GÖÇMEN MAKİNA SANAYİ LİMİTED ŞİRKETİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
GÖÇMEN MAKİNA SANAYİ LİMİTED ŞİRKETİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
İÇİNDEKİLER
1. TANIMLAR VE KISALTMALAR 2
2. AMAÇ VE KAPSAM 4
2.1. AMAÇ 4
2.2. KAPSAM 4
3. SORUMLULUK VE GÖREV DAĞILIMLARI 4
4. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER 5
4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK İŞLENMESİ 5
4.1.1. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK 5
4.1.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK 6
4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI 8
4.3. İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI 8
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 8
5.1. KAYIT ORTAMLARI 8
5.2. KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ 9
5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER 9
5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR 9
5.3. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER 10
6. KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER 10
6.1. İDARİ TEDBİRLER 11
6.2. TEKNİK TEDBİRLER 12
7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ 12
7.1. KİŞİSEL VERİLERİN SİLİNMESİ 12
7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ 13
7.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ 13
8. SAKLAMA VE İMHA SÜRELERİ 13
9. PERİYODİK İMHA ZAMANLARI 15
10. POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI 15
1. TANIMLAR VE KISALTMALAR
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir. |
Xxxx Xxxx | Xxxxxxx bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Çalışan | Göçmen Makina Sanayi Limited Şirketi personelidir. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır. |
Elektronik Olmayan (Fiziki) Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır. |
Hizmet Sağlayıcı | Göçmen Makina Sanayi Limited Şirketi ile sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişilerdir. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemlerdir. |
Kurul | Kişisel Verileri Koruma Kurulu’dur. |
Kurum | Kişisel Verileri Koruma Kurumu’dur. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verilerin saklanması ve imhası politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya |
anonim hale getirme işlemidir. | |
Politika | Göçmen Makina Sanayi Limited Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası’dır. |
VERBİS | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’dir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu Politika için Göçmen Makina Sanayi Limited Şirketi’ni ifade eder. |
Göçmen Makina | Göçmen Makina Sanayi Limited Şirketi’ni ifade eder. |
Şirket | Göçmen Makina Sanayi Limited Şirketi’ni ifade eder. |
Kuruluş | Göçmen Makina Sanayi Limited Şirketi’ni ifade eder. |
2. AMAÇ VE KAPSAM
2.1. AMAÇ
Göçmen Makina Sanayi Limited Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası, Göçmen Makina’nın veri sorumlusu sıfatıyla işlemiş olduğu kişisel verilerin, kaydedilme safhası için benimsediği ilkeler ile bu kişisel verilerin saklanması ve imhası süreçlerinde uyguladığı usul ve esasları düzenlemek amacıyla hazırlanmıştır.
Göçmen Xxxxxx, kişisel verilerin işlenmesi süreçlerinin Kanun’a uygun olması ve himayesinde bulunan kişisel verilerin güvenle korunması konularında azami hassasiyet göstermektedir. Bu doğrultuda kişisel verilerin korunması alanındaki gerek yerel gerekse uluslararası mevzuat ve sözleşmelere uygun olarak kişisel veri işleme süreçlerini sürekli iyileştirme gayretindedir.
2.2. KAPSAM
Bu politikanın kapsamı, Göçmen Makina’nın kişisel verilerin kaydedilmesi safhasında riayet ettiği ilkeler ile bu kişisel verilerin güvenliğinin sağlanmasında ve imhasında benimsediği usul ve esaslardır. Bu kapsamda, Göçmen Xxxxxx tarafından gerçekleştirilen her türlü kişisel veri işleme faaliyeti ile kişisel verilerin güvenliğinin sağlanması adına alınacak tedbirlerde ve imha sürecinin yapılandırılması işlemlerinin tamamında işbu politikaya bağlı kalınacaktır.
