GİRİŞ
Ertaş Alüminyum Kişisel Verileri Saklama ve İmha Politikası “Politika” Ertaş Alüminyum Sanayi ve Ticaret Limited Şirketi “Şirket” tarafından veri sorumlusu olarak işlenen kişisel verileri saklanma ve imha faaliyetlerine ilişkin uyguladığı usul ve esasları belirlemek amacıyla hazırlanmıştır.
AMAÇ
Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. Maddesi, Uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete ’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik “Yönetmelik” ve diğer mevzuatta belirtilen usul ve esaslara uygun olarak işlenmesi, saklanması, imhası ve kişisel verisi işlenen ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlaması ve yükümlülüklerinin yerine getirmesi amacıyla hazırlanmıştır.
Kişisel verilerin işlenmesi, saklanması ve imhası ile ilgili hususlar Şirket tarafından hazırlanmış bu Politikaya uygun olarak gerçekleştirecektir.
KAPSAM
Şirket, ticari faaliyetini gerçekleştirebilmek, devamlılığını sağlayabilmek ve süreçlerini yönetmek amacıyla; şirket çalışanları, müşteriler, tedarikçiler, tedarikçi çalışanları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verileri; Şirket ve şirket tarafından yönetilen kişilerce işlenen tüm kişisel veriler bu Politika kapsamında gerçekleştirilmektedir.
KAYIT ORTAMI
Şirket kayıt ortamı olarak fiziki ve elektronik ortam kullanmaktadır.
- Fiziki Ortam; Birim dolapları ve arşiv,
- Elektronik Ortam;Personel bilgisayarları, mobil cihazlar (cep telefonu, taşınabilir bilgisayar vb), ön muhasebe programı, çıkarılabilir diskler (USB vb), optik diskler (CD, DVD vb)
TANIMLAR
İşbu Politika ’da kullanılan tanımlar aşağıda yer almaktadır.
KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Kurulu | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
TCK | 5237 sayılı Türk Ceza Kanunu |
Yönetmelik | 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
Alıcı Grubu | Şirket tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, |
Özel nitelikli kişisel veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Kişisel sağlık verisi | Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler |
Kişisel veri sahibi | KVK Kanunu’nda “ilgili kişi” olarak tanımlanan, kişisel verisi işlenen gerçek kişi |
İlgili Kişi | Kişisel verisi işlenen gerçek kişiyi, |
Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, |
Veri Sorumluları Sicili | Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili |
Veri Envanteri | Ertaş Alüminyumun ’un iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter |
Kişisel Veri Başvuru Formu | Kişisel verileri işlenen ilgili kişilerin KVK Kanunu’nun 11. maddesinde açıklanan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Müşteriler | Herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın Ertaş Alüminyum Sanayi ve Ticaret LTD ŞTİ tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler |
Üçüncü Kişiler | Politika ’da tanımlanmamış olmasına rağmen işbu Politika çerçevesinde kişisel verileri işlenen tedarikçi, tedarikçi çalışanı, stajyer vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler |
Ziyaretçiler | Ertaş Alüminyum’un hizmet binalarını veya internet sitelerini çeşitli amaçlarla ziyaret eden gerçek kişiler |
Tedarikçi | Ertaş Alüminyum ’a hizmet ya da ürün sunan gerçek kişiler |
Çalışan | Ertaş Alüminyum ’a bağımlı olarak, belirli veya belirsiz süreli olarak iş gören tüm gerçek kişiler |
Hizmet Sağlayıcıları | Ertaş Alüminyum ’a hizmet ya da ürün sunan gerçek kişiler |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri |
KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Şirket, çalışan, müşteriler, tedarikçiler, tedarikçi çalışanları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verileri ve diğer iş ortaklarına ait kişisel verileri; ticari amaçlarını gerçekleştirebilmek, ticari faaliyetlerini yürütülebilmek ve hukuki sorumluluklarını yerine getirebilmek amaçlarıyla aşağıdaki hukuki sebepler dahilinde kişisel verileri saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Kişisel verilerin saklanmasının Şirket’in tabi olduğu mevzuatta açıkça öngörülmüş olması
- Sözleşmelerin kurulması ya da ifası ile doğrudan doğruya ilgili olmak kaydıyla sözleşme taraflarından birine ait kişisel verilerin saklanmasının gerekli olması
- Kişisel verilerin saklanmasının Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması
- Bir hakkın tesisi, kullanılması ya da korunması için kişisel verilerin saklanmasının gerekli olması
- Veri sahiplerinin kendileri tarafından alenileştirilen kişisel verilerin alenileştirme amacıyla örtüşecek biçimde saklanmasının gerekli olması
- Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatlerinin elde edilebilmesi için kişisel verilerin saklanmasının gerekli olması
Şirket tarafından hukuka uygun olarak ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak saklanan kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re ’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 5. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin Şirket’e usulüne uygun olarak ilettiği kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
- Şirket’in, veri sahibi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
Özel Nitelikli Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Sebepler
Özel nitelikli kişisel veriler, Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki sebeplerle dahilinde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
- Sağlık ve cinsel hayata ilişkin verilerin saklanmasının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için gerekli olması.
Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re ‘sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 6. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
- Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
VERİ GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
İdari Tedbirler
Şirket’in aldığı idari tedbirler şunlardır:
- Şirket, Kanun ve diğer mevzuata uygun olarak kişisel veri güvenliği politika ve prosedürlerini belirler; Kanun’un ve belirlenen politikaların uygulanmasının temini için tüzel kişiliği bünyesinde düzenli denetim çalışmaları yürütür.
