DOĞAN KARDEŞLER SPOR.TES.TAR.OTO.İNŞ.İTH.İHR.SAN.TİC.LTD.ŞTİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKAMIZ
Amaç ve Kapsam
İşbu imha politikası DOĞAN KARDEŞLER SPOR.TES.TAR.OTO.İNŞ.İTH.İHR.SAN.TİC.LTD.ŞTİ kısaca (“Şirket”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Şirket tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır. Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Şirket nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
Tanımlar
Açık Rıza :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
Alıcı Grubu :Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi, Anonim Hale Getirme :Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan :Şirket Personeli,
Elektronik Ortam :Kişisel verilerin elektronik aygıtlar ile oluşturulabilindiği, okunabilindiği, değiştirilebilindiği ve yazılabilindiği ortamlar,
E.Olmayan Ortam :Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar, İlgili Kişi :Kişisel verisi işlenen gerçek kişi.
İmha :Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
Kayıt Ortamı :Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi.
KVKK :Kişisel Verileri Koruma Kanunu’nu,
Kurul :Kişisel Verileri Koruma Kurulu’nu,
Periyodik İmha :Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Kişisel Verilerin İşlenmesi :Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Özel Nitelikteki Kişisel Veri :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Kişisel Veri Saklama ve İmha Politikası :Veri Sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılan politikayı, İfade eder.
Kişisel Verileri Saklama ve İmha Nedenleri
Şirket bünyesinde tutulan kişisel veriler 6698 sayılı KVKK ve “http://www.doganltd.com.tr” adresinden ulaşabileceğiniz Kişisel Verilerin Korunması Politikamız uyarınca, belirtilen amaç ve nedenlerle saklanmaktadır.
Kişisel Verilerin Saklandığı Ortamlar
Şirketimiz nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirketimiz her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
Matbu ortamlar :Birim dolapları, arşiv gibi verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
Yerel dijital ortamlar : Şirketimiz bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler gibi sair dijital ortamlardır.
Bulut ortamlar : Şirketimiz bünyesinde yer almamakla birlikte, Şirketimizin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
Elektronik ortamlar : LOGO BORDRO, FILE SERVER, SQL SERVER, PDKS SİSTEMLERİ
Ortamların Güvenliğinin Sağlanması
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır. İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar. Şirketimiz tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.
Teknik Tedbirler
Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:
➢ Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
➢ Kurulan sistemler kapsamında gerekli iç kontrolleri yapılmaktadır.
➢ Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
➢ Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
➢ Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
➢ Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulması sağlanmaktadır. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolü sağlanmaktadır.
➢ Şirketimiz bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
➢ Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulması sağlanmaktadır
➢ Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.
➢ Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunmaktadır.
İdari Tedbirler
Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki idari tedbirleri almaktadır:
➢ Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmakta, personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilmektedir.
➢ Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
➢ Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
➢ İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
➢ Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlamakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
➢ Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilmektedir
İmha Nedenleri
Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde re’sen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Bu nedenle “Kanunlarda açıkça öngörülmesi; Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; İlgili kişinin kendisi tarafından alenileştirilmiş olması; Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması; ilgili kişinin açık rızasının alınmasına ilişkin hal ve nedenlerin ortadan kalkması halinde kişisel verileriniz Şirket tarafından uygun görülen sistem ile imha edilecektir.
Kişisel Verilerin Silinmesi/ Yok Edilmesi/ Anonimleştirilmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin kayıt ortamlarına göre silme yöntemleri aşağıda belirtilmiştir: Bulut sisteminde yer alan kişisel veriler, geri getirme yetkisi olmaksızın silme komutu verilerek silinir. Kâğıt ortamında bulunan kişisel veriler ise karartma yöntemi kullanılarak silinir. Kâğıt üzerinde yer alan kişisel veriler üzeri okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır. Merkezi sunucuda yer alan ofis dosyalarında yer alan kişisel veriler, işletim sistemindeki silme komutu ile ya da dosyanın bulunduğu dizin üzerinde erişim haklarının kaldırılması suretiyle silinir. Taşınabilir medyada bulunan kişisel veriler şifreli olarak saklanır ve uygun yazılımlar kullanılarak silinir. Kişisel verilerin veri tabanlarında bulunması halinde ilgili satırlar veri tabanı komutları ile silinir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilme teknikleri; Demanyetize etme; fiziksel yok etme; üzerine yazma veya Şirket tarafından belirlenen diğer şekillerde yapılabilmektedir.
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirket ilgili kişilere ilişkin kişisel verileri aşağıda belirtilen saklama süreleri sonunda, en uygun olan yöntem ile en geç imha etme süresi içerisinde imha edecektir. Bununla birlikte Şirket, Kişisel Verilerin hukuka uygun şekilde saklanması, işlenmesi ve erişimini sağlamak için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetlerine göre teknik ve idari tedbirleri de Kanun çerçevesinde gerçekleştirmektedir.
Kişisel Verileri Saklama Ve İmha Süreleri
| VERİ SAHİBİ | SÜREÇ | SAKLAMA SÜRESİ | İMHA POLİTİKASI |
| ÇALIŞAN | İş sözleşmesi, işe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ile bunun dışında özlük dosyasında bulunan veriler | İş ilişkisi devamı süresince ve nihayetinde iş ilişkisinin sona erdiği tarihten itibaren 10 yıl süre ile | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| ÇALIŞAN | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | İş ilişkisi devamı süresince ve nihayetinde iş ilişkisinin sona erdiği tarihten itibaren 15 yıl süre ile | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| MÜŞTERİ | Müşteri Verileri | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulması tarihinden itibaren TBK 146 ile TTK 82 nci maddeleri uyarınca 10 yıl süre ile | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| POTANSİYEL MÜŞTERİ | Potansiyel Müşteri ile Şirket arasındaki satış ilişki kurulmasına dair gerçekleştirilen görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi(telefon/mail), ilgili vasıta üzerinden gerçekleştirilen konuşmalar, finansal bilgiler, teklif formları | Potansiyel Müşteri’nin, bilgi almış olduğu her bir ürün/hizmetin sunulması tarihinden itibaren 1 yıl süre ile | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| ÇALIŞAN, MÜŞTERİ, ZİYARETÇİLER | Şirket binasına girişçıkışın kontrol altında tutulması (kamera kayıtları) | 1 ay süre ile | Saklama süresi bitiminde otomatik silinmekte |
| ŞİRKET’İN İŞBİRLİĞİ İÇİNDE OLDUĞUKURUM/FİRMALAR (HER TÜRLÜ HİZMET SAĞLAYICI) | İşbirliği içinde olduğu Kurum/Firmalar (Hizmet Sağlayıcılar) ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İşbirliği İçinde olunan Kurum/Firma çalışanı verileri vd.bilgiler | Müşteri’nin, satın almış olduğu her bir hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket nezdinde her yıl Haziran ve Aralık ayı sonunda periyodik imha işlemi gerçekleştirilir.
Veri Sahibinin Talep Etmesi Halinde Kişisel Verilerin Silinmesi/Yok Edilmesi/Anonimleştirilmesi
Veri sahiplerinin (İlgili Kişilerin) Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini/yok edilmesini/anonimleştirilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirket ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir. Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer. Kişisel Veri Saklama ve İmha Politikasının en güncel hali Şirket internet sitesinde yayımlanmaktadır.
