ÖMER BAYRAM
İNŞAAT TAAHHÜT YAPI MALZEMELERİ ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. BÖLÜM
1-AMAÇ, KAPSAM, DAYANAK, KISALTMALAR VE TANIMLAR İLE TERİMLER:
1.1-AMAÇ
MADDE-1) Bu Politika’nın ve 6698 Sayılı Kanun’un amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi (”İşveren, Şirket, İşyeri, Ö.B.A.Ş., Firma”) tarafından gerçekleştirilmekte olan Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca Saklama, İmha ve Anonim hale getirme faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket’imizin yükümlülüklerini/faaliyetlerini yerine getirirken Politika’larımızın; 6698 Sayılı Kişisel Verileri Koruma Kanunu ve 28 Ekim 2017 Tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile faaliyetlerimize yönelik iş ve işlemlerin yürütülmesi süreçleri ile diğer kanunların ve mevzuatların şartlarının usul, esas ve uyumunu sağlamaktır. Şirket’imizin birincil ve ikincil yükümlülüklerini/faaliyetlerini yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi tarafından hazırlanmıştır. Şirket’imiz Hissedarları, çalışanları, müşterileri, katılımcıları, eğitmenleri, tedarikçileri, iş ortakları, çalışan adayları, hizmet sağlayıcıları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, T.C. Kanunları, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Kabahatler Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, Bilgi Edinme Kanunu, Vergi Kanunu, İş Kanunu, Sosyal Hizmetler Kanunu, Yapı Denetimi Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelikler, Ulusal/Uluslararası sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket’imiz tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.
Ö.B.A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politika’sı, Ö.B.A.Ş. Kişisel Verilerin Saklanması ve İmha Politika’sı, Ö.B.A.Ş. Disiplin Yönergesi, Ö.B.A.Ş. Veri İşleme Envanteri, Ö.B.A.Ş. İşveren ile İşçi Arası Kişisel Verilerin Korunması Sözleşmesi, Ömer Bayram İnş. Taah. Yapı Malz. A.Ş. İş Sağlığı ve İş Güvenliği İç Yönetmeliği ve Diğer Sözleşme ve Yönergeler birbirini tamamlayıcı nitelikte olup ayrı ayrı düşünülemez.
1.2-KAPSAM
MADDE-2) Bu Politika ve Kanun hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.
Şirket’imizin birincil ve ikincil yükümlülüklerini/faaliyetlerini yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi tarafından; Şirket’imiz Hissedarları, çalışanları, tedarikçileri, müşterileri, katılımcıları, eğitmenleri, iş ortakları, çalışan adayları, hizmet sağlayıcıları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, T.C. Kanunları, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Kabahatler Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, Bilgi Edinme Kanunu, Vergi Kanunu, İş Kanunu, Sosyal Hizmetler Kanunu, Yapı Denetimi Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelikler, Ulusal/Uluslararası sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirleyerek, tüm kayıt ortamlarında kişisel verilerin saklanması ve imhasına ilişkin bu Politika uygulanır.
1.3-DAYANAK
MADDE-3) Bu Politika ve Kanun, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Şirket’imizin birincil ve ikincil yükümlülüklerini/faaliyetlerini yerine getirirken 6698 Sayılı Kişisel Verilerin Korunması Kanun’una ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’ine dayanılarak hukuki sorumluluğumuzu/yükümlülüğümüzü yerine getirmek için hazırlanmıştır.
1.4-KISALTMA VE TANIMLAR İLE TERİMLER:
MADDE-4) Bu Politika’ların ve Kanun’un uygulanmasında kısaltmalar ve tanımlar ile terimler aşağıdaki gibidir:
AGİ= Asgari Geçim İndirimi
Açık Rıza= Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Açık Rızanın Geri Alınması= İlgili kişinin, veri sorumlusuna belirli bir konuda, bilgilendirmeye dayanarak ve özgür iradesi ile verdiği rızasını ileriye etkili olmak üzere geri çekmesi.
Aktarım= Veri sorumlusu tarafından elde edilen kişisel verilerin yurt içindeki veya yurt dışındaki bir gerçek veya tüzel kişiye, kamu kurum ve kuruluşlarına veya diğer organlara açıklanması.
Aktif Rıza Yöntemi= İlgili kişinin aktif bir hareketini gerektiren ve hareketsiz kalmanın rıza gösterilmediği anlamına gelen rıza yöntemi.
Alenileştirme= Kişisel verilerin ilgili kişi tarafından bilerek ve isteyerek herhangi bir şekilde açıklanması.
