KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

  1. GİRİŞ
    • Amaç 

 

Onatça İnşaat ve Yapı Malzemeleri Tic. A.Ş. (“Onatça” veya “Şirket”) olarak; çalışanlar, stajyerler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” (Yönetmelik) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.

 

Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu “Kişisel Veri Saklama ve İmha Politikamıza” (Politika) göre belirlemekte ve gerçekleştirmekteyiz.

 

Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Onatça olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.

 

İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.

 

 

İşbu Politika; çalışanlar, stajyerler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Onatça tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.

 

Politika, Şirket tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.

 

 

Elektronik ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişi.

KVKK

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Karartma

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.

Kişisel Veri

Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgi.

Kurul

Kişisel Verileri Koruma Kurulu.

Politika

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi, bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla kullanılacaktır.

Kişisel verilerin silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından kamerehiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel verilerin yok edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi, otomatik yolla tutulanların geri getirilemeyecek şekilde silinmesi, otomatik olmayan yolla tutulanların yakılarak imha edilmesi yoluyla silinmesi işlemi

Periyodik imha

KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (silinme şartları gerçekleştikten sonraki 6 (altı) ayda bir) resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

 

Yönetmelik

28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

  1. SORUMLULUK VE GÖREV DAĞILIMLARI

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda verilmiştir.

 

 

PERSONEL

AD-SOYAD

BİRİM

GÖREV

SORUMLULUK

Şirket Müdürü

Müdürlük

Kişisel veri saklama ve imha politikası uygulama sorumlusu

Genel Müdür, işbu Politika’yı, kabul etmek ve uygulamaya almak; politikanın gerektiği durumlarda güncellenmesi için yönetsel kararı almak; kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

 

Kişisel Veri Uyum Sorumlusu

Kişisel veri saklama ve imha politikası uygulama sorumlusu

İşbu Politika taslağının hazırlanması, geliştirilmesi ve güncellenmesi, Politika’nın takibinden ve hazırlanan dokümanın www.kvkk.gov.tr’de  QDMS’de (CRMleriyle uyumlu, kurum içi kullanılan sair yazılımlarla ve Kurumun istediği formatta) yayınlanmasından, kurumla yapılacak yazışmalardan, şirket KEP adresinin takibi ve bu adrese gelen ilgili kişi başvurularıyla Kurumla yapılan yazışmalrdan, ve bu süreçlerin takibinden Kişisel Veri Sorumlusu sorumludur.

 

Bilgi İşlem Müdürü

Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

 

Muhasebe Müdürü

Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

 

  1. KAYIT ORTAMLARI

 

Şirketimiz tarafından, faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla aşağıda yer alan kayıt ortamlarını kullanmaktayız.

 

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

·    Veri tabanları (e-posta veri tabanı, dosya paylaşım, web, yedekleme vb.)

 

·     Klasörler

·    Yazılımlar

·         Dosyalar

·    Taşınabilir cihazlar (hard disk, USB bellekler vs.)

·         Arşiv Odaları

·    Uygulama otomasyonları

 

 

 

 

 

4.          SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

 

Şirketimiz tarafından; çalışanlar, stajyerler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler, potansiyel müşteriler olan gerçek kişilerin kişisel verileri KVKK’ya uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırayla yer verilmiştir.

 

4.1.          Saklamaya İlişkin Açıklamalar

 

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta ve veri envanterinde öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

 

Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda, verilerin silinmesine mevzuatta bir engel olmaması şartıyla, veriler veri envanterinde belirtilen usul ve yöntemler çerçevesinde silinir, yok edilir veya anonim hale getirilir.

 

4.1.1.       Saklamayı Gerektiren Hukuki Sebepler

 

Onatça’da faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

 

ü   Kişisel Verilerin Korunması Kanunu

ü   Türk Borçlar Kanunu

ü   Türk Ticaret Kanunu

ü   İş Kanunu

ü   İş Sağlığı ve Güvenliği Kanunu

ü   Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

ü    Sermaye Piyasası Kanunu

ü   İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

ü   Sendikalar ve Toplu İş Sözleşmesi Kanunu

ü   Vergi Usul Kanunu

ü   Karayolu Taşıma Kanunu

 

 

Yukarıda sayılanlar başta olmak üzere yürürlükte olan ilgili tüm kanunlar, diğer ikincil düzenlemeler ve veri envanteri çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

4.1.2.      Saklamayı Gerektiren İşleme Amaçları

 

