.
SEYMEN BOYA SAN. VE TİC. LTD. ŞTİ.
KİŞİSEL VERİ SAKLAMA VE İMHA
POLİTİKASI
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
MADDE 1 – POLİTİKANIN AMACI
SEYMEN BOYA SAN. VE TİC.
LTD. ŞTİ. (“Firma”) olarak Firmamız
faaliyetlerinin yürütümü esnasında; mevcut ve potansiyel müşterilerimizin, mal
ve hizmet sağlayan tedarikçilerimizin, istihdam ettiğimiz çalışanlarımızın veya
çalışan adaylarımızın, şirket yetkililerimizin, hissedarlarımızın,
ziyaretçilerimiz ile işbirliği içinde olduğumuz kurumların çalışanlarının yahut
diğer üçüncü kişilerin kişisel verilerinin T.C. Anayasası, uluslararası
sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak
işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının
sağlanması öncelik olarak belirlenmiştir.
İşbu Kişisel Veri Saklama
ve İmha Politikası (“Politika”), Firmamız bünyesinde
ve bağlı olduğu ortaklıklar düzeyinde kişisel verilerin saklanması ve imhasına
ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Firmamızın
faaliyetleri dolayısıyla işlenen kişisel verilerin saklanması ve imhasına
ilişkin iş ve işlemler işbu Politika’ya uygun bir şekilde yerine
getirilecektir.
MADDE 2 – POLİTİKANIN KAPSAMI
İşbu Politika hükümleri,
mevcut ve potansiyel müşterilerimizin, mal ve hizmet sağlayan
tedarikçilerimizin, istihdam ettiğimiz çalışanlarımızın, çalışan adaylarımızın,
ziyaretçilerimizin, şirket imza yetkililerimizin, hissedarlarımızın, işbirliği
içinde olduğumuz diğer kurum çalışanlarının yahut üçüncü kişilerin, tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla Firmamız bünyesinde gerçekleştirilen
kişisel veri işleme faaliyetine veya Firmamız tarafından yönetilen kişisel
verilerin işlendiği tüm kayıt ortamlarına uygulanır.
MADDE 3 – TANIMLAR
Açık Rıza |
Belirli bir
konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
ifade etmektedir. |
Alıcı Grubu |
Veri sorumlusu
tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini
ifade etmektedir. |
Anonim Hale
Getirme |
Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini ifade etmektedir. |
Elektonik Ortam |
Elektronik
ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade
etmektedir. |
Elektronik
Olmayan Ortam |
Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade
etmektedir. |
İmha |
6698 sayılı
Kişisel Verilerin Korunması Kanunu’nu ifade etmektedir. |
Kanun |
|
Kişisel Veri |
Kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (ad-soyad, TC,
e-posta, adres, doğum tarihi, kredi kartı numarası vb.) ifade etmektedir. |
Kişisel
Verilerin İşlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. |
Kişisel Veri
Sahibi/ İlgili Kişi |
Kişisel verisi
işlenen gerçek kişileri (müşteriler, tedarikçiler, çalışanlar, ziyaretçiler
vb.) ifade etmektedir. |
Kişisel Veri
Saklama Ortamı |
Tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortamı ifade etmektedir. |
Kurul |
Kişisel
Verileri Koruma Kurulu’nu ifade etmektedir. |
Müşteri |
Firmanın
faaliyetleri kapsamında mal ve hizmet sağladığı gerçek veya tüzel kişileri
ifade etmektedir. |
Özel Nitelikli
Kişisel Veri |
Kişilerin ırkı,
etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
Periyodik İmha |
Kanunda yer
alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar
eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemini ifade etmektedir. |
Politika |
|
Tedarikçi Veri
İşleyen |
Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişiyi ifade etmektedir. |
Veri Kayıt
Sistemi |
Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini
ifade etmektedir./td> |
Veri Sorumlusu |
Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade
etmektedir. Firmamız bu kapsamda veri sorumlusu olarak addedilmektedir. |
Yönetmelik |
28.10.2017
tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir. |
MADDE 4 – TEMEL İLKELER
İşbu Politika, Kanun ve
ilgili ikincil mevzuat tarafından öngörülen kuralları somutlaştırma amacını
taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol
gösterici nitelik taşıyan bir düzenlemedir. Bu kapsamda Firmamız, veri işleme faaliyetlerini
analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari
ve teknik önlemleri alacaktır.
