‘Fun Tekstil Sanayi ve Ticaret Limited Şirketi’
KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI
V 1.0
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu özel hayatın gizliliğini, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi hedeflemiştir. Kişisel Verileri Saklama ve İmha Politikası, Şirketimiz tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Veri Konusu Kişi Grubu kategorilerinde yer alan çalışanlar, çalışan yakınları, firma yetkilileri, firma çalışanları, paydaşlar, ziyaretçiler ve diğer üçüncü kişiler bu politika kapsamındadır. Bu Politika, kişisel verilerin işlenmesine yönelik faaliyetlerde ve kişisel verilerin işlendiği tüm kayıt ortamlarında uygulanır.
Politikada aşağıdaki tanımlar kullanılmıştır.
Tablo-1: Tanımlar
4 ROLLER VE SORUMLULUKLAR
Şİrketimizin tüm birimleri ve çalışanları politika kapsamında yer almaktadır. Belediyemiz, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması konusunda ilgili birimlere sorumluluk yüklemiş olup bu sorumluluklar aşağıdaki tabloda tanımlanmıştır.
Tablo-2: Roller ve Sorumluluklar
ROLLER /BİRİM | SORUMLULUKLARI |
Yönetim Kurulu Başkanı, Genel Müdürü | Politika’nın hazırlanması, güncellenmesi, yürütülmesi, uygulanması için teknik çözümlerin oluşturulması ve yayınlanması, çalışanların politika ile uyumlu olmasından sorumludur. |
İrtibat Kişisi | Şirket ile Kvkk Kurumu arasında ilişkiyi sağlayan kişi |
5 KİŞİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Kanunun 3 üncü maddesinde belirtildiği üzere, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamında yer almaktadır.
Şirketimiz kişisel verilerin işlenmesinde aşağıdaki ilkelere uymaktadır:
- Hukuka ve dürüstlük kurallarına uygun olma
Belediyemiz, kişisel veri işleme faaliyetlerini Kanun ve ilgili mevzuata, dürüstlük kurallarına uygun olarak yürütür ve gerçek kişilerin haklarını korur. Kişisel verilerin işlenmesi esnasında ölçülülük ve gereklilik esasları dikkate alınmaktadır.
- Doğru ve gerektiğinde güncel olma
Kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına yönelik her türlü idari ve teknik tedbir alınmaktadır.
- Belirli, açık ve meşru amaçlar için işlenme
Kişisel veriler işlenmeden önce belirlenmiş olan amaca yönelik açık, belirli ve meşru amaçlarla işlenmektedir. Amacına uygun olmayan her türlü gereksiz kişisel verinin işlenmesinden kaçınılmaktadır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Belediyemiz faaliyetlerin yürütülmesi amacıyla sadece gerektiği kadar veriyi işlemektedir. Sonradan kullanma maksadı ile ihtiyaç duyulmayan kişisel verileri işlememektedir.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Şİrketimiz, kişisel verileri, Kanun ve ilgili mevzuatta öngörülen veya veri işleme faaliyetine ilişkin amaçların gerektirdiği süre ile sınırlı olarak muhafaza etmekte ve sürenin bitimi veya işlenmesini gerektiren sebebin ortadan kalkması halinde silinme, yok edilme veya anonim haline getirme yöntemleriyle imha etmektedir.
6 KAYIT ORTAMLARI
Şİrketimiz, Kişisel verileri aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklamaktadır.
6.1 Elektronik Ortamdaki Kişisel Veriler
- Sunucular: İnsan Kaynakları ve Muhasebe yazılımları
- Kişisel Bilgisayarlar: Masaüstü veya dizüstü bilgisayarlarda ofis programlarında kişisel veriler yer almaktadır.
6.2 Elektronik Olmayan Ortamdaki Kişisel Veriler
- Kağıt.
7 KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketimiz, Kanunun 12 inci maddesinde belirtildiği üzere kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır.
Kanunun 4 üncü maddesinde kişisel verilerin işlenmesine yönelik usul ve esaslar belirtilmiş olmakla birlikte ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Yine kanunun 5 inci ve 6 ncı maddelerde ise kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları sayılmıştır.
Belediyemiz yürüttüğü faaliyetler çerçevesinde işlemekte olduğu kişisel verileri Kanuna uygun yürütmekte, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamakta ve imha etmektedir.
Bu kapsamda kişisel verilerin güvenliğinin sağlanması, saklama ve imhaya ilişkin detaylı açıklamalar aşağıda belirtilmiştir.
7.1 Kişisel Verileri İşleme ve Saklama Amaçları
Belediyemiz bünyesinde kişisel veriler aşağıda belirtilen amaçlar çerçevesinde işlenmekte ve saklanmaktadır:
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
7.2 Kişisel Veri Toplamanın Hukuki Sebepleri
Şirketimizde yürüttüğümüz faaliyetler çerçevesinde işlenen kişisel veriler ilgili mevzuatta öngörülen süre kadar muhafaza edilmekte olup bu kapsamdaki kişisel veriler mevzuatın öngördüğü süre boyunca saklanmaktadır. Bunlar;
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- Hukuki Yükümlülüğün Yerine Getirilmesi
- Sözleşmenin İmzalanması
- Kanunlarda Öngörülmesi
- Veri Sorumlusunun Meşru Menfaati
7.3 Kişisel Verilerin İmhasını Gerektiren Sebepleri
Kanunun 7 inci maddesinde belirtildiği üzere işlenmesini gerektiren sebeplerin ortadan kalkması ve aşağıda belirtilen nedenlerin oluşması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine Belediyemiz tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir.
