BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. Veri Sorumlusunun Kimliği ve Politikanın Kapsamı
BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ Kişisel Veri Saklama ve İmha Politikası (bundan sonra “POLİTİKA” olarak anılacaktır), BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ (bundan sonra “Benli” olarak anılacaktır) tarafından uygulanmakta olup, veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemeyi amaçlamaktadır.
Benli, şirket çalışanları, adaylar, tedarikçiler ve diğer üçüncü şahısların kişisel verilerinin, Türkiye Cumhuriyeti Anayasası, uluslararası anlaşmalar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “KVKK” olarak anılacaktır) ve diğer ilgili mevzuata uygun olarak işlenmesini ve bireylerin haklarını etkili bir şekilde kullanabilmesini sağlamayı öncelikli hedef olarak belirlemiştir.
2. TANIMLAR
Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: Kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi ya da tüzel kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetki doğrultusunda, onun adına kişisel verileri işleyen gerçek ya da tüzel kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin İşlenmesi: Kişisel verilere yönelik olarak, tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen elde etme, kaydetme, depolama, değiştirme, açıklama, aktarma, devralma, sınıflandırma ya da kullanımını engelleme gibi her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin işlenemez, kullanılamaz ve geri getirilemez hale getirilmesi işlemi.
İmha: Kişisel verilerin tamamen silinmesi veya anonim hale getirilmesi işlemi.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı üçüncü kişi veya kişi grubu.
Veri Saklama Ortamı: Kişisel verilerin bir veri kayıt sistemi kapsamında otomatik ya da otomatik olmayan yollarla depolandığı veya erişildiği ortam.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre işlendiği sistem.
Kurum: Kişisel Verileri Koruma Kurumu.
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği.
3. VERİ İŞLEME FAALİYETLERİNİN HUKUKİ DAYANAKLARI
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 6098 sayılı Türk Borçlar Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
- 4857 sayılı İş Kanunu
- İşyerlerinde Bina ve Eklentilerde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
- Arşiv Hizmetleri Hakkında Yönetmelik
- Bu kanunlar çerçevesinde yürürlükte bulunan diğer ikincil mevzuat
4. SORUMLULUK
Benli’nin tüm birimleri ve çalışanları, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini engellemek ve kişisel verilerin kanuna uygun bir şekilde muhafaza edilmesini sağlamak amacıyla, alınan teknik ve idari tedbirleri uygulamak, ilgili birim çalışanlarını eğitmek ve farkındalıklarını artırmak, denetim ve kontrol süreçlerini sürdürmekle sorumludur.
5. VERİ İŞLEME AMAÇLARI
Benli, iş faaliyetleri çerçevesinde kişisel verileri aşağıdaki amaçlarla işlemektedir:
- İnsan kaynakları süreçlerini yürütmek
- Kurumsal iletişimi sağlamak
- Şirket güvenliğini temin etmek
- İstatistiksel çalışmalar yapmak
- Yasal düzenlemeler gereği veya zorunlu olarak hukuki yükümlülükleri yerine getirmek
- Şirket ile iş ilişkisi bulunan gerçek/tüzel kişilerle iletişim kurmak
- Hukuki raporlamalar yapmak
- Çalışanlar, mal veya hizmet alıp satanlar ve ticari ilişki kapsamında olan diğer kişilerin sözleşme ve mevzuat hükümlerine uygun olarak doğan fiili ve hukuki süreçlerini yönetmek
6. KAYIT ORTAMLARI
- Kişisel bilgisayarlar
- Mobil cihazlar
- Manyetik ve optik kayıt ortamları
- Taşınabilir bellekler
- Sunucular
- Yazılımlar
- Bilgi güvenliği cihaz ve yazılımları
- Ses ve görüntü kayıt cihazları
- Belge üretim ve çoğaltım cihazları
- Yazılı ve basılı görsel materyaller
7. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ
Benli tarafından elde edilen kişisel veriler, aşağıdaki tabloda belirtilen süreler çerçevesinde saklanmakta ve korunmaktadır.