Tüm bu süreçlerde
Firmamız, kişisel veri işleme faaliyetlerinin Kanun ve ilgili diğer mevzuat
uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin
bilincindedir. Bu doğrultuda, Kanun madde 4 kapsamında tüm kişisel veri işleme
faaliyetlerinde göz önünde bulundurulması gereken temel ilkeler aşağıda yer
almaktadır:
● Hukuka ve dürüstlük
kurallarına uygun olma.
● Doğru ve gerektiğinde
güncel olma.
● Belirli, açık ve meşru
amaçlar için işlenme
● İşlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olma.
● İlgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu çerçevede Firmamız
tarafından kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması,
kullanılmasının engellenmesi, imha edilmesi gibi veriler üzerinde
gerçekleştirilecek her türlü veri işleme faaliyetinde yukarıda yer alan tüm
ilkeleri göz önünde bulunduracaktır.
MADDE 5 – KİŞİSEL VERİ SAKLAMA ORTAMLARI
Firmamız tarafından
kişisel veriler elektronik ve elektronik olmayan ortamlarda hukuka uygun olarak
güvenli bir şekilde saklanmaktadır. Kişisel verilerin muhafaza edildiği
ortamlar aşağıdaki gibidir:
§ Sunucular
§ Yazılımlar
§ Bilgisayarlar, mobil
cihazlar
§ Diskler
§ Taşınabilir bellekler
§ Yazıcı, tarayıcı,
fotokopi makinası
§ Birim dolapları
§ Arşiv
MADDE 6 – KİŞİSEL VERİLERİN SAKLANMASI VE İMHA
EDİLMESİ
Firmamız tarafından,
mevcut ve potansiyel müşterilerimizin, mal ve hizmet sağlayan
tedarikçilerimizin, istihdam ettiğimiz çalışanlarımızın veya çalışan
adaylarımızın, şirket imza yetkililerimizin, hissedarlarımızın ve
ziyaretçilerimiz ile işbirliği içinde olduğumuz kurumların çalışanlarının yahut
diğer üçüncü kişilerin kişisel verileri Kanuna uygun bir şekilde saklanır ve
imha edilir.
İşlenen kişisel veriler,
Kanunun 4. maddesinde öngörülen işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
süre kadar muhafaza edilme şartına uygun saklanır.
MADDE 7 – SAKLAMAYI GEREKTİREN İŞLEME
AMAÇLARI
Firmamız faaliyetleri çerçevesinde işlemekte olduğu
kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
§ İstihdam ve iş gücü
ihtiyacının temini, çalışan adayı başvuru süreci ile seçme ve yerleştirme
süreçlerini yürütmek.
§ Çalışanlar için iş
sözleşmesi ve mevzuattan kaynaklı yükümlülüklerin yerine getirmek.
§ Çalışanlar için yan
haklar ve menfaatleri süreçlerini yürütmek.
§ İnsan kaynakları
süreçlerini yürütmek.
§ Eğitim faaliyetlerini
yürütmek.
§ Fiziksel mekan
güvenliğini sağlamak.
§ Firmamız ile iş ilişkisi
içerisinde olan kişilerin hukuki veya teknik güvenliğini temin etmek.
§ Yasal düzenlemelerin
gerektirdiği şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak.
§ Firmamız ile iş ilişkisi
içerisinde bulunan gerçek veya tüzel kişilerle irtibat sağlamak.
§ Mal veya hizmet tedariki
veya satımı çerçevesinde imzalanan sözleşmeler ve protokoller çerçevesinde iş
ve işlemleri ifa edebilmek.
§ Finans ve muhasebe
işlerini yürütmek.
§ Hukuk işlerini takip
etmek ve yürütmek.
§ İş sağlığı ve güvenliği
faaliyetlerini yürütmek.
§ Lojistik faaliyetlerini
yürütmek.
§ Müşteri ilişkileri
yönetimi süreçlerini yürütmek.
§ Yetkili kişi, kurum ve
kuruluşlara bilgi vermek.
§ Faaliyetleri mevzuata
uygun yürütmek.
§ Yönetim faaliyetlerini
yürütmek.
