Fun Tekstil Sanayi ve Ticaret Limited Şirketi

KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI

 

V 1.0

 1        AMAÇ 

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu özel hayatın gizliliğini, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi hedeflemiştir. Kişisel Verileri Saklama ve İmha Politikası, Şirketimiz tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

2        KAPSAM

Veri Konusu Kişi Grubu kategorilerinde yer alan çalışanlar, çalışan yakınları, firma yetkilileri, firma çalışanları, paydaşlar, ziyaretçiler ve diğer üçüncü kişiler bu politika kapsamındadır. Bu Politika, kişisel verilerin işlenmesine yönelik faaliyetlerde ve kişisel verilerin işlendiği tüm kayıt ortamlarında uygulanır.

3        TANIMLAR

Politikada aşağıdaki tanımlar kullanılmıştır.

Tablo-1: Tanımlar

Tanım Açıklama
Şirket Fun Tekstil Sanayi ve Ticaret Limited Şirketi
Alıcı Grubu Kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan/Çalışan Adayı Şirket çalışanları / Çalışan Adayları
Çalışan Yakını Çalışanların yakınları
Elektronik Ortam

 

Kişisel verilerin elektronik cihazlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı

 

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel verilerin işlenmesi

 

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri Şirketimizin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Özel Nitelikli Kişisel Veri Gerçek kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Periyodik İmha Kişisel verilerin işlenme şartarı ortadan kalkması durumunda , tekrar eden aralıklarla kişisel verinin silinmesi ve imha edilmesi
Politika Kişisel Verileri Saklama ve İmha Politikası.
Tedarikçi Yetkilisi Hizmet alınan firmaların yetkili gerçek kişileri.
Tedarikçi Çalışanı Hizmet alınan firmaların çalışan gerçek kişileri.
Veri Kayıt Sistemi Kişisel verilerin belli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Kayıt Sorumlusu Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden gerçek ve tüzel kişi
Yönetmelik Kişisel verilerin silinmesi ve yok edilmesi hakkında yönetmelik
 

4        ROLLER VE SORUMLULUKLAR

Şİrketimizin tüm birimleri ve çalışanları politika kapsamında yer almaktadır. Belediyemiz, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması konusunda ilgili birimlere sorumluluk yüklemiş olup bu sorumluluklar aşağıdaki tabloda tanımlanmıştır.

Tablo-2: Roller ve Sorumluluklar

ROLLER /BİRİM SORUMLULUKLARI
Yönetim Kurulu Başkanı, Genel Müdürü Politika’nın hazırlanması, güncellenmesi, yürütülmesi, uygulanması için teknik çözümlerin oluşturulması ve yayınlanması, çalışanların politika ile uyumlu olmasından sorumludur.
İrtibat Kişisi Şirket ile Kvkk Kurumu arasında ilişkiyi sağlayan kişi

 

5        KİŞİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Kanunun 3 üncü maddesinde belirtildiği üzere, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamında yer almaktadır.

Şirketimiz kişisel verilerin işlenmesinde aşağıdaki ilkelere uymaktadır:

  1. Hukuka ve dürüstlük kurallarına uygun olma

Belediyemiz, kişisel veri işleme faaliyetlerini Kanun ve ilgili mevzuata, dürüstlük kurallarına uygun olarak yürütür ve gerçek kişilerin haklarını korur. Kişisel verilerin işlenmesi esnasında ölçülülük ve gereklilik esasları dikkate alınmaktadır.

  1. Doğru ve gerektiğinde güncel olma

Kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına yönelik her türlü idari ve teknik tedbir alınmaktadır.

  1. Belirli, açık ve meşru amaçlar için işlenme

Kişisel veriler işlenmeden önce belirlenmiş olan amaca yönelik açık, belirli ve meşru amaçlarla işlenmektedir. Amacına uygun olmayan her türlü gereksiz kişisel verinin işlenmesinden kaçınılmaktadır.

  1. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Belediyemiz faaliyetlerin yürütülmesi amacıyla sadece gerektiği kadar veriyi işlemektedir. Sonradan kullanma maksadı ile ihtiyaç duyulmayan kişisel verileri işlememektedir.