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

 

ü   Acil durum yönetimi süreçlerinin yürütülmesi

ü   Bilgi güvenliği süreçlerini yürütmek

ü   Çalışan memnuniyeti ve bağlılığı süreçlerini yürütmek

ü   Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülükleri yerine getirmek

ü   Çalışanlar için yan haklar ve menfaatleri süreçlerini yürütmek

ü   Denetim ve etik faaliyetlerini yürütebilmek

ü   Erişim yetkilerini belirlemek

ü   Finans ve muhasebe işlerini yürütmek

ü   Fiziksel mekân güvenliğini sağlamak

ü   Görevlendirme süreçlerini yürütmek

ü   Hukuk işlerini yürütmek

ü   İç denetim, disiplin faaliyetlerinin yürütülmesi

ü   İletişim faaliyetlerini yürütmek

ü   İnsan kaynakları süreçlerini yürütebilmek

ü   İş faaliyetlerinin yürütülmesi ve denetimi

ü   İş sağlığı ve güvenliği faaliyetlerini yürütmek

ü   Mal / hizmet satın alım süreçlerini yürütmek

ü   Mal / hizmet satış süreçlerini yürütmek

ü   Mal / hizmet satış sonrası destek hizmetlerini yürütmek

ü   Mal / hizmet üretim ve operasyon süreçlerini yürütmek

ü   Müşteri ilişkileri yönetim süreçlerinin yürütülmesi

ü   Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi

ü   Pazarlama ve analiz çalışmalarının yürütülmesi

ü   Performans değerlendirme süreçlerinin yürütülmesi

ü   Reklam, kampanya ve promosyon süreçlerini yürütmek

ü   Stratejik planlama faaliyetlerinin yürütülmesi

ü   Stajyerler için yerleştirme süreçlerinin yürütülmesi

ü   Saklama ve arşiv faaliyetlerini yürütmek

ü   Sosyal sorumluluk ve sivil toplum aktivitelerini yürütmek

ü   Sözleşme süreçlerini yürütmek

ü   Talep ve şikayetlerin takibi

ü   Taşınır mal ve kaynakların güvenliğinin temini

ü   Tedarik zinciri yönetim süreçlerinin yürütülmesi

ü   Ücret politikasının yürütülmesi

ü   Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi

ü   Veri sorumlusu operasyonlarının güvenliğinin temini

ü   Yetkili kişi, kurum ve kuruluşlara bilgi vermek

ü   Yönetim faaliyetlerinin yürütülmesi

 

4.2.     İmhayı Gerektiren Sebepler

 

Kişisel veriler;

 

•  İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası

 

•  İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması

 

•  Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması

 

•  KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi

 

•  Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması

 

•  İlgili kişinin talebi (mevzuatta ve veri envanterinde belirlenen şartların sağlanması koşuluyla)

 

•  Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

 

durumlarında, şirket tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

 

5.          TEKNİK VE İDARİ TEDBİRLER

 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

 

5.1.     ALINAN İDARİ TEDBİRLER

 

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,

 

 

 

 

 

 

Diğer yandan, şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

 

 

 

 

 

 

Bu kapsamda, veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması, herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi sağlanmaktadır.

 

Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, Şirket tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmesi sağlanmaktadır.

 

Yine, Şirket kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptıracağı, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebileceği belirtilmektedir.

 

Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte yada yeni veri gizliliği sözleşmeleri yapılmaktadır.

 

 

 

 

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

 

 

 

 

Şirketimizin, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için aldığı başlıca teknik tedbirler şu şekildedir;

 

·           Siber Güvenliğin Sağlanması

 

Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır.

 

Güvenlik duvarı ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı oluşturulmaktadır.

 

Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Nitekim, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları olabileceği dikkate alınarak, kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilmektedir.

 

·                    Yazılım güncellemeleri

 

Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.

 

·                    Erişim Sınırlamaları

 

Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.

 

Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kompleks kombinasyonların (güçlü şifre) tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.

 

 

·                    Şifreleme

 

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.

 

·                    Anti Virus Yazılımları

 

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır.

 

 

Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

 

·                    Kişisel Veri Güvenliğinin Takibi

 

 

 

 

 

 

 

·                    Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

 

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır.

 

Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır. Otomatik olmayan yolla tutulan kişisel verilerin bulunduğu ortamlar kilitli olarak tutulmakta, sınırlı kişiye erişim yetkisi verilmekte ve erişim yetkisi bulunan kişilerle gizlilik sözleşmeleri yapılmaktadır.

