ASLAN TİCARET DAYANIKLI TÜKETİM MALLARI LTD.ŞTİ.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İçindekiler…………………………………………………………………………………….1
1.Giriş…………………………………………………………………………………………2
1.1. Amaç…………………………………………………………………………………..…2
1.2.Kapsam…………………………………………………………………………………..2
2.Tanımlar……………………………………………………………………………………2
3.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar Kişiler……………...2
4.Kayıt Ortamları……………………………………………………………………………3
5.Saklama ve İmhaya İlişkin Açıklamalar………………………………………………3
5.1.Saklamayı Gerektiren İşleme Amaçları…………………………………………….4
5.2.İmhayı Gerektiren Sebepler…………………………………………………………..4
6.Teknik ve İdari Tedbirler…………………………………………………………………4
6.1.Kişisel Verilerin Güvenli Olarak Saklanması ve Hukuka Aykırı Olarak
İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
6.1.1.Teknik Tedbirler……………………………………………………………………...4
6.1.2.İdari Tedbirler………………………………………………………………………...5
6.2.Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve
İdari Tedbirler………………………………………………………………………………..5
6.2.1.Kişisel Verilerin Silinmesi…………………………………………………………..5
6.2.2.Kişisel Verilerin Yok Edilmesi……………………………………………………...6
6.2.3.Kişisel Verilerin Anonim Hale Getirilmesi………………………………………..6
7.Saklama ve İmha Süreleri……………………………………………………………….6
8.Periyodik İmha Süresi…………………………………………………………………...8
9.Politikanın Güncellemesi………………………………………………………………..8
10.Politikanın Yürürlük Tarihi…………………………………………………………….8
1.Giriş
1.1. Amaç
İşbu kişisel verileri saklama ve imha politikası (“Politika”) Aslan Ticaret Dayanıklı Tüketim Malları Ltd.Şti.(“Şirketimiz”) işlediği kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu(“KVKK”)ve diğer ilgili tüm mevzuat kapsamında saklama ve imha faaliyetlerinin usul ve esaslarını belirlemek amacıyla hazırlanmıştır. İşbu saklama ve imha politikası Şirketimizin www.schafer.com.tr adresinde yayımlanmıştır.
1.2.Kapsam
İşbu politika Şirketimiz nezdinde çalışanların, çalışan adaylarının, stajyerlerin, ziyaretçilerin, müşterilerin ve diğer kişisel verileri işlenen tüm gerçek kişilerin işlenen verilerinin saklanmasını ve imhasını kapsar.
2.Tanımlar
a)Alıcı grubu:Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b)İlgili kullanıcı:Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
c)İmha:Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç)Kanun:24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
d)Kayıt ortamı:Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
f)Kişisel veri saklama ve imha politikası:Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
g)Kurul:Kişisel Verileri Koruma Kurulunu,
ğ)Periyodik imha:Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
ı)Veri kayıt sistemi:Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
i)Veri sorumlusu:Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
j)Yönetmelik:Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder.
3.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar Kişiler
Şirketimizce işlenen kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve imhası ile Politika kapsamında teknik ve idari tedbirlerin uygulanması için Tablo 1’de yer alan birimler görevlendirilmiştir.
Tablo 1:
Birim Unvan Görev
IT
|
IT Sorumlusu
|
Görevi nezdindeki işlenen kişisel verilerin saklama ve imha sürelerine riayet ve politikanın uygulanmasındaki teknik süreçlerden sorumludur.
|
İnsan Kaynakları
|
İnsan Kaynakları Müdürü
|
Görevi nezdindeki işlenen kişisel verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumludur.
|
Mali İşler
|
Muhasebe Müdürü
|
Görevi nezdindeki işlenen verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumludur.
|
Veri Sorumlusu Temsilcisi
|
|
Politikanın gereği gibi uygulanması için diğer görevli birimleri denetlemek, kişisel verileri işleme ile ilgili süreçleri ve işbu politikayı yönetmek, sicile ilişkin iş ve işlemleri yapmakla yükümlüdür.
