KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI

 

 

 

HAZIRLAYAN                       : ODAK VERİ DANIŞMANLIK LTD. ŞTİ.                                                               (DANIŞMAN)

ÖN ONAY                               : ŞİRKET KVKK UYUMLULUK TEMSİLCİSİ

YÜRÜRLÜK ONAYI             : ŞİRKET GENEL MÜDÜRÜ

YÜRÜRLÜK TARİHİ             : Aralık 2021

 

 

 

 

 

İÇİNDEKİLER

1. TANIMLAR VE KISALTMALAR.. 2

2. AMAÇ VE KAPSAM... 3

2.1. AMAÇ.. 3

2.2. KAPSAM... 3

3. SORUMLULUK VE GÖREV DAĞILIMLARI 4

4. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER.. 4

4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK İŞLENMESİ  4

4.1.1. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK.. 5

4.1.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK.. 5

4.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME.. 6

4.1.4. KİŞİSEL VERİLERİN AKTARILMASINDA AKTARIM ŞARTLARINA.. 7

4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI 7

4.3. İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI 8

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 8

5.1. KAYIT ORTAMLARI. 8

5.2. KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ.. 8

5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER.. 8

5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR.. 9

5.3. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER.. 9

6. KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER.. 10

6.1. İDARİ TEDBİRLER.. 10

6.2. TEKNİK TEDBİRLER.. 11

7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ 12

7.1. KİŞİSEL VERİLERİN SİLİNMESİ 12

7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ 12

7.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ 13

8. SAKLAMA VE İMHA SÜRELERİ. 13

9. PERİYODİK İMHA ZAMANLARI. 15

10. POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI 15

 

1. TANIMLAR VE KISALTMALAR

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

Açık Rıza

Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Çalışan

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. personelidir.

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.

Elektronik Olmayan (Fiziki) Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır.

Hizmet Sağlayıcı

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. ile sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişilerdir.

İlgili Kişi

Kişisel verisi işlenen gerçek kişilerdir.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemlerdir.

Kurul

Kişisel Verileri Koruma Kurulu’dur.

Kurum

Kişisel Verileri Koruma Kurumu’dur.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verilerin saklanması ve imhası politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

 

Politika

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. Kişisel Verilerin Saklanması ve İmhası Politikası’dır.

VERBİS

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’dir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu Politika için Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. ifade eder

Çavaş Yem

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. ifade eder.

Şirket

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. ifade eder.

Kuruluş

Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. ifade eder.

 

2. AMAÇ VE KAPSAM

2.1. AMAÇ

  Çavaş Yem ve Un Fabrikaları Hayvancılık Gıda San. Tic. Ltd. Şti. Kişisel Verilerin Saklanması ve İmhası Politikası, Çavaş Yem veri sorumlusu sıfatıyla işlemiş olduğu kişisel verilerin, kaydedilme safhası için benimsediği ilkeler ile bu kişisel verilerin saklanması ve imhası süreçlerinde uyguladığı usul ve esasları düzenlemek amacıyla hazırlanmıştır.

Çavaş Yem, kişisel verilerin işlenmesi süreçlerinin Kanun’a uygun olması ve himayesinde bulunan kişisel verilerin güvenle korunması konularında azami hassasiyet göstermektedir. Bu doğrultuda kişisel verilerin korunması alanındaki gerek yerel gerekse uluslararası mevzuat ve sözleşmelere uygun olarak kişisel veri işleme süreçlerini sürekli iyileştirme gayretindedir.

2.2. KAPSAM

Bu politikanın kapsamı, Çavaş Yem kişisel verilerin kaydedilmesi safhasında riayet ettiği ilkeler ile bu kişisel verilerin güvenliğinin sağlanmasında ve imhasında benimsediği usul ve esaslardır. Bu kapsamda, Çavaş Yem tarafından gerçekleştirilen her türlü kişisel veri işleme faaliyeti ile kişisel verilerin güvenliğinin sağlanması adına alınacak tedbirlerde ve imha sürecinin yapılandırılması işlemlerinin tamamında işbu politikaya bağlı kalınacaktır.

3. SORUMLULUK VE GÖREV DAĞILIMLARI

Çavaş Yem bünyesinde bulunan tüm birimler ve çalışanlar; kuruluşun Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum kapsamında benimsenen politika ve prosedürlerin uygulanmasında, kişisel verilerin güvenliği için alınmakta olan idari ve teknik tedbirlerin uygulanmasında, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin ilgili imhası sürecinde kuruluş politika ve prosedürlerinin uygulanmasında aktif rol alır.