Alıcı / Alıcı Grubu= Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme / Anonimleştirme= Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Aydınlatma= Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme.
Bağlayıcı Şirket Taahhüdü= Çok uluslu grup Şirket’lerde veya Şirket’ler topluluğunda, yeterli korumanın bulunmadığı ülkelerde kurulu Şirket’lere yapılacak kişisel verilerin aktarımında yeterli bir korumanın yazılı olarak taahhüt edilmesinde kullanılan veri koruma politikaları.
Başvuru Hakkı= İlgili kişinin, 6698 Sayılı Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile düzenlenen diğer yöntemlerle veri sorumlusuna iletme hakkı.
Battaniye Rıza= Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rıza.
Biyometrik Veri= Yüz görüntüleri veya daktiloskopik veriler gibi benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin spesifik (özel) teknik işlemlerden kaynaklanan kişisel veriler.
Bulut Bilişim= Düşük seviyede yönetim çabası ya da hizmet sağlayıcı etkileşimi ile hızlı bir şekilde sağlanıp serbest bırakılabilen bilgisayar ağları, sunucular, depolama, uygulamalar ve servisler gibi ayarlanabilir bilişim kaynaklarının müşterek havuzuna her yerden elverişli bir şekilde istenildiğinde ağa erişim sağlayan bir model.
Çalışan= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi’ne bağlı olarak çalışan gerçek kişi. (İşçi, Personel, Görevli, Çalışan)
De-Manyetize Etme= Manyetik medyanın (materyalin) özel bir cihazdan geçirilerek çok yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki kişisel verilerin okunamaz biçimde bozulması işlemi.
Denetim= Veri sorumlusunun Kanun hükümlerinin uygulanmasını sağlamak amacıyla kendi kurum veya kuruluşunda yapacağı veya yaptıracağı denetim.
Denge Testi= Birden fazla hak ve menfaatin yarıştığı durumlarda hangi hak ve menfaatin daha üstün geldiğini değerlendirmek için kullanılan test.
Doğrudan Tanımlayıcılar= Tek başlarına ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar.
Dolaylı Tanımlayıcılar= Diğer betimleyiciler ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar.
Düzeltme Hakkı= İlgili kişinin, eksik veya yanlış işlenmiş olan kişisel verilerinin düzeltilmesini veri sorumlusundan talep etme hakkı.
EBYS= Elektronik Belge Yönetim Sistemi
Elektronik Ortam= Kişisel Verilerin elektronik aygıtlar ile (sayısallaştırılarak) işlenmesi, saklanması ve iletilmesinin sağlandığı ortam.
Elektronik Olmayan Ortam= Elektronik ortamların dışında kalan tüm yazılı, görsel, basılı vb. diğer ortamlar.
Fiziksel Yok Etme= Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle kişisel verilerin fiziksel olarak erişilmez kılınması.
Genetik Veri= Bir gerçek kişinin fizyolojisi veya sağlığı ile ilgili benzersiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden elde edilen, kişinin kalıtım yoluyla veya sonradan edindiği özelliklerine ilişkin veriler
Gereklilik Testi= İlgili kişinin kişisel verilerinin, veri sorumlusu tarafından veri işleme şartlarının açık rıza dışında kalan diğer hukuki dayanakları çerçevesinde işlenmesinin gerekip gerekmediği hususunun değerlendirilmesi için kullanılan test.
Hassas Veri= Özel Nitelikli Kişisel Veri
Hizmet Sağlayıcı= Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek kişidir.
İlgili Kişi= Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı= Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi.
İmha= Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İşleme Şartı= Veri sorumlusunun kişisel verileri işleme faaliyetine dayanak yaptığı, 6698 Sayılı Kanun’da belirtilen durumlar.
Kanun= 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Karartma= Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Katmanlı Bilgilendirme= Veri sorumlusu tarafından ilgili kişiye, kişisel verilerinin işlenmesine ilişkin olarak yapılacak bilgilendirmenin, çoklu kanallardan ve mecralardan istifade edilerek gerçekleştirilmesi.
Kayıt Ortamı= Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin üzerine kaydedilip saklandığı her türlü ortam.
Kayıt Yükümlülüğü= Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülük.
Kişisel İrtibat= Türkiye’de yerleşik olan tüzel kişi veri sorumluları ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcilerinin 6698 Sayılı Kanun ve bu Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Veri Sorumluları Siciline kayıt esnasında bildirilen gerçek kişi.
Kişisel Sağlık Verisi= Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi.
Kişisel Veri= Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri (Dökümü)= Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter(döküm).