İşlem |
Depolama Süresi |
Yıkım Dönemi |
|---|---|---|
Sözleşmelerin Hazırlanması | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
İletişim Faaliyetlerinin Yürütülmesi | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
İnsan Kaynakları Faaliyetleri | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Müşteri İşlemleri (Mal ve hizmet alım satımı) | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Finans, Muhasebe Kayıtları, Risk Bilgileri | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
İş Sözleşmesinin Kapsadığı Hukuki Belgeler | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Sağlık Bilgileri (İş Sözleşmesi Kapsamındaki Sağlık Raporları) | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Güvenlik Amaçlı Kayıtlar | 3 Ay | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Konum Bilgileri | 2 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
Ses ve Görüntü Kayıtları | 10 Yıl | Depolama süresinin bitiminden sonraki ilk periyodik imhada |
- PERİYODİK İMHA DÖNEMİ
Benli, yönetmeliğin 11. maddesi uyarınca periyodik imha dönemini 6 ay olarak belirlemiştir. Buna göre, periyodik imha her yıl Haziran ve Aralık aylarında gerçekleştirilir.
- KİŞİSEL VERİLERİN SİLİNMESİ
Benli tarafından işlenen kişisel veriler;
- İşlenmesine dayanak teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verilerin yalnızca açık rıza ile işlendiği durumlarda, ilgili kişinin açık rızasını geri çekmesi,
- İlgili kişinin, Kanun’un 11. maddesi uyarınca kişisel verilerinin silinmesi veya yok edilmesi talebiyle yaptığı başvurunun şirket tarafından kabul edilmesi,
- Kişisel verilerin saklanmasını gerektiren azami sürenin sona ermesi ve kişisel verilerin daha uzun süre saklanmasını haklı kılan herhangi bir sebep bulunmaması durumunda silinir, yok edilir veya anonim hale getirilir.
- VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
10.1 TEKNİK TEDBİRLER
Benli tarafından işlenen kişisel verilere ilişkin alınan teknik tedbirler aşağıda sıralanmıştır:
- Bilgi sistemlerinin sürekliliğini etkileyebilecek riskler ve tehditler sürekli izlenir.
- Bilgi sistemlerinin güvenliğini sağlamak için donanım tedbirleri alınır.
- Kişisel veri içeren ortamlara erişim, güvenlik politikaları ile belirlenir ve sınırlandırılır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenir, bu risklere uygun teknik tedbirler alınır ve alınan tedbirler denetlenir.
- Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve yeniden kullanılamaz hale getirilmesi için gerekli tedbirler alınır.
- Güvenlik açıkları izlenerek bilgi sistemleri güncel tutulur.
- Özel nitelikli kişisel veri güvenliği konusunda özel süreçlere dahil olan çalışanlara eğitim verilmiş, gizlilik sözleşmeleri yapılmış ve yetkilendirilmiş kullanıcıların erişim yetkileri tanımlanmıştır.
- Hassas kişisel verilerin işlendiği, saklandığı ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınır, fiziksel güvenlik sağlanarak yetkisiz giriş ve çıkışlar önlenir.
10.2 İDARİ TEDBİRLER
Benli tarafından işlenen kişisel verilere ilişkin alınan idari tedbirler aşağıda sıralanmıştır:
- Çalışanların niteliğini artırmak amacıyla; kişisel verilerin hukuka aykırı işlenmesini önleme, hukuka aykırı erişimi önleme, verilerin korunmasını sağlama, 6698 sayılı Kanun ve diğer ilgili mevzuatlar hakkında eğitimler verilir.
- Yürütülen faaliyetler kapsamında çalışanlardan gizlilik sözleşmesi imzalatılır.
- Güvenlik politikalarına ve prosedürlerine uymayan çalışanlar için disiplin prosedürü hazırlanmıştır.
- Kişisel verilerin işlenmesine başlamadan önce, ilgili kişiler bilgilendirilir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Düzenli ve rastgele denetimler yapılır.
- Çalışanlara bilgi güvenliği eğitimi verilir.
- KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİ
- Elektronik ortamlarda saklanan kişisel veriler, saklanmasını gerektiren sürenin sona ermesi durumunda ilgili kullanıcılar için erişilemez ve kullanılamaz hale getirilir.
- Fiziksel ortamlarda saklanan kişisel veriler, saklama süresinin sona ermesi durumunda kağıt imha makineleri ile geri döndürülemeyecek şekilde imha edilir.
- DİĞER HUSUSLAR
- Politika, ıslak imzalı (basılı kopya) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır ve kamuoyuna internet sitesinde açıklanır.
- KVKK ve ilgili mevzuat hükümleri ile bu politika arasında uyumsuzluk olması durumunda, KVKK ve ilgili mevzuat hükümleri esas alınır.
- Politika, Benli kurumsal internet sitesinde yayımlanır ve ilgili kişilere duyurulur.
- Politikanın güncellenmesi durumunda, yeni politika belgesi aynı şekilde duyurularak ve yayımlanarak yürürlüğe girer.