KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
- İmha Politikasının Niteliği ve Amacı
İşbu Kişisel Veri Saklama ve İmha Politikası, IMOK ENDUSTRİYEL ÜRÜNLER TASARIM HEDİYELİK EŞYA İNŞAAT GIDA SANAYİ TİCARET LTD.ŞTİ olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Şirket tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Şirket nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak saklanmakta ve imha edilmektedir.
- Tanımlar
İşbu imha politikası metninde geçen;
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Yönetmelik: 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,
İfade eder.
- Kişisel Verilerin Saklandığı Ortamlar
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket, her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Aydınlatma Metnine işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.
- Matbu Ortamlar: Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
- Yerel Dijital Ortamlar: Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
- Bulut Ortamlar: Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır
- Güvenliğin Sağlanması
Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
- Teknik Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
- Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
- Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- İdari Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
- Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
- Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
- Kişisel Verilerin İmhası
- Saklama ve İmha Nedenleri
Şirket bünyesinde tutulan kişisel veriler Kanun ve Aydınlatma Metni uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.
Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- İmha Yöntemleri
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
- Matbu ortamda bulunan kişisel veriler karartma yöntemi ile çizilerek, boyanarak veya kesilerek işlem uygulanır.
- Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
- Matbu ortamda tutulan belgeler fiziksel yok etme ile evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
- Yerel dijital ortamda tutulan kişisel veriler, fiziksel yok etme yöntemi ile kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi işlemler uygulanarak yok edilir.
- Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Kişisel verilerin anonimleştirilmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
- İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçı çıkarılır.
- Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgiler silinir.
- Birçok kişiye ait kişisel veriler bir araya getirilip ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilir.
- Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir.
Kişisel Verileri Saklama Süreleri
Kişisel Veri Kaynağı | Süre |
Üyelik ve Rezervasyona Yönelik Kayıtlar | 10 Yıl |
Muhasebe ve Finansal İşlemlere Yönelik Kayıtlar | 10 Yıl |
Çerezler | 2 Yıl |
Ticari E-mail Onay Kayıtları | 1 Yıl |
Müşterilere İlişkin Kişisel Veriler | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl |
Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl |
Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
Ziyaretçi ve Toplantı Kullanıcılarının Kaydı | Etkinliğin Sona Ermesinden İtibaren 10 Yıl |
Kamera Kayıtları | 2 Yıl |
İş Kanunu Kapsamında Saklanan Veriler | İş İlişkisinin Sona Ermesinden İtibaren 5 Yıl |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler | İş İlişkisinin Sona Ermesinden İtibaren 15 Yıl |
SGK Mevzuatı Kapsamında Tutulan Veriler | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
Çalışan ile İlgili Mahkeme/İcra Bilgi Taleplerinin Cevaplanması | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
Çalışan Erişim Kısıtlamaları | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
Şirket Ortakları ve Yönetim Kurulu Üyelerine Ait Bilgiler | 10 Yıl |
Pay Defterinde Yer Alan Kişisel Veriler | 10 Yıl |
Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler | 1 Yıl |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Yıl |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler | İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl |
Çalışan Memnuniyet Anketlerine İlişkin Veriler | 1 Yıl |
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Yıl |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Yıl |
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler | 10 Yıl |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler | 3 Yıl |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları ve Onay Kayıtları Dışındaki Veriler | 1 Yıl |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl |
Fatura/Gider Pusulası/Makbuz Gibi Vergi Usul Kanunu Uyarınca Tutulması Gereken Belgelerle İşlenen Kişisel Veriler | 5 Yıl |
Ziyaretçilerin Kişisel Verileri | 2 Yıl |
Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler | 15 Yıl |
Müşteri İşlem Bilgileri | 10 Yıl |
Süreyle saklanır.
Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
Kişisel Verileri İmha Süreleri
Şirket, Kanun, ilgili mevzuat, Aydınlatma Metni ve işbu Kişisel Veri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket, talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir ve yapılan işlemle ilgili olarak kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket, işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri […] tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.
Güncelleme
Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
Yürürlük
İşbu Kişisel Veri Saklama ve İmha Politikası […] tarihinde yürürlüğe girer.