|
İrtibat Kişisi
|
|
Görevi nezdindeki işlenen verilerin saklama ve imha sürelerine riayet ve politikanın uygun olarak yürütülmesinden sorumlu olmakla birlikte kurum ile iletişimin sağlanması, veri sahipleri ile irtibatın sağlanmasından sorumludur.
|
4.Kayıt Ortamları
Kişisel veriler Şirketimizce elektronik (masaüstü, dizüstü bilgisayarlar, telefon, tablet gibi mobil cihazlar, CD, DVD gibi optik diskler, USB gibi çıkarılabilir bellekler, yazıcı, tarayıcı, fotokopi makinası, e-posta, web, ofis yazılımları) ve/veya fiziki (kağıt, anket defteri, ziyaretçi defteri) ortamlarda politikaya uygun olarak tutulur.
5.Saklama ve İmhaya İlişkin Açıklamalar
Kişisel veriler Şirketimiz tarafından kanunun 4. maddesinde belirtilen “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğince güncel olma, belirli açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri doğrultusunda işlenmektedir.
5.1.Saklamayı Gerektiren İşleme Amaçları
>İnsan kaynakları süreçlerini yürütmek,
>Şiretimizin güvenliğini sağlamak,
>Bir sözleşmenin kurulması ve ifasıyla ilgili işlemleri yerine getirebilmek,
>Hukuki ve cezai uyuşmazlıkları ispat etmek,
>Çalışma koşulları ile iş sağlığı ve güvenliği esaslarına uygun hareket edebilmek,
>Mahkeme kararlarını yerine getirebilmek,
>Mevzuattan doğan yükümlülükleri yerine getirebilmektir.
Ayrıca Şirket’imiz tarafından işlenen tüm kişisel verilerin hangi amaçlarla işlendiğine ilişkin detaylı bilgi https://verbis.kvkk.gov.tr/ adresinden sicil sorgulama bölümüne Şirket ünvanımız yazılarak edinilebilir.
5.2.İmhayı Gerektiren Sebepler
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirketimiz tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
>Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
>Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
>Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
>Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
>İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
>Şirketimizin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
>Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmamasıdır.
6.Teknik ve İdari Tedbirler
6.1.Kişisel Verilerin Güvenli Olarak Saklanması ve Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınmış Teknik ve İdari Tedbirler
6.1.1.Teknik Tedbirler
Şirketimiz kişisel verilerin güvenli olarak saklanması ve 3. kişiler tarafından erişilmesini engellemek amacıyla aşağıdaki teknik tedbirleri almaktadır:
>Şirketimiz tarafından kişisel verilerin işlendiği ortamların güncel tutulabilmesi amacıyla teknolojik gelişmeler takip edilmektedir.
>Bilişim sistemlerinin güvenliğinin sağlanması için belirli aralıklarla gerekli sızma testleri yapılmaktadır.
>Şirketimizde verilerin sızmasını engelleyici teknik altyapı temin edilmektedir.
>Şirketimiz nezdinde verileri kaydeden birimlerde çalışan personelden gizlilik taahhüdü alınmaktadır.
>Kişisel verilerin işlendiği ortamlarda sağlam şifreleme ve/veya kilitleme yöntemleri kullanılmaktadır.
> Kişisel verilerin tutulduğu ortamlarda güvenlik sistemleri kullanılmaktadır.
6.1.2.İdari Tedbirler
Şirketimiz kişisel verilerin güvenli olarak saklanması ve 3. kişiler tarafından erişilmesini engellemek amacıyla aşağıdaki idari tedbirleri almaktadır:
>Saklanan kişisel verilere erişim ancak Şirketimizin ilgili personelleri nezdinde sınırlıdır.
>Şirketimizce işlenen kişisel verilerin hukuka aykırı yollarla 3. kişilerce ele geçirilmesi halinde bu durumu en kısa sürede Kurul’a bildireceğine ilişkin tedbirler alınmıştır.
