KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İR-OR TEKSTİL PAZARLAMA SANAYİ VE TİCARET LİMİTED ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
AMAÇ
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), İR-OR TEKSTİL PAZARLAMA SANAYİ VE TİCARET LİMİTED ŞİRKETİ (“ŞİRKET”) tarafından KVKK ve ilgili yönetmelikleri uyarınca söz konusu olan yükümlülüklerimizin yerine getirilmesi, toplanan verilerin saklama sürelerinin belirlenmesi ile imha süreçleri hakkında usul ve esasları belirlemek amacıyla hazırlanmıştır.
KAPSAM
Çalışan adayı, çalışan, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisine ait kişisel veriler bu politika kapsamındadır.
TANIMLAR
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Veri Politikası | İR-OR TEKSTİL PAZARLAMA SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından hazırlanan Kişisel Verilerin Korunması ve Gizlilik Politikasını ifade eder. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kişisel Veri İşlenme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
| Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
| Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
| Kurul | Kişisel Verileri Koruma Kurulu |
| Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
| Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
| Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
| Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
İLKELER
Kanunun 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, İR-OR TEKSTİL PAZARLAMA SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından aşağıdaki listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
• E-Posta Kutusu • Microsoft Office Programları
Fiziksel ortamlar:
• Birim Dolapları • Klasörler • Arşiv
SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) şirketin idaresi ve işin yürütülmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ve bilgi güvenliği süreçlerinin yürütülmesi, acil durum süreçlerinin yürütülmesi, çalışan adayı seçme ve işe yerleştirme süreçlerinin yürütülmesi, çalışanların iş akdi ve mevzuat kaynaklı yükümlülüklerinin yerine getirilmesi, denetim faaliyetlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlemlerinin yürütülmesi, fiziksel mekan güvenliğinin yürütülmesi, görevlendirme süreçlerinin yürütülmesi, hukuk işlemlerinin takibi ve yürütülmesi, iç denetim faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi / denetimi, İSG faaliyetlerinin yürütülmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yönetilmesi, yetkili kişi ve kurumlara bilgi verilmesi, sözleşme süreçlerinin yürütülmesi, ücret politikasının yürütülmesi, talep ve şikayetlerin değerlendirilmesi, şirketin idaresi ve işin yürütülmesi amaçlarıyla için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Saklama ve İmha Süreleri
Veri sahibi, Kanunun 13’üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa ve kişisel verileri saklama süresi sona ermişse; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve kişisel verileri saklama süresi sona ermişse ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa ve kişisel verileri saklama süresi sona ermemiş ise, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Şirket işlediği kişisel verileri, veriyle ilgili mevzuatta öngörülen süre kadar muhafaza eder. Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Şirket periyodik imha süresi 6 ayda bir olarak belirlemiştir. Şirket her yıl Mayıs ve Kasım aylarında periyodik imha işlemini gerçekleştirir.
| Veri Kategorisi | Veri Saklama Süresi | Veri İmha Süresi |
| Kimlik | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| İletişim | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Lokasyon | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Özlük | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Hukuki İşlem | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Müşteri İşlem | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Fiziksel Mekan Güvenliği | 14 GÜN | Saklama süresinin bitimini takiben aynı gün içerisinde |
| İşlem Güvenliği | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Finans | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Mesleki Deneyim | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Pazarlama | 2 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Görsel Ve İşitsel Kayıtlar | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Sağlık Bilgileri | 15 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
| Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | 15 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRECİNDE YER ALAN KİŞİLER
Kişisel verileri saklama ve imha sürecinde yer alan kişiler yetkileri dahilinde, gizlilik taahhütnameleri imzalatılarak veri sorumlusu tarafından belirlenecektir.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Şirket, Kanun’un 12. Maddesine uygun olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. Alınmış olan teknik ve idari tedbirler kişisel veri işlenme envanterinde gösterilmiş ve bildirimi yapılmıştır.
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler şu şekildedir:
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belirli eğitim ve aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi rastgele ve/veya periyodik denetimler yapılmaktadır
• Özel nitelikli kişisel verilerin güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
YÜRÜRLÜLÜK
Bu politika 01/01/2022 tarihinde yürürlüğe girer. Bu tarih itibariyle geçerli ve bağlayıcıdır.
