1.
AMAÇ:
MERAY KURUYEMİŞ GIDA SAN
VE TİC LTD ŞTİ Kişisel Veri Saklama ve İmha Politikası’nın amacı, MERAY’ın
mevcut ve potansiyel müşterileri, tüketicileri, iş ortakları, ziyaretçileri,
şirket çalışanları, çalışan adayları, işbirliği içinde bulunulan kurum
çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası standartlarının
Anayasa’nın 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu 30224
sayı ve 28.10.2017 tarihli Kişisel verilerin Silinmesi, Yok Edilmesi Veya
Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil
düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara
göre belirlenmesidir.
2.
KAPSAM:
“Politikadaki hüküm ve
prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan
her türlü bilgi ve belgeyi ve bunlarla ilgili alınan silinmesi, yok edilmesi
veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını
kapsar.
3.
TANIMLAR:
·
Aydınlatma Beyanı: 6698 Sayılı KVK
Kanununun 10. maddesine göre; kişisel verilerin elde edilmesi sırasında veri
sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi
gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları.
·
İlgili Kişi Grubu: Kişisel Verileri
işlenen kişi türü, (çalışan, müşteri, ziyaretçi vb.)
·
İlgili Kişi: Kişisel verileri
işlenen veri sahibi gerçek kişi, Kişisel Veri Öznesi.
·
İlgili kullanıcı: Verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç
olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
·
İmha: Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesi.
·
Kayıt Ortamı: Tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
·
Kişisel Veri İşleme: Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen
her türlü işlem.
·
Kişisel Veri Saklama ve
İmha Politikası:
Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan
azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi
için dayanak yaptıkları politika.
·
Kişisel Veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
·
KV: Kişisel Veri.
·
KV Envanteri: Şirkette işlenen
(tutulan) Kişisel Verileri ve ilişkili bilgilerin tasnif edildiği liste.
·
KVK: Kişisel Veri Koruma.
·
KVK ihlali: İlgili kişilerin
mağduriyeti olsun veya olmasın, Meray Kuruyemiş Gıda San. Ve Tic. Ltd. Şti ‘nin
Veri Sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, Meray
Kuruyemiş Gıda San. Ve Tic. Ltd. Şti. ’nin Kontrolü dışında çıkması ile 6698
Sayılı KVK Kanunu ve/veya Meray Kuruyemiş Gıda San. Ve Tic. Ltd. Şti. Prosedürlerine
aykırı hususlar.
·
KVİS: Kişisel Veri İşleme
Sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve
iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; bu iş görme
borcu karşılığında veri sorumlusunun bedel ödemeyi üstlendiği sözleşme.
·
KVKK: Kişisel Verilerin
Korunması Kanunu.
·
KVKS: Kişisel Verilerin
Korunması Sistemi.
·
ÖNKV: Özel Nitelikli Kişisel
Veri.
·
Periyodik İmha: Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda
kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilerek silme, yok etme veya anonim hale getirme işlemi.
·
Veri işleyen: 6698 sayılı Kanunun
3-ğ. maddesine göre veri işleyen; “veri sorumlusunun verdiği yetkiye dayanarak
onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder.
·
Veri Kayıt Sistemi: Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
·
Veri Sorumlusu: Kişisel Veriyi işleyen
Kurum (MERAY).
4.
KAYIT ORTAMLARI:
MERAY, Kişisel Verileri
fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına
alınmaktadır.
|
ELEKTRONİK ORTAM |
ELEKTRONİK OLMAYAN ORTAM |
|
· File Server, · Sunucular (Yedekleme,
e-posta, veri tabanı, web, dosya paylaşım, vb.) · Yazılımlar (ofis
yazılımları) · Bilgi güvenliği
cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt
dosyası, anti-virüs vb.) · Kişisel bilgisayarlar
(Masaüstü, dizüstü) · Mobil cihazlar
(telefon, tablet vb.) · Optik diskler (CD, DVD
vb.) · Çıkartılabilir
bellekler (USB, Hafıza Kartı vb.)
