Kişisel Veri Saklama ve İmha Politikası

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Yayın Tarihi:23.12.2019

1. Amaç

Kişisel Veri Saklama ve İmha Politikası’nın amacı, © Termofan Havalandırma Sistemleri San. ve Tic. A.Ş’nin mevcut ve potansiyel sigortalıları, iş ortakları, ziyaretçileri, pay sahipleri, şirket yöneticileri, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ve yetkilileri ile ilgili üçüncü kişilere ait kişisel verilerin saklanması hususundaki prensiplerin ve veri imhası standartlarının belirlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuata uyum sağlanması ve bu doğrultuda gerekli önlemlerin alınmasından ibarettir.

2. Kapsam

Politika’daki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikte olan, fiziksel ve/veya dijital ortamlarda bulunan her türlü bilgi ve belgeyi ve bunlarla ilgili alınan saklama ve imha prensiplerini kapsar.

3. Politika Standartları

3.1. Prensipler

3.2. Tanımlar

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı: Tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Veri İşleme Envanteri: © Termofan Havalandırma Sistemleri San. ve Tic. A.Ş’nin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanterdir.

Kişisel Veri Saklama Süre-Uygulama Matrisi: © Termofan Havalandırma Sistemleri San. ve Tic. A.Ş’nin iş süreçlerine bağlı olarak işlemekte olduğu kişisel veri kategorilerini ve veri kategorilerinin yasal gereksinimler ile iş amaçları doğrultusunda saklama sürelerini içeren matristir.

Kişisel Veri sahibi : Kişisel verisi işlenen gerçek kişi

KVK Kurulu : Kişisel Verileri Koruma Kurulu

KVK Kurumu : Kişisel Verileri Koruma Kurumu

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlem

Politika: Veri Saklama ve İmha Politikası

Şirket : © Termofan Havalandırma Sistemleri San. ve Tic. A.Ş

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

4. Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları

Kişisel veriler, Şirket tarafından aşağıda listelenen elektronik ve fiziksel ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır;

Elektronik ortamlar:

Taşınabilir bellek
Cd, DVD
Ana bilgisayar yedeklemesi

Fiziksel ortamlar:

Birim Dolapları
Arşiv

5. Kişisel Verilerin Saklanmasını Ve İmhasını Gerektiren Sebepler:

Kişisel veriler, Şirketimiz faaliyetlerinin sürdürülmesi, hukuki yükümlülüklerini yerine getirmesi, çalışan haklarının planlanması ve yerine getirilmesi amacıyla fiziki veyahut

elektronik ortamlarda güvenli bir biçimde Kanun’da belirtilen ilkeler ve işleme şartları ile mevzuatta öngörülen süreler çerçevesinde saklanmaktadır.

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel veriler, işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmek suretiyle imha edilmektedir.

6. Uyum için Gereklilikler:

6.1. Kişisel Veri İşleme Envanteri

Şirket, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve detaylandırmıştır. Şirket, Politika içerisindeki prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.

6.2. Kişisel Veri Saklama Süre-Uygulama Matrisi

Şirket Politika içerisindeki prensipleri dâhilinde bu matrisi güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder.

Şirket, matriste yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken şirketin bulunduğu sektördeki genel teamülün ne olduğunu dikkate alarak belirler.

6.3. Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler

Şirket, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi, kişisel verilerinin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirleri almakta yükümlü olmakla birlikte bu tedbirleri ilgili kişilere duyurmak ve uygulanmasını sağlamakla yükümlüdür.

Alınan İdari Tedbirler

Kişisel Veri Saklama ve İmha Politika’sının yayınlanması,
Şirket internet sayfası içerisinde KVKK bilgilendirilmesinin yapılması,
Şirket içerisindeki aktivite ve süreçlerin analizlerinin yapılması ve yasaya uyum adına alınacak aksiyonların belirlenmesi,
Kişisel Veri İşleme Envanteri’nin oluşturulması,
Çalışanlar için yetki matrisi oluşturulmuştur,
Gizlilik taahhütnameleri yapılmaktadır,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir,
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir,
Kişisel veri güvenliğinin takibi yapılmaktadır,
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır,
İşlenen kişisel verilerin hukuka aykırı yollarla üçüncü kişilerce elde edilmesi halinde, bu durumu ilgili kişi ve Kurul’a bildirir.
Şirket yöneticileri tarafından KVK Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasının sağlanması,
Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalanması veya sözleşmeye veri güvenliğine ilişkin hükümler eklenmesi.

Alınan Teknik Tedbirler

Gerekli iç kontrollerin yapılması
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır,
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır,
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır,
Erişim logları düzenli olarak tutulmaktadır,
Güncel anti-virüs sistemleri kullanılmaktadır,
Güvenlik duvarları kullanılmaktadır,
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır,
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb) karşı güvenliği sağlanmaktadır,
Kişisel veri içeren ortamların güvenliği sağlanmaktadır,
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır,
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır,
Saldırı tespit ve önleme sistemleri kullanılmaktadır,
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir,
Şifreleme yapılmaktadır,
Verilerin şirket dışına sızmasını engelleyecek veya gözlemleyecek teknik alt yapının oluşturulması
Düzenli olarak ve gerek görüldüğünde sızma testi hizmeti alarak sistem güvenlik kontrolünün sağlanması
Kişisel verilere erişim yetkisi olanların kontrol altında tutulmasının sağlanması,
Kanun’un 12. Maddesi uyarınca, kişisel verilerin saklandığı dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde korunur.

7. Rol Ve Sorumluluklar

8. Periyodik İmha

Şirket, Kişisel Veri Saklama Süre Envanteri ve Kişisel Veri İşleme Envanterine paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak (yüz seksen günde bir) kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.

9. Destekleyici Dokümanlar

6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)

10. Gözden Geçirme

Bu politika yıllık olarak ve gereken durumlarda gözden ŞAHİN HUKUK DANIŞMANLIĞI VE TEMSİL FAALİYETLERİ tarafından geçirilecektir.

11. Yürürlülük

Bu politika Yönetim Kurulu’nun 23.12.2019 tarih ve 2019/12 sayılı kararıyla 31.12.2019 tarihinden itibaren yürürlüğe girmiştir.

EK 1 – SAKLAMA VE İMHA SÜRELERİ TABLOSU

Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiştir.

SÜREÇ

SAKLAMA

SÜRESİ

İMHA SÜRESİ

Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası

İş ilişkisinin sona ermesine müteakip 10 yıl