KİŞİSEL
VERİLERİN
SAKLANMASI
VE İMHASI POLİTİKASI
HAZIRLAYAN : ODAK
VERİ DANIŞMANLIK LTD. ŞTİ. (DANIŞMAN)
ÖN
ONAY :
ŞİRKET KVKK UYUMLULUK TEMSİLCİSİ
YÜRÜRLÜK
ONAYI :
ŞİRKET GENEL MÜDÜRÜ
YÜRÜRLÜK
TARİHİ :
20.07.2023
İÇİNDEKİLER
1.
TANIMLAR VE KISALTMALAR..2
2. AMAÇ VE KAPSAM...3
2.1. AMAÇ..3
2.2. KAPSAM...3
3. SORUMLULUK VE GÖREV DAĞILIMLARI3
4. KİŞİSEL VERİLERİN İŞLENMESİNDE
BENİMSENEN İLKELER..4
4.1. KİŞİSEL VERİLERİN VERİ İŞLEME
ŞARTLARINA UYGUN OLARAK İŞLENMESİ 4
4.1.1. KİŞİSEL VERİLERİN
İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK..4
4.1.2. KİŞİSEL VERİLERİN
İŞLENMESİNDE İŞLEMEŞARTLARINA UYGUNLUK..5
4.1.3. ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİNDE İŞLEME..6
4.1.4. KİŞİSEL VERİLERİN
AKTARILMASINDA AKTARIM ŞARTLARINA..7
4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE
İLGİLİ KİŞİNİN AYDINLATILMASI7
4.3. İLGİLİ KİŞİLERDEN GELEN
BAŞVURULARIN SONUÇLANDIRILMASI7
5. KİŞİSEL VERİLERİN SAKLANMASI VE
İMHASI8
5.1. KAYIT ORTAMLARI.8
5.2. KİŞİSEL VERİLERİN SAKLANMASINDA
HUKUKİ SEBEP VE AMAÇ..8
5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ
SEBEPLER..8
5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR..9
5.3. KİŞİSEL VERİLERİN İMHASINI
GEREKTİREN SEBEPLER..9
6. KİŞİSEL VERİLERİN KORUNMASI
KAPSAMINDA ALINAN TEDBİRLER..10
6.1. İDARİ TEDBİRLER..10
6.2. TEKNİK TEDBİRLER..11
7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ12
7.1. KİŞİSEL VERİLERİN SİLİNMESİ12
7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ12
7.3. KİŞİSEL VERİLERİN ANONİM HALE
GETİRİLMESİ12
8. SAKLAMA VE İMHA SÜRELERİ.13
9. PERİYODİK İMHA ZAMANLARI.14
10. POLİTİKANIN GÜNCELLENMESİ,SAKLANMASI VE YAYINLANMASI14
Alıcı Grubu | Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir. |
Açık Rıza | Belirli bir konuya ilişkin
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Çalışan | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. personelidir. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar
ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği
ortamlardır. |
Elektronik Olmayan (Fiziki) Ortam | Elektronik ortamların dışında kalan tüm
yazılı, basılı, görsel vb. diğer ortamlardır. |
Hizmet Sağlayıcı | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. ile sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel
kişilerdir. |
İlgili Kişi | Kişisel verisi işlenen gerçek
kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesidir. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması
Kanunu’dur. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır. |
Kişisel Veri | Kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgidir. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlemlerdir. |
Kurul | Kişisel Verileri Koruma Kurulu’dur. |
Kurum | Kişisel Verileri Koruma Kurumu’dur. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri özel nitelikli kişisel veridir. |
Periyodik İmha | Kanunda yer alan kişisel verilerin
işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verilerin
saklanması ve imhası politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
Politika | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. Kişisel Verilerin Saklanması ve İmhası Politikası’dır. |
VERBİS | Kişisel Verileri Koruma Kurumu
Başkanlığı tarafından tutulan Veri Sorumluları Sicili’dir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye
dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel
kişidir. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu Politika için Altın
Sac İşleme Metal Çelik İnş. San. ve Tic. Ltd. Şti. ifade eder |
Altın Metal | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. ifade eder. |
Şirket | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. ifade eder. |
Kuruluş | Altın Sac İşleme Metal Çelik İnş. San.
ve Tic. Ltd. Şti. ifade eder. |
Altın Sac İşleme Metal Çelik İnş. San. ve Tic.