Yazıcı, tarayıcı, fotokopi makinesi |
· Kağıt · Manuel veri kayıt
sistemleri (iş başvuru formları, ziyaretçi giriş defteri) · Yazılı, basılı, görsel
ortamlar |
5.
UYUM:
MERAY, işbu envanter
içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel
verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı
veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi
grubunu ilişkilendirmiş ve detaylandırmıştır. MERAY, Politika içerisindeki
prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.
6. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR:
MERAY tarafından; şirket bünyesinde bulunan bütün kişisel
veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve
imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
6.1 Saklamaya İlişkin Açıklamalar
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı
tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği
belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları
sayılmıştır. Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler,
ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
6.1.1 Saklamayı
Gerektiren İşleme Amaçları
MERAY aşağıdaki ihtiyaçlarını temin için kişisel verileri
kanuna uygun olarak işlemektedir;
· Ana iştigal alanı olan
ticari faaliyetlerinin yürütülmesi
· Acil durum yönetimi
süreçlerinin yürütülmesi
· Bilgi güvenliği
süreçlerinin yürütülmesi
· Çalışan adayı / Stajyer/
Öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi
· Çalışan adayların başvuru
süreçlerinin yürütülmesi
· Çalışan memnuniyeti ve
bağlılığı süreçlerinin yürütülmesi
· Çalışanlar için iş akdi
ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi
· Çalışanlar için yeni
haklar ve menfaatleri süreçlerinin yürütülmesi
· Denetim / Etik
faaliyetlerin yürütülmesi
· Eğitim faaliyetlerinin
yürütülmesi
· Erişim yetkilerinin
yürütülmesi
· Faaliyetlerin mevzuata
uygun yürütülmesi
· Finans ve muhasebe işlerinin
yürütülmesi
· Fiziksel mekân güvenliği
temini
· Görevlendirme
süreçlerinin yürütülmesi
· Hukuk işlerinin takibi
ve yürütülmesi
· İç denetim, soruşturma,
istihbarat faaliyetlerinin yürütülmesi
· İletişim faaliyetlerinin
yürütülmesi
· Mal, hizmet, üretim ve
operasyon süreçlerinin yürütülmesi
· Organizasyon ve etkinlik
yönetimi
· Performans değerlendirme
süreçlerinin yürütülmesi
· Risk yönetimi
süreçlerinin yürütülmesi
· Saklama ve arşiv
faaliyetlerinin yürütülmesi
· Sosyal sorumluluk ve
sivil toplum aktivitelerinin yürütülmesi
· Sözleşme süreçlerinin
yürütülmesi
· Talep ve şikayetlerin
takibi
· Taşınır mal ve kaynakların
güvenliğinin temini
· Tedarik zinciri yönetim
süreçlerinin yürütülmesi
· Ücret politikasının
yürütülmesi
· Veri sorumlusu operasyonlarının
güvenliğinin temini
· Yabancı personel çalışma
ve oturma izni işlemleri
· Yetenek, kariyer gelişimi
faaliyetlerinin yürütülmesi
· Yetkili kişi, kurum ve
kuruluşlara bilgi verilmesi
· Yönetim faaliyetlerinin
yürütülmesi
· Ziyaretçi kayıtlarının
oluşturulması ve takibi
6.1.2 Saklamayı
Gerektiren Hukuki Sebepler
MERAY'ın faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili
mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
·
1319
Sayılı Emlak Vergisi Kanunu
·
213
Sayılı Vergi Usul Kanunu
·
237
sayılı Taşıt Kanunu
·
2644
Sayılı Tapu Kanunu
·
3065
Katma Değer Vergisi Kanunu
·
3628
Sayılı Mal Bildiriminde Bulunulması, Rüşvet ve Yolsuzluklarla Mücadele Kanunu
·
4458
Sayılı Gümrük Kanunu
·
4632
Sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu ve bu Kanun’a
bağlı çıkarılan ikinci düzenlemeler
·
4721
Sayılı Türk Medeni Kanunu
·
4734
sayılı Kamu İhale Kanunu Mevzuatı
·
4735
sayılı Kamu İhale Sözleşmeleri Kanunu
·
4857
sayılı İş Kanunu
·
488