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin başvuru yapması
- İlgili kişinin açık rızasını geri alması
- Kişisel verilerin işlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
- Kişisel verilerin saklanmasını gerektiren mevzuatlarda belirtilen azami sürenin geçmiş olması
8 KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK VE İDARİ TEDBİRLER
Kanunun 12 inci maddesinde belirtildiği üzere Belediyemiz kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için gerekli her türlü idari ve teknik tedbirleri almaktadır.
Belediyemiz tarafından işlenen kişisel verilerle ilgili olarak almakta olduğumuz idari tedbirler aşağıda belirtilmiştir:
- Kişisel veri güvenliği politika ve prosedürler belirlenmiştir.
- Saklama ve İmha Politikası oluşturulmuş olup uygun saklama ve imha süreçleri tanımlanmakta ve uygulanmaktadır.
- Kişisel Veri İşleme Envanteri hazırlanmış olup güncelliği sağlanmaktadır.
- Çalışanlara Gizlilik Sözleşmesi imzalatılmaktadır.
- İlgili kişileri aydınlatma yükümlülüğü ve açık rıza yükümlülükleri yerine getirilmektedir.
- İlgili kişiler için başvuru ve cevaplama ortamı sağlanmaktadır.
Belediyemiz tarafından işlenen kişisel verilerle ilgili olarak almakta olduğumuz teknik tedbirler aşağıda belirtilmiştir:
- Kişisel verilerin güvenliğinin sağlanması İçin çevresel tehditlere karşı 7/24 kamera sistemi ile izlenmektedir.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Güvenlik duvarları kullanılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
9 KİŞİSEL VERİLERİN İMHA EDİLMESİ
Kanunun 7 inci maddesinde belirtildiği üzere işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen, ilgili kişinin talebi üzerine veya ilgili mevzuat hükümlerine uygun olarak Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu hususlarla ilgili imha teknikleri aşağıda belirtilmiştir.
9.1 Kişisel Verilerin Silinmesi
Veri Kayıt ortamı bazında kişisel veriler aşağıda belirtilen yöntemlerle silinmektedir;
Sunucularda Yer Alan Kişisel Veriler : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler: İlgili mevzuata veya saklanmasını gerektiren süre sona eren kişisel veriler periyodik olarak, İlgili kişinin başvurusu üzerine sistem yöneticisi tarafından silme işlemi gerçekleştirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Saklanmasını gerektiren süre sona kişisel veriler ilgili sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişememekte ve kişisel veriler tekrar kullanılamayacak hale getirilir.
9.2 Kişisel Verilerin Yok Edilmesi
Veri Kayıt ortamı bazında kişisel veriler aşağıda belirtilen yöntemlerle yok edilmektedir;
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel veriler, saklanma süresi sona erdiğinde, kâğıt kırpma makinelerinde veya diğer yöntemlerle geri döndürülemeyecek şekilde imha edilir.
Veri Tabanında ve Yer Alan Kişisel Veriler: Saklanma süresi sona eren kişisel veriler geri dönülmez şekilde silinmektedir.
9.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel veriler, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Bunun için kullanılan yazılım uygulamalarındaki anonimleştirme fonksiyonu kullanılmaktadır.
Şirketimiz, yürütmekte olduğu faaliyetleri kapsamında işlediği kişisel verilerin saklama sürelerini; (i) süreçlere bağlı faaliyetler kapsamında Kişisel Veri İşleme Envanterinde, (ii) Veri Kategorileri bazında VERBİS’te, ve (iii) süreç bazında Kişisel Veri Saklama ve İmha Politikasında belirtmiştir.
Şirketimiz, gerekmesi halinde saklama sürelerinde güncelleme yapabilir ve saklama süreleri sona eren kişisel verilerin imhası yine şirket tarafından yerine getirilir.
Tablo-4: Süreç Bazında Saklama ve İmha Süreleri
Süreç | Saklama Süresi | İmha Süresi |
Fiziksel Mekan Güvenliğinin Sağlanması | 1 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Başvuru Süreçlerinin Yürütülmesi | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Maaş ve Diğer Ödemelerin Yapılması | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mal ve Hizmet Satış Süreçlerinin Yürütülmesi | 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mal ve Hizmet Satınalma Süreçlerinin Yürütülmesi | 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel Özlük Süreçlerinin Yürütülmesi | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
11 POLİTİKANIN GÜNCELLENMESİ VE YÜRÜRLÜLÜĞÜ
Politika, ‘Fun Tekstil Sanayi ve Ticaret Limited Şirketi ’ yetkilisi tarafından onaylandığı ve imzalandığı andan itibaren yürürlüğe girer. Şirketimiz, politikayı ihtiyaç duydukça gerekli bölümleri güncelleyecektir ve web sitemizde yayınlayacaktır.
12 PERİYODİK İMHA SÜRESİ
Şirketimiz, periyodik imha süresini 1 yıl belirlemiş olup her yıl Haziran ayında imha işlemi gerçekleştirmektedir.