Ltd. Şti. Kişisel Verilerin Saklanması ve İmhası Politikası, Altın Metal veri
sorumlusu sıfatıyla işlemiş olduğu kişisel verilerin, kaydedilme safhası için
benimsediği ilkeler ile bu kişisel verilerin saklanması ve imhası süreçlerinde
uyguladığı usul ve esasları düzenlemek amacıyla hazırlanmıştır.
Altın
Metal, kişisel verilerin işlenmesi süreçlerinin Kanun’a uygun olması ve
himayesinde bulunan kişisel verilerin güvenle korunması konularında azami
hassasiyet göstermektedir. Bu doğrultuda kişisel verilerin korunması alanındaki
gerek yerel gerekse uluslararası mevzuat ve sözleşmelere uygun olarak kişisel
veri işleme süreçlerini sürekli iyileştirme gayretindedir.
Bu
politikanın kapsamı, Altın Metal kişisel verilerin kaydedilmesi safhasında
riayet ettiği ilkeler ile bu kişisel verilerin güvenliğinin sağlanmasında ve
imhasında benimsediği usul ve esaslardır. Bu kapsamda, Altın Metal tarafından
gerçekleştirilen her türlü kişisel veri işleme faaliyeti ile kişisel verilerin
güvenliğinin sağlanması adına alınacak tedbirlerde ve imha sürecinin
yapılandırılması işlemlerinin tamamında işbu politikaya bağlı kalınacaktır.
Altın
Metal bünyesinde bulunan tüm birimler ve çalışanlar; kuruluşun Kişisel
Verilerin Korunması Kanunu ve ilgili mevzuata uyum kapsamında benimsenen
politika ve prosedürlerin uygulanmasında, kişisel verilerin güvenliği için
alınmakta olan idari ve teknik tedbirlerin uygulanmasında, kişisel verilerin
hukuka aykırı olarak işlenmesinin önlenmesinde, kişisel verilere hukuka aykırı
olarak erişilmesinin önlenmesinde ve kişisel verilerin ilgili imhası sürecinde
kuruluş politika ve prosedürlerinin uygulanmasında aktif rol alır.
Altın
Metal tarafından çalışanları arasından atanan “KVKK Uyumluluk Temsilcisi”,
kuruluşun tüm birim ve çalışanlarının kuruluş politika ve prosedürlerine uygun
faaliyet göstermesini sağlar ve periyodik olarak denetler. KVKK Uyumluluk
Temsilcisi, tespit ettiği aykırılıkları raporlandırarak birim amirlerine ve
kuruluş genel müdürüne bildirir.
Altın
Metal bünyesinde bulunan birim amirleri, birimlerinin kuruluşun kişisel
verilerin korunması alanındaki politika ve prosedürlerine uygunluğunu ve bu uygunluğun
sürekliliğini sağlar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine
birim amirleri derhal ilgili aykırılığı giderir.
Altın
Metal genel müdürü, kuruluş bünyesindeki tüm birim ve çalışanların kuruluşun
kişisel verilerin korunması alanındaki politika ve prosedürleri ile bu alanla
ilgili mevzuata uygun davranmasını sağlar. Bu kapsamda temin edilmesi gereken
ürün ve hizmetlerin teminini sağlar ve gerekli görevlendirmeleri yapar. KVKK
Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine genel müdür ilgili
aykırılığın giderilip giderilmediğini denetler.