 

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.

 

Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilmektedir.

 

Aynı seviyedeki önlemler şirket yerleşkesi dışında yer alan ve şirkete ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır. Nitekim, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.

 

Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

 

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.

 

Kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.

 

·                    Kişisel Verilerin Bulutta Depolanması

 

Şirketimizde bulutta depolama yapılmamaktadır. Ancak yapılacak olması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket taarfından değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmaktadır. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanması, Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları yok edilmesi ön görülmektedir.

 

·                    Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

 

Şirket tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

 

·                    Kişisel Verilerin Yedeklenmesi

 

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.

 

 

 

 

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

 

 

 

 

 

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını, eğitimlerin verilmesini sağlamakta ve belirli periyodik aralıklarla (6 ayda bir) gerekli denetimleri yapmaktadır.

 

 

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli bilgilendirmeler yapmaktadır.

 

 

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.

 

Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.  Bu kapsamda;

 

 

 

Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

 

 

 

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.

 

 

6.          KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

 

Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine, şirketimizin hukuki yükümlülüğünün sona ermesi koşuluyla, kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

 

 

Şirketimiz, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

 

 

 

Şirketimizdeki kişisel veriler bulut sisteminde saklanmamaktadır. Ancak ilerleyen dönemlerde herhangi bir Kurul tarafından onay verilen bulut sistemi olması ve şirketçe verilerin bulut sisteminde yedekleneceği yönünde kara alınacak olunur ise,

 

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

 

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

 

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

 

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her

türlü teknik ve idari tedbirlerin alınması.

 

 

 

Yukarıda belirtilen durumun gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

 

7.          İMHAYA İLİŞKİN KAYITLARIN SAKLAMA SÜRESİ

 

Şirketimiz, imhaya ilişkin kayıtlar hem basılı olarak hem elektronik olarak 3 yıl boyunca saklamakta olup, imha kayıtlarının korunmasına ilişkin teknik ve idari tedbirler almaktadır.

 

8.          SAKLAMA VE İMHA SÜRELERİ

 

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem tarafından yerine getirilir. Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir.

 

Bu çerçevede, ilgili verinin Onatça nezdinde saklanmasının, KVKK’nın 5. ve 6. maddesinde kişisel verilere ve özel nitelikli kişisel verilere ilişkin olarak öngörülen hukuka uygunluk sebepleri kapsamında değerlendirilmesi halinde, bu hukuka uygunluk sebeplerine istinaden ilgili kişisel verilere ilişkin saklama süreleri tespit edilir.

 

Kişisel verilerin imha süreci, Onatça tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, Onatça tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir. Şirket politikası olarak yakma yoluyla imha etme yöntemi uygulanmasına karar verilmiştir.

 

Süreç

Saklama Süresi

İmha Süresi

Çalışan süreçlerinin yürütülmesi

Çalışanın  işten ayrılmasından itibaren 20 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sözleşmesel ilişkilerin yürütülmesi (müşteri, tedarikçi vb.)

Sözleşmenin sona ermesini takiben 20 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Log kayıt araç takip sistemleri

3 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İmha kayıtları

İmha tarihinden itibaren 3 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

9.          PERİYODİK İMHA SÜRESİ

 

Yönetmelik’in 11. maddesi gereğince periyodik imha süresi, Şirket tarafından, silme şartları gerçekleştikten sonra 6 (altı) ay olarak belirlenmiştir.

 

10.      POLİTİKANIN YAYIMLANMASI VE SAKLANMASI

 

İşbu Politika, 6698 sayılı Kanun yürürlüğü ile yayınlanmış ve basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanmaktadır.

 

11.      POLİTİKANIN GÜNCELLENME PERİYODU

 

İşbu Politika yılda bir kez gözden geçirilir ve ihtiyaç halinde esaslar dahilinde güncellenir.

 

12.      POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

İşbu Politika Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

Yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politikanın ıslak imzalı eski nüshaları Şirket Müdür’ünün yazılı onayı ile Kişisel Veri Sorumlusu tarafından iptal edilerek (iptal kaşesi vurulurak veya iptal yazılarak) imzalanır ve 5 yıl süre ile Kişisel Veri Sorumlusu tarafından saklanır.

 

 

Copyright © 2021 Betek Boya ve Kimya Sanayi A.Ş.