SİSTAŞ SAYISAL İLETİŞİM SANAYİ VE TİCARET A.Ş KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
Tarih: ……
SİSTAŞ SAYISAL İLETİŞİM SANAYİ VE TİCARET A.Ş KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
Her zaman muhataplarına en iyi hizmeti sunmayı hedef edinmiş olan Sistaş Sayısal İletişim Sanayi ve Ticaret A.Ş (Bundan sonra “Şirket” veya “SİSTAŞ” olarak anılacaktır) , kişilerin mahremiyetlerinin korunmasına hizmet eden ve Anayasamızın 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatla ortaya konan “kişisel verilerin korunmasına” özel bir önem atfetmektedir. Bu kapsamda sunduğumuz hizmet ve ticari faaliyetlerimiz sebebiyle kişisel verilerine vakıf olduğumuz çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, müşterilerimizin, tedarikçilerimizin, iş yeri hekimimizin ve iş ilişkisi kurduğumuz kurumların çalışanlarının ve üçüncü kişilerin kişisel verilerinin saklanmasına ve imhasına ilişkin usul ve esaslar bu Politika’da ortaya konmuştur.
2. TANIMLAR
Kanun, KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kurul | Kişisel Verileri Koruma Kurulu |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Çalışan | Şirketimiz ile akdedilmiş olan iş sözleşmesi hükümleri gereğince hizmet veren gerçek kişiler |
Çalışan Adayı | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini sitemizin incelemesine açmış olan gerçek kişiler |
Stajyer | Mesleki Eğitim Kanunu uyarınca “Yükseköğretim Kurulunca, yükseköğretim kurumlarında verilmekte olan her düzeydeki alana özgü olarak belirlenen teorik ve uygulamalı dersler dışında, öğrencilerin öğretim programlarıyla kazandırılması öngörülen mesleki bilgi, beceri, tutum ve davranışlarını geliştirmeleri, sektörü tanımaları, iş hayatına uyumları, gerçek üretim ve hizmet ortamında yetişmeleri amacıyla işletmede yaptıkları mesleki çalışma” faaliyetini gerçekleştirmek amacıyla şirketimizde staj yapan öğrenci. |
Xxxx Xxxx | Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Ziyaretçi | Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri |
sorumlusudur | |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Veri Sahibi/ Veri İlgilisi | Kişisel verisi işlenen gerçek kişiler |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü kayıt ortamı |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Xxxxxx Xxxx Getirme | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir |
3. KİŞİSEL VERİ KAYIT ORTAMLARI
Sistaş Sayısal İletişim Sanayi ve Ticaret A.Ş nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlüklerimize uygun kayıt ortamlarında saklanmaktadır. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibarıyla aşağıdaki tabloda gösterildiği şekildedir.
Elektronik Ortamlar | Basılı Evrak Ortamları |
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) - Yazılımlar (ofis yazılımları, portal,) - Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) - Video Kaydı ve Ses Kaydı - Kişisel bilgisayarlar (Masaüstü, dizüstü) - Mobil cihazlar (telefon, tablet vb.) - Optik diskler (CD, DVD vb.) - Çıkartılabilir bellekler (USB, Hafıza Kart vb.) - Yazıcı, tarayıcı, fotokopi makinesi | - Kâğıt - Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) - Yazılı, basılı, görsel ortamlar |
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
4.1. Kişisel Verilerin Saklanması
Şirketimiz kişisel verilerin saklanması hususunda Anayasa ile belirlenmiş ilkeler çerçevesinde, KVKK ve alt mevzuatı ile KVK Kurulu’nun karar ve uygulamalarına uygun davranmaktadır. Bu kapsamda kişisel veriler veri sahiplerinin iradelerine uygun ve pozitif mevzuatta belirlenen süreler boyunca saklanmaktadır.
Yukarıda anılan mevzuat uyarınca kişisel verilerin ne kadar süre saklanması gerektiğine ilişkin bir düzenleme olmadığı hallerde, kişisel veriler o verinin işlenmesini gerektiren hukuki ilişkinin niteliğine göre ticari hayatta tatbik edilen teamüle uygun süre kadar saklanmayı müteakip silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermesine müteakip, derhal imhası yoluna gidilememektedir. Zira ileride hukuki uyuşmazlıklar yaşanması olanak dâhilinde olduğundan kişisel verinin işlenmesine temel teşkil eden hukuki ilişkinin türüne bağlı olarak saklama süresinin sonuna kadar saklanması gerekmektedir.