Altın
Metal; genel müdür, birim amirleri ve KVKK Uyumluluk Temsilcisi aracılığıyla,
hizmet aldığı üçüncü kişilerin kişisel verilerin korunması alanında yükümlülüklerini
yerine getirmesi ve veri güvenliğine ilişkin tedbir planlama ve uygulamalarını
yapması amacıyla farkındalığını arttırıcı faaliyet ve bildirimler
gerçekleştirir.
Altın
Metal tarafından kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi
faaliyetlerinde; aşağıda bahsi geçen (4.1.1.) temel ilkelere, (4.1.2.) işleme
şartlarına ve (4.1.3.) özel nitelikli kişisel verilerin işlenme şartlarına
uygun davranılmaktadır.
Altın Metal tarafından kişisel verilerin
işlenmesi kapsamındaki tüm faaliyetlerde aşağıda sıralanarak açıklanan ilkeler
benimsenmektedir:
4.1.1.1. Kişisel Verileri Hukuka ve Dürüstlük Kuralına Uygun Olarak İşleme;
Altın
Metal, kişisel verilerin işlenmesi faaliyetlerinde evrensel insan haklarına,
T.C. Anayasası’na, kişisel verilerin korunması alanındaki mevzuata ve dürüstlük
kurallarına uygun davranmaktadır.
4.1.1.2. İşlenen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını
Sağlama;
Altın
Metal, işlenen kişisel verilerin ilgili kişi bakımından doğru ve güncel
olmasını sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve bu
doğrultuda gelebilecek bildirimler için iletişim kanalları öngörerek düzenli
olarak kontrollerini sağlamaktadır.
4.1.1.3. Kişisel Verileri Belirli,
Açık ve Meşru Amaçlarla İşleme;
Altın
Metal, kişisel veri işleme faaliyetleri kapsamındaki amaçlarını veri işleme
faaliyeti başlamadan belirlemekte ve ilgili kişiye bildirmektedir. Bu amaçların
belirlenmesinde ve bildirilmesinde hukuk normlarına uygun hareket etmektedir.
4.1.1.4. Kişisel Verilerin İşlendiği Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olarak Kullanılmasını Temin Etme;
Altın
Metal, işlenen kişisel verilerin işlenme amacıyla bağlantılı, sınırlı ve ölçülü
olması yönünde gerekli çalışmaları yapmaktadır. Bu kapsamda işlenen kişisel
verilerin mümkün olduğunca azaltılması gerekliliğine uygun hareket etmekte ve kişisel
verileri ileride kullanılabileceği varsayımına binaen işlememektedir. İlgili
kişiye bildirilen veri işleme amacı dışında herhangi bir kişisel veri işleme
faaliyeti gerçekleştirilmemektedir.
4.1.1.5. Kişisel Verileri İlgili Mevzuatta Öngörülen
veya İşleme Amacıyla BağlantılıOlan Sürelerle Muhafaza Etme;
Altın
Metal, işlemiş olduğu kişisel verilerin saklanma sürelerini mevzuatta öngörülen
süreler veya işleme amacıyla bağlantılı olan sürelerle muhafaza etmektedir.
Anılan sürelerin sona ermesi veya kişisel veri işlemeye dayanak olan sebebin
ortadan kalkması hallerinde ilgili kişisel veriler silmek, yok etmek veya
anonim hale getirmek suretiyle imha edilmektedir.
Altın
Metal tarafından kişisel verilerin işlenmesi faaliyetlerinde, Kanun’un 5.
maddesinde öngörülen ve aşağıda sıralanan şartlara uygun davranılmaktadır:
4.1.2.1. İlgili Kişinin Açık Rızası Şartına Uygun Olarak Kişisel Veri
İşleme;
Altın
Metal tarafından kişisel veri sahibinin,
hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer
bırakmayacak şekilde açık ve yalnızca ilgili olan işlemle sınırlı olan rızası
ile kişisel veri işlenmektedir.
4.1.2.2. Kanunlarda Açıkça Öngörülmüş Olmasına Dayanarak Kişisel Veri İşleme;
Altın
Metal tarafından kanunlarda açıkça
öngörülmesi halinde, kanunda öngörülen amaç ve sürelerle sınırlı olarak kişisel
veri işlenmektedir.
