KİŞİSEL VERİLERİN İMHA POLİTİKASI
Şirketimiz bünyesinde verilerin imhası içinyılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgilikişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibarentakip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasındansorumlu personel/personeller tarafından silinecek, yok edilecek veya anonimhale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirketbünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3(üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imhaedilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi VeyaAnonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel VerilerinKorunması Kanunu hükümleri esas alınacaktır.
İmhayı gerektiren sebepler şunlardır:
· İşlenmesine esas teşkil eden ilgili mevzuathükümlerinin değiştirilmesi veya ilgası,
· İşlenmesini veya saklanmasını gerektiren amacınortadan kalkması,
· Kişisel verileri işlemenin sadece açık rızaşartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını gerialması,
· Kanunun 11 inci maddesi gereği ilgili kişininhakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkinyaptığı başvurunun Kurum tarafından kabul edilmesi,
· Kurumun, ilgili kişi tarafından kişiselverilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ilekendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veyaKanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyettebulunması ve bu talebin Kurul tarafından uygun bulunması,
· Kişisel verilerin saklanmasını gerektirenazami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklıkılacak herhangi bir şartın mevcut olmamasıdır.
Kişisel verileringüvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesininönlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel niteliklikişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemlerçerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından, işlediği kişisel verilerleilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
· Sızma (Penetrasyon) testleri ile Kurumumuzbilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortayaçıkarılarak gerekli önlemler alınmaktadır.
· Bilgi güvenliği olay yönetimi ile gerçekzamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğinietkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
· Bilişim sistemlerine erişim ve kullanıcılarınyetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerindengüvenlik politikaları aracılığı ile yapılmaktadır.
· Şirketin bilişim sistemleri teçhizatı, yazılımve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
· Çevresel tehditlere karşı bilişim sistemlerigüvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkilipersonelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izlemesistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğininsağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal(güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlıyazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
· Kişisel verilerin hukuka aykırı işlenmesiniönlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerinalınması sağlanmakta ve alınan tedbirlere yönelik teknik kontrolleryapılmaktadır.
· Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ileilgili raporlama ve analiz çalışmaları yapılmaktadır.
· Kişisel verilerin bulunduğu saklama alanlarınaerişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemelerikontrol altında tutulmaktadır.
· Şirket, silinen kişisel verilerin ilgilikullanıcılar için erişilemez ve tekrar kullanılamaz olması için gereklitedbirleri almaktadır.
· Kişisel verilerin hukuka aykırı olarakbaşkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurulabildirmek için Kurum tarafından buna uygun bir sistem ve altyapıoluşturulmuştur.
· Güvenlik açıkları takip edilerek uygungüvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
· Kişisel verilerin işlendiği elektronikortamlarda güçlü parolalar kullanılmaktadır.
· Kişisel verilerin işlendiği elektronikortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
· Kişisel verilerin güvenli olarak saklanmasınısağlayan veri yedekleme programları kullanılmaktadır.
· Elektronik olan veya olmayan ortamlardasaklanan kişisel verilere erişim, erişim prensiplerine göresınırlandırılmaktadır.
· Kurum internet sayfasına erişimde güvenliprotokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
· Özel nitelikli kişisel verilerin güvenliğineyönelik ayrı politika belirlenmiştir.
· Özel nitelikli kişisel veri işlemesüreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliğikonusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişimyetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
· Özel nitelikli kişisel verilerin işlendiği,muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemlerkullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlardatutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemelerisürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarakyapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
· Özel nitelikli kişisel verilerin işlendiği,muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlikönlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlarengellenmektedir.
· Özel nitelikli kişisel veriler e-posta yoluylaaktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEPhesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlaryoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte vekriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardakisunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPNkurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıtortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya dayetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleralınmakta ve evrak “gizli” formatta gönderilmektedir
· Bumaddelerden şirket hangisini yapabileceğini belirtecek
Şirket tarafından,işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdasayılmıştır:
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, İş Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Kişisel veriler yasal sürelerin dolmasıüzerine ilgili kişinin talebi yahut şirket tarafından resen aşağıdakişekillerde imha edilir.
| AÇIKLAMA | ||
|
| ||
|
| ||
|
| ||
|
| ||
|
| ||
|
|
İşçilerdenalınacak kişisel veriler niteliklerine göre farklı zaman dilimlerinde saklanıpimha edilirler. Söz konusu veriler saklama dönemleri aşağıdaki gibidir. İş buverilerin saklama süreleri dolanlar en yakın imha dönemi içinde imha edilir veimhaya ilişkin tutanaklar 3 yıl süre ile muhafaza edilir.