§ Ziyaretçi kayıtlarını
oluşturmak.
§ Bilgi güvenliği
süreçlerini yürütmek.
§ Yürütülen ticari veya
operasyonel faaliyetlerin gerçekleştirilmesi için gerekli çalışmaları yapmak ve
buna bağlı iş süreçlerini yürütmek.
MADDE 8 – İMHAYI GEREKTİREN SEBEPLER
Aşağıdaki hallerde kişisel veriler, Firmamız tarafından
ilgili kişinin talebi üzerine veya re’sen silinir, yok edilir veya anonim hale
getirilir;
§ Kişisel verilerin
işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması.
§ Kişisel veri işleme açık
rıza şartına tabi olarak işlenmiş ise ilgili kişinin açık rızasını geri alması.
§ Kişisel verilerin
işlenmesine esas teşkil eden ilgili mevzuat hükümlerin değiştirilmesi veya
ilgası.
§ Kişisel verilerin
saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
§ Firmanın, ilgili kişi
tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı
yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde;
Kurula şikayette bulunması ve bu talebin uygun bulunması.
MADDE 9 – TEKNİK VE İDARİ TEDBİRLER
Firmamız, kişisel
verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve
erişilmesinin önlenmesi ile hukuka uygun olarak imha edilmesi Kanunun 12.
maddesi ve diğer ilgili hükümler uyarınca gerekli idari ve teknik tedbirleri
almaktadır.
9.1. İdari Tedbirler
· Çalışanlara veri
güvenliği konusunda belirli aralıklarla farkındalık eğitimleri
düzenlenmektedir.
· Firma tarafından
yürütülen faaliyetlerle ilgili olarak çalışanlara gizlilik ve kişisel verilerin
korunması ile ilgili taahhütname imzalatılmaktadır.
· Kişisel veri işleme
envanteri hazırlanmıştır.
· Kişisel veri güvenliği
ile saklama ve imha konularına ilişkin politika ve prosedürler oluşturulmuştur.
· İmzalanan sözleşmeler
veri güvenliği hükümleri içermektedir.
· Kişisel veri işlemeden
önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
· Özel nitelikli kişisel
veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel
veri güvenliği konusunda eğitimler verilmiş ve verilere erişim yetkisine sahip
çalışanların yetkileri belirlenmiştir.
9.2. Teknik Tedbirler
· Bilgi güvenliği olay
yönetimi ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek
riskler ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları
raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler
alınmaktadır.
· Ağ güvenliği sağlanmakta
ve güvenlik duvarları kullanılmaktadır.
· Ağ yoluyla kişisel veri
aktarımlarında kapalı sistem ağ kullanılmaktadır.
· Otomatik güncellemeye
sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın
güncelliği ve çalışır olup olmadığı denetlenmektedir.
· Internet üzerinden
Şirketin bilgisayar ağına erişim bulunmamaktadır.
· Kişisel veri içeren
sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta
oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde
erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili
sistemlere erişim sağlanmıştır.
· Görev değişikliği olan ya
da işten ayrılan personellerin bu alandaki yetkileri kaldırılmaktadır.
· Kişisel verilerin
işlendiği ve muhafaza edildiği elektronik ortamlarda parolalar
kullanılmaktadır.
· Kişisel veri içeren
fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri
alınmaktadır.
· Bilişim sistemleri
güvenliğinin sağlanması için sistem odasına yalnızca yetkili personel
girebilmektedir. Sistem odası sel, yağmur, yangın gibi çevresel tehditlere
karşı korunmakta ve buna uygun önlemler alınmaktadır.
· Kişisel verilerin güvenli
olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
· Log kayıtları kullanıcı
müdahalesi olmayacak şekilde tutulmaktadır.
· Kişisel veri güvenliğinin
takibi yapılmaktadır.
· Kağıt ortamında bulunan
kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak
yetkisiz erişim engellenmektedir.
· Silinen kişisel verilerin
ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli
tedbirler alınmaktadır.
· Özel nitelikli kişisel
verilerin işlendiği, muhafaza edildiği veya erişildiği fiziksel ortamların
güvenliği sağlanmakta, yetkisiz giriş çıkışlar ile erişim engellenmektedir.