3. SORUMLULUK VE GÖREV DAĞILIMLARI
Göçmen Makina bünyesinde bulunan tüm birimler ve çalışanlar; kuruluşun Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum kapsamında benimsenen politika ve
prosedürlerin uygulanmasında, kişisel verilerin güvenliği için alınmakta olan idari ve teknik tedbirlerin uygulanmasında, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin ilgili imhası sürecinde kuruluş politika ve prosedürlerinin uygulanmasında aktif rol alır.
Göçmen Makina tarafından çalışanları arasından atanan “KVKK Uyumluluk Temsilcisi”, kuruluşun tüm birim ve çalışanlarının kuruluş politika ve prosedürlerine uygun faaliyet göstermesini sağlar ve periyodik olarak denetler. KVKK Uyumluluk Temsilcisi, tespit ettiği aykırılıkları raporlandırarak birim amirlerine ve kuruluş genel müdürüne bildirir.
Göçmen Makina bünyesinde bulunan birim amirleri, birimlerinin kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürlerine uygunluğunu ve bu uygunluğun sürekliliğini sağlar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine birim amirleri derhal ilgili aykırılığı giderir.
Göçmen Makina genel müdürü, kuruluş bünyesindeki tüm birim ve çalışanların kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürleri ile bu alanla ilgili mevzuata uygun davranmasını sağlar. Bu kapsamda temin edilmesi gereken ürün ve hizmetlerin teminini sağlar ve gerekli görevlendirmeleri yapar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine genel müdür ilgili aykırılığın giderilip giderilmediğini denetler.
Göçmen Makina; genel müdür, birim amirleri ve KVKK Uyumluluk Temsilcisi aracılığıyla, hizmet aldığı üçüncü kişilerin kişisel verilerin korunması alanında yükümlülüklerini yerine getirmesi ve veri güvenliğine ilişkin tedbir planlama ve uygulamalarını yapması amacıyla farkındalığını arttırıcı faaliyet ve bildirimler gerçekleştirir.
4. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER
4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK
İŞLENMESİ
Göçmen Makina tarafından kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi faaliyetlerinde; aşağıda bahsi geçen (4.1.1.) temel ilkelere, (4.1.2.) işleme şartlarına ve (4.1.3.) özel nitelikli kişisel verilerin işlenme şartlarına uygun davranılmaktadır.
4.1.1. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK
Göçmen Xxxxxx tarafından kişisel verilerin işlenmesi kapsamındaki tüm faaliyetlerde aşağıda sıralanarak açıklanan ilkeler benimsenmektedir:
4.1.1.1. Kişisel Verileri Hukuka ve Dürüstlük Kuralına Uygun Olarak İşleme;
Göçmen Makina, kişisel verilerin işlenmesi faaliyetlerinde evrensel insan haklarına,
T.C. Anayasası’na, kişisel verilerin korunması alanındaki mevzuata ve dürüstlük kurallarına uygun davranmaktadır.
4.1.1.2. İşlenen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama;
Göçmen Makina, işlenen kişisel verilerin ilgili kişi bakımından doğru ve güncel olmasını sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve bu doğrultuda gelebilecek bildirimler için iletişim kanalları öngörerek düzenli olarak kontrollerini sağlamaktadır.
4.1.1.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme;
Göçmen Makina, kişisel veri işleme faaliyetleri kapsamındaki amaçlarını veri işleme faaliyeti başlamadan belirlemekte ve ilgili kişiye bildirmektedir. Bu amaçların belirlenmesinde ve bildirilmesinde hukuk normlarına uygun hareket etmektedir.
4.1.1.4. Kişisel Verilerin İşlendiği Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak Kullanılmasını Temin Etme;
Göçmen Makina, işlenen kişisel verilerin işlenme amacıyla bağlantılı, sınırlı ve ölçülü olması yönünde gerekli çalışmaları yapmaktadır. Bu kapsamda işlenen kişisel verilerin mümkün olduğunca azaltılması gerekliliğine uygun hareket etmekte ve kişisel verileri ileride kullanılabileceği varsayımına binaen işlememektedir. İlgili kişiye bildirilen veri işleme amacı dışında herhangi bir kişisel veri işleme faaliyeti gerçekleştirilmemektedir.
