KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI 1-GİRİŞ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI 1-GİRİŞ
1.1 Amaç
Balıkesir Yem Sanayi ve Ticaret A.Ş
“BALYEM” için müşterilerinin, potansiyel müşterilerinin,tedarikçilerinin, ziyaretçilerinin, çalışanlarının
, çalışan adaylarının, hukuki veya ticari ilişki ve/veya iş birliği içinde olduğu diğer kişi, kurum ve kuru luşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin kişisel verilerinin gizlili
ği ve güvenliği büyük önem taşımaktadır. İşbu Kişisel Verileri Saklama ve İmha Politikası’nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verileri BALYEM
tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamak ve BALYEMtarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir.
BALYEM, verilerini işlemekte olduğu kişilere ait kişisel verilerin T.C Anayasası, uluslararası söz leşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu “Kanun” ve diğer ilgili mevzuata uygun olara k işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak be- lirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, BALYEM tarafından bu doğrul- tuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
BALYEM çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tedarikçiler, müşteri adayları ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, BALYEM tarafından ki- şisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Kişisel Verilerin Korunması Kanunu kapsamında, BALYEM, kendi iş ve çalışmaları özelinde, bizzat “veri sorumlusu”dur. Politika, BALYEM’in internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
1.3 Kısaltmalar ve Tanımlar ; Periyodik İmha Süresi : Haziran/Aralık
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Xxxx Xxxx : Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Silme :
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işl emi.
Yok Etme :
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Anonim Hale Getirme :
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir ger çek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : BALYEM personeli.
Çalışan Adayı :
BALYEM’e iş fırsatları için başvuran, referans çalışanlar aracılığı ile özgeçmişini ileten veya BALYEM ta rafından açık pozisyonlarda değerlendirilmek üzere kariyer web sitelerinden/online sistemlerinden b ilgisi edinilen kişiler.
Veri ihlalleri :
Kişisel verilerin kanuna aykırı şekilde ele geçirilmesi, toplanması, değiştirilmesi, kopyalanması, dağıtıl ması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır.
Elektronik Ortam :
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği o rtamlar.
Elektronik Olmayan Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, de ğiştirilebildiği ve yazılabildiği ortamlar.
Tedarikçi : BALYEM’e
belirli bir sözleşme çerçevesinde hizmet veya mal sağlayan gerçek veya tüzel kişi ve kurumlar. Tüzel k işi tedarikçilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakl arı, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamınd adır.
Müşteri : BALYEM
veya Yetkili Satıcılarından mal veya hizmet alan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşteril erle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanla rı ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır.
Müşteri Adayı:
BALYEM’den veya Yetkili Satıcılarından mal veya hizmet alması potansiyel öngörülen gerçek veya tüz el kişi ve kurumlar. Tüzel kişi müşteri adaylarıyla olan ilişkilerde, verilerin saklanması ve imhası faaliy etinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişi sel verileri bu Politika kapsamındadır.
İlgili Kişi : Kişisel verileri işlenen kişi.
İlgili Kullanıcı :
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim h ariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve tali mat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu .
Kayıt Ortamı :
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri:
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetler ini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu ki şi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan aza mi muhafaza edilme süresini, yabancı ülkelere aktarımı, öngörülen kişisel verileri ve veri güvenliğine i lişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi :
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi depolanması, saklanması, deği ştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilm esi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul : Kişisel Verileri Koruma Kurulu Kurum : Kişisel Verileri Koruma Kurumu Özel Nitelikli Kişisel Veri:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kı yafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirl eriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha :
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek sil me, yok etme veya anonim hale getirme işlemi.
Politika : Kişisel Verileri Saklama ve İmha Politikası.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu :
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yön eltilmesinden sorumlu gerçek veya tüzel kişi.
Kişisel Verileri Koruma Komitesi:
Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, BALYEM tarafından kurulan şirket içi sorumlu birim.
Vergi Sorumluları Sicil Bilgi Sistemi :
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üze- rinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS Veri Sorumluları Sicil Bilgi Sistemi :
Yönetmelik 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. SORUMLULUK VE GÖREV DAĞILIMLARI
2.1 Kişisel Verileri Koruma Komitesi
BALYEM tarafından, Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı ka- rarlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilme si amacıyla, Kişisel Verileri Koruma Komitesi “Komite” kurulmuş olup, BALYEM’in tüm birimleri ve çalı şanları,
Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesinin ve kişisel verilerin hukuka uygun saklanmasının sağ- lanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve ida- ri tedbirlerin alınması konularında Komite’ye ve diğer sorumlu birimlere aktif olarak destek verir.