Kişisel Verilerin İşlenmesi= Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Saklama Süresi= 6698 Sayılı Kanun ve diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin muhafaza edilebileceği ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami süre.
Kişisel Veri Saklama ve İmha Politikası= Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kurul= Kişisel Verileri Koruma Kurulu ve/veya Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu
KVKK= Kişisel Verileri Koruma Kurumu
KVKKK= Kişisel Verileri Koruma Kurumu Kurulu
Log= Bilişim sistemlerinin ürettiği olay kayıtlarının zaman damgalı olarak tutulması.
Matris= Süreçlere ait yetki ve rollerin belirlenmesi, görevlerin tanımlanması, sorumlulukların belirlenmesi, bilgi akışının tanımlanmasıdır.
Maskeleme= Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstünün çizilmesi, boyanması ve yıldızlanması gibi işlemler.
Meşru Menfaat= İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirecek işleme faaliyetinde, veri sorumlusunun elde edeceği faydanın meşru, etkin, belirli ve mevcut bir menfaatine ilişkin olması.
Otomatik Yolla İşleme= İnsan müdahalesini ve çabasını en aza indirgeyerek, kişisel verilerin, dijital ortamda elektronik veya bilişim sistemleriyle belirli ölçütlere göre yapılandırılmasıyla gerçekleştirilen işleme.
Ö.B.A.Ş.= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi
Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu= Ö.B.A.Ş. Yönetim Kurulu ve Şirket’imiz adına, Şirket’imizi Temsil ve İlzama Yetkili gerçek ve/veya tüzel kişilerdir.
Ölçülülük= İşlenen kişisel verinin, veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulması, işlenen veri ile veri işleme amacı arasında makul bir dengenin bulunması.
Özel Nitelikli Kişisel Veri= Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Pasif Rıza Yöntemi= Özel olarak belirtilmesi halinde kişisel verilerin işlenmeyeceği, aksi halde ilgili kişinin aktif bir hareketi gerekmeksizin kişisel verilerin işlenebildiği rıza yöntemi.
Periyodik İmha= Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika= Kişisel Verilerin Korunması ve İşlenmesi Politikası ile Kişisel Verileri Saklama ve İmha Politikası
Profilleme= Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla işlemek suretiyle, ilgili kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi şeklindeki kişisel veri işleme biçimi.
Sır Saklama Yükümlülüğü= Veri sorumlusu veya veri işleyenin öğrendikleri kişisel verileri 6698 Sayılı Kanun hükümlerine aykırı olarak başkalarına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü.
Silme= Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Şantiye Departmanı= Mimar, Mühendis ve diğer teknik kişiler
Şikâyet= İlgili kişinin; veri sorumlusuna yaptığı başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, veri sorumlusunun cevabını öğrendiği tarihten itibaren Kişisel Verileri Koruma Kurumu Kurulu’na (KVKKK) ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na yapacağı başvuru.
Şirket= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi
Üst Yönetim= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Yönetim Kurulu ve/veya Yönetim Kurulu Başkanı
Üzerine Yazma= Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
Veri Güvenliği= Kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini engelleme ve kişisel verilerin muhafazasını sağlamaya yönelik her türlü teknik ve idari tedbirlerle kişisel verilerin korunması.
Veri İşleyen= Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri İhlal Bildirimi= Veri sorumlusu tarafından işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine, KVKKK’na ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na bildirmesi.
Veri Kategorisi= Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı.
Veri Kayıt Kategorisi (Sistemi)= Kişisel verilerin belirli kriterlere (kıstas) göre yapılandırılarak işlendiği kayıt sistemi.
Veri Konusu Kişi Grubu= Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi.
Veri Minimizasyonu= Veri sorumlusunun Kanun’da belirtilen işleme şartları ve bu şartları gerçekleştirmeye yönelik amaçlarıyla sınırlı, ölçülü ve bağlantılı olarak veri toplaması ve işlemesi.
Veri Sahibi= İlgili Kişi (Verisi işlenen kişi)
Veri Sızıntısı= Kişisel verilerin, elektronik veya fiziksel yöntemlerle, bir organizasyonun içinden harici bir hedefe veya alıcıya izinsiz olarak aktarılması.
Veri Sorumlusu= Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sorumluları Sicili= Kanun’a göre veri sorumlularının kaydolmak zorunda olduğu, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından ve Kurul’un (KVKK) gözetiminde kamuya açık olarak tutulması öngörülen kayıt sistemi.
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)= Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemi.
Veri Sorumlusu Temsilcisi= Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili hakkında Yönetmeliğin 11. maddesinde belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi.