4.1.1.5. Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşleme Amacıyla Bağlantılı Olan Sürelerle Muhafaza Etme;
Göçmen Makina, işlemiş olduğu kişisel verilerin saklanma sürelerini mevzuatta öngörülen süreler veya işleme amacıyla bağlantılı olan sürelerle muhafaza etmektedir. Anılan sürelerin sona ermesi veya kişisel veri işlemeye dayanak olan sebebin ortadan kalkması hallerinde ilgili kişisel veriler silmek, yok etmek veya anonim hale getirmek suretiyle imha edilmektedir.
4.1.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK
Göçmen Makina tarafından kişisel verilerin işlenmesi faaliyetlerinde, Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanan şartlara uygun davranılmaktadır:
4.1.2.1. Xxxxxx Xxxxxxx Açık Rızası Şartına Uygun Olarak Kişisel Veri İşleme;
Göçmen Makina tarafından kişisel veri sahibinin, hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde açık ve yalnızca ilgili olan işlemle sınırlı olan rızası ile kişisel veri işlenmektedir.
4.1.2.2. Kanunlarda Açıkça Öngörülmüş Olmasına Dayanarak Kişisel Veri İşleme;
Göçmen Xxxxxx tarafından kanunlarda açıkça öngörülmesi halinde, kanunda öngörülen amaç ve sürelerle sınırlı olarak kişisel veri işlenmektedir.
4.1.2.3. Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması Hukuki Sebebine Dayalı Kişisel Veri İşleme;
Göçmen Makina tarafından kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise bu hukuki sebebe dayanılarak kişisel veri işlenmektedir.
4.1.2.4. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla Sözleşme Tarafının Kişisel Verisini İşleme;
Göçmen Xxxxxx tarafından bir sözleşmenin kurulması veya edimin yerine getirilmesiyle doğrudan ilişki içerisinde olan sözleşme tarafına ait kişisel veriler işlenmektedir.
4.1.2.5. Göçmen Makina’nın Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olan Kişisel Verileri İşleme;
Göçmen Makina tarafından hukuki yükümlülüğü bulunan bir faaliyetin yerine getirilmesi için zorunlu olan kişisel veriler, hukuki yükümlülüğün gerektirdiği amaç, şekil ve süre ile sınırlı olarak işlenmektedir.
4.1.2.6. Kişisel Veri Sahibi Tarafından Alenileştirilmiş Kişisel Verileri İşleme;
Göçmen Xxxxxx tarafından kişisel veri sahibince alenileştirilmiş olan kişisel veriler, alenileştirilme amacına uygun olarak işlenmektedir.
4.1.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Kişisel Verileri İşleme;
Göçmen Xxxxxx tarafından bir hakkın tesisi, kullanılması veya korunması için zorunlu olan kişisel veriler, ilgili zorunlulukla paralel olarak işlenmektedir.
4.1.2.8. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla, Kişisel Veri İşlemenin Göçmen Makina’nın Meşru Menfaatleri İçin Zorunlu Olması Sebebine Dayanarak Kişisel Verileri İşleme;
Göçmen Xxxxxx tarafından, meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise kişisel veriler işlenebilmektedir. Burada meşru menfaat ile veri sahibinin temel hak ve özgürlükleri arasında denge ve orantılılık kriterleri dikkate alınmaktadır.
4.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK
Göçmen Xxxxxx tarafından Kurul’un belirlemiş olduğu gerekli önlemler alınarak özel nitelikli kişisel veriler işlenebilmektedir.
4.1.3.1. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Göçmen Makina tarafından sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rızası ile veya kanunlarda öngörülen hallerde işlenebilmektedir.
4.1.3.2. Sağlık Verilerinin İşlenmesi
Göçmen Xxxxxx tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hali,
Kişisel veri sahibinin açık rızasının varlığı hali.