Çavaş Yem tarafından çalışanları arasından atanan “KVKK Uyumluluk Temsilcisi”, kuruluşun tüm birim ve çalışanlarının kuruluş politika ve prosedürlerine uygun faaliyet göstermesini sağlar ve periyodik olarak denetler. KVKK Uyumluluk Temsilcisi, tespit ettiği aykırılıkları raporlandırarak birim amirlerine ve kuruluş genel müdürüne bildirir.

Çavaş Yem bünyesinde bulunan birim amirleri, birimlerinin kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürlerine uygunluğunu ve bu uygunluğun sürekliliğini sağlar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine birim amirleri derhal ilgili aykırılığı giderir.

Çavaş Yem genel müdürü, kuruluş bünyesindeki tüm birim ve çalışanların kuruluşun kişisel verilerin korunması alanındaki politika ve prosedürleri ile bu alanla ilgili mevzuata uygun davranmasını sağlar. Bu kapsamda temin edilmesi gereken ürün ve hizmetlerin teminini sağlar ve gerekli görevlendirmeleri yapar. KVKK Uyumluluk Temsilcisi’nin aykırılık bildirimi üzerine genel müdür ilgili aykırılığın giderilip giderilmediğini denetler.

Çavaş Yem; genel müdür, birim amirleri ve KVKK Uyumluluk Temsilcisi aracılığıyla, hizmet aldığı üçüncü kişilerin kişisel verilerin korunması alanında yükümlülüklerini yerine getirmesi ve veri güvenliğine ilişkin tedbir planlama ve uygulamalarını yapması amacıyla farkındalığını arttırıcı faaliyet ve bildirimler gerçekleştirir.

4. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSENEN İLKELER

4.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK İŞLENMESİ

Çavaş Yem tarafından kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi faaliyetlerinde; aşağıda bahsi geçen (4.1.1.) temel ilkelere, (4.1.2.) işleme şartlarına ve (4.1.3.) özel nitelikli kişisel verilerin işlenme şartlarına uygun davranılmaktadır.

4.1.1. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELERE UYGUNLUK

  Çavaş Yem tarafından kişisel verilerin işlenmesi kapsamındaki tüm faaliyetlerde aşağıda sıralanarak açıklanan ilkeler benimsenmektedir:

4.1.1.1. Kişisel Verileri Hukuka ve Dürüstlük Kuralına Uygun Olarak İşleme;

Çavaş Yem, kişisel verilerin işlenmesi faaliyetlerinde evrensel insan haklarına, T.C. Anayasası’na, kişisel verilerin korunması alanındaki mevzuata ve dürüstlük kurallarına uygun davranmaktadır.

4.1.1.2. İşlenen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama;

Çavaş Yem, işlenen kişisel verilerin ilgili kişi bakımından doğru ve güncel olmasını sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve bu doğrultuda gelebilecek bildirimler için iletişim kanalları öngörerek düzenli olarak kontrollerini sağlamaktadır.

  4.1.1.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme;

Çavaş Yem, kişisel veri işleme faaliyetleri kapsamındaki amaçlarını veri işleme faaliyeti başlamadan belirlemekte ve ilgili kişiye bildirmektedir. Bu amaçların belirlenmesinde ve bildirilmesinde hukuk normlarına uygun hareket etmektedir.

4.1.1.4. Kişisel Verilerin İşlendiği Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak Kullanılmasını Temin Etme;

Çavaş Yem, işlenen kişisel verilerin işlenme amacıyla bağlantılı, sınırlı ve ölçülü olması yönünde gerekli çalışmaları yapmaktadır. Bu kapsamda işlenen kişisel verilerin mümkün olduğunca azaltılması gerekliliğine uygun hareket etmekte ve kişisel verileri ileride kullanılabileceği varsayımına binaen işlememektedir. İlgili kişiye bildirilen veri işleme amacı dışında herhangi bir kişisel veri işleme faaliyeti gerçekleştirilmemektedir.