| KİŞİSEL VERİ | SAKLAMA SÜRESİ |
| İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve hitamından itibaren de 15 (on beş) yıl müddetle muhafaza edilir. |
| İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük veriler | Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10 (on) yıl müddetle muhafaza edilir |
| Müşteri Bilgileri | Türk Ticaret Kanunu 82. madde uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine esas bilgiler anılan kanun maddesi gereği 10 yıl süre ile, bunun dışındaki Müşteri Bilgileri ise işlendikleri amaç için gerekli olan süre kadar saklanır. |
| Ticari ilişkiye dayanak akitler ve bunlara ilişkin veriler | 6098 Sayılı Borçlar Kanunu ve sair mevzuat hükümleri gereği 10 yıl |
| Çalışanların Kişisel Sağlık Dosyaları | İş Sağlığı ve Güvenliği mevzuatına göre kişisel sağlık dosyalarının 15 yıl saklanması gerekmektedir. |
| Çalışan Adayı Bilgileri | En fazla 2 yıl olmak üzere, güncelliğini yitirinceye kadar saklanır. |
| Ziyaretçi Bilgileri | 2 yıl süre ile saklanır |
| İş Ortağı ve Danışman Bilgileri | Şirket ile olan ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu 146. maddesi uyarınca 10 yıl süre ile saklanır. |
| Firmalar Tarafından Şirket ile Paylaşılan Bilgiler | Şirket ile olan ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu 146. maddesi uyarınca 10 yıl süre ile saklanır. |
| Müşteri | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
| Müşteri/Potansiyel Müşteri Talepleri ve Şikâyetleri | Talep ve/veya şikâyet tarihinden itibaren 10 yıl süre ile saklanır. |
| İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması | Dava zamanaşımı süresince |
| Log Kayıt Takip Sistemleri | 10 yıl |
| Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi | 2 Yıl |
| Ziyaretçi ve Toplantı Katılımcılarının Kayıtları | Akdi bir ilişki yok ise etkinliğin bitiminden itibaren 2 yıl |
| Çalışan olmayan kursiyer, stajyer bilgileri | Şirketle eğitim ve sair faaliyetleri müddetince ve ilişkilerinin sona emesinden itibaren 1 yıl |
| Çalışan adaylarından alınan kişisel veriler | Adaylık başvurusunun olumsuz sonuçlanması halinde en yakın imha dönemine kadar |
Yukarıdaki açıklamalar ışığında VERBİSEnvanter kaydında imha süreleri veri kategorileri için şu şekildebelirlenmiştir;
| Veri Kategorisi | Veri Saklama Süresi |
| 1-Kimlik | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 2-İletişim | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 3-Lokasyon | Diğer Akdi Bir İlişkiye Dayanmayan Veriler İçin 2 yıl Akdi İlişki Halinde10 Yıl Sonraki İlk İmha Dönemi |
| 4-Özlük | Diğer Hukuki İlişkinin Bitimine Müteakip 15 Yıldan Sonraki İmha Dönemi |
| 5-Hukuki İşlem | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 6-Müşteri İşlem | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 7-Fiziksel Mekan Güvenliği | Diğer Mevzuatta Öngörülen Süreler Kadar Olmakla Birlikte Her Halde10 Yıl |
| 8-İşlem Güvenliği | Diğer Web ve Log Kayıtları İçin 2 Yıl/ Kurumsal Uygulamalar Açısından10 Yıl Sonra En Yakın İmha Döneminde |
| 9-Risk Yönetimi | Diğer Akdi Bir İlişkiye Dayanmayan Veriler İçin 2 yıl Akdi İlişki Halinde10 Yıl Sonraki İlk İmha Dönemi |
| 10-Finans | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| Veri Kategorisi | Veri Saklama Süresi |
| 11-Mesleki Deneyim | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 12-Pazarlama | Diğer Akdi Bir İlişkiye Dayanmayan Veriler İçin 5 yıl Akdi İlişki Halinde10 Yıl Sonraki İlk İmha Dönemi |
| 13-Görsel Ve İşitsel Kayıtlar | Diğer Akdi Bir İlişkiye Dayanmayan Veriler İçin 2 yıl Akdi İlişki Halinde10 Yıl Sonraki İlk İmha Dönemi |
| 17-Kılık Ve Kıyafet | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 21-Sağlık Bilgileri | Diğer Hukuki İlişkinin Bitimine Müteakip 15 Yıldan Sonraki İmha Dönemi |
| 23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 26-Diğer Bilgiler-Çalışan Aile Bilgileri | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
| 26-Diğer Bilgiler-İmza ve Sair El Yazısı Bilgileri | Diğer Hukuki İlişkinin Bitimine Müteakip 10 Yıldan Sonraki İmha Dönemi |
Firmamız nezdinde Temmuz ve Ocak ayları imha dönemleri olarak seçilmişolup saklama süresi dolan veriler en yakın imha dönemi olan ay içinde imhaedilerek tutanağa bağlanacaktır. Söz konusu tutanakta kişinin TC veya İsimbilgilerinden bazı harfler veya rakamlar çıkarılarak net bir tespit yapılmasınaizin verilmeyecek şekilde bilgiler yer alacaktır. Söz konusu tutanaklar 3 yılboyunca saklanacaktır.
İlgili kişi, Kanunun 13’ncü maddesineistinaden BEŞYILDIZ İLETİŞİMSİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talepettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. İlgili kişinin kuruma şikayet hakkı saklıdır. Bu bağlamda ilgili kişiler taleplerin reddedildiğini öğrenmelerinden itibaren Kurula 60 (altmış gün) içinde başvurabilir.
- Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular,
· BaşvuruSahibinin şahsen başvurusu ile,
· Notervasıtasıyla,
· BaşvuruSahibince 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenlielektronik imza” ile imzalanarak
Şirketkayıtlı elektronik posta adresine gönderilmek suretiyle, tarafımızailetilebilecektir. Bu hakkınızı kullanmak için iletişim bilgilerimiz aşağıdakigibidir:
| Unvan: | BEŞYILDIZ İLETİŞİM SİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ |
| MERSİS Numarası: | Vergi Numarası: 1660030957 |
| Adresi: | Macun Mahallesi 177 Cadde No: 19/4 Yenimahalle/ANKARA |
| Telefon: | 0542 635 20 10 |
| Faks: |
|
| E-mail: | info@besyildiztoptan.com |