4.1.4. KİŞİSEL VERİLERİN AKTARILMASINDA AKTARIM ŞARTLARINA UYGUNLUK
Göçmen Xxxxxx tarafından gerçekleştirilen kişisel veri aktarım faaliyetlerinde Kanun’un 8. ve 9. maddelerine uygun davranılmaktadır.
4.1.4.1. Kişisel Verilerin Yurtiçine Aktarılması
Göçmen Xxxxxx tarafından kişisel veriler, Kanun’un 8. maddesi uyarınca 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak yurtiçine aktarılabilmektedir.
4.1.4.2. Kişisel Verilerin Yurtdışına Aktarılması
Göçmen Xxxxxx tarafından Kanun’un 9. maddesi uyarınca kişisel veriler; 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak işlenmesi ve aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kurul’un izninin bulunması halinde yurtdışına aktarılabilmektedir.
4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI
Göçmen Makina tarafından Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, kişisel veri sahipleri, kişisel verilerinin elde edilmesi sırasında sunulan aydınlatma metinleri vasıtasıyla bilgilendirilmektedir. Bu aydınlatma metinlerinde; kuruluş unvanı, kişisel veri işleme amacı, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 10. maddesinde sayılan haklarına yer verilmektedir.
4.3. İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI
Göçmen Makina tarafından kişisel veri sahiplerince Kanun’un 11. maddesi kapsamındaki haklarının kullanılması amacıyla Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılan başvurular en kısa sürede ve en geç otuz gün içerisinde yanıtlanmaktadır.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
5.1. KAYIT ORTAMLARI
Göçmen Makina tarafından işlenen kişisel veriler Tablo-1’de listelenen kayıt ortamlarında gerekli güvenlik önlemleri alınmak suretiyle saklanır.
Tablo-1: Kişisel Veri Saklama Ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
- Sunucular: Server, Yedekleme Cihazları, E- posta, Veri Tabanı, Web, Dosya Paylaşım vb. - Yazılımlar: Ofis Yazılımları, İş Takip ve Muhasebe Programları vb. - Bilgi Güvenliği Cihazları: Antivirüs, Firewall vb. - Kişisel Bilgisayarlar - Mobil Cihazlar: Telefon, Tablet vb. - Optik Diskler: CD, DCD, VCD vb. - Taşınabilir Bellekler: USB, Hafıza Kartı vb. - Yazıcı, Tarayıcı, Fotokopi Makinesi | - Kağıt - Manuel Veri Kayıt Sistemleri: Form, Ajanda, Ziyaretçi Defteri vb. - Yazılı, basılı, görsel ortamlar |
5.2. KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ
Göçmen Xxxxxx tarafından çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, hizmet alınan üçüncü kişiler ve bu kişilerin çalışanları, müşteriler ve bu kişilerin çalışanları, hissedarlar ile kurum ve kuruluş çalışanlarının kişisel verileri Kanun’a uygun olarak saklanır ve imha edilir.
5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Göçmen Xxxxxx tarafından yürütmüş olduğu faaliyetler çerçevesinde 4.1.2. ve 4.1.3’te sayılan şartlara (hukuki sebeplere) uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
4857 sayılı İş Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
213 sayılı Vergi Usul Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
Kanserojen veya Mutajen Maddelerle Çalışmalarda Sağlık Ve Güvenlik Önlemleri Hakkında Yönetmelik,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,
Kurul karar ve görüşleri ile politikaları,
İlgili ticari teamüller
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR
Göçmen Makina tarafından, yürütmüş olduğu faaliyetler çerçevesinde 4.1.’de öngörülen ilke ve şartlara uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Acil durum ve bilgi güvenliği süreçlerinin yürütülmesi,
Çalışan ve çalışan adayları için insan kaynakları ve iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
Denetim, etik ve eğitim faaliyetlerinin yürütülmesi,
Erişim yetkilerinin ve görevlendirme faaliyetlerinin yürütülmesi,
Faaliyetlerin mevzuata uygun yürütülmesi,
Finans, muhasebe, pazarlama, hizmet veya ürün alım/satım, destek ve bağlılık süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yerine getirilmesi,
Saklama ve arşiv faaliyetlerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi,
Sponsorluk ve sosyal sorumluluk faaliyetlerinin yürütülmesi,
Talep ve şikayetlerin takibi,
Taşınır mal ve fiziksel mekan güvenliğinin sağlanması,
Yetkili kişi veya kurumlara bilgi verilmesi ve doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılması,
Yönetim faaliyetinin yürütülmesi,
Ziyaretçi kayıtlarının oluşturulması amaçlarıyla işlenebilmektedir.