4.1.1.5. Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşleme Amacıyla Bağlantılı Olan Sürelerle Muhafaza Etme;

Çavaş Yem, işlemiş olduğu kişisel verilerin saklanma sürelerini mevzuatta öngörülen süreler veya işleme amacıyla bağlantılı olan sürelerle muhafaza etmektedir. Anılan sürelerin sona ermesi veya kişisel veri işlemeye dayanak olan sebebin ortadan kalkması hallerinde ilgili kişisel veriler silmek, yok etmek veya anonim hale getirmek suretiyle imha edilmektedir.

4.1.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK

Çavaş Yem tarafından kişisel verilerin işlenmesi faaliyetlerinde, Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanan şartlara uygun davranılmaktadır:

4.1.2.1. İlgili Kişinin Açık Rızası Şartına Uygun Olarak Kişisel Veri İşleme;

Çavaş Yem  tarafından kişisel veri sahibinin, hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde açık ve yalnızca ilgili olan işlemle sınırlı olan rızası ile kişisel veri işlenmektedir.

4.1.2.2. Kanunlarda Açıkça Öngörülmüş Olmasına Dayanarak Kişisel Veri İşleme;

Çavaş Yem  tarafından kanunlarda açıkça öngörülmesi halinde, kanunda öngörülen amaç ve sürelerle sınırlı olarak kişisel veri işlenmektedir.

4.1.2.3. Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması Hukuki Sebebine Dayalı Kişisel Veri İşleme;

Çavaş Yem  tarafından kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise bu hukuki sebebe dayanılarak kişisel veri işlenmektedir.

4.1.2.4. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla Sözleşme Tarafının Kişisel Verisini İşleme;

Çavaş Yem  tarafından bir sözleşmenin kurulması veya edimin yerine getirilmesiyle doğrudan ilişki içerisinde olan sözleşme tarafına ait kişisel veriler işlenmektedir.

  4.1.2.5. Çavaş Yem  Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olan Kişisel Verileri İşleme;

Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olan Kişisel Verileri İşleme;

Çavaş Yem  tarafından hukuki yükümlülüğü bulunan bir faaliyetin yerine getirilmesi için zorunlu olan kişisel veriler, hukuki yükümlülüğün gerektirdiği amaç,  şekil ve süre ile sınırlı olarak işlenmektedir.

4.1.2.6. Kişisel Veri Sahibi Tarafından Alenileştirilmiş Kişisel Verileri İşleme;

Çavaş Yem  tarafından kişisel veri sahibince alenileştirilmiş olan kişisel veriler, alenileştirilme amacına uygun olarak işlenmektedir.

4.1.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Kişisel Verileri İşleme;

Çavaş Yem  tarafından bir hakkın tesisi, kullanılması veya korunması için zorunlu olan kişisel veriler, ilgili zorunlulukla paralel olarak işlenmektedir.

4.1.2.8. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla, Kişisel Veri İşlemenin Çavaş Yem  Meşru Menfaatleri İçin Zorunlu Olması Sebebine Dayanarak Kişisel Verileri İşleme;

Çavaş Yem tarafından, meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise kişisel veriler işlenebilmektedir. Burada meşru menfaat ile veri sahibinin temel hak ve özgürlükleri arasında denge ve orantılılık kriterleri dikkate alınmaktadır.

4.1.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE İŞLEME ŞARTLARINA UYGUNLUK

Çavaş Yem tarafından Kurul’un belirlemiş olduğu gerekli önlemler alınarak özel nitelikli kişisel veriler işlenebilmektedir.

4.1.3.1. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

Çavaş Yem tarafından sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rızası ile veya kanunlarda öngörülen hallerde işlenebilmektedir.

4.1.3.2. Sağlık Verilerinin İşlenmesi

Çavaş Yem  tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:

·         Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hali,

·         Kişisel veri sahibinin açık rızasının varlığı hali.

4.1.4. KİŞİSEL VERİLERİN AKTARILMASINDA AKTARIM ŞARTLARINA UYGUNLUK

Çavaş Yem  tarafından gerçekleştirilen kişisel veri aktarım faaliyetlerinde Kanun’un 8. ve 9. maddelerine uygun davranılmaktadır.

4.1.4.1. Kişisel Verilerin Yurtiçine Aktarılması

Çavaş Yem tarafından kişisel veriler, Kanun’un 8. maddesi uyarınca 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak yurtiçine aktarılabilmektedir.

