ULUSOY KARADENİZ NAKLİYAT VE TİCARET ANONİM ŞİRKETİ
KVKK KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
İçindekiler
1. GİRİŞ
1.1 Amaç
1.2 Kapsam
1.3 Kısaltmalar ve Tanımlar
2. SORUMLULUK VE GÖREV DAĞILIMLARI
3. KAYIT ORTAMLARI
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
4.1 Saklamayı Gerektiren Hukuki Sebepler
4.2 Saklamayı Gerektiren İşleme Amaçları
4.3 İmhayı Gerektiren Sebepler
5. TEKNİK VE İDARİ TEDBİRLER
5.1 İdari Tedbirler
5.2 Teknik Tedbirler
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
6.1 Kişisel Verilerin Silinmesi
6.2 Kişisel Verilerin Yok Edilmesi
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
7. SAKLAMA VE İMHA SÜRELERİ
8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI ve GÜNCELLENMESİ
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), ULUSOY KARADENİZ NAKLİYAT VE TİCARET ANONİM ŞİRKETİ (“Şirket”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Ayrıca bu Politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış bulunan ve 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereğince; kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektir.
Şirket çalışanları, çalışan yakınları, çalışan adayları, eğitmen, müşterilerimiz, potansiyel müşterilerimiz, hizmet sağlayıcıları, ziyaretçilere ("İlgili Kişi")ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan bupolitikaya uygun olarak gerçekleştirilir.
İlgili kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Şirket : ULUSOY KARADENİZ NAKLİYAT VE TİCARET ANONİM ŞİRKETİ
Politika :Kişisel Verileri Saklama ve İmha Politikası
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kurul : Kişisel Verileri Koruma Kurulu.
Veri Kayıt Sistemi : kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Kişisel Veri İşleme Envanteri:Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Periyodik imha:Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Açık Rıza :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
İfade eder.
2.SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm çalışanları, Politika kapsamındakişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu ekiplere destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Kişisel veri saklama ve imha süreçleri görev dağılımı
UNVAN |
BİRİM |
GÖREV |
Genel Müdür |
Şirket yönetimi |
|
İnsan Kaynakları Sorumlusu |
İnsan Kaynakları |
|
Bilgi Teknolojileri |
Bilgi Teknolojileri |
|
İnsan Kaynakları Ekibi, Hukuk İşleri Ekibi, Bilgi Teknolojileri Ekibi, |
Diğer Birimler |
|
Şirket bünyesinde işbu politika ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilişkili diğer politikaları, prosedürleri ve formlarını yönetmek üzere, şirket üst yönetiminin kararı gereğince “Bilgi Güvenliği Komitesi” oluşturulmuştur. Bu komitenin görevleri ISO 27001 Bilgi Güvenliği Yönetim Sistemi içerisinde tanımlanmıştır.
İlgili kişilere ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlardaKVKK hükümleri, ilgili mevzuatlar ve uluslararası veri güvenliği hususları dikkate alınarak güvenli bir şekilde saklanmaktadır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar |
Fiziksel Ortamlar |
|
|
4.SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; ilgili kişilere ait kişisel veriler kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda yer verilmiştir.
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış,
Kanunun 4 üncü maddesinde işlenen kişisel verinin;
Kanunun 5. ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.
Buna göre, Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, KVKK ve diğer ilgili mevzuat hükümlerine göre uygun süre kadar saklanır.
4.1 Saklamayı Gerektiren Hukuki Sebepler
İlgili kişilere ait kişisel verileri saklamayı gerektiren sebepler;
fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatlarda belirtilen sınırlar çerçevesinde saklama süreleri kadar saklanmaktadır.
4.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
4.3 İmhayı Gerektiren Sebepler
Kişisel veriler;
durumlarında, veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5.TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesindeki ilkeler çerçevesinde,Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından alınan idari tedbirler:
Şirket tarafından alınan teknik tedbirler:
6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Kişisel veriler ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
Tablo 3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
|
Veri tabanlarında Yer Alan Kişisel Veriler |
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
|
Bulut Sisteminde Bulunan Kişisel Verileri |
|
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
|
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.
7. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
yer alır.
Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
Süreç |
Saklama Süresi |
İmha Süresi |
---|---|---|
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Sözleşmelerin hazırlanması |
Sözleşmenin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
İş sağlığı ve güvenliği uygulamaları |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Log Kayıt Takip Sistemleri |
Hukuki ilişki süresince |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi |
Hukuki ilişki süresince |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Kamera Kayıtları |
1ay |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI ve GÜNCELLENMESİ
Şirket işbu politika ile ortaya koymuş olduğu esasların şirket içerisinde uygulanmasını temin etmektedir. Kişisel verilerin korunması konusunda ortaya konulan işbu politika ile şirketin ISO 27001 Bilgi Güvenliği Yönetim Sistemi alanında yürüttüğü temel politikalar, prosedürler ve formaları ile de bağı kurularak, şirketin benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında uyumluluk da sağlanmaktadır.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Basılı kâğıt nüshası da İnsan Kaynakları Müdürlüğü dosyasında tutulur.
Politika, ihtiyaç duyulduğunda veya en az yılda bir defa gözden geçirilir ve gerekli olan bölümler güncellenir.
Şirket tarafından hazırlanan işbu Politika 23.07.2020 tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
Güncelleme Tarihi |
Değişikliklerin Kapsamı |
---|---|
|
|
|
|
|
|
|
|