BONDED KAYIT SİSTEMLERİ DAĞITIM
BONDED KAYIT SİSTEMLERİ DAĞITIM
HİZMETLERİ VE TİCARET A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ Hata! Yer işareti tanımlanmamış.
1.1. Xxxx Xxxx! Yer işareti tanımlanmamış.
1.2. Kapsam Xxxx! Yer işareti tanımlanmamış.
1.3. Kısaltmalar ve Tanımlar Hata! Yer işareti tanımlanmamış.
2. SORUMLULUK VE GÖREV DAĞILIMLARI Hata! Yer işareti tanımlanmamış.
3. KAYIT ORTAMLARI 5
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 6
4.1. Saklamayı Gerektiren Hukuki Sebepler Hata! Yer işareti tanımlanmamış.
4.2. Saklamayı Gerektiren İşleme Amaçları 7
4.3. İmhayı Gerektiren Sebepler Hata! Yer işareti tanımlanmamış.
5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI 8
5.1. İdari Tedbirler 9
5.2. Teknik Tedbirler 9
5.3. Kişisel Veri Güvenliği İhlal Olayları Yönetimi 10
5.4. Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetlerinin Yürütülmesi 11
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 11
7. SAKLAMA VE İMHA SÜRELERİ 11
8. PERİYODİK İMHA SÜRESİ 12
9. İLGİLİ KİŞİ BAŞVURU SÜREÇLERİ 12
10. GÖZDEN GEÇİRME 12
11. YÜRÜRLÜK 12
BONDED KAYIT SİSTEMLERİ DAĞITIM HİZMETLERİ VE TİCARET A.Ş. KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI VE İMHA POLİTİKASI
1. GİRİŞ
1.1. Amaç
Bu Politika’nın amacı; Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’de işlenen kişisel verilerin, korunması çalışmalarının başında kişisel veri olarak çeşitli amaç ve kanallardan Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. bünyesine gelen yazılı, basılı ya da elektronik ortamdaki kişisel verilerin tespiti ve uygun kontrollerin tesis edilmesi, bu verilerin saklanmasına ilişkin gereken güvenli ortamların hazırlanması ve bu verilere erişimin kısıtlı sayıda ve yetkili kişiler tarafından gerçekleştirildiğinden emin olunması ile Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’de işlenen kişisel verilerin, işlendikleri amaç için gerekli olan azami süreler ile silinme, yok edilme ya da anonim hale getirilme süreçlerinin belirlenmesi ve bu süreçlerde görev alacak kişilerin rol ve sorumluluklarının tanımlanması ve kişisel veri ihlal olaylarının yönetiminin belirlenmesidir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2. Kapsam
Bu Politika’nın kapsamı; Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. çalışanları, çalışan adayları, hizmet sağlayıcıları, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin gizliliği, mahremiyeti konusunda kişisel verilerin korunması amacıyla gereken güvenlik önlemlerinin alınması ve kontrollerin uygulanması, kişisel verilerin azami saklama süreleri, kişisel verilerin hukuka uygun olarak saklanması, imha edilmesi için alınmış teknik ve idari tedbirler, kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetleri oluşturmaktadır. Bu kapsamda yukarıda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi, sadece bir takım hükümleri de uygulanabilecektir.
1.3. Tanımlar
Politika’da kullanılan terimlere ait tanımlar aşağıda yer almaktadır.
Xxxx Xxxx | Xxxxxxx bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Başkanlık | Kişisel Verileri Koruma Kurumu Başkanlığı |
Çalışan | Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. personeli |
Bonded A.Ş. | Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Hizmet Sağlayıcı | Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. ile belirli süreli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
KEP | Kayıtlı Elektronik Posta |
Kayıtlı Elektronik Posta | Gönderici ve alıcı kimliklerinin belli olduğu, gönderi zamanının ve içeriğinin değiştirilemediği, uyuşmazlık durumunda hukuki geçerliliği olan güvenli elektronik posta hizmeti. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tülü bilgi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu |
Kanun | Kişisel Verilerin Korunması Kanunu |
Kişisel Verilerin Korunması Komitesi | Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından atanmış Kişisel Verilerin Korunması Kanunu ve alt düzenlemeleri kapsamında oluşturulmuş süreçlerin idari takibini yapmak üzere oluşturulan komite. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanunda yer alan verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. Kişisel Verileri Saklama ve İmha Politikası. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi olarak Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. |
Veri Sorumluları Sicil Bilgi Sistemi | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS | Veri Sorumluları Sicili Bilgi Sistemi |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.