Veri Süjesi= İlgili Kişi (Verisi işlenen kişi)
Yeterli Önlem= Özel nitelikli kişisel verilerin işlenebilmesi için veri sorumlusu tarafından alınması gereken ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler.
Yok Etme= Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Yönetmelik= 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. BÖLÜM
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
2-1-KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ
Kanun’un 7. maddesi ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, 6698 Sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu kişisel veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Maddenin 2 (İki) numaralı fıkrası gereğince, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanun’larda yer alan hükümler saklıdır. Maddenin 3 (Üç) numaralı fıkrasında kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların Yönetmelikle düzenleneceği belirtilmiştir. Bu kapsamda, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarih ve 30224 Sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Yönetmeliğin 8. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yönetmeliğin 9. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Son olarak Yönetmeliğin 10. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirket’imiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Şirket’imizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Şirket’imiz tarafından işlenen verilere ait Kişisel Veri İşleme Envanterinde saklama ve imha süreleri özet olarak aşağıdaki tablodaki gibidir. Daha detaylısı Ö.B.A.Ş. KİŞİSEL VERİ İŞLEME ENVANTERİ’nde görülebilecektir.(Bakınız)
|
Süreç |
Saklama Süresi |
İmha Süresi |
|
Şirket Ortakları ve Yönetim Kurulu (Üst Yönetim) Üyelerine Ait Bilgiler |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Genel Kurul İşlemleri |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Sözleşmelerin Hazırlanması |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Veri sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
Log Kayıt Takip Sistemleri |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
İş Sağlığı ve Güvenliği Uygulamaları |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Kamera Kayıtları |
5 Yıl |
Veri sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
Personelin Sözleşmeleri ve Mahkeme/İcra Bilgileri |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Veri sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
İşe Alım |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Veri sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
Ödeme ve Bordro İşlemleri |
İş ilişkisinin sona ermesine müteakip 5 Yıl |
Veri sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
Doküman Hazırlanması |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Ziyaretçi ve Toplantı Katılımcıların Kaydı |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Kaza Raporlama |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Eğitim Kayıtlarının Dosyalanması |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
|
Acil Durum Hazırlıkları |
5 Yıl |
Saklama süresinin bitimini takiben 180 gün |
2-2-KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINA İLİŞKİN ESASLAR:
MADDE-5)
(5-1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(5-2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
(5-3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.
Şirket’imiz tarafından; çalışanların, çalışan adaylarının, ziyaretçilerin, tedarikçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, müşterilerin, katılımcıların, eğitmenlerin, şirketlerin, şirket çalışanlarının, hissedarların, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin olarak, Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket’imiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta ve Kanun’larda öngörülen ve/veya işleme amaçlarımıza uygun süre kadar saklanır.
Şirket’imizin faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili Kanun ve mevzuatta öngörülen süre kadar muhafaza (saklanır) edilir. Bu kapsamda kişisel veriler; T.C. Anayasası, T.C. Kanunları, Kişisel Verilerin Korunması Kanunu, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Kabahatler Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, Bilgi Edinme Kanunu, Vergi Kanunu, İş Kanunu, Sosyal Hizmetler Kanunu, Yapı Denetimi Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelikler ve Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır ve de Kişisel Verileri Koruma Kurumu’na (KVKK) bildirilmiştir.
Şirket’imizin faaliyetleri çerçevesinde işlenen kişisel verileri saklamayı gerektiren işleme amaçları ise; İnsan kaynakları süreçlerini yürütmek, Şirket’imizin her türlü iletişimini sağlamak, işyeri ve/veya faaliyetlerimizin güvenliğini sağlamak, istatiksel veriler yapabilmek, yapılan/imzalanan sözleşmelerin /protokollerin sonucunda iş ve/veya işlemleri ifa edebilmek, Şirket’imizle iş ilişkisi olan gerçek ve/veya tüzel kişilerle iletişimi sağlamak, yasal ve/veya hukuki düzenlemelerin zorunlu kıldığı hukuki yükümlülükleri düzenlemek/güncellemek, Şirket içi ve/veya yasal raporlar yapmak, ileride oluşabilecek hukuki ve/veya idari uyuşmazlıklarda delil olarak ispat yükümlülüğü için ve de Şirket’imiz tarafından; çalışanların, çalışan adaylarının, ziyaretçilerin, tedarikçilerin ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, şirketlerin, çalışanların, hissedarların, müşterilerin, katılımcıların, eğitmenlerin, tedarikçilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklamak, düzenlemek, ihtiyaçları belirlemek ve de gerekmesi halinde güncelleme yapmak amacındayız.