4.1.4.2. Kişisel Verilerin Yurtdışına Aktarılması

Çavaş Yem tarafından Kanun’un 9. maddesi uyarınca kişisel veriler; 4.1.2.’de bahsi geçen kişisel veri işleme şartlarına uygun olarak işlenmesi ve aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kurul’un izninin bulunması halinde yurtdışına aktarılabilmektedir.

4.2. KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AYDINLATILMASI

Çavaş Yem tarafından Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, kişisel veri sahipleri, kişisel verilerinin elde edilmesi sırasında sunulan aydınlatma metinleri vasıtasıyla bilgilendirilmektedir. Bu aydınlatma metinlerinde; kuruluş unvanı, kişisel veri işleme amacı, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 10. maddesinde sayılan haklarına yer verilmektedir.

4.3. İLGİLİ KİŞİLERDEN GELEN BAŞVURULARIN SONUÇLANDIRILMASI

Çavaş Yem tarafından kişisel veri sahiplerince Kanun’un 11. maddesi kapsamındaki haklarının kullanılması amacıyla Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılan başvurular en kısa sürede ve en geç otuz gün içerisinde yanıtlanmaktadır.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5.1. KAYIT ORTAMLARI

Çavaş Yem  tarafından işlenen kişisel veriler Tablo-1’de listelenen kayıt ortamlarında gerekli güvenlik önlemleri alınmak suretiyle saklanır.

Tablo-1: Kişisel Veri Saklama Ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

-  Sunucular: Server, Yedekleme Cihazları, E-posta, Veri Tabanı, Web, Dosya Paylaşım vb.

-  Yazılımlar: Ofis Yazılımları, İş Takip ve Muhasebe Programları vb.

-  Bilgi Güvenliği Cihazları: Antivirüs, Firewall vb.

-  Kişisel Bilgisayarlar

-  Mobil Cihazlar: Telefon, Tablet vb.

-  Optik Diskler: CD, DCD, VCD vb.

-  Taşınabilir Bellekler: USB, Hafıza Kartı vb.

-  Yazıcı, Tarayıcı, Fotokopi Makinesi

-   Kağıt

-   Manuel Veri Kayıt Sistemleri: Form, Ajanda, Ziyaretçi Defteri vb.

-   Yazılı, basılı, görsel ortamlar

 

5.2. KİŞİSEL VERİLERİN SAKLANMASINDA HUKUKİ SEBEP VE AMAÇ

Çavaş Yem  tarafından çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, hizmet alınan üçüncü kişiler ve bu kişilerin çalışanları, müşteriler ve bu kişilerin çalışanları, hissedarlar ile kurum ve kuruluş çalışanlarının kişisel verileri Kanun’a uygun olarak saklanır ve imha edilir.

5.2.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Çavaş Yem  tarafından yürütmüş olduğu faaliyetler çerçevesinde 4.1.2. ve 4.1.3’te sayılan şartlara (hukuki sebeplere) uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

·      6698 sayılı Kişisel Verilerin Korunması Kanunu,

·      6098 sayılı Türk Borçlar Kanunu,

·      6102 sayılı Türk Ticaret Kanunu,

·      5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

·      4857 sayılı İş Kanunu,

·      6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

·      213 sayılı Vergi Usul Kanunu,

·      5434 sayılı Emekli Sağlığı Kanunu,

·      2828 sayılı Sosyal Hizmetler Kanunu,

·      İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,

·       

·      İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

·      Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,

·      Kurul karar ve görüşleri ile politikaları,

·      İlgili ticari teamüller

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

5.2.2. SAKLAMAYI GEREKTİREN AMAÇLAR

Çavaş Yem  tarafından, yürütmüş olduğu faaliyetler çerçevesinde 4.1.’de öngörülen ilke ve şartlara uygun olarak işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

·      Acil durum ve bilgi güvenliği süreçlerinin yürütülmesi,

·      Çalışan ve çalışan adayları için insan kaynakları ve iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,

·      Denetim, etik ve eğitim faaliyetlerinin yürütülmesi,

·      Erişim yetkilerinin ve görevlendirme faaliyetlerinin yürütülmesi,

·      Faaliyetlerin mevzuata uygun yürütülmesi,

·      Finans, muhasebe, pazarlama, hizmet veya ürün alım/satım, destek ve bağlılık süreçlerinin yürütülmesi,

·      İletişim faaliyetlerinin yerine getirilmesi,

·      Saklama ve arşiv faaliyetlerinin yürütülmesi,

·      Sözleşme süreçlerinin yürütülmesi,

·      Sponsorluk ve sosyal sorumluluk faaliyetlerinin yürütülmesi,

·      Talep ve şikayetlerin takibi,

·      Taşınır mal ve fiziksel mekan güvenliğinin sağlanması,

·      Yetkili kişi veya kurumlara bilgi verilmesi ve doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılması,

·      Yönetim faaliyetinin yürütülmesi,

·      Ziyaretçi kayıtlarının oluşturulması

amaçlarıyla işlenebilmektedir.