2. SORUMLULUK VE GÖREV DAĞILIMLARI
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’nin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
3. KAYIT ORTAMLARI
Kişisel veriler, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 1: Kişisel Veri Saklama Ortamları
Elektronik Kayıt Ortamları | Fiziki Kayıt Ortamları |
⮚ Sunucular (Etki alanı, yedekleme, e- posta, veritabanı, web, dosya paylaşım vb.) ⮚ Yazılımlar (Ofis yazılımları, , …………, VERBİS.) | ⮚ Kağıt ⮚ Manuel veri kayıt sistemleri (anket formları, ziyaretçi girişi defteri) ⮚ Yazılı, basılı, görsel ortamlar |
⮚ Bilgi güvenliği cihazları ( güvenlik duvarları, saldırı tespit ve engelleme, anti virüs vb.) ⮚ Kişisel bilgisayarlar (Masaüstü, dizüstü) ⮚ Mobil cihazlar (telefon, tablet vb) ⮚ Optik diskler (CD,DVD vb.) ⮚ Çıkartılabilir bellekler (USB,Hafıza Kart vb.) ⮚ Yazıcı, tarayıcı, fotokopi makinesi | ⮚ Arşiv, Ofis Saklama Dolapları gibi kişisel verilerin fiziki olarak saklandığı ortamlar |
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret X.X. tarafından; çalışanlar, çalışan adayları, ziyaretçiler, müşteriler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Bu kapsamda Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. faaliyetleri çerçevesinde kişisel verileri 5/1, 5/2-a, 5/2-b, 5/2-c, 5/2-ç, 5/2-e, 5/2-f ve 6/3 maddelerine istinaden işlemekte, ilgili mevzuatta öngörülen süre kadar veya işleme amaçlarına uygun süre kadar saklanmaktadır.
⮚ 5/1 Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
⮚ 5/2-a Kanunlarda açıkça öngörülmesi.
⮚ 5/2-b Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
⮚ 5/2-c Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
⮚ 5/2-ç Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
⮚ 5/2-e Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
⮚ 5/2-f İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
⮚ 6/3 Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
4.1. Saklamayı Gerektiren Hukuki Sebepler
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’de, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
⮚ 6098 Sayılı Türk Borçlar Kanunu
⮚ 6102 Sayılı Türk Ticaret Kanunu
⮚ 4721 Sayılı Türk Medeni Kanunu
⮚ 6698 Sayılı Kişisel Verilerin Korunması Kanunu
⮚ 6502 Sayılı Tüketicinin Korunması Hakkında Kanunu
⮚ 4857 Sayılı İş Kanunu
⮚ 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu ve ilgili Yönetmelikler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.2. Saklamayı Gerektiren İşleme Amaçları
⮚ Acil Durum Yönetimi Süreçlerinin Yürütülmesi
⮚ Bilgi Güvenliği Süreçlerinin Yürütülmesi
⮚ Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
⮚ Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
⮚ Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
⮚ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
⮚ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
⮚ Denetim / Etik Faaliyetlerinin Yürütülmesi
⮚ Eğitim Faaliyetlerinin Yürütülmesi
⮚ Erişim Yetkilerinin Yürütülmesi
⮚ Faaliyetlerin Mevzuata Uygun Yürütülmesi
⮚ Finans Ve Muhasebe İşlerinin Yürütülmesi
⮚ Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
⮚ Fiziksel Mekan Güvenliğinin Temini
⮚ Görevlendirme Süreçlerinin Yürütülmesi
⮚ Hukuk İşlerinin Takibi Ve Yürütülmesi
⮚ İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
⮚ İletişim Faaliyetlerinin Yürütülmesi
⮚ İnsan Kaynakları Süreçlerinin Planlanması
⮚ İş Faaliyetlerinin Yürütülmesi / Denetimi
⮚ İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
⮚ İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
⮚ İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
⮚ Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
⮚ Mal / Hizmet Satış Süreçlerinin Yürütülmesi
⮚ Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
⮚ Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
⮚ Performans Değerlendirme Süreçlerinin Yürütülmesi
⮚ Risk Yönetimi Süreçlerinin Yürütülmesi
⮚ Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
⮚ Sözleşme Süreçlerinin Yürütülmesi
⮚ Talep / Şikayetlerin Takibi
⮚ Taşınır Mal Ve Kaynakların Güvenliğinin Temini
⮚ Ücret Politikasının Yürütülmesi
⮚ Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
⮚ Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
⮚ Yatırım Süreçlerinin Yürütülmesi
⮚ Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
⮚ Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
⮚ Yönetim Faaliyetlerinin Yürütülmesi
⮚ Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
4.3. İmhayı Gerektiren Sebepler
Kişisel veriler;
⮚ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
⮚ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
⮚ Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
⮚ Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından kabul edilmesi,
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’nin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
⮚ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. Kanunun 12 inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda
gerekli denetimleri yapmak veya yaptırmaktadır. Kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanunda öngörülen tedbirlere uygun olarak hareket edilmektedir.
5.1. İdari Tedbirler
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş., Kişisel Verilerin Korunması hukukuna ilişkin olarak çalışanlarını eğitmekte ve bilinçlendirilmelerini sağlamaktadır.
⮚ Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
⮚ Çalışanların güvenlik politikalarına uymaması durumunda disiplin süreci işletilmektedir.
⮚ Kişisel verilerin aktarıma konu olduğu durumlarda, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi temin edilir.