4.1.1. Kişisel verilerin Saklanmasına Dayanak Teşkil Eden Hukuki ve Teknik Sebepler
Çalışan adaylarımıza ait kişisel veriler, Şirket faaliyetlerinin yürütülmesi amacıyla ihtiyaç duyulan istihdamın yerine getirilmesi; çalışan adayının tespit edilen sağlık durumuna göre uygun olan iş pozisyonlarının sağlanması; Şirketimizin insan kaynakları politikalarının yürütülmesinin temini; akdedilmesi hedeflenen sözleşmede yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi; Şirketimizin sair mevzuattan doğan yükümlülüklerinin yerine getirilmesi; uygun istihdamın yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması; çalışan statüsüne kavuşulması halinde özlük dosyasının oluşturulması teknik sebeplerine dayalı olarak işlenmektedir.
Bu veriler çalışan adayının mevcut açık istihdam pozisyonu dışında ortaya çıkması olasılığı olan pozisyonlar için de geçerli olmasını istediğine dönük açık rızasının bulunması halinde rızaya uygun süre boyunca saklanmaktadır. Çalışan adaylarımıza ait kişisel verilerin temini ve saklanması, istihdam sağlamak üzere iş sözleşmesinin akdedilmesini hedeflediğinden KVKK md.5/2-c’de ifadesini bulan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuksal nedenine dayanmaktadır.
Çalışanlarımıza ait kişisel veriler, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa
edilmesi; faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi; acil durum listelerinin oluşturulması, acil durum operasyonlarının yürütülmesi ve acil durum analiz raporlarının oluşturulması, işyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi; tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması yoluyla en uygun iş pozisyonda istihdam sağlanması, Şirketimizin insan kaynakları politikalarının yürütülmesi; Şirketimiz ile akdedilmiş olan iş sözleşmesinde yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi; özlük dosyasının oluşturulması; Şirketimizin sair mevzuattan doğan yükümlülüklerinin yerine getirmesi; kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması ve performans değerlendirme süreçlerinin yürütülmesi gibi teknik sebeplerine dayalı olarak işlenmektedir.
Bu verilerden iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtların saklanması, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Çalışanlarımızın iş sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın hukuki gerekçesini teşkil eden İş Kanunu’nun 32. Maddesinde işaret edilen “5 yıllık işçi ücret alacakları zamanaşımı” nazara alınarak iş sözleşmesinin sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.
Stajyerlerimize ait kişisel veriler, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu, Mesleki Eğitim Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa edilmesi gerekliliği, faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi; acil durum listelerinin oluşturulması ve acil durum operasyonlarının yürütülmesi; acil durum analiz raporlarının oluşturulması, iş kazası halinde gerekli faaliyetlerin icrası; işyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi; tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması ve bu yolla uygun olan iş pozisyonlarının sağlanması; Şirket insan kaynakları politikalarının yürütülmesi; Şirketimiz ile stajyerlerimiz arasındaki hukuki ilişki doğrultusunda, etkili çalışan/stajyer yönetiminin sürdürülmesi ve geliştirilmesi; özlük/şahsi dosyasının oluşturulması; Şirketimizin sair mevzuattan doğan yükümlülüklerini yerine getirmesini temini kapsamında, kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre
gruplandırmaların yapılması; performans değerlendirme süreçlerinin yürütülmesi; Şirket araçları ile yapılan görevler sırasında çalışanların/stajyerlerin ve üçüncü kişilerin fiziki ve hukuki güvenliğin sağlanması gibi teknik sebeplerine dayalı olarak işlenmektedir.
Stajyerlerimizin varsa iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtları, çalışanlara kıyasen, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Stajyerlerimizin iş sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın “dönemsel edimlere ilişkin zamanaşımını belirlemesi” sebebiyle hukuki gerekçesini teşkil eden TBK 147/1 maddesinde işaret edilen “5 yıllık zamanaşımı” nazara alınarak stajın sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.
Mal ve Hizmet Alımı Yapılan Şirketlerin (Tedarikçilerin) Temsilcilerine ve Personeline ait kişisel veriler, şirket çalışan ve müşterileri ile müşteri temsilcilerinin güvenliğinin sağlanması; şirketimizin ifa etmek zorunda olduğu sözleşmeler kapsamında müşterilerine ve muhataplarına verilen hizmetlerin yerine getirilmesi ve kalitesinin yükseltilmesi; müşterilere verilen hizmetlerle ilgili ifa kusuru iddialarına karşı delil niteliği sebebiyle hukuki hakların korunabilmesi; Şirketimizin sair mevzuattan kaynaklanan ve müşterilerine vermeyi taahhüt ettiği hizmetlere ilişkin yükümlülüklerin yerine getirmesi; şirket hizmetlerinin performans değerlendirme süreçlerinin yürütülmesi gibi teknik sebeplerine dayalı olarak işlenmektedir.