Sayılı Damga Vergisi Kanunu
·
492
Sayılı Harçlar Kanunu
·
5187
Sayılı Basın Kanunu
·
5188
Sayılı Özel Güvenlik Hizmetlerine Dair Kanunun Uygulanmasına İlişkin Yönetmelik
·
5232
Sayılı Türk Ceza Kanunu
·
5271
Sayılı Ceza Muhakemesi Kanunu
·
5411
sayılı Bankacılık Kanunu
·
5510
sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve bu Kanun’a bağlı
çıkarılan ikinci düzenlemeler
·
5520
Sayılı Kurumlar Vergisi Kanunu
·
5651
Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
·
5809
Elektronik Haberleşme Kanunu
·
5846
Sayılı Fikir Ve Sanat Eserleri Kanunu
·
6098
Sayılı Türk Borçlar Kanunu
·
6102
Sayılı Ticaret Kanunu
·
6331
sayılı İş Sağlığı ve Güvenliği Kanunu’nda ve bu Kanun’a bağlı çıkarılan ikinci
düzenlemeler
·
6563
Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
·
6740
Sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanununda Değişiklik
yapılmasına İlişkin Kanun
·
7338
sayılı Veraset ve İntikal Vergisi Kanunu
·
Asgari
ücret yönetmeliği
·
48107
sayılı Vergi Muafiyeti Statüsüne Uygunluk Yazısı
·
Ücret,
Prim, İkramiye ve bu nitelikteki her türlü istihkakın bankalar aracılığıyla
ödenmesine dair yönetmelik
·
Yıllık
ücretli izin yönetmeliği
·
4857
sayılı İş Kanunu
·
5510
sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
·
6698
sayılı Kişisel Verilerin Korunması Kanunu
çerçevesinde öngörülen
saklama süreleri kadar saklanmaktadır.
6.2 İmhayı Gerektiren
Sebepler
·
İşlenmesine
esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
·
İşlenmesini
veya saklanmasını gerektiren amacın ortadan kalkması
·
Kişisel
verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde,
ilgili kişinin açık rızasını geri alması
·
Kanunun
11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul
edilmesi
·
Kurumun,
ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim
hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği
cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi
hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun
bulunması
·
Kişisel
verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut
olmaması
7.
KİŞİSEL VERİLERİN İMHA
TEKNİKLERİ:
Kişisel Verilerin
İmhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde
üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek
kişiye ulaşabilmenin mümkün olmamasıdır. MERAY, Kişisel Verilerin hukuka uygun
olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli
her türlü teknik ve idari tedbirleri alır.
7.1 Kişisel Verilerin Silinmesi
Tamamen veya kısmen
otomatik yollarla işlenen Kişisel Verilerin silinmesi; söz konusu Kişisel
Verilerin İlgili Kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir.
MERAY, kişisel verileri
sildiği durumlarda, İlgili Kullanıcılar için verileri hiçbir şekilde erişilemez
veya tekrar kullanılamaz hale getirir.
7.2 Kişisel Verilerin Yok Edilmesi
Yok etme işlemi, MERAY’ın
verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılabilecektir. MERAY,
bu durumda, ilgili kişisel verilerin hiç kimse için erişilememesini, tekrar
kullanılamamasını ve geri getirilememesini sağlayacaktır.
Yok etme işlemleri
sırasında MERAY çalışanları ve ilgili departmanlar KVK Komisyonu’na yok
edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında MERAY KVK
Komisyonu’nca gerekli her türlü teknik ve idari tedbiri alacaktır.
7.3 Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi,
MERAY’ın Kişisel Verileri tamamen veya otomatik yollarla işlediği durumlarda,
bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim
hale getirilmesi KVK Komisyonu’nun görevidir. KVK Komisyonu gerekli durumlarda
Veri sahibi ilgili birimden destek alabilir fakat her hâlükârda ilgili birimi
bilgilendirme yükümlülüğü vardır.