Kişisel verilerin imhasını gerektiren sebepler, ilgili kişinin Şirket’imize talebi üzerine değerlendirmeye alınır. Değerlendirme sonucuna göre silinir, yok edilir ve/veya anonimleştirilir (anonim hale getirilir). İmhasını gerektiren nedenler ise; işlenmesini ve/veya saklanmasını gerektiren amacın ortadan kalkması, ilgili kişinin açık rızasını geri alması ve/veya açık rızanın alınmaması, ilgili kişinin başvurusunun Şirket’imiz tarafından talebinin süresi içinde cevap verilememesi ve/veya ilgili kişinin başvurusunu reddetmemiz halinde ve/veya Şirket’imiz ilgili kişinin başvurusunu yetersiz bulması halinde Kişisel Verileri Korumu Kurumu’na(KVKK) şikâyette bulunması ve Kurumun (KVKK) ilgili kişinin talebini uygun bulması hallerinde Şirket’imiz tarafından ilgili kişinin kişisel verileri silinir, yok edilir ve/veya anonim hale getirilir.
2-3-KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ KAPSAMI:
MADDE-6)
(6-1) Kişisel veri saklama ve imha politikası asgari olarak;
(6-1-a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
(6-1-b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
(6-1-c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
(6-1-ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
(6-1-d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
(6-1-e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
(6-1-f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
(6-1-g) Saklama ve imha sürelerini gösteren tabloya,
(6-1-ğ) Periyodik imha sürelerine,
(6-1-h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
İlişkin bilgileri kapsar.
3. BÖLÜM
3-KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
3-1-İLKELER:
MADDE-7)
(7-1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
(7-2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
(7-3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
(7-4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
(7-5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
Kanun’un 7. maddesi ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, 6698 Sayılı Kanun ve ilgili diğer Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu kişisel veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Maddenin 2 (İki) numaralı fıkrası gereğince, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer Kanun’larda yer alan hükümler saklıdır. Maddenin 3 (Üç) numaralı fıkrasında kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların Yönetmelikle düzenleneceği belirtilmiştir. Bu kapsamda, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarih ve 30224 Sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Yönetmeliğin 8. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yönetmeliğin 9. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Son olarak Yönetmeliğin 10. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirket’imiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Şirket’imizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Şirket’imiz tarafından; çalışanların, çalışan adaylarının, ziyaretçilerin, tedarikçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, şirketlerin, çalışanların, hissedarların, müşterilerin, katılımcıların, eğitmenlerin, tedarikçilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin olarak, Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket’imiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta ve Kanun’larda öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Şirket’imizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili Kanun ve mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; T.C. Anayasası, Kişisel Verilerin Korunması Kanunu, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Kabahatler Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, Bilgi Edinme Kanunu, Vergi Kanunu, İş Kanunu, Sosyal Hizmetler Kanunu, Yapı Denetimi Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelikler ve Bu Kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır ve de Kişisel Verileri Koruma Kurumu’na (KVKK) bildirilmiştir. Kişisel verilerin başka verilerle eşleştirilemez, ilişkilendirilemez ve belirlenemez hale getirilir yani anonimleştirilir. Kişisel veriler anonimleştirilirken; kişisel verilerin, veri sorumlusu ve/veya 3. (üçüncü) kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun teknikler kullanılması yoluyla dahi kimliği ve/veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hale getirilmektedir.