Kişisel Verileri Koruma Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gerekleri nin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi kişisel verilerin ko- runmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikinc il düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur. Politika, Komite Başkanı’nın önderliğinde, Komite tarafın dan takip edilir, yürütümü sağlanır ve güncellenir.
2.2 Veri İşleyenlerin Sorumluluğu
Kişisel verilerin BALYEM adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, v eri sorumlusu olarak BALYEM ile veri işleyen kişiler, veri güvenliğine yönelik tedbirlerin alınması kon usunda idari makamlara ve ilgili kişilere karşı Kanunen müştereken sorumlu olurlar. Bu minvalde, Ver i işleyenler asgari olarak BALYEM’in almış olduğu tedbirleri almakla ve işburada belirtilen imha sürele rine ve yöntemlerine uymakla sorumludur. BALYEM, veri sorumlusu olarak, kendisi ile kişisel verilerin i paylaşan ilgili kişilere sağladıkları güvenin; iş ortakları, tedarikçi ve yüklenicileri tarafından da aynı şe kilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin Kişisel Verilerin Korunması m evzuatına ve idari kararlar ile Yargı kararlarına uyumunu denetler.
2.3 Politikanın Yürürlüğe Sokulması
Politika, BALYEMinternet sitesinde yayınlanmasının ve/veya tüm çalışanlara duyurulmasının ardın- dan yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları BALYEM Yönetim Kurulu Kararı ile Kişisel Verileri Koruma Komitesi Başkanlığı ta- rafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile sakla nır.
Politika, yürürlüğü itibariyle tüm iş birimleri, dış hizmet sağlayıcıları (danışmanlar, tedarikçiler, alt işverenler vb) ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirle rinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu ilgili çalışanın amiri
tarafından vakit kaybetmeksizin ve en geç 24 saat içinde Kişisel Verileri Koruma Komitesi’ne bilgi veril ecektir. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendir me sonrasında gerekli idari işlem yapılacaktır.
2.4
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlar UNVAN BİRİM GÖREV
Genel Müdür | Genel Müdür | i. Çalışanların politikaya uygun hareket etme sinden sorumludur. |
Kişisel Veriler Koruma Komitesi Üyeleri | Kişisel Verileri Koruma Komitesi | i. Politika’nın hazırlanması, geliştirilmesi, yü- rütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
Komite Başkanı | Kişisel Verileri Koruma Komitesi | i. Komite Başkanı olarak Komite’nin görevleri nin yürütümünden, ii. Görevlerine uygun olarak politikanın yürüt ülmesinden, |
iii. Diğer birim sorumlularını ve çalışanları de- netlemekle sorumludur. | ||
Bilgi İşlem Memuru | Bilgi İşlem Servisi | i. Politika’nın uygulanmasında ihtiyaç duyula n teknik çözümlerin sunulmasından ve gere kliyatırımların sağlanması için yönetimin bil gilendirilmesinden, ii. Elektronik kayıt ortamlarında gerçekleştiril en silme, yok etme, anonimleştirme işlemle ri bakımından yürütüm ve iç denetimlerden sorumludur. |
Kurumsal İletişim, Satış ve Pazarlama, Finans, Lojistik , Satınalma,, Kalite G üvence Müdürlükler inin Komite’de yer alan çalışanları | Satış ve Pazarlama Müd. Muhasebe Müd. ,Lojistik Şefi, Satınalma Müd. Genel Müdür Yard. | İ.Komite görevlerinin gerçekleştirilmesinden, bu kapsamdaki görevlerine uygun olarak politikanın yürütülmesinden sorumludur. |
3. KAYIT ORTAMLARI
Kişisel veriler,
BALYEM A.Ş tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar
*Sunucular (etki alanı, yedekleme, e‐posta veri tabanı, web, dosya paylaşım vb.)
*Yazılımlar (MS Office yazılımları, portal, CRM, ERP)
*Bilgi Güvenliği Cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs v.b.)
*Kişisel bilgisayarlar (masaüstü, dizüstü)
*Mobil cihazlar (telefon, tablet vb.)
* Kapalı sistem kamera kayıt ortamı,
* Optik diskler (CD, DVD,vb.)
* Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
*Yazıcı, xxxxxxxx, fotokopi makinesi
Elektronik Olmayan Ortamlar
*Kağıt
*Manuel veri kayıt sistemleri (katılımcı formları, ziyaretçi kayıt defteri, yetkili satıcı formları, İnsan Kaynakları form ve dilekçe örnekleri vb.)
* Yazılı, basılı, görsel ortamlar
*Birim dolapları
*Arşiv alanları
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
BALYEM tarafından; müşteri, müşteri adayı, tedarikçi, alt işveren, çalışan, çalışan adayı, ziyare tçi verileri ile kurum veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiş tir.
4.1 Saklamaya İlişkin Açıklamalar
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlen en kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
4.1.1 Saklamayı Gerektiren Hukuki Sebepler
BALYEM’de ticari faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen sü re kadar muhafaza edilir. Kanunlarda böyle bir süre öngörülmemişse, ilgili veri işleme süreci ve bu sü reçte işlenen verinin olası ihtilaflarda delil vasfı da göz önüne alınarak zamanaşımı def’inin ileri sürül
mesi gereken bir hak olması nedeniyle‐ kanuni zamanaşımı süresi kadar muhafaza edilir. Bu kapsamd a kişisel veriler;
a- 6698 sayılı Kişisel Verilerin Korunması Kanunu, b-6098 sayılı Türk Borçlar Kanunu,
c- 6102 sayılı Türk Ticaret Kanunu,
d-5651 sayılı İnternet ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
e- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
f- 4857 sayılı İş Kanunu,
g- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu h-213 Sayılı Vergi Usul Kanunu
ı-Bu Kanunlar Uyarınca yürürlükte olan diğer ikincil düzenlemeler i-5977 sayılı Biyogüvenlik Kanunu
J-Yem Kanunu
çerçevesinde öngörülen saklama süreleri veya ilgili sürecin ihtilafa konu olması muhtemelse azami ol arak ilgili kanundaki zamanaşımı süresi kadar saklanmaktadır. Herhangi bir ihtilafa konu olması müm kün görülmeyen süreçlerde ise BALYEM tarafından makul süre Veri Sorumluları Sicili Hakkında Yönet melik, Kurul kararları ve rehberleri ışığında belirlenir.
Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler, BALYEM tarafından özellikle;
*Ticari faaliyetlerin sürdürülebilmesi,
* Kanuni ve sözleşmeden doğan yükümlülüklerin yerine getirilmesi.
* Şirket içi güvenlik ile işlem güvenliğinin sağlanması.
* İnsan kaynakları süreçlerinin yürütülmesi,
*Çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtile n sınırlar çerçevesinde saklanmaktadır.
*Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getiril mesini sağlamak.
*Balyem ‘in internet sitesinde ve aydınlatma metinlerinde beyan ettiği amaçlar için işlenmektedir.
İmhayı Gerektiren Sebepler Kişisel veriler;
a-İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, b-İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
c-Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
d-Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
e-Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun BALYEM tarafından kabul edilmesi,
f-Balyem’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Ka nun’da öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması b u talebin Kurul tarafından uygun bulunması,
g-Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha
uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarda, BALYEM tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5. TEKNİK ve İDARİ TEDBİRLERİ
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanun un 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde BALYEM tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
BALYEM tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmış
tır.
a-Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri
alınmaktadır.
b-Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. c-Güncel anti‐virüs sistemleri kullanılmaktadır.
d-Güvenlik duvarları kullanılmaktadır.
e-Sızma testi uygulanmaktadır.
f-Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
g-Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. h-Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
I-Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. i-Çalışanlar için yetki matrisi oluşturulmuştur.
j-Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
k-Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
5.2 İdari Tedbirler
BALYEM tarafından, işlediği Kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır; a-Kişisel veri işleme envanteri hazırlanmıştır.
b-Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
c-İlgili Kişileri Aydınlatma Yükümlülüğü Yerine Getirilmektedir.
d-Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
e-Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
f-Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. g-Mevcut risk ve tehditler belirlenmiş önlemler alınmaktadır.
h-Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
I-Kişisel veriler mümkün olduğunca azaltılmaktadır.
i-Çalışanlarla ve dış ilişkide olunan kişilerle gizlilik taahhütnameleri yapılmaktadır.
j-Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. k-İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
l-Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
m-Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
n-Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
o-Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. Ö-Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin son unda kişisel veriler, BALYEM tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Sunucularda Yer Alan Kişisel Veriler ;
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yönetici si tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365 gibi) ;
Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir.