4.1.2.3. Fiili İmkânsızlık Nedeniyle Veri Sahibinin
Açık Rızasının Elde Edilememesi veKişisel Veri İşlemenin Zorunlu Olması Hukuki Sebebine Dayalı
Kişisel Veri İşleme;
Altın
Metal tarafından kişisel veri sahibinin
rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde,
kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin
işlenmesi zorunlu ise bu hukuki sebebe dayanılarak kişisel veri işlenmektedir.
4.1.2.4. Bir Sözleşmenin Kurulması veya İfasıyla
Doğrudan Doğruya İlgili OlmasıKaydıyla Sözleşme Tarafının Kişisel Verisini İşleme;
Altın
Metal tarafından bir sözleşmenin
kurulması veya edimin yerine getirilmesiyle doğrudan ilişki içerisinde olan
sözleşme tarafına ait kişisel veriler işlenmektedir.
4.1.2.5.Altın
Metal Hukuki
Yükümlülüğünü Yerine Getirmesi İçinZorunlu Olan Kişisel Verileri İşleme;
Hukuki Yükümlülüğünü Yerine Getirmesi İçinZorunlu Olan Kişisel Verileri İşleme;
Altın
Metal tarafından hukuki yükümlülüğü
bulunan bir faaliyetin yerine getirilmesi için zorunlu olan kişisel veriler,
hukuki yükümlülüğün gerektirdiği amaç, şekil ve süre ile sınırlı olarak işlenmektedir.
4.1.2.6. Kişisel Veri Sahibi Tarafından Alenileştirilmiş Kişisel Verileri
İşleme;
Altın
Metal tarafından kişisel veri sahibince
alenileştirilmiş olan kişisel veriler, alenileştirilme amacına uygun olarak
işlenmektedir.
4.1.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması
İçin Zorunlu Olan KişiselVerileri İşleme;
Altın
Metal tarafından bir hakkın tesisi,
kullanılması veya korunması için zorunlu olan kişisel veriler, ilgili zorunlulukla
paralel olarak işlenmektedir.
4.1.2.8. Veri Sahibinin Temel Hak ve Özgürlüklerine
Zarar Vermemek Şartıyla, KişiselVeri İşlemeninAltın Metal Meşru Menfaatleri İçin
Zorunlu Olması Sebebine Dayanarak Kişisel Verileri İşleme;
Altın
Metal tarafından, meşru menfaatleri için, kişisel veri işlemenin zorunlu olması
durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise kişisel
veriler işlenebilmektedir. Burada meşru menfaat ile veri sahibinin temel hak ve
özgürlükleri arasında denge ve orantılılık kriterleri dikkate alınmaktadır.
4.1.3. ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİNDE İŞLEMEŞARTLARINA UYGUNLUK
Altın
Metal tarafından Kurul’un belirlemiş olduğu gerekli önlemler alınarak özel
nitelikli kişisel veriler işlenebilmektedir.
4.1.3.1. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin
İşlenmesi
Altın
Metal tarafından sağlık ve cinsel hayat dışındaki özel nitelikli kişisel
veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri); veri sahibinin açık rızası ile veya
kanunlarda öngörülen hallerde işlenebilmektedir.
4.1.3.2. Sağlık Verilerinin İşlenmesi
Altın
Metal tarafından kişisel sağlık verileri,
aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
· Kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmesi hali,
· Kişisel veri sahibinin açık rızasının
varlığı hali.
4.1.4. KİŞİSEL VERİLERİN
AKTARILMASINDA AKTARIM ŞARTLARINAUYGUNLUK
Altın
Metal tarafından gerçekleştirilen
kişisel veri aktarım faaliyetlerinde Kanun’un 8. ve 9. maddelerine uygun
davranılmaktadır.