⮚ Kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
⮚ Belirli aralıklarla tedarikçi veri işleyen denetimi uygulanmaktadır. “Tedarikçi Değerlendirme Formu” üzerinden süreç işletilmektedir.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından VERBİS sistemine uyumlu Kişisel Veri İşleme Envanteri çıkarılarak, burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenmekte ve periyodik olarak gözden geçirilerek gerektiğinde güncellenmektedir. Bu kapsamda, Kanunda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
⮚ Gözden geçirme sonucunda, ihtiyaç duyulmayan kişisel veriler, “Kişisel Veri Saklama Ve İmha Politikası” ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmektedir.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. Kanuna uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit ederek, “Kişisel Veri Saklama ve İmha Politikası”nı düzenler ve periyodik olarak gözden geçirerek gerektiğinde günceller. Kişisel veri ihlal olayları için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.
5.2. Teknik Tedbirler
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenip, iyileştirilir.
⮚ Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
⮚ Güvenliği temin edecek yazılım ve sistemler kurulur.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
⮚ Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
⮚ Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
⮚ Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.
⮚ Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
5.3. Kişisel Veri Güvenliği İhlal Olayları Yönetimi
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, işlenen kişisel verilerin idari ve teknik tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi/ifşası durumunda;
⮚ Kişisel veri güvenliği ihlal olaylarına hızlı etkili ve düzenli şekilde cevap verebilmek için kişisel veri güvenliği ihlal olayları karşısında çalışan öncelikli ve gerçek sorumludur. Böyle bir durumda çalışan öncelikli olarak xxxxxx.xxx.xx adresine durumu bildirmekle yükümlüdür.
⮚ Kanun çerçevesinde yayımlanmış olan yönetmeliklerde belirtilen hükümlere aykırı düşen ve kuralları ihlal eden tutum, davranış ve olayların ortaya çıkması durumunda izlenecek süreçler ve gerekliliklerine uymayan çalışanlara karşı “İhlal Bildirim Tutanağı” tutularak “Disiplin Politikası” işletilmektedir.
⮚ Tespiti yapılan olay ile ilgili kurum dışı birim ya da firmalardan destek alınması gereken durumlarda iletişimi kurmak ve sağlamak konusunda öncelikli sorumluluk VERBİS’e kayıt edilmiş irtibat kişisidir.
⮚ İrtibat kişisi ihlal ve olay bildirimini ilgili kişiye ve Kurula 72 saat içinde bildirmekle yükümlüdür.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş., söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmakla yükümlüdür.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. bildirimin 72 saat içinde yapılamaması durumunda, Kurula haklı bir gerekçe ile yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula bildirmekle yükümlüdür.
⮚ Kurula yapılacak bildirimde Kurulun yayınlamış olduğu “Kişisel Veri İhlal Bildirim Form”u kullanılacaktır.
⮚ Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanacaktır.
⮚ Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulacaktır.
5.4. Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetlerinin Yürütülmesi
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik ve idari tedbirlerin işleyişi denetlenmekte ve işleyişin devamını sağlayacak uygulamalar yürütülmektedir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. bünyesinde KVK Komitesi’ne ve ilgili departmana raporlanmaktadır. Denetim sonuçları doğrultusunda verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler yürütülür.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
7. SAKLAMA VE İMHA SÜRELERİ
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
⮚ Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
⮚ Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
⮚ Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi gerçekleştirilir.
Tablo 2: Süreç bazında saklama ve imha süreleri tablosu
SÜREÇ | SAKALAMA SÜRESİ | İMHA SÜRESİ |
Sözleşmeler | Sözleşme süresinin bitiminden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Özlük Dosyası | İş akdinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sağlık Verileri | İş akdinin sona ermesinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları | 4 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Müşteri Bilgileri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
8. PERİYODİK İMHA SÜRELERİ
Yönetmeliğin 11 inci maddesi gereğince Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9. İLGİLİ KİŞİ BAŞVURU SÜREÇLERİ
Kanunda ilgili kişi olarak tanımlanan kişisel veri sahiplerine, Kanunun 11 inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.
Kanunun 13 üncü maddesinin birinci fıkrası uyarınca; veri sorumlusu olan Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kurul tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.
Bu çerçevede “yazılı” olarak Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.’ye yapılacak başvurular, başvuru formunun çıktısı alınarak;
⮚ Başvuru Sahibinin şahsen başvurusu ile,
⮚ Noter vasıtasıyla,
⮚ İadeli taahhütlü posta yoluyla kimlik doğrulamak suretiyle,
⮚ KEP adresi vasıtasıyla (xxxxxxxxxxxxxxxxxxxxx@xx00.xxx.xx) tarafımıza iletilebilecektir.
10. GÖZDEN GEÇİRME
İşbu Politika, Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. KVK Komitesi tarafından her yıl en az 1 (bir) defa gözden geçirilerek gerekli olması halinde güncellenecektir. İşbu Politika’nın yürürlüğe girmesi, değiştirilmesi, yürütülmesi ve yürürlükten kaldırılması hususlarında Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş. yetkili ve sorumludur.
11. YÜRÜRLÜK
Bu politika üst yönetim tarafından onaylanmış ve 14/01/ 2020 tarihi itibariyle yürürlüğe girmiştir.
Bonded Kayıt Sistemleri Dağıtım Hizmetleri ve Ticaret A.Ş.