5.3. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER
Göçmen Xxxxxx tarafından işlenen kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Göçmen Xxxxxx tarafından kabul edilmesi,
Xxxxxx xxxx tarafından; kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, ilgili kişinin talebi üzerine veya resen silinir, yok edilir veya anonim hale
getirilir.
6. KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER
Göçmen Xxxxxx tarafından; kişisel veri işlenmesi faaliyetlerine ilişkin tüm süreçler yeniden yapılandırılmış olup kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi amaçlarıyla, mevzuat ve Kurul kararlarınca gerekli görülmüş idari ve teknik tedbirlerin alınmasında azami gayret gösterilmektedir. Kişisel verilerin güvenliğinin sağlanmasına verilen öneme binaen Göçmen Makina bünyesinde aşağıda öngörülen idari ve teknik tedbirler alınmaktadır.
6.1. İDARİ TEDBİRLER
Göçmen Xxxxxx tarafından işlenen kişisel verilerin korunması için alınan idari tedbirler
şöyledir:
Çalışanların kişisel verilerin korunması alanında farkındalıklarının ve tutumlarının geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi ve beceri, 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Yürütülen faaliyetlerde işlenen kişisel verilere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce Kuruluş tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Kişisel verilerin korunması alanındaki mevzuata ve kuruluş politika ve prosedürlerine uyumluluğun tespitine ilişkin kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Çalışanlar için görevlendirme, yetki ve erişim prosedürü hazırlanarak çalışanlar arasında kişisel veri içeren alanlara erişim konusunda yetkilendirmeler yapılmıştır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmelerde veri güvenliği hükümlerine yer verilmektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş olup uygulanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
6.2. TEKNİK TEDBİRLER
Göçmen Xxxxxx tarafından işlenen kişisel verilerin korunması için alınan teknik tedbirler şöyledir:
Kuruluşun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar şifreleme yöntemleri kullanılarak muhafaza edilmekte, şifreler güvenli ortamlarda tutulmakta, ortamların güvenlik güncellemeleri sürekli takip edilmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmekte ve şifreler farklı ortamda tutulmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların ilgili alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Ağ güvenlik duvarları kullanılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
Göçmen Xxxxxx tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlenme amacıyla bağlantılı olan saklama sürelerinin sona ermesini takip eden periyodik imha süresinde imha edilir. İmha teknikleri silme, yok etme veya anonim hale getirmedir.
7.1. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesinde kullanılan yöntemler şunlardır:
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi (kuruluşun bilişim hizmetini sağlayan kişi) hariç diğer çalışanlar (ilgili kullanıcılar) için silmek suretiyle hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesinde kullanılan yöntemler şunlardır:
Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinden geçirilerek veya yakılarak geri döndürülemeyecek şekilde yok edilir.
Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca manyetik medya, özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
7.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri
sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Göçmen Xxxxxx tarafından işlenen kişisel veriler anonim hale getirilmek suretiyle de imha edilebilmektedir.
8. SAKLAMA VE İMHA SÜRELERİ
Göçmen Xxxxxx tarafından işlenen tüm kişisel verilerin imhası, yukarıda gösterilen (5.2.) saklama sebep ve amaçları doğrultusunda ilgili mevzuatta öngörülen veya işlendikleri amaçla bağlantılı olarak saklanmasının ardından ilgili kişinin talebiyle veya resen imha edilmektedir. İmha işlemlerinin usulü ile imha görevlileri ve yetkilileri kuruluş içi Kişisel Veri İmha Prosedürü ile detaylı olarak düzenlenmektedir.