4.1.4.1. Kişisel Verilerin Yurtiçine Aktarılması
Altın
Metal tarafından kişisel veriler, Kanun’un 8. maddesi uyarınca 4.1.2.’de bahsi
geçen kişisel veri işleme şartlarına uygun olarak yurtiçine
aktarılabilmektedir.
4.1.4.2. Kişisel Verilerin Yurtdışına Aktarılması
Altın
Metal tarafından Kanun’un 9. maddesi uyarınca kişisel veriler; 4.1.2.’de bahsi
geçen kişisel veri işleme şartlarına uygun olarak işlenmesi ve aktarım
yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip
ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması
durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli
bir korumayı yazılı olarak taahhüt etmeleri ile Kurul’un izninin bulunması halinde
yurtdışına aktarılabilmektedir.
Altın
Metal tarafından Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, kişisel veri
sahipleri, kişisel verilerinin elde edilmesi sırasında sunulan aydınlatma
metinleri vasıtasıyla bilgilendirilmektedir. Bu aydınlatma metinlerinde;kuruluş unvanı, kişisel veri işleme amacı, işlenen kişisel verilerin kimlere
hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi
ile ilgili kişinin Kanun’un 10. maddesinde sayılan haklarına yer verilmektedir.
Altın
Metal tarafından kişisel veri sahiplerince Kanun’un 11. maddesi kapsamındaki
haklarının kullanılması amacıyla Kanun’un 13. maddesi ve Veri Sorumlusuna
Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılan başvurular en
kısa sürede ve en geç otuz gün içerisinde yanıtlanmaktadır.
Altın
Metal tarafından işlenen kişisel veriler
Tablo-1’de listelenen kayıt ortamlarında gerekli güvenlik önlemleri alınmak
suretiyle saklanır.
Tablo-1: Kişisel Veri Saklama Ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
- Sunucular: Server, Yedekleme Cihazları, E-posta,Veri Tabanı, Web, Dosya Paylaşım vb. - Yazılımlar: Ofis Yazılımları, İş Takip ve Muhasebe
Programları vb. - Bilgi Güvenliği Cihazları: Antivirüs, Firewall vb. - Kişisel Bilgisayarlar - Mobil Cihazlar: Telefon, Tablet vb. - Optik Diskler: CD, DCD, VCD vb. - Taşınabilir Bellekler: USB, Hafıza Kartı vb. - Yazıcı, Tarayıcı, Fotokopi Makinesi | - Kağıt - Manuel Veri Kayıt Sistemleri: Form, Ajanda, Ziyaretçi
Defteri vb. - Yazılı, basılı, görsel ortamlar |
Altın
Metal tarafından çalışanlar, çalışan
adayları, stajyerler, ziyaretçiler, hizmet alınan üçüncü kişiler ve bu
kişilerin çalışanları, müşteriler ve bu kişilerin çalışanları, hissedarlar ile
kurum ve kuruluş çalışanlarının kişisel verileri Kanun’a uygun olarak saklanır
ve imha edilir.
Altın
Metal tarafından yürütmüş olduğu
faaliyetler çerçevesinde 4.1.2. ve 4.1.3’te sayılan şartlara (hukuki sebeplere)
uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar
muhafaza edilir. Bu kapsamda kişisel veriler;
· 6698 sayılı
Kişisel Verilerin Korunması Kanunu,
· 6098 sayılı Türk
Borçlar Kanunu,
· 6102 sayılı Türk
Ticaret Kanunu,
· 5510 sayılı Sosyal
Sigortalar ve Genel Sağlık Sigortası Kanunu,
· 4857 sayılı İş
Kanunu,
· 6331 sayılı İş
Sağlığı ve Güvenliği Kanunu,
· 213 sayılı Vergi
Usul Kanunu,
· 5434 sayılı Emekli
Sağlığı Kanunu,
· 2828 sayılı Sosyal
Hizmetler Kanunu,
· İş Sağlığı ve
Güvenliği Hizmetleri Yönetmeliği,
· İşyeri Bina ve
Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
· Bu kanunlar
uyarınca yürürlükte olan diğer ikincil düzenlemeler,
· Kurul karar ve
görüşleri ile politikaları,
· İlgili ticari teamüller
çerçevesinde
öngörülen saklama süreleri kadar saklanmaktadır.