  1. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Şİrketimiz, kişisel verileri, Kanun ve ilgili mevzuatta öngörülen veya veri işleme faaliyetine ilişkin amaçların gerektirdiği süre ile sınırlı olarak muhafaza etmekte ve sürenin bitimi veya işlenmesini gerektiren sebebin ortadan kalkması halinde silinme, yok edilme veya anonim haline getirme yöntemleriyle imha etmektedir.

 

6        KAYIT ORTAMLARI

Şİrketimiz, Kişisel verileri aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklamaktadır.

6.1       Elektronik Ortamdaki Kişisel Veriler

  • Sunucular: İnsan Kaynakları ve Muhasebe yazılımları
  • Kişisel Bilgisayarlar: Masaüstü veya dizüstü bilgisayarlarda ofis programlarında kişisel veriler yer almaktadır.

6.2       Elektronik Olmayan Ortamdaki Kişisel Veriler

  • Kağıt.

 

7        KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirketimiz, Kanunun 12 inci maddesinde belirtildiği üzere kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır.

Kanunun 4 üncü maddesinde kişisel verilerin işlenmesine yönelik usul ve esaslar belirtilmiş olmakla birlikte ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Yine kanunun 5 inci ve 6 ncı maddelerde ise kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları sayılmıştır.

Belediyemiz yürüttüğü faaliyetler çerçevesinde işlemekte olduğu kişisel verileri Kanuna uygun yürütmekte, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamakta ve imha etmektedir.

Bu kapsamda kişisel verilerin güvenliğinin sağlanması, saklama ve imhaya ilişkin detaylı açıklamalar aşağıda belirtilmiştir.

7.1       Kişisel Verileri İşleme ve Saklama Amaçları

Belediyemiz bünyesinde kişisel veriler aşağıda belirtilen amaçlar çerçevesinde işlenmekte ve saklanmaktadır:

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

Fiziksel Mekan Güvenliğinin Temini

Hukuk İşlerinin Takibi Ve Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İnsan Kaynakları Süreçlerinin Planlanması

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

7.2       Kişisel Veri Toplamanın Hukuki Sebepleri

Şirketimizde yürüttüğümüz faaliyetler çerçevesinde işlenen kişisel veriler ilgili mevzuatta öngörülen süre kadar muhafaza edilmekte olup bu kapsamdaki kişisel veriler mevzuatın öngördüğü süre boyunca saklanmaktadır. Bunlar;

  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • Hukuki Yükümlülüğün Yerine Getirilmesi
  • Sözleşmenin İmzalanması
  • Kanunlarda Öngörülmesi
  • Veri Sorumlusunun Meşru Menfaati

 

 

7.3       Kişisel Verilerin İmhasını Gerektiren Sebepleri

Kanunun 7 inci maddesinde belirtildiği üzere işlenmesini gerektiren sebeplerin ortadan kalkması ve aşağıda belirtilen nedenlerin oluşması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine Belediyemiz tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir.

  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin başvuru yapması
  • İlgili kişinin açık rızasını geri alması
  • Kişisel verilerin işlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
  • Kişisel verilerin saklanmasını gerektiren mevzuatlarda belirtilen azami sürenin geçmiş olması

 

8        KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK VE İDARİ TEDBİRLER

Kanunun 12 inci maddesinde belirtildiği üzere Belediyemiz kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için gerekli her türlü idari ve teknik tedbirleri almaktadır.

8.1       İdari Tedbirler

Belediyemiz tarafından işlenen kişisel verilerle ilgili olarak almakta olduğumuz idari tedbirler aşağıda belirtilmiştir:

  • Kişisel veri güvenliği politika ve prosedürler belirlenmiştir.
  • Saklama ve İmha Politikası oluşturulmuş olup uygun saklama ve imha süreçleri tanımlanmakta ve uygulanmaktadır.
  • Kişisel Veri İşleme Envanteri hazırlanmış olup güncelliği sağlanmaktadır.
  • Çalışanlara Gizlilik Sözleşmesi imzalatılmaktadır.
  • İlgili kişileri aydınlatma yükümlülüğü ve açık rıza yükümlülükleri yerine getirilmektedir.
  • İlgili kişiler için başvuru ve cevaplama ortamı sağlanmaktadır.