Bu teknik sebepler yukarıda sayılan şirketimiz ile müşterilerimiz arasındaki hukuki ilişkiye dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md. 5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, mal/hizmet alım/satımına konu sözleşmelerin ifasının tamamlanması ile son bulmaktadır. Bu andan itibaren anılan kişisel veriler sözleşmenin karşı tarafından sözleşmeye aykırılık iddiası gelmesi, üçüncü kişilerden veya sözleşmenin karşı tarafı tarafından sözleşme hükümlerinin ihlal edildiği ihbarında bulunulması gibi sebeplerle Şirketimizin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 146. maddesi nazara alınarak 10 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md. 5/2-f kapsamında “İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.
Ziyaretçilere ilişkin kişisel veriler, Şirketimizin çalışanları, çözüm ortakları, tedarikçi temsilci ve yardımcıları ile ziyaretçilerinin can ve mal güvenliğinin sağlanması; Şirket giriş çıkışlarının kontrol altına alınması; Şirket yönetici ve çalışanlarının iradelerine uygun olarak sadece istedikleri/gerekli gördükleri kişileri kabul etme olanağı tanınarak güvenliklerinin artırılması; Şirkette kontrol dışı kalan şahıslar olup olmadığının tespiti yoluyla ziyaretçilerin, Şirketimizin fiziki ve hukuki kontrol ve güvenliğinin sağlanması teknik sebeplerine dayalı olarak işlenmektedir. Bu teknik sebeplerin hukuki gerekçesi, KVKK md.5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır” ve md. 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ziyaretçinin Şirketten ayrılması ile son bulmaktadır.
Bu andan itibaren ziyaretçilerimizden anılan kişisel veriler herhangi bir ilgili tarafından bir haksız fiil ihbarında bulunulması ihtimalinde Şirketin, müşterilerin, Şirket çalışanları/stajyerlerinin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 72. maddesi nazara alınarak 2 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.
Güvenlik Kamera Görüntülerine (CCTV) Giren Şahısların kişisel veri niteliğindeki görüntüleri Şirketin kontrolünde olan fiziksel mekanlar ile her türlü ilgilinin can ve mal güvenliğinin sağlanması; çalışanların, stajyerlerin, müşterilerin, ziyaretçilerin, tedarikçilerin, şirket yöneticilerinin veya üçüncü kişilerin herhangi bir haksız fiille karşılaşmaları, sorunun çözümü ve mağdurun meşru menfaatlerinin korunması gibi teknik sebeplere dayalı olarak işlenmektedir. Bu teknik sebepler Şirket çalışanları, stajyerler, müşteriler, tedarikçiler ve diğer ilgililer arasındaki hukuki ilişkiye ve iyi niyet ve dürüstlük kurallarına dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ilgili kişinin güvenlik kamera kaydının yapılması ile son bulmaktadır.
Bu andan itibaren anılan kişisel veriler, herhangi bir ceza soruşturmasında kullanılma ve hak taleplerine delil teşkil etmesi ihtimali sebepleriyle bu ihtimalin gerçekleşip gerçekleşmeyeceğinin beklenmesi amacıyla hiç kimseyle paylaşılmaksızın kayıt tarihinden itibaren 15 gün süreyle saklanmakta ve herhangi bir hukuki/cezai ihtilaf sebebiyle delil niteliği taşımıyorsa bu 15 günlük süre sonunda imha edilmektedir.
4.1.2. Kişisel Verilerin Güvenli Şekilde Saklanması ve Hukuka Aykırı Olarak İşlenmesi ve
Erişilmesinin Önüne Geçilmesi İçin Alınmış Olan Teknik ve İdari Tedbirler
4.1.2.1. Teknik Tedbirler
Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan teknik tedbirleri almaktadır.
- Kişisel verilerin muhafaza edildiği ortamların güvenliği için bilişim teknolojisinin sağladığı en yeni olanaklarla koruma sağlanmaktadır.
- Kişisel verilerin muhafaza edildiği ortamlarla ilgili olarak çoklu güvenlik sistemleri tatbik edilmektedir.
- Bilişim sisteminde güvenlik zafiyeti olup olmadığının tespiti amacıyla gerektikçe güvenlik ve sızdırmazlık testleri uygulanması ve elde edilecek sonuca uygun tedbirler alınması öngörülmektedir.
- Kişisel verilerin bulunduğu ortamlara erişim yetkileri, gereklilik ve ölçülülük ilkeleri uyarınca hem fiziksel, hem de bilişim sistemleri üzerinden kategorize edilmekte ve sınırlandırılmaktadır.
4.1.2.2. İdari Tedbirler
Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan idari tedbirleri almaktadır.
- Kişisel verilere erişim yetkisi olan ve/veya işleme/imha sürecine dahil olan tüm personele kişisel veriler, bilgi güvenliği ve özel hayatın gizliliği gibi ilgili tüm konularda bilgilendirme ve farkındalık eğitimleri verilmektedir.
- Kişisel verilerin korunması hususunda gereklilikler hakkında çalışanlar ayrıntılı olarak talimatlandırılmakta, gerektiğinde idari ve disiplin işlemi yapılması öngörülmektedir.