5.3. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER

Çavaş Yem  tarafından işlenen kişisel veriler;

·      İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

·      İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

·      Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

·      Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Çavaş Yem tarafından kabul edilmesi,

·      İlgili kişi tarafından; kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

·      Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, ilgili kişinin talebi üzerine veya resen silinir, yok edilir veya anonim hale getirilir.

6. KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA ALINAN TEDBİRLER

Çavaş Yem  tarafından; kişisel veri işlenmesi faaliyetlerine ilişkin tüm süreçler yeniden yapılandırılmış olup kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi amaçlarıyla, mevzuat ve Kurul kararlarınca gerekli görülmüş idari ve teknik tedbirlerin alınmasında azami gayret gösterilmektedir. Kişisel verilerin güvenliğinin sağlanmasına verilen öneme binaen Çavaş Yem bünyesinde aşağıda öngörülen idari ve teknik tedbirler alınmaktadır.

6.1. İDARİ TEDBİRLER

Çavaş Yem tarafından işlenen kişisel verilerin korunması için alınan idari tedbirler şöyledir:

·      Çalışanların kişisel verilerin korunması alanında farkındalıklarının ve tutumlarının geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi ve beceri, 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.

·      Yürütülen faaliyetlerde işlenen kişisel verilere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

·      Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

·      Kişisel veri işlemeye başlamadan önce Kuruluş tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

·      Kişisel veri işleme envanteri hazırlanmıştır.

·      Kişisel verilerin korunması alanındaki mevzuata ve kuruluş politika ve prosedürlerine uyumluluğun tespitine ilişkin kurum içi periyodik ve rastgele denetimler yapılmaktadır.

·      Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

·      Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

·      Çalışanlar için görevlendirme, yetki ve erişim prosedürü hazırlanarak çalışanlar arasında kişisel veri içeren alanlara erişim konusunda yetkilendirmeler yapılmıştır.

·      Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

·      Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

·      İmzalanan sözleşmelerde veri güvenliği hükümlerine yer verilmektedir.

·      Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.

·      Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

·      Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

·      Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

·      Kişisel veriler mümkün olduğunca azaltılmaktadır.

·      Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.

·      Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş olup uygulanmaktadır.

·      Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

6.2. TEKNİK TEDBİRLER

Çavaş Yem tarafından işlenen kişisel verilerin korunması için alınan teknik tedbirler şöyledir:

·      Kuruluşun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

·      Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

·      Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

·      Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

·      Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

·      Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

·      Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

·      Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar şifreleme yöntemleri kullanılarak muhafaza edilmekte, şifreler güvenli ortamlarda tutulmakta, ortamların güvenlik güncellemeleri sürekli takip edilmektedir.

·      Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmekte ve şifreler farklı ortamda tutulmaktadır.

·      Görev değişikliği olan ya da işten ayrılan çalışanların ilgili alandaki yetkileri kaldırılmaktadır.

·      Güncel anti-virüs sistemleri kullanılmaktadır.

·      Ağ güvenlik duvarları kullanılmaktadır.

·      Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Çavaş Yem tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlenme amacıyla bağlantılı olan saklama sürelerinin sona ermesini takip eden periyodik imha süresinde imha edilir. İmha teknikleri silme, yok etme veya anonim hale getirmedir.

7.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesinde kullanılan yöntemler şunlardır:

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi (kuruluşun bilişim hizmetini sağlayan kişi) hariç diğer çalışanlar (ilgili kullanıcılar) için silmek suretiyle hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesinde kullanılan yöntemler şunlardır:

Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinden geçirilerek veya yakılarak geri döndürülemeyecek şekilde yok edilir.

Taşınabilir medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca manyetik medya, özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

7.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Çavaş Yem tarafından işlenen kişisel veriler anonim hale getirilmek suretiyle de imha edilebilmektedir.