- Şirket, kişisel verilerin korunması konusunda bilgili personel istihdam eder. Personellerine yönelik kişisel verilerin korunması hukuku eğitim programları düzenler ve farkındalık çalışmaları yürütür.
- Şirket, kişisel veri aktarım faaliyetlerinde kişisel verilerin aktarıldığı kişiler ile veri paylaşım sözleşmesi imzalar ve veri güvenliğini sağlar.
- Şirket, saklanan kişisel verilere erişim yetkisini yalnızca tüzel kişilik bünyesindeki görevi gereği yetkili personel ile sınırlandırır.
- Şirket, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından ele geçirilmesi halinde ihlali veri sahibine ve Kurul’a gecikmeksizin bildirir.
Teknik Tedbirler
Şirket, teknik tedbirler kapsamında;
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
- Bilişim sistemleri teçhizatı, yazılım ve verilerin güncel olması ve fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- İhtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim kişilerle sınırlandırılmıştır.
- Kanun’un 12. KVK maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Şirket mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re ’sen veya ilgili kişinin başvurusu üzerine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Fiziki Ortamda Yer Alan Kişisel Verilerin Silinmesi
Fiziki ortamda kayıtlı bulunan kişisel verilerden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemeyecek ve tekrar kullanılamayacak hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Elektronik Ortamda Yer Alan Kişisel Verilerin Silinmesi
Elektronik ortamda kayıtlı bulunan kişisel verilerden sorumlu birim yöneticisi tarafından erişim yetkisi kaldırılarak veya şifrelenerek diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziki Ortamda Yer Alan Kişisel Verilerin Yok Edilmesi
Fiziki ortamda /Kâğıt ortamında yer alan kişisel veriler, saklanması gereken süre sona erdiğinde, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Elektronik Ortamda Yer Alan Kişisel Verilerin Yok Edilmesi
Elektronik Ortamda / Optik ve/veya manyetik medyada yer alan kişisel veriler, saklanması gereken süre sona erdiğinde, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi K hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
KAYITLARIN SAKLANMASI
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, Kanun’un 4. KVK maddesinde yer alan genel ilkelere uygun olarak mevzuatta öngörülen ya da işlenme amacı için gerekli olan süre ile sınırlı olarak saklanmaktadır. Bu kapsamda belirlenen saklama süreleri aşağıdaki tabloda yer almaktadır.
Veri Kategorisi | Saklama Süresi | İmha Süresi |
CCTV Kayıtları (Fiziksel Mekan Güvenliği) | 30 gün | Saklama süresinin bitiminde otomatik imha |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri | Çalışma süresi boyunca | Saklama süresinin bitimini takiben 6 ay içerisinde |
Çalışan Özlük Dosyası ve Bordro Bilgileri | Çalışma süresi boyunca | İşten çıktıktan sonra 10 yıl içinde |
Çalışanın Diğer Bilgileri | Çalışma süresi boyunca | İşten çıktıktan sonra 15 yıl içinde |
Mesleki Deneyim Bilgileri | Çalışma süresi boyunca | İşten çıktıktan sonra 15 yıl içinde |
Finans | 10 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Görsel ve İşitsel Kayıtlar | 1 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Hukuki İşlem | 20 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
İletişim | 15 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
İşlem Güvenliği | 10 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Kamera kayıtlarına ilişkin süreçlerin yürütülmesi | 30 gün | Saklama süresinin bitiminde otomatik imha |
Kimlik | 10 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Müşteri İşlemleri | 10 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Risk Yönetimi | 15 Yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Sağlık Bilgileri | 15 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Sözleşme, Fatura, Yasal Beyanname, Ticari Defter ve Ticari Yazışmalarda Yer Alan Bilgiler | 15 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Şirket Yöneticileri ve Yönetim Kurulu Üyeleri Bilgileri | 15 yıl | Saklama süresinin bitimini takiben 6 ay içerisinde |
Veri Kategorisi | Saklama Süresi | İmha Süresi |
PERSONEL UNVAN, BİRİM VE GÖREV TANIMLARI TABLOSU
Kişisel veri saklama ve imha süreçlerine katılan Şirket personelinin unvan, birim ve görev tanımları aşağıdaki tabloda gösterildiği şekildedir:
Unvan | Birim | Görev Tanımı |
Şirket Müdürü | İdari Departman | Departman bünyesinde Politika’nın uygulanmasını temin etmek ve periyodik imha süreleri kapsamında Şirket sistemlerinde gerekli imha faaliyetlerini gerçekleştirmek |
Çalışan temsilcisi | Personel Departmanı | Departman bünyesinde Politika’nın uygulanmasını temin etmek |
Muhasebe Sorumlusu | Muhasebe Departmanı | Departman bünyesinde Politika’nın uygulanmasını temin etmek |
PERİYODİK İMHA SÜRESİ
Şirket, bu Politika ‘da belirlenen saklama süresinin dolması ile imha yükümlülüğünün ortaya çıkmasını takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder ya da anonim hale getirir.
Periyodik imha, yılda iki kez 6 aylık aralıklarla olmak üzere Şubat ve Ağustos aylarında gerçekleştirilir.
GÜNCELLEME
Bu Politika ‘da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.
Politika Güncelleme Tarihi | Değişiklikler |
30.12.2021 | |