Kişisel verilerin imha teknikleriyle silme, yok etme aşağıdaki tabloda belirtilmiştir:
|
Kişisel Veri Kayıt Ortamı |
Açıklama (Neler Olduğu) |
Açıklama (Nasıl Yapılacağı) |
|
Elektronik Olmayan (Fiziksel) Ortamlar |
Kâğıt, Fatura, Fiş, Ziyaretçi Giriş Defteri, Anket, Form vb. gibi Manuel Veri Kayıt Sistemleri, Katalog, Dergi vb. gibi Yazılı ve Basılı Görsel Ortamlar |
Elektronik olmayan ortamlarda (fiziksel) tutulan kişisel verilerden saklanmasını gerektiren süre sona erdiğinde hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Kullanılamaz ve erişilemez hale getirmek için ise kâğıt kırpılarak, yırtılarak, boyanarak, silinerek, yakılarak, üzeri çizilerek vb. işlemler yapılarak geri döndürülemeyecek şekilde yok edilir. |
|
Elektronik Ortamlar |
Yazılımlar (Muhasebe, Ofis, Portal vb.), Telefon, Tablet, Dizüstü Bilgisayar vb. mobil cihazlar, Fotokopi Makinesi, Yazıcı, Tarayıcı vb. cihazlar, USB, Hafıza Kartları vb. çıkartılabilir bellekler, Masaüstü Bilgisayar, Dizüstü vb. Kişisel ve Kurumsal Bilgisayarlar, Antivirüs vb. gibi Bilgi Güvenliği Cihazları ve Programları, E-posta, Veri tabanları, Web, Dosya Paylaşımı, Etki Alanlı Yedekleme vb. Sunucular. |
Elektronik ortamlarda tutulan kişisel verilerin saklanmasını gerektiren süre sona erdiğinde sistem yöneticisi tarafından kullanıcıların erişim yetkileri kaldırılır, erişilemez ve tekrar kullanılamaz hale getirilir. Bazı durumlarda ise şifreleme yapılır ve sisteme erişim şifreleme anahtarlarıyla güvenli hale getirilir. Optik ve manyetik veri kayıtları ise eritilerek, tuzla buz (toz hale getirme) edilerek, yakılarak, yüksek değerde manyetik alana maruz bırakılarak (De-Manyetize Etme) veriler okunamaz ve geri erişilemez hale getirilir. |
3-2-KİŞİSEL VERİLERİN SİLİNMESİ:
MADDE-8)
(8-1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(8-2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
3-3-KİŞİSEL VERİLERİN YOK EDİLMESİ:
MADDE-9)
(9-1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(9-2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
3-4-KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ:
MADDE-10)
(10-1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
(10-2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
(10-3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
3-5-KİŞİSEL VERİLERİ RESEN SİLME, YOK ETME VEYA ANONİM HALE GETİRME SÜRELERİ:
MADDE-11)
(11-1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
(11-2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(11-3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
(11-4) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.
3-6-KİŞİSEL VERİLERİ İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ:
MADDE-12)
(12-1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
(12-1-a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
(12-1-b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
(12-1-c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
4. BÖLÜM
4 – SORUMLULUK VE GÖREV DAĞILIMLARI
Şirket’imiz; en üst unvan ve biriminden en alt unvan ve birimine kadar, tüm unvan ve birimlerce bu Politika kapsamında alınmakta olan tüm tedbirlerin gereği olarak uygulanması, eğitilmesi, izlenmesi, farkındalık yaratılması ve denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin, saklanmasının, imhasının, anonimleştirilmesinin önüne geçilerek gerekli tüm idari ve teknik tedbirlerin alınarak, sorumluluk ve görev dağılımını yaparak aktif olarak destek verilmektedir.
Saklama ve imha süreçleri görev dağılımı tablosu:
|
Sıra No |
Unvanı |
Birimi |
Görev |
|
1 |
Ö.B.A.Ş. Yönetim Kurulu (Üst Yönetim) |
Ö.B.A.Ş. Yönetim Kurulu |
Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur. |
|
2 |
Ö.B.A.Ş. Yönetim Kurulu Başkanı (Üst Yönetim) |
Ö.B.A.Ş. Yönetim Kurulu |
Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur. |
|
3 |
Şirket’imizi Temsil ve İlzama Yetkililer |
Ö.B.A.Ş. Yönetim Kurulu |
Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur. |
|
4 |
Veri Sorumlusu Yöneticisi |
Ö.B.A.Ş. Yönetim Kurulu |
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, uygulanması, ilgili ortamlarda yayınlanması, güncellenmesi, idari ve teknik çözümlerin bulunup yapılmasından sorumludur. |
|
5 |
Muhasebe/Finans Departmanı, Şantiye (Mühendis-Mimar-Teknik Kadro) Departmanı |
Diğer Birimler |
Politika’nın uygulanması, yürütülmesi ve çözümlerin bulunmasından sorumludur. |