- Şirket içinde saklanan, dijital ve/veya fiziksel olarak işlenen kişisel verilere erişme yetkisine haiz tüm personeller, erişmesi gereken alanlarla sınırlandırılmıştır.
- Özel nitelikli kişisel verilerin önem derecesi dikkate alınarak yalnızca erişilmesi gereken noktalarda personelin dijital ve/veya fiziksel erişimine izin verilmiştir.
- Faaliyetlerimizin yerine getirilmesi sürecinde kişisel verilerin paylaşımı gerektiğinde, bunların korunması ve ilgili kişilerin haklarının muhafazası için lüzumlu sözleşme hükümleri eklenmekte ve eski sözleşmeler için ek sözleşmeler yapılmaktadır.
- Faaliyetlerimizin icrası sırasında hizmet alımını yapılması ve kişisel verilerin hizmet verenin personeliyle kişisel veri paylaşımını gerektirmesi halinde, gerektiğinde hizmet verenin personelinden de, kişisel verilerin korunması ve amacına uygun kullanımını temin amacıyla özel olarak taahhütname alınmaktadır.
4.2. Kişisel Verilerin İmhası
4.2.1. Kişisel Verilerin Hukuka Uygun İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
Kişisel verilerin saklama süreleri sonunda imha edilmesi yoluyla üçüncü kişilerce ulaşılmasını geri dönüşümsüz olarak engelleyebilmek amacıyla, imha takip dosyası oluşturulmuş olup, ilgililer talimatlandırılarak bilişim sisteminde ve fiziksel olarak bulunan kişisel verilerin imhasının sürekli takibi yapılmaktadır.
4.3. Saklama ve İmha Süreçlerinde Yer Xxxx Xxxxxxxx ve Görevleri Tablosu
Kişisel verilere ilişkin farkındalığın sürekliliğinin sağlanması için lüzumlu eğitimlerin planlanması ve icrası | İnsan Kaynaklar Departmanı |
Kişisel verilerin korunmasına ilişkin personel görev tanımlarının ilgili çalışanlara ve hizmet alınan şirket personeline tebliği ve takibi | İnsan Kaynaklar Departmanı |
Kişisel verilerin işlendiği güvenlik kamerası veya ziyaretçi kayıt defteri gibi harici ortamların fiziksel denetimi | Bilgi İşlem Departmanı |
Kişisel veri imha dosyasının oluşturulup düzenli bir şekilde imhanın sağlanması ve bu işlemlerin kayıt altına alınması | İnsan Kaynaklar Departmanı |
Kişisel veri saklama ortamlarının fiziki ve bilişim sistemi güvenlik araçlarının geliştirilmesi ve güncellenmesi | Bilgi İşlem ve İnsan Kaynakları Departmanları |
Kişisel verilerin korunması ve imhası sürecine ilişkin kurulmuş olan sistemin geliştirilmesi için lüzumlu takip, araştırma ve önerilerin ortaya konması | İnsan Kaynaklar Departmanı |
4.4. Saklama ve İmha Sürelerini Gösterir Tablo
VERİ SAHİBİ | VERİ KATEGORİSİ | SAKLAMA SÜRESİ |
Çalışan Adayı | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, sağlık verileri, ceza mahkûmiyet verileri | Başvuruya konu boş statüye ilişkin kararın verilmesinden itibaren xxxx xxxx varsa 2 yıl |
Çalışan | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük verileri, ceza mahkûmiyet | İş sözleşmesinin sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 10 yıl |
verileri | ||
Çalışan | İş sağlığı ve güvenliği faaliyetlerine ilişkin sağlık verileri dahil her türlü kayıt | İş sözleşmesinin sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 15 yıl |
Stajyer | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük verileri | Stajın sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 5 yıl |
Stajyer | İş sağlığı ve güvenliği faaliyetlerine ilişkin sağlık verileri dahil her türlü kayıt | Stajın sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 15 yıl |
Müşteri/Tedarikçiler | Kimlik verileri, iletişim verileri | Sözleşmenin ifasının sona ermesinden itibaren herhangi bir dava veya hukuki ihtilaf söz konusu değilse 10 yıl |
Ziyaretçi | Kimlik verileri, iletişim verisi | 2 yıl |
Güvenlik Kamerası Görüntüleri | Görsel veri | Kayıttan itibaren 15 gün |
4.5. Periyodik İmha Süresi
Şirketimizce, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
5. YÜRÜRLÜK VE GÜNCELLEME
Bu politikanın yürürlüğü Şirket tarafından yerinde getirilir. Yasal mevzuatta veya kişisel verilerin işlenme ve saklanmasıyla ilgili süreçlerde değişiklik olması halinde Şirketimizce güncellenir.