Elektronik Ortamda Yer Alan Kişisel Veriler ;
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı y önetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hal e getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler ;
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivin den sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uy gulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler ;
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenl er, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifr eleme anahtarlarıyla güvenli ortamlarda saklanır.
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, BALYEM tarafından aşağıda verilen yöntemlerle yok edilir: Fiziksel Ortamda Yer Alan Kişisel Veriler ;
Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, arşiv alanların da yakılarak geri dönülemeyecek şekilde yok edilir.
Optik/Manyetik Medyada Yer Xxxx Xxxxsel Veriler ;
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona eren lerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılma sı suretiyle üzerindeki veriler okunamaz hale getirilir.
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişis el verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tara fından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliy et alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerç ek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7. SAKLAMA VE İMHA SÜRELERİ
7.1 Genel Esaslar
BALYEM tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
a-Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’nde ,
b-Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
c-Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Verileri Koruma Komitesi Baş kanlığınca güncellemeler yapılır.
7.2 İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Xxxxxx ve Silme‐Yok Etme Süreleri
İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini tercihen BALYEM Başvuru formunu kullanmak sure tiyle yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle BALYEM’e iletir.
BALYEM, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirle- nen tarifedeki ücret esas alınabilir.
BALYEM talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde BALYEM tarafında n gereği yerine getirilir. Başvurunun BALYEM’in hatasından kaynaklanması hâlinde alınan ücret ilgili- ye iade edilir.
İlgili kişi, işbu Politika’da BALYEM’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edil mesini talep ettiğinde;
a-Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; BALYEM talebe konu kişisel verileri
siler, yok eder veya anonim hale getirir. BALYEM, ilgili kişinin talebini en geç 30 gün içinde sonuçlandı rır ve ilgili kişiye bilgi verir.
b-Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü
kişilere aktarılmışsa BALYEM bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlem- lerin yapılmasını temin eder.
c-Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep BALYEM tarafından
gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir
7.3 Periyodik İmha
BALYEM, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tari hi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Yön etmeliğin 11 inci maddesi gereğince BALYEM, periyodik imha süresini 6 ay olarak belirlemiştir.
Buna göre, XXXXXX’xx her yıl HAZİRAN ve ARALIK aylarında periyodik imha işlemi gerçekleştirilir.
7.4 Saklama Süreleri Sona Eren Kişisel Veriler İçin Gerçekleştirilecek İşlemler
a-Kağıt ortamındaki re’sen silme, yok etme veya anonim hale getirme işlemi ilgili birimin
Müdür ’nün ve Kişisel Verileri Koruma Komite Başkanı’nın bilgisi dahilinde ilgili veri kullanıcısı çalışan tarafından, ilgili işlem tutanakla kayıt altına alınmak suretiyle gerçekleştirilir.
b-Elektronik ortamdaki re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem
Müdürlüğü tarafından (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında), söz konu su işlem kayıt altına alınmak sureti ile gerçekleştirilir.
c-
Şirket bilgisayar, telefon, e‐ mail hesabı, tablet vb. ortamda ise ilgili birimin Müdür ’nün ve Kişisel Ve rileri Koruma Komite Başkanı’nın ve Bilgi İşlem Müdürü’nün ön bilgisine sunulmak kaydı ile ilgili veri kullanıcısı çalışan tarafından yerine getirilir. Çalışanlar, iş için kendisine tahsis edilen bu elektronik or- tamlarda gerçekleştirecekleri silme, yok etme işlemlerini envantere uygun şekilde süresinde re’sen gerçekleştirmekle, saklama süresinin dolmasından önce gerçekleşen veri imha sebeplerinde ise Komi te Başkanı’nın görüş ve talimatına konuyu bildirmek ve gelecek cevaba uygun şekilde işlemleri gerçek leştirmekle bizzat sorumludur. Bilgi İşlem Memuru elektronik ortamdaki bu silme yok etme
anonimleştirme işlemlerinin kayıt altına alınması için gerekli teknik donanımı çalışana sağlamakla yü- kümlüdür.