Altın
Metal tarafından, yürütmüş olduğu
faaliyetler çerçevesinde 4.1.’de öngörülen ilke ve şartlara uygun olarak
işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
· Acil durum ve
bilgi güvenliği süreçlerinin yürütülmesi,
· Çalışan ve çalışan
adayları için insan kaynakları ve iş sağlığı ve güvenliği faaliyetlerinin
yürütülmesi,
· Denetim, etik ve
eğitim faaliyetlerinin yürütülmesi,
· Erişim
yetkilerinin ve görevlendirme faaliyetlerinin yürütülmesi,
· Faaliyetlerin
mevzuata uygun yürütülmesi,
· Finans, muhasebe,
pazarlama, hizmet veya ürün alım/satım, destek ve bağlılık süreçlerinin
yürütülmesi,
· İletişim
faaliyetlerinin yerine getirilmesi,
· Saklama ve arşiv
faaliyetlerinin yürütülmesi,
· Sözleşme
süreçlerinin yürütülmesi,
· Sponsorluk ve sosyal
sorumluluk faaliyetlerinin yürütülmesi,
· Talep ve
şikayetlerin takibi,
· Taşınır mal ve
fiziksel mekan güvenliğinin sağlanması,
· Yetkili kişi veya
kurumlara bilgi verilmesi ve doğabilecek hukuki uyuşmazlıklarda delil olarak
kullanılması,
· Yönetim
faaliyetinin yürütülmesi,
· Ziyaretçi
kayıtlarının oluşturulması
amaçlarıyla
işlenebilmektedir.
Altın
Metal tarafından işlenen kişisel
veriler;
· İşlenmesine esas
teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
· İşlenmesini veya
saklanmasını gerektiren amacın ortadan kalkması,
· Kişisel verileri
işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin açık rızasını geri alması,
· Kanunun 11 inci
maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Altın Metal tarafından
kabul edilmesi,
· İlgili kişi tarafından;kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi
ile yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya
Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurul’a şikâyette
bulunulması ve bu talebin Kurul tarafından uygun bulunması,
· Kişisel verilerin
saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine veya resen
silinir, yok edilir veya anonim hale getirilir.
Altın
Metal tarafından; kişisel veri işlenmesi
faaliyetlerine ilişkin tüm süreçler yeniden yapılandırılmış olup kişisel
verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve
erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi
amaçlarıyla, mevzuat ve Kurul kararlarınca gerekli görülmüş idari ve teknik
tedbirlerin alınmasında azami gayret gösterilmektedir. Kişisel verilerin
güvenliğinin sağlanmasına verilen öneme binaen Altın Metal bünyesinde aşağıda
öngörülen idari ve teknik tedbirler alınmaktadır.
Altın
Metal tarafından işlenen kişisel verilerin korunması için alınan idari
tedbirler şöyledir:
· Çalışanların
kişisel verilerin korunması alanında farkındalıklarının ve tutumlarının
geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin
önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi,
kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi
ve beceri, 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler
verilmektedir.
· Yürütülen
faaliyetlerde işlenen kişisel verilere ilişkin çalışanlara gizlilik sözleşmeleri
imzalatılmaktadır.
· Güvenlik politika
ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü
hazırlanmıştır.
· Kişisel veri
işlemeye başlamadan önce Kuruluş tarafından ilgili kişileri aydınlatma
yükümlülüğü yerine getirilmektedir.
· Kişisel veri
işleme envanteri hazırlanmıştır.
· Kişisel verilerin
korunması alanındaki mevzuata ve kuruluş politika ve prosedürlerine uyumluluğun
tespitine ilişkin kurum içi periyodik ve rastgele denetimler yapılmaktadır.
· Çalışanlara
yönelik bilgi güvenliği eğitimleri verilmektedir.