5. BÖLÜM
5– KAYIT ORTAMLARI
Kişisel Veriler, Şirket’imiz tarafından aşağıdaki belirtilen ortam ve/veya ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır:
|
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
||
|
1 |
Yazılımlar (Muhasebe, Ofis, Portal vb.) |
1 |
Kâğıt, Fatura, Fiş vb. |
|
2 |
Telefon, Tablet, Dizüstü Bilgisayar vb. mobil cihazlar |
2 |
Ziyaretçi Giriş Defteri, Anket, Form vb. gibi Manuel Veri Kayıt Sistemleri |
|
3 |
Fotokopi Makinesi, Yazıcı, Tarayıcı vb. cihazlar. |
3 |
Katalog, Dergi vb. gibi Yazılı ve Basılı Görsel Ortamlar |
|
4 |
USB, Hafıza Kartları vb. çıkartılabilir bellekler. |
|
|
|
5 |
CD, DVD, Blu Ray vb. optik diskler. |
||
|
6 |
Masaüstü Bilgisayar, Dizüstü vb. Kişisel ve Kurumsal Bilgisayarlar. |
||
|
7 |
Antivirüs vb. gibi Bilgi Güvenliği Cihazları ve Programları |
||
|
8 |
E-posta, Veri tabanları, Web, Dosya Paylaşımı, Etki Alanlı Yedekleme vb. Sunucular |
||
6. BÖLÜM
6-TEKNİK VE İDARİ TEDBİRLER
Kişisel veri işlemeye başlamadan önce Şirket’imiz tarafından idari tedbir olarak; İlgili kişilere aydınlatma yükümlülüğü yerine getirilmektedir. Çalışanlara gizlilik sözleşmeleri imzalatılmaktadır. Kişisel verilerin hukuka aykırı olarak işlemenin ve erişimin önlenmesi sağlanmaktadır. Çalışanların niteliği, teknik bilgi, becerilerinin geliştirilmesi ve veri güvenliği için eğitimler verilmektedir. İletişim teknikleri ve ilgili Kanun’lar, Yönetmelik’ler, Politika’lar ve Mevzuat’lar hakkında eğitimler verilmektedir. Kişisel verilerin işlendiği ve saklandığı ortamların güvenlik önlemleri alınmakta ve bu konularda düzenli olarak işyeri içi periyodik ve rastgele denetimler yapılmaktadır. Güvenlik prosedürlerine ve Politika’larına uymayan çalışanlara yönelik uygulanacak disiplin prosedürü (Ö.B.A.Ş. Disiplin Yönergesi) (Ö.B.A.Ş. Disiplin Ceza Cetveli’ndeki ceza) uygulanmaktadır. Kişisel veriler için alınan idari tedbirlerin yanı sıra, özel nitelikli kişisel verilerin işlenmesi, denetimi, erişilmesi, saklanması, imhası veya yok edilmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında düzenli eğitim verilmektedir. Yetkisiz girişler-çıkışlar engellenmektedir. Elektronik olmayan (Kâğıt) ortamında aktarımı gerekiyorsa evrak “Gizlilik Dereceli” belgeler formatında gönderilmektedir.
Teknik tedbir olarak ise; Şirket’imizde bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. Hukuka aykırı işlemeyi önlemeye dönük riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmaktadır. Yetki matrisi uygulanmaktadır. Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır. Erişim yetki ve rol dağılımları için prosedürler (yöntemler) oluşturulmakta ve uygulanmaktadır. Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır. Hukuka aykırı işleme tespit edilirse ilgili kişiye, Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na bildirmek için bir sistem ve altyapı oluşturulmaktadır. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte, bilgi sistemleri sürekli güncel halde tutulmaktadır. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. Güvenli kayıt tutma (Loglama) sistemleri kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. Elektronik olan veya elektronik olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır. Sızma (Penetrasyon) testleri ile Şirket’imiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. Erişim yetki ve rol dağılımları tanımlanmaktadır ve prosedürleri oluşturulmakta ve uygulanmaktadır. Özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmekte, periyodik yetki kontrolleri gerçekleştirilmektedir. Özel nitelikli verilerin işlendiği elektronik ortamda Kriptografik (şifreli) yöntemler kullanılmaktadır. Kriptografik anahtarlar güvenli ortamlarda tutulmakta, işlem kayıtları loglanmakta. Güvenlik testleri düzenli yapılmakta, e-posta yoluyla aktarım gerekiyorsa şifreli olarak kurumsal (Şirket’imize ait) e-posta veya KEP kullanılarak, sunucular arasında aktarım ise SFTP (Güvenli Dosya Aktarımı Protokolü Sunucusu) yöntemiyle gerçekleştirilmektedir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi amacı ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle ve yine Kanun’un 6. maddesinin 4. (dördüncü) fıkrası gereği özel nitelikli kişisel veriler için Şirket’imiz tarafından yeterli teknik ve idari tedbirler alınmaktadır. Teknik ve idari tedbirler ise şöyledir: Teknik konularda yetkili personel Şirket’imiz bünyesinde çalışmaktadır. Şirket’imiz veri işleme faaliyetlerine ilişkin tüm süreçler ilgili birimler/departmanlar/bölümler bazında analiz edilmekte, bu kapsamda her birim/departman/bölüm tarafından Kişisel Verileri İşleme Envanteri hazırlanmaktadır. Kişisel verilerinizin saklanacağı veri tabanları ve yazılımsal/donanımsal depolama üniteleri ve benzeri teknik altyapı oluşturulmakta ve kullanılmaktadır. Riskli durumlar yeniden incelenerek gerekli teknolojik çözümler üretilmektedir. