ÖZBOLU ORMAN ÜRÜNLERİ NAKL. İNŞ. HAYV. SAN. VE TİC. LTD. ŞTİ.
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
İÇİNDEKİLER
- AMAÇ
- KAPSAM
- TANIMLAR
- ROL VE SORUMLULUKLAR
4.1 Veri sorumlusu
4.2 Veri sorumlusu temsilcisi
4.3 Veri İşleyen
4.4 Sorumluluk
- KAYIT ORTAMLARI
- SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
- SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
- İMHAYI GEREKTİREN HUKUKİ SEBEPLER
- TEKNİK TEDBİRLER
- İDARİ TEDBİRLER
- KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ
- KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ
- SAKLAMA VE İMHA SÜRELERİ
- PERİYODİK İMHA SÜRESİ
- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ
- YÜRÜRLÜK
1.AMAÇ
Kişisel verileri saklama ve imha politikası ÖZBOLU ORMAN ÜRÜNLERİ NAKL.İNŞ.HAYV.SAN.VE TİC.LTD.ŞTİ (Bundan sonra ‘’ŞİRKET YA DA ÖZBOLUORMAN ’’olarak anılacaktır.) tarafından işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve işlemler konusundaki usulleri ve esasları belirlemek amacıyla hazırlanmıştır.
2.KAPSAM
Şirket çalışanlarına, ürün ve hizmet alanlara, potansiyel müşterilere, hissedarlara, ziyaretçilere, tedarikçilere ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamındadır. Şirketin sahip olduğu ya da şirket tarafından yönetilen kişisel verilerin işlendiği kayıt ortamlarında ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.
3.TANIMLAR
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
|
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
|
Başvuru Formu |
Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.
|
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
|
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
|
İlgili kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya very sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
|
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
|
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
|
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
|
Kişisel verilerin anonym hale getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
|
Kişisel verilerin silinmesi |
Kişisel verilerin silinmesi; Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
|
Kişisel verilerin yok edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, gerigetirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
|
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
Özel nitelikli kişisel veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik imha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme,yok etme veya anonim hale getirme işlemi. |
Politika(lar) |
Aydınlatma Politikası, Kişisel Verileri Koruma Politikası, Kişisel Veri Saklama ve İmha Politikası |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri sahibi / İlgili kişi |
Kişisel verisi işlenen gerçek kişi. |
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri Temsilcisi |
Kanun uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişi. |
Yönetmelik |
28 Ekim 2017 tarihinde Resmi Gazete’ de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
- SORUMLULUK VE GÖREVLER
4.1 Veri sorumlusu
KVKK uyarınca kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi anlamına gelmektedir.
ÖZBOLUORMAN, veri tabanında kayıtlı olan kişisel verilerin, işleme amaçlarını ve vasıtalarını belirleyerek, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olup ve Veri Sorumluları belirlenip aldıklarında veri sorumlusu kaydını gerçekleştirerek kayıtlı veri sorumlusu sıfatına haiz olacağını beyan eder.
4.2 Veri sorumlusu temsilcisi
ÖZBOLUORMAN için işbu kişi kişisel verilerin korunması ve işlenmesi, güvenlik önlemlerinin alınması ve faaliyetlerinin yönetilmesi ve yürütülmesinden sorumlu olacaktır.
4.3 Veri İşleyen
ÖZBOLUORMAN’ın verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi/ler
4.4 Sorumluluk
ÖZBOLUORMAN; veri sorumlusu olarak veri işleyenin gizlilik politikasına uyumunu denetler. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, çalışanların farkındalığının sağlanmasında, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında ÖZBOLUORMAN gerekli düzenlemeleri ve işlemleri yapar.
- KAYIT ORTAMLARI
Kişisel veriler, şirket tarafından hukuka uygun olarak güvenli bir şekilde muhafaza edilir.
Kişisel Veri Saklama Ortamları
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Bilgisayar/lar (Microsoft Office Programları) Çıkarılabilir ve taşınabilir bellekler
|
Kağıtlar Yazılı ve basılı ortamlar Görsel kayıtlar
|
- SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler şunlardır:
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri için saklanmasının zorunlu olması,
- Kişisel verilerin şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
- SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Şirket aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:
- İnsan kaynakları süreçlerini yürütmek,
- Kurumsal iletişimi sağlamak,
- Şirket güvenliğini sağlamak,
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
- Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
- Yasal bildirimleri ve gerekli görülen raporlamaları yapmak,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek,
- Şirket hukuk işlerinin icrası/takibini yapmak.