>Şirketimiz kişisel verilerin aktarılması durumunda aktarılan kişiler ile ilgili gerekli sözleşmeleri yapar ve/veya diğer gerekli önlemleri alır.
>Kişisel verilerin hukuka uygun işlenmesi ve saklanması için verileri işleyen personele gerekli eğitimler verilmektedir.
>Şirketimiz verilerin saklanmasına ilişkin gerekli denetimleri yapar. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
6.2.Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirketimiz tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir;
6.2.1.Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz aşağıda yer verilen silme işlemlerinden hepsi yahut gerektiğinde bir veya bir kaçı ile silme işlemini gerçekleştirmektedir.
Sunucularda Yer Alan Kişisel Veriler: Bu kişisel verilerden saklanmasını gerektiren süre sona erenler için ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Fiziksel Ortamda Tutulan Kişisel Veriler:Kâğıt ortamında bulunan kişisel verilerden silinmesi gereken kısmın mümkün olan durumlarda kâğıttankesilmesi, mümkün değilse karartma yöntemi kullanılarak silinmesi işlemidir. Kâğıt üzerinde yer alan kişisel veriler üzeri okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır.
Elektronik Ortamda Tutulan Kişisel Veriler:Geri getirme yetkisi olmaksızın silme komutu verilerek silinir.
Taşınabilir Bellekte Yer Alan Kişisel Veriler:Şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
6.2.2.Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Şirketimiz aşağıda yer verilen yok etme işlemlerinden hepsi yahut gerektiğinde bir veya bir kaçı ile yok etme işlemini gerçekleştirmektedir.
Fiziksel Ortamda Tutulan Kişisel Veriler:Kâğıt ortamında bulunan kişisel veriler, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
Dijital Ortamda Tutulan Kişisel Veriler:Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
6.2.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, bir veri topluluğundaki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesidir. Bu sayede belli bir kişiyi işaret etmeyen veriler anonim hale getirilmiş olur.Şirketimiz aşağıda yer verilen anonim hale getirme işlemlerinden hepsi yahut gerektiğinde bir veya bir kaçı ile anonim hale getirme işlemini gerçekleştirmektedir.
Tanımlayıcıları Çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.
Gizleme: Kişisel veri kümesinde istisna durumda olan ve ilgili kişinin ayırt edilmesini sağlayan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme:Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
7.Saklama ve İmha Süreleri
Şirketimiz tarafından işlenen kişisel verileriniz tablo 2’de belirtilen süre boyunca saklanır ve saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilir.
Tablo 2:
Kişisel Veri
|
Saklama Süresi
|
İmha Süresi
|
Kimlik
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İletişim
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Lokasyon
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Özlük
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Hukuki İşlem
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Müşteri İşlem
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Fiziksel Mekan Güvenliği(Kamera Kaydı)
|
İşlenmesinden itibaren
30 gün
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İşlem Güvenliği
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Risk Yönetimi
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Finans
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Mesleki Deneyim
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Pazarlama
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Görsel ve İşitsel Kayıtlar
|
İşlenmesinden itibaren
Görsel Kayıtlar:10 yıl
İşitsel Kayıtlar:2 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Sağlık Bilgileri
|
İşlenmesinden itibaren
15 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Ceza Mahkumiyeti ve Güvenlik Tedbiri
|
İşlenmesinden itibaren
10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
8.Periyodik İmha Süresi
Kanunda ve işbu Politikada yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirketimiz ilgili kişisel verileri Yönetmeliğin 11 inci maddesi gereğince 6 ay aralıklarlare’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.Buna göre, Şirketimizde işbu politikanın yürürlük tarihinden başlamak üzere her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
9.Politikanın Güncellemesi
İşbu Politika zaman zaman güncellenebilir. Bu nedenle, Politika’nın en güncel versiyonuna ulaşmak için, www.schafer.com.tr adresi ziyaret edilebilir.
10.Politikanın Yürürlük Tarihi
İşbu Politika, Şirketimize ait www.schafer.com.tr web sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.