· Özel nitelikli kişisel
veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar
şifrelenmekte, aktarım için Şirket kurumsal e-posta adresi kullanılmaktadır.
Taşınabilir CD/bellek gibi herhangi bir depolama aygıt ortamında aktarılan özel
nitelikli kişisel veriler kriptografik yöntemlerle (güvenli anahtar)
şifrelenmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,
kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı
gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
MADDE 10 – KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Kişisel veriler, Kanun ve
ilgili ikinci mevzuat tarafından öngörülen hallerde aşağıda belirtilen
tekniklerle imha edilir.
10.1. Kişisel Verilerin
Silinmesi
Yazılımlarda Yer Alan
Kişisel VerilerKişisel verinin bulunduğu ilgili satırlar delete komutu ile
silinir. bilgi işlem sorumlusu haricinde diğer kullanıcılar (çalışanlar) için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Sunucularda Yer
alan Kişisel Veriler |
İşletim
sistemindeki silme komutu ile veya bilgi işlem sorumlusu tarafından dosyanın
bulunduğu dizin üzerinde ilgili kullanıcıların erişim yetkisi kaldırılarak
silinir. |
Kağıt Ortamında
Yer alan Kişisel Veriler |
Dosya
arşivinden sorumlu birim yöneticisi haricinde diğer çalışanlar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi yapılır. |
Taşınabilir
Cihazlarda Yer alan Kişisel Veriler |
Bilgi işlem
sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece bilgi işlem
sorumlusuna verilerek güvenli ortamda saklanır. |
10.2. Kişisel Verilerin
Yok Edilmesi
Kağıt
Ortamında Yer Alan Optik/Manyetik
Cihazlarda Yer Alan Kişisel
Veriler |
Kağıt öğütücü makinesi kullanılmak
suretiyle geri döndürülemeyecek şekilde yok edilir. Bilgi işlem sorumlusu tarafından
şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek güvenli
ortamda saklanır. Yakılma, toz haline getirme gibi fiziksel olarak yok
edilmesi işlemi uygulanır. |
10.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel
verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel veriler, veri sorumlusu veya alıcı grupları
tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemez hale getirilir.
MADDE 11- SAKLAMA VE İMHA SÜRELERİ
Süreç |
Saklama Süresi |
İmha Süresi |
İnsan
kaynakları süreçlerinin yürütülmesi |
10 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmelerin
hazırlanması ve ifası |
10 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Finans
ve muhasebe işlerinin yürütülmesi |
10 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
İş
sağlığı ve güvenliği faaliyetlerinin yürütülmesi |
10 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Bilgi
güvenliği süreçlerinin yürütülmesi |
2 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera
kayıtlarının tutulması |
10 Gün |
Üzerine
yazma suretiyle otomatik olarak silinir |
Ziyaretçi
kaydının tutulması |
Ziyaretin
sona ermesini takiben 6 Ay |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirketler
hukuku süreçlerinin yürütülmesi |
5 Yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
* Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya
da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için
daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler
azami saklama süresi olarak kabul edilir.
MADDE 12- PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11. maddesi gereğince Firma, periyodik imha
süresini 6 (altı) ay olarak belirlemiştir.
MADDE 13 – POLİTİKANIN YÜRÜRLÜĞÜ
Politika, Firmamızın
internet sitesi (https://www.seumensunger.com/) üzerinden kişisel
verileri işlenen herkesin erişimine sunulmuştur. Politika’nın internet
sitesinde yayınlandığı tarih yürürlülük tarihidir.
Politikanın tamamının
veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları
tarihte yürürlüğe girer.
Ek – Saklama ve İmha
Süreçleri Görev Dağılımı
GÖREV DAĞILIMLARI
UNVAN |
DEPARTMAN |
GÖREV |
Genel Müdür ve Genel Müdür Yardımcısı |
Yönetim |
Politikaya uygun hareket edilip
edilmediğinin denetimi, eksikliklerin giderilmesi ve doğru uygulamanın
sağlanmasından sorumludur. |
Muhasebe ve Finans Müdürü |
Mali İşler |
Politikanın hazırlanması, yürütülmesi,
yayınlanması ve güncellenmesinden sorumludur. |
Bilgi İşlem Sorumlusu |
Bilgi İşlem |
Politikanın teknik uygulama gerektiren
hususlarından sorumludur. |