8.2       Teknik Tedbirler

Belediyemiz tarafından işlenen kişisel verilerle ilgili olarak almakta olduğumuz teknik tedbirler aşağıda belirtilmiştir:

  • Kişisel verilerin güvenliğinin sağlanması İçin çevresel tehditlere karşı 7/24 kamera sistemi ile izlenmektedir.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Güvenlik duvarları kullanılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

9        KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kanunun 7 inci maddesinde belirtildiği üzere işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen, ilgili kişinin talebi üzerine veya ilgili mevzuat hükümlerine uygun olarak Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu hususlarla ilgili imha teknikleri aşağıda belirtilmiştir.

9.1       Kişisel Verilerin Silinmesi

Veri Kayıt ortamı bazında kişisel veriler aşağıda belirtilen yöntemlerle silinmektedir;

Sunucularda Yer Alan Kişisel Veriler : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: İlgili mevzuata veya saklanmasını gerektiren süre sona eren kişisel veriler periyodik olarak,  İlgili kişinin başvurusu üzerine sistem yöneticisi tarafından silme işlemi gerçekleştirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Saklanmasını gerektiren süre sona kişisel veriler ilgili sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişememekte ve kişisel veriler tekrar kullanılamayacak hale getirilir.

9.2       Kişisel Verilerin Yok Edilmesi

Veri Kayıt ortamı bazında kişisel veriler aşağıda belirtilen yöntemlerle yok edilmektedir;

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel veriler,  saklanma süresi sona erdiğinde, kâğıt kırpma makinelerinde veya diğer yöntemlerle geri döndürülemeyecek şekilde imha edilir.

Veri Tabanında ve Yer Alan Kişisel Veriler: Saklanma süresi sona eren kişisel veriler geri dönülmez şekilde silinmektedir.

9.3       Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel veriler, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Bunun için kullanılan yazılım uygulamalarındaki anonimleştirme fonksiyonu kullanılmaktadır.

10     SAKLAMA VE İMHA SÜRELERİ

Şirketimiz, yürütmekte olduğu faaliyetleri kapsamında işlediği kişisel verilerin saklama sürelerini; (i) süreçlere bağlı faaliyetler kapsamında Kişisel Veri İşleme Envanterinde, (ii) Veri Kategorileri bazında VERBİS’te, ve (iii) süreç bazında Kişisel Veri Saklama ve İmha Politikasında belirtmiştir.

Şirketimiz, gerekmesi halinde saklama sürelerinde güncelleme yapabilir ve saklama süreleri sona eren kişisel verilerin imhası yine şirket tarafından yerine getirilir.

 

Tablo-4: Süreç Bazında Saklama ve İmha Süreleri

Süreç Saklama Süresi İmha Süresi
Fiziksel Mekan Güvenliğinin Sağlanması 1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Başvuru Süreçlerinin Yürütülmesi 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Maaş ve Diğer Ödemelerin Yapılması 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mal ve Hizmet Satış Süreçlerinin Yürütülmesi 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mal ve Hizmet Satınalma Süreçlerinin Yürütülmesi 5 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Özlük Süreçlerinin Yürütülmesi 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

11     POLİTİKANIN GÜNCELLENMESİ VE YÜRÜRLÜLÜĞÜ

Politika, ‘Fun Tekstil Sanayi ve Ticaret Limited Şirketi ’ yetkilisi tarafından onaylandığı ve imzalandığı andan itibaren yürürlüğe girer. Şirketimiz, politikayı ihtiyaç duydukça gerekli bölümleri güncelleyecektir ve web sitemizde yayınlayacaktır.

12     PERİYODİK İMHA SÜRESİ

Şirketimiz, periyodik imha süresini 1 yıl belirlemiş olup her yıl Haziran ayında imha işlemi gerçekleştirmektedir.