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmaktadır. Kişisel verilerin hukuka uygun saklanması konusunda farkındalık faaliyetleri ve eğitimleri yapılmaktadır. Kişisel verilerin saklanması için üçüncü kişilerle işbirliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekteyiz. Tarafımıza kişisel veri aktaran hizmet aldığımız taşeron firmalar ile gizlilik sözleşmeleri imzalanmakta, bu verilerin hukuka uygun aktarıldığı konusunda bu sözleşmeler yoluyla teyit almaktayız. Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmaktadır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılmalıdır. Çalışanların, Politika’ya riayet edebilmeleri açısından Politika Şirket’imize ait iç ağda (portal) yayınlanmakta ve iş sözleşmelerinde Şirket’imiz prosedür ve kurallarına uyacakları konusunda hükümler yer almaktadır. Kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle ve/veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, DVD, CD vb. gibi ortamlar ile aktarılması gerekiyorsa şifreli yöntemlerle şifrelenmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ve/veya yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak gizli bir biçimde gönderilmektedir. Şirket içi sürekli ve rastgele denetimler yapılmaktadır. Kişisel veri envanteri hazırlanmıştır. Çalışanlara dönük bilgi güvenliği eğitimleri verilmektedir. Kişisel veri işlemeye başlamadan önce Şirket’imiz tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. Şirket’imiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik (sır) sözleşmeleri imzalatılmaktadır. Güvenlik Politikalarına ve kurallarına uymayan çalışanlara yönelik Disiplin Yönergesi (disiplin kuralı) (Ö.B.A.Ş. Disiplin Ceza Cetveli) hazırlanmıştır. Ayrıca çalışanların niteliğinin geliştirilmesine dönük kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, erişilmesinin önlenmesi, muhafazasının sağlanması, teknik bilgi ve becerinin arttırılması ve ilgili diğer kanun ve mevzuat ve yönetmelikler hakkında eğitim verilmektedir.
7.BÖLÜM
7-ONAYLAYAN:
Ö.B.A.Ş. Yönetim Kurulu adına, Şirket’imizi Temsil ve İlzama Yetkili’ler (“Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu”/”Ö.B.A.Ş. Yönetim Kurulu”/”Disiplin Kurulu Başkanı”) tarafından onaylanmıştır.
8. BÖLÜM
8-PERİYODİK İMHA SÜRECİ
Buna göre, 6698 Sayılı Kanun ve ilgili diğer Kanun ve/veya yönetmelik hükümlerine uygun olarak Şirket’imiz Periyodik İmha Süresini 180 Gün (6 Ay) olarak belirlemiştir.
9. BÖLÜM
9-POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Kişisel Verileri Saklama ve İmha Politikası; Basılı Kâğıt (ıslak imzalı/orijinal) ve Elektronik ortamda olmak üzere iki farklı ortamda yayınlanır. Basılı Kâğıt (ıslak imzalı/orijinal) nüshası Şirket’imizin Muhasebe Biriminde ve/veya Veri Sorumlusunun sorumluluğunda dosyalanır. Elektronik ortamda olan ise www.omerbayram.com internet adresinde herkese (kamuya) açıktır.
10. BÖLÜM
10-POLİTİKA’NIN GÜNCELLENME PERİYODU
Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kişisel Verileri Saklama ve İmha Politikası; ihtiyaç duyuldukça gözden geçirilir ve gerekli durumlarda gerekli olan bölüm ve/veya bölümler güncellenir. Şirket’imizin www.omerbayram.com internet adresinde yayınlanır. Ayrıca muhasebe departmanında hazır halde bulundurulur. Veri sorumlusunun gözetiminde bilgiler güncellenir.
11. BÖLÜM
11-POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kişisel Verileri Saklama ve İmha Politikası’nın yürürlük tarihi 30.09.2020’dir. Bu Politika, Şirket’imizin internet sitesi olan www.omerbayram.com adresinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Yürürlükten kaldırılmasına karar verilmesi halinde, bu Politika’nın Islak İmzalı (Basılı Kâğıt) Eski Nüshaları Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu tarafından (İptal Kaşesi Vurulacak ve/veya İptal Yazılacak) imzalanır ve en az 5 yıl süre ile Veri Sorumlusunun sorumluluğunda saklanır ve daha sonra süre bitiminde yakılarak imha edilir.