· Kişisel veri
içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri
alınmaktadır.
· Çalışanlar için görevlendirme,
yetki ve erişim prosedürü hazırlanarak çalışanlar arasında kişisel veri içeren
alanlara erişim konusunda yetkilendirmeler yapılmıştır.
· Erişim, bilgi
güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlanmış ve uygulamaya başlanmıştır.
· Görev değişikliği
olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
· İmzalanan
sözleşmelerde veri güvenliği hükümlerine yer verilmektedir.
· Kağıt yoluyla
aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.
· Kişisel veri
güvenliği politika ve prosedürleri belirlenmiştir.
· Kişisel veri
güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
· Kişisel veri
içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
· Kişisel veriler
mümkün olduğunca azaltılmaktadır.
· Kişisel veriler
yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
· Özel nitelikli
kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş olup
uygulanmaktadır.
· Veri işleyen hizmet sağlayıcılarının, veri güvenliği
konusunda farkındalığı sağlanmaktadır.
Altın
Metal tarafından işlenen kişisel verilerin korunması için alınan teknik
tedbirler şöyledir:
· Kuruluşun bilişim
sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınmaktadır.
· Çevresel
tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol
sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan anahtarların
fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme
sistemi vb.) ve yazılımsal (güvenlik duvarları, yazılımları engelleyen
sistemler vb.) önlemler alınmaktadır.
· Kurum içerisinde
erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama
ve analiz çalışmaları yapılmaktadır.
· Güvenlik açıkları
takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel
halde tutulmaktadır.
· Kişisel verilerin işlendiği
elektronik ortamlarda güçlü parolalar kullanılmaktadır.
· Kişisel verilerin
güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılmaktadır.
· Elektronik olan
veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine
göre sınırlandırılmaktadır.
· Özel nitelikli
kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik
ortamlar şifreleme yöntemleri kullanılarak muhafaza edilmekte, şifreler güvenli
ortamlarda tutulmakta, ortamların güvenlik güncellemeleri sürekli takip
edilmektedir.
· Özel nitelikli
kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal
e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir
bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmekte ve şifreler
farklı ortamda tutulmaktadır.
· Görev değişikliği
olan ya da işten ayrılan çalışanların ilgili alandaki yetkileri
kaldırılmaktadır.
· Güncel anti-virüs
sistemleri kullanılmaktadır.
· Ağ güvenlik
duvarları kullanılmaktadır.
· Kurum içi
periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Altın
Metal tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen veya
işlenme amacıyla bağlantılı olan saklama sürelerinin sona ermesini takip eden
periyodik imha süresinde imha edilir. İmha teknikleri silme, yok etme veya
anonim hale getirmedir.
Kişisel
verilerin silinmesinde kullanılan yöntemler şunlardır:
Sunucularda
yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için
sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak
silme işlemi yapılır.
Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
veri tabanı yöneticisi (kuruluşun bilişim hizmetini sağlayan kişi) hariç diğer
çalışanlar (ilgili kullanıcılar) için silmek suretiyle hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler
için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır.
Taşınabilir
medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem
yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Kişisel
verilerin yok edilmesinde kullanılan yöntemler şunlardır:
Fiziksel
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
kâğıt kırpma makinelerinden geçirilerek veya yakılarak geri döndürülemeyecek
şekilde yok edilir.
Taşınabilir
medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin
eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi
işlemi uygulanır. Ayrıca manyetik medya, özel bir cihazdan geçirilerek yüksek
değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz
hale getirilir.
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse
dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir.Kişisel verilerin anonim
hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun
tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Altın
Metal tarafından işlenen kişisel veriler anonim hale getirilmek suretiyle de
imha edilebilmektedir.
