtlı adresine bildirim yapacak ve verinin hangi yöntemle imha edileceği bilgisini verecektir.

*Kişisel veriler imha edilirken de bu süreçte gerekli idari ve teknik tedbirler alınacaktır. İmha edildikten sonra kayıt altına alınacak ve güvenli bir ortamda en az 3 yıl saklanacaktır. Hukuki yükümlülükler dolayısı ile tutulacak süre hükümleri saklıdır.

*Şirketimizde aktif olmayan müşteri, çalışan adayı, çalışan, taşeron ve tedarikçi verileri kanunda tutulma süreleri hariç olmak üzere derhal imha edilecek ve imha edildiğine dair bilgi ile imha yöntemi ilgili kişiye uygun yöntemle bildirilecektir.

* Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

*İlgili kişi de şirketten verilerinin silinmesini talep edebilecektir. Bu durumda şirket en geç 30 gün içerisinde başvuruya yanıt verir ve verilerin aktarıldığı gruplar da başvuru hakkında bilgilendirilecek ve silme şartları oluştu ise veri silinecektir. Silinme şartları oluşmayan kişisel verilerin neden silinmediği gerekçeli olarak ilgili kişiye yanıt verilecek; ne zaman silineceği bilgisi de bildirilecektir.

 

 

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

 

İlgili kişinin kişisel verileri,

 

1. Sözleşme ilişkilerinin kurulması ve yürütülmesi,
2. Yetkili kamu kurum ve kuruluşlarının talebi,
3. İşçi, işveren ilişkilerinin yönetilmesi, iş sağlığı ve güvenliğinin korunması, işçinin performans değerlendirilmesi, iş sözleşmelerinin kurulması,
4. İşyerinin ve çalışanların güvenliğinin sağlanması,
5. Tedarik ve taşeron sözleşmelerinin kurulması ve sürdürülmesi,
6. Pazarlama ve reklam faaliyetlerinin yürütülmesi,
7. Dava süreçlerinin yürütülmesi, nedenleri ile

 

İşlenmekte ve saklanmaktadır. Saklama faaliyeti kanundan doğan saklama zorunlulukları için öngörülen süreden fazla değildir.
 

            Bu amaçla;

 

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

 

Hususlarına dikkat edilmektedir.

 

Verileriniz ;

 

*Saklama süresi doldu ise ya da mevzuattan dolayı saklama koşullarında değişiklik nedeni ile zorunluluk ortadan kalktı ise,

* İşleme amacının ortadan kalkması,

* Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

*İlgili kişinin açık rızası ile işlenen kişisel verilerde ilgili kişinin açık rızasını geri alması,

 *İlgili kişinin KVKK m.11 kapsamında yaptığı başvurunun kabulü,

 *Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve Kurul tavsiyesi ile,

*Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması halinde silinir ve imha edilir.

 

Saklama ve İmha Süreleri

 

Saklama ve imha süreleri belirlenirken Şirket 6698 sayılı yasa ve Yönetmelik kapsamında aşağıda yer alan kriterleri değerlendirir:

 

*İlgili sektörde genel teamül gereği kabul edilen süre,

*İşlemeyi gerekli kılan ve ilgili kişi ile tesis edilen hukuki ilişkinin devam edeceği süre,

*Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

*Saklamanın yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

*Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

*Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

*Kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

 

Saklama süresi ortadan kalkan kişisel veriler, imha süreleri göz önünde bulundurularak 6  aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir, silinir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

 

Kişisel Verilerin Saklanması ve İmhasına İlişkin Teknik ve İdari Tedbirler

 

İdari Tedbirler:

Şirket idari tedbirler kapsamında;

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

 

Teknik Tedbirler:

Şirket teknik tedbirler kapsamında;

Sızma (Penetrasyon) testleri ile Kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.  Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditlere karşı önlemler alınmaktadır. 

*Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. 

*Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. 

*Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. 

*Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.  Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. 

*Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur. 

*Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

* Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

*Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. 

 *Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,  Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.  Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.

*Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

 

 

 

Kişisel Verileri Koruma Birimi’nin Görev ve Yetkileri

Kişisel Verileri Koruma Birimi, Kişisel Verilerin Korunması ile ilgili Politika ve diğer bilgilendirmeleri birimlere duyurur ve birimlerin bu konuda gelişimlerini takip eder. Periyodik olarak eğitim süreçlerini planlar ve denetimleri yaptırır. Konu ile ilgili mevzuat değişikliklerini takip eder ve Politika ve metinlerin mevzuata göre güncellenmesini sağlar. Kurul kararlarını düzenli olarak takip eder.

 

 

 

Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar

* İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

*Politikaya aykırı hareket edenler olduğunda, ilgili birim amiri doğrudan veri sorumlusunu ve veri sorumlusunun atadığı irtibat kişisini bilgilendirir ve politikanın uygulanmasını sağlamak üzere gerekli tedbirleri alır.

*Politikaya aykırı davranış hakkında Kişisel Verileri Koruma Birimi de bilgilendirilir.

*Politikaya aykırı davrananlar hakkında gerekli işlem kısa zamanda yapılır.

 

 

 

EK-1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

 

Kişisel veriler politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak,süre sonunda ise anonim hale getirilecek veya yok edilecektir :

 

Süreç	Saklama Süresi	İmha Süresi
İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.)	İş ilişkisinin sona ermesine müteakip 5 yıl	Saklama süresinin bitimini takiben 6 ay içerisinde
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)	İş ilişkisinin sona ermesine müteakip 15 yıl	Saklama süresinin bitimini takiben 6 ay içerisinde
SGK mevzuatı kapsamında tutulan veriler	İş ilişkisinin sona ermesine müteakip 10 yıl	Saklama süresinin bitimini takiben 6 ay içerisinde
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar	İş ilişkisinin sona ermesine müteakip 10 yıl	Saklama süresinin bitimini takiben 6 ay içerisinde
Sair ilgili mevzuat gereği toplanan veriler	İlgili mevzuatta öngörülen süre kadar	Saklama süresinin bitimini takiben 6 ay içerisinde
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması	Dava zaman aşımı müddetince	Saklama süresinin bitimini takiben 6 ay içerisinde
Müşteri verileri	Kayıt altına alınmasına müteakip 10 yıl	Saklama süresinin bitimini takiben 6 ay içerisinde

 

 

Yukarıda düzenlenen sürelerden daha uzun süre saklanması gereken veriler ile ilgili Şirket haklarını saklı tutar ve ilgili kişinin talebi halinde gerekçesi ile birlikte silinme koşullarını açıklar.