SÜREÇ BAZINDA SAKLAMA VE İMHA SÜRELERİ
a-Genel Kurul ve Yönetim Kurulu İşlemleri hukuki saklama süresinin bitimini takip eden ilk periyodik
imha süresinde;
b-Sözleşme akdedilmesi Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde;
c-Log Kayıt Takip Sist. 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
* Çalışanların sistem ve yazılımlara tanımlanması/tahsis/erişim yetkisi verilmesi (e‐ mail adresi, kullanıcı adı, şifre, parola gibi)
*İş akdi devam ettiği sürece kontrollü olarak gerçekleştirilir. Saklama süresinin bitimini takip eden il k periyodik imha süresinde.
d-Portallere Kullanıcı Tanımlama Hukuki İlişki devam ettiği sürece Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
e-Etkinlik ve Toplantı Katılımcılarının Kaydı Etkinliğinin sona ermesini takiben 1 yıl Saklama süresinin
bitimini takip eden ilk periyodik imha süresinde;
f-Dijital Arşiv (Etkinlik ve organizasyonlarda edinilen görsel ve işitsel kayıtlar)
oluşturma tarihinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresin de;
g-Mahkeme/icra/idari merciler bilgi taleplerinin cevaplanması kanunda öngörülen saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
ğ-İnsan Kaynakları süreçleri İş akdinin sona ermesinden itibaren 15 yıl
saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
h-Çalışan Lokasyon Kayıtları Kayıttan itibaren 2 yıl saklama süresinin bitimini takip eden ilk periyodik
imha süresinde;
ı-Çalışan şirket GSM hattı kullanım ücret ve döküm kayıtları 10 yıl saklama süresinin bitimini takip
eden ilk periyodik imha süresinde;
i-Çalışan şirket akaryakıt kullanım ücret ve döküm kayıtları 10 yıl saklama süresinin bitimini takip
eden ilk periyodik imha süresinde;
j- İş Güvenliğine Yönelik belgeler
15 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
k-Toplu İş Sözleşmesi‐ Sendikal İşlemler İş Akdinin sona ermesinden itibaren 15 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
l-Çalışan Adaylarına İlişkin Veriler Başvuru tarihinden itibaren 6
ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
m-İş Sağlığı ve Güvenliği Mevzuatı kapsamında toplanan özel veriler iş yeri hekimi tarafından teslim alınır ve muhafaza edilir.
n-Çalışanlar için iş ilişkisinin sona ermesine müteakip 15 yıl; Tedarikçi çalışanları için ilişkinin sona
ermesinden itibariyle 10 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
o-Stajyer işlemleri stajın sona ermesinden itibaren 15 yıl Saklama süresinin bitimini takip eden ilk
periyodik imha süresinde;
ö-Gezi Organizasyonları Organizasyonun sona ermesinden itibaren ilk periyodik imha süresinde p-Seyahat İşlemleri Seyahat tarihinden sonraki ilk periyodik imha süresine kadar. Seyahat
süresinden sonraki ilk ilk periyodik imha süresinde;
r-KVK Süreçleri (Aydınlatma, Xxxx Xxxx, Xxxxxxx ve Şikayetler) kanunda öngörülen süre bitimini takip eden ilk periyodik imha süresinde;
s-Silme Yok Etme Anonim Hale Getirme Kayıt Süreci İşlem tarihinden itibaren 3 yıl
saklama süresinin bitimini takip eden ilk periyodik imha süresinde; ş-Posta‐ Kargo İşlem Kayıtları ile gelen/giden evrak kayıtları
2 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
t-Ziyaretçi Kayıtları 2 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
u-İş yeri Kamera Kayıtları 6 ay saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
ü-Sevkiyat Kayıtları (Kantar, Nakliye, Boşaltma, İrsaliye vb) işlem tarihinden itibaren 10 yıl saklama
süresinin bitimini takip eden ilk periyodik imha süresinde;
v-Teknik Bilgi Talepleri, Müşteri Şikayetlerinin Yanıtlanması son işlem tarihinden itibaren 10 yıl
saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
y-Sair ilgili mevzuat gereği toplanan veriler İlgili mevzuatta öngörülen süre kadar saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilir.
z-Satın alma teklif süreçleri 2 yıl ve tekliflerin sözleşme ile bağlanması sözleşmenin sona ermesini takiben 10 yıl saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
8. POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayıml anır, web sitesinde kamuya açıklanır. Basılı kağıt nüshası da Kişisel Verileri Koruma Komitesi Başkanlı ğında dosyasında saklanır.
9. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.