Göçmen Makina tarafından işlenen tüm kişisel verilerin birim ve faaliyet bazlı saklama süreleri Göçmen Makina Kişisel Veri Envanteri’nde, kişisel veri kategorileri bazlı saklama süreleri VERBİS bildiriminde yer almaktadır.
İşbu politikada Tablo-2 ile kişisel verilerin ilgili kişi ve işlenme faaliyeti bazlı saklama süreleri ifade edilmiştir.
Tablo-2: Kişisel Verilerin Saklama ve İmha Süreleri HER ŞİRKETTE GÜNCELLENECEK
KİŞİSEL VERİ KAYNAĞI | SAKLAMA SÜRESİ | İMHA SÜRESİ |
MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN TÜM KAYITLAR | 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
MÜŞTERİLERE İLİŞKİN KİŞİSEL VERİLER | HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
TEDARİKÇİLERE İLİŞKİN KİŞİSEL VERİLER | HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
SÖZLEŞMELER | SÖZLEŞMENİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
SÖZLEŞMEDEN KAYNAKLI İLİŞKİLERDE İŞLENEN KİŞİSEL VERİLER | SÖZLEŞME İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
FATURA, İRSALİYE VB. | 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
İNSAN KAYNAKLARI SÜREÇLERİ | FAALİYETİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
PERSONEL ÖZLÜK DOSYASINDA TUTULAN ÖZLÜK BİLGİLERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
PERSONEL BORDRO, GİRİŞ ÇIKIŞ, YILLIK İZİN, FAZLA ÇALIŞMA GİBİ BİLGİLER | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
PERSONELDEN İSG KAPSAMINDA TOPLANAN VERİLER | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
KANSEROJEN VEYA MUTAJEN MADDEYE MARUZ KALAN PERSONELDEN İSG KAPSAMINDA TOPLANAN VERİLER | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 40 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
PERSONEL MAHKEME/İCRA DOSYASI BİLGİLERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
PERSONEL KVKK MUVAFAKATNAMELERİ | İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 VEYA 40 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
İŞ/STAJ BAŞVURUSU KAPSAMINDA ALINAN BİLGİLER | BAŞVURU KABUL EDİLMEMİŞSE BAŞVURU TARİHİNDEN İTİBAREN 1 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
ZİYARETÇİ KAYITLARI | 2 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
KAMERA KAYITLARI | 2 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
ARAÇ LOKASYON BİLGİLERİ | 6 AY | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
VERİ SORUMLUSUNA BAŞVURU FORMU | BAŞVURU VE VARSA KURUMA İNTİKAL EDEN ŞİKAYET SÜRECİNİN SONA ERMESİNİ TAKİBEN 10 YIL | Saklama süresinin bitimini takip eden i lk periyodik imha süresinde |
9. PERİYODİK İMHA ZAMANLARI
Göçmen Makina tarafından, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi uyarınca periyodik imha süresini 6 ay olarak belirlemiştir. Bu kapsamda her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilmektedir.
10. POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI
İşbu Politika, basılı kağıt ortamında kuruluş genel müdürünce onaylı şekilde en az 5 yıl süreyle muhafaza edilir. Ayrıca Politika elektronik ortamda kuruluş kalite dokümanları arasında muhafaza edilir.
Politika ayrıca Göçmen Makina tarafından internet sitesinde (xxx.xxxxxx.xxx.xx) yayımlanarak kamuya duyurulur.
Politika ihtiyaç duyuldukça gözden geçirilir ve güncellenir.
Politikanın yürürlükten kaldırılması kuruluş genel müdürünün kararıyla gerçekleşir. Politikanın yürürlükten kalkması veya güncelliğini yitirmesi halinde eski nüshalar genel müdür onayıyla iptal edilir.