Altın
Metal tarafından işlenen tüm kişisel verilerin imhası, yukarıda gösterilen (5.2.)
saklama sebep ve amaçları doğrultusunda ilgili mevzuatta öngörülen veya
işlendikleri amaçla bağlantılı olarak saklanmasının ardından ilgili kişinin
talebiyle veya resen imha edilmektedir. İmha işlemlerinin usulü ile imha görevlileri
ve yetkilileri kuruluş içi Kişisel Veri İmha Prosedürü ile detaylı olarak
düzenlenmektedir.
Altın
Metal tarafından işlenen tüm kişisel verilerin birim ve faaliyet bazlı saklama
süreleri Altın Metal Kişisel Veri Envanteri’nde, kişisel veri kategorileri
bazlı saklama süreleri VERBİS bildiriminde yer almaktadır.
İşbu
politikada Tablo-2 ile kişisel verilerin ilgili kişi ve işlenme faaliyeti bazlı
saklama süreleri ifade edilmiştir.
Tablo-2: Kişisel Verilerin Saklama ve
İmha Süreleri
KİŞİSEL
VERİ KAYNAĞI | SAKLAMA
SÜRESİ | İMHA
SÜRESİ |
MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN
TÜM KAYITLAR | 10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
MÜŞTERİLERE İLİŞKİN KİŞİSEL VERİLER | HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN
10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
TEDARİKÇİLERE İLİŞKİN KİŞİSEL VERİLER | HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN
10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
SÖZLEŞMELER | SÖZLEŞMENİN SONA ERMESİNİ TAKİBEN 10
YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
FATURA, İRSALİYE VB. | 10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
İNSAN KAYNAKLARI SÜREÇLERİ | FAALİYETİN SONA ERMESİNİ TAKİBEN 10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
PERSONEL ÖZLÜK DOSYASINDA TUTULAN ÖZLÜK
BİLGİLERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10
YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
PERSONEL BORDRO, GİRİŞ ÇIKIŞ, YILLIK
İZİN, FAZLA ÇALIŞMA GİBİ BİLGİLER | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10
YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
PERSONELDEN İSG KAPSAMINDA TOPLANAN
VERİLER | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15
YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
PERSONEL MAHKEME/İCRA DOSYASI BİLGİLERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10
YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
PERSONEL KVKK MUVAFAKATNAMELERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15
VEYA 40 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
İŞ/STAJ BAŞVURUSU KAPSAMINDA ALINAN
BİLGİLER | BAŞVURU KABUL EDİLMEMİŞSE BAŞVURU
TARİHİNDEN İTİBAREN 1 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
KAMERA KAYITLARI | 2 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
ARAÇ LOKASYON BİLGİSİ | 6 AY | İmha Süresi takip eden ilk periyodik
imha süresinde |
VERİ SORUMLUSUNA BAŞVURU FORMU | BAŞVURU VE VARSA KURUMA İNTİKAL EDEN
ŞİKÂYET SÜRECİNİN SONA ERMESİNİ TAKİBEN 10 YIL | İmha Süresi takip eden ilk periyodik
imha süresinde |
Altın
Metal tarafından, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale
Getirilmesi Hakkında Yönetmeliğin 11. maddesi uyarınca periyodik imha süresini
6 ay olarak belirlemiştir. Bu kapsamda her yıl Nisan ve Ekim aylarında periyodik
imha işlemi gerçekleştirilmektedir.
İşbu
Politika, basılı kağıt ortamında kuruluş genel müdürünce onaylı şekilde en az 5
yıl süreyle muhafaza edilir. Ayrıca Politika elektronik ortamda kuruluş kalite
dokümanları arasında muhafaza edilir.
Politika
ayrıca Altın Metal tarafından internet sitesinde (www.altinmetal.com.tr)
yayımlanarak kamuya duyurulur.
Politika
ihtiyaç duyuldukça gözden geçirilir ve güncellenir.
Politikanın
yürürlükten kaldırılması kuruluş genel müdürünün kararıyla gerçekleşir.
Politikanın yürürlükten kalkması veya güncelliğini yitirmesi halinde eski
nüshalar genel müdür onayıyla iptal edilir.