8. SAKLAMA VE İMHA SÜRELERİ

Çavaş Yem tarafından işlenen tüm kişisel verilerin imhası, yukarıda gösterilen (5.2.) saklama sebep ve amaçları doğrultusunda ilgili mevzuatta öngörülen veya işlendikleri amaçla bağlantılı olarak saklanmasının ardından ilgili kişinin talebiyle veya resen imha edilmektedir. İmha işlemlerinin usulü ile imha görevlileri ve yetkilileri kuruluş içi Kişisel Veri İmha Prosedürü ile detaylı olarak düzenlenmektedir.

Çavaş Yem tarafından işlenen tüm kişisel verilerin birim ve faaliyet bazlı saklama süreleri Çavaş Yem Kişisel Veri Envanteri’nde, kişisel veri kategorileri bazlı saklama süreleri VERBİS bildiriminde yer almaktadır.

İşbu politikada Tablo-2 ile kişisel verilerin ilgili kişi ve işlenme faaliyeti bazlı saklama süreleri ifade edilmiştir.

Tablo-2: Kişisel Verilerin Saklama ve İmha Süreleri

KİŞİSEL VERİ KAYNAĞI

SAKLAMA SÜRESİ

İMHA SÜRESİ

MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN TÜM KAYITLAR

10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

MÜŞTERİLERE İLİŞKİN KİŞİSEL VERİLER

HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

TEDARİKÇİLERE İLİŞKİN KİŞİSEL VERİLER

HUKUKİ İLİŞKİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

SÖZLEŞMELER

SÖZLEŞMENİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

FATURA, İRSALİYE VB.

10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

İNSAN KAYNAKLARI SÜREÇLERİ

FAALİYETİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

PERSONEL ÖZLÜK DOSYASINDA TUTULAN ÖZLÜK BİLGİLERİ

İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

PERSONEL BORDRO, GİRİŞ ÇIKIŞ, YILLIK İZİN, FAZLA ÇALIŞMA GİBİ BİLGİLER

İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

PERSONELDEN İSG KAPSAMINDA TOPLANAN VERİLER

İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

PERSONEL MAHKEME/İCRA DOSYASI BİLGİLERİ

İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

PERSONEL KVKK MUVAFAKATNAMELERİ

İŞ İLİŞKİSİNİN SONA ERMESİNİ TAKİBEN 15 VEYA 40 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

İŞ/STAJ BAŞVURUSU KAPSAMINDA ALINAN BİLGİLER

BAŞVURU KABUL EDİLMEMİŞSE BAŞVURU TARİHİNDEN İTİBAREN 1 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

KAMERA KAYITLARI

2 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

ARAÇ LOKASYON BİLGİSİ

6 AY

İmha Süresi takip eden ilk periyodik imha süresinde

VERİ SORUMLUSUNA BAŞVURU FORMU

BAŞVURU VE VARSA KURUMA İNTİKAL EDEN ŞİKÂYET SÜRECİNİN SONA ERMESİNİ TAKİBEN 10 YIL

İmha Süresi takip eden ilk periyodik imha süresinde

ALINMASINDA YASAL DAYANAK VEYA MEŞRU MENFAAT OLMAYAN VERİLER

DERHAL

İmha Süresi takip eden ilk periyodik imha süresinde

9. PERİYODİK İMHA ZAMANLARI

Çavaş Yem tarafından, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi uyarınca periyodik imha süresini 6 ay olarak belirlemiştir. Bu kapsamda her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilmektedir.

10. POLİTİKANIN GÜNCELLENMESİ, SAKLANMASI VE YAYINLANMASI

İşbu Politika, basılı kağıt ortamında kuruluş genel müdürünce onaylı şekilde en az 5 yıl süreyle muhafaza edilir. Ayrıca Politika elektronik ortamda kuruluş kalite dokümanları arasında muhafaza edilir.

Politika ayrıca Çavaş Yem tarafından internet sitesinde (www.cavasyem.com) yayımlanarak kamuya duyurulur.

Politika ihtiyaç duyuldukça gözden geçirilir ve güncellenir.

Politikanın yürürlükten kaldırılması kuruluş genel müdürünün kararıyla gerçekleşir. Politikanın yürürlükten kalkması veya güncelliğini yitirmesi halinde eski nüshalar genel müdür onayıyla iptal edilir.