- İMHAYI GEREKTİREN HUKUKİ SEBEPLER
Kişisel veriler, aşağıdaki durumların varlığı halinde ilgili kişinin talebi üzerine veya re’sen şirket tarafından silinir ya da yok edilir:
- Kişisel verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
- Kişisel verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
- TEKNİK TEDBİRLER
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdadır:
- Kurulan sistem/düzenler kapsamında gerekli iç kontrolleri yapar,
- İhtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar,
- Çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar,
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar,
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde korunur.
- İDARİ TEDBİRLER
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir,
- Kişisel verilerin paylaşılması ile ilgili olarak kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar,
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
11- KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ
Kişisel veriler belirtilen yöntemlerle silinir.
Veri Kayıt Ortamı |
Silinme Yöntemi
|
Elektronik ortam |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
|
Fiziksel ortam |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu çalışan hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
|
Taşınabilir medya |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, erişim yetkisi sadece sistem yöneticisine verilerek güvenli ortamlarda saklanır.
|
- KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ
Veri Kayıt Ortamı |
Yok Edilme Yöntemi
|
Fiziksel ortam |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, geri döndürülemeyecek şekilde yok edilir.
|
Taşınabilir medya |
Kişisel verilerden saklanmasını gerektiren süre sona erenlerin toz haline getirilme gibi fiziksel olarak yok edilmesi işlemi uygulanır.
|
- SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Bunun haricinde; aşağıda yer alan saklama ve imha süresi tablosu esas alınır.
Saklama ve İmha Süresi Tablosu
SÜREÇ
|
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
İş sağlığı ve güvenliği uygulamalar
|
İş ilişkisinin bitimini takiben 10 yıl |
Saklama süresinin bitimini takiben 180 gün |
Bordrolama |
İş ilişkisinin bitimini takiben 10 yıl |
Saklama süresinin bitimini takiben 180 gün |
Personel mahkeme/adliye taleplerinin cevaplandırılması
|
İş ilişkisinin bitimini takiben 10 yıl |
Saklama süresinin bitimini takiben 180 gün |
Eğitim kayıtlarının dosyalanması
|
Eğitimin düzenlenmesinin ardından 10 yıl |
Saklama süresinin bitimini takiben 180 gün |
Kimlik bilgisi |
İşlem tarihi veya hukuki ilişkinin bitimini takiben 20 yıl ( Mevzuatta öngörülen zamanaşımı sürelerine riayet edilmemesine rağmen Şirket’in muhatap olabileceği hukuki ihtilaflar, Şirket’in muhatap olabileceği yargı kararlarının kesinleşme süreleri ve uzamış zamanaşımı süreleri dikkate alınarak belirlenmiştir.)
|
Saklama süresinin bitimini takiben 180 gün |
Kamera kayıtları |
Kaydedilmesinden itibaren 2 yıl (Şirket, Fiziksel Mekan Güvenliği için kayıt tarihinden itibaren bir aylık veri saklama süresi belirlemiş olup meydana gelebilecek olası ihtilaflar ve uyuşmazlıklara konu olay ve işlemler dikkate alınarak saklama süresi belirlenmiştir)
|
Saklama süresinin bitimini takiben 30 gün |
Ceza ve güvenlik tedbirleri bilgisi
|
İş ilişkisinin bitimini takiben 5 yıl |
Saklama süresinin bitimini takiben 30 gün |
Sağlık Bilgileri |
İş ilişkisinin bitimini takiben 5 yıl
|
Saklama süresinin bitimini takiben 30 gün |
Müşteri işlemleri |
İşlem tarihi veya hukuki ilişkinin bitimini takiben 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
İletişim |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
Araç Bilgileri |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
Lokasyon |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
İşlem Güvenliği |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
Risk Yönetimi |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
Finans |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
İmzalar |
İşlem tarihi veya hukuki ilişkinin sonlanmasından itibaren 10 yıl
|
Saklama süresinin bitimini takiben 30 gün |
- PERİYODİK İMHA SÜRESİ
Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirir.
- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında www.ozboluorman.com.tr kamuoyuna ilan edilir. Basılı kâğıt nüshası şirket bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.
- YÜRÜRLÜK
Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girer ve internet sitesinden kaldırılana kadar yürürlükte kalmaya devam eder. Politikada meydana gelecek değişiklikler ÖZBOLUORMAN’ın internet sitesinde www.ozboluorman.com.tr ilgili kişilerin erişimine sunulur. Politika değişiklikleri ilan edildiği tarihte uygulamaya girer.