Kişisel verilerin anonim
hale getirilmesi sırasında MERAY, işbu Politika kapsamında belirtilen
yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı
durumlarda KVK Komisyonuna danışılmaktadır.
8.
SAKLAMA VE İMHA SÜRELERİ:
MERAY, bu tablo
içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri
kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları
doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve
detaylandırmıştır. MERAY, Politika içerisindeki prensipleri dâhilinde bu
tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine
uygun verileri işleyeceğini taahhüt eder.
MERAY, tabloda yer alan
kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri
belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin
Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile
ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak
belirler.
a) İlgili veri
kategorisiyle alakalı olarak işleme amacıyla MERAY’ın dahil olduğu tüm faaliyet
alanlarında genel teamül olarak ne kadar süre gerekli olduğu,
b) İlgili veri
kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle
tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
c) İlgili veri
kategorisinin işlenme amacına bağlı olarak MERAY’ın elde edeceği meşru
menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli
olacağı,
ç) İlgili veri
kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk,
maliyet ve sorumlulukların hukuken ne kadar süre devam edeceği,
d) Belirlenecek azami
sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup
olmadığı,
e) MERAY’ın hukuki
yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar
süre saklamak zorunda olduğu,
f) MERAY’ın ilgili
kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri
sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu, dikkate alınır.
MERAY, kişisel verilerin
işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken,
söz konusu sürelerin Kişisel Veri İşleme Envanterinde yer alan bilgilerle
uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin
mevcut olması durumunda veya MERAY tarafından öğrenilmesi üzerine, azami
sürelere bakılmaksızın kişisel verilerin işlenme şartlarının ortadan kalktığı
kabul edilerek; ilgili kişinin başvuru üzerine veya MERAY tarafından söz konusu
kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:
a) Kişisel verileri
işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya
ilgası,
b) Taraflar arasındaki
sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin
kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin
işlenmesini gerektiren amacın ortadan kalkması,
ç) Kişisel verileri
işlemenin hukuka veya dürüstlük kuralına aykırı olması
d) Kişisel verileri
işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin rızasını geri alması,
e) İlgili kişinin,
Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde
kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu
tarafından kabul edilmesi,
f) MERAY’ın, ilgili kişi
tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine
yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda
öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması
ve bu talebin Kurul tarafından uygun bulunması,
g) Kişisel verilerin
saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri
daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
ğ) Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren
şartların ortadan kalkması.
|
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
|
İş Kanunu kapsamında
saklanılan veriler (örn. performans kayıtları vs.) |
İş ilişkisinin sona ermesine müteakip 5 yıl |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.) |
İş ilişkisinin sona ermesine müteakip 15 yıl |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
SGK mevzuatı
kapsamında tutulan veriler |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
İş kazası/meslek hastalığına ilişkin bir talepte/davada
kullanılabilecek dökümanlar |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
Sair ilgili
mevzuat gereği toplanan veriler |
İlgili mevzuatta öngörülen
süre kadar |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
İlgili kişisel verinin Türk Ceza Kanunu
veya sair ceza hükmü getiren
mevzuat kapsamında bir suça konu
olması |
Dava zaman aşımı müddetince |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
Müşteri verileri |
Kayıt altına alınmasına
müteakip 10 yıl |
Saklama süresinin bitimini
takiben 180 gün içerisinde |
|
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Veri
sahibinin imha başvurusunu takiben 30 gün içerisinde |
|
Genel Kurul İşlemleri |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
İhale/işyeri açma/bakanlıklar- müsteşarlıklar evrak hazırlama süreçleri |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Personel ile ilgili mahkeme/icra bilgi taleplerinin
cevaplanması |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Sözleşmelerin hazırlanması |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
İşe alım |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Bordrolama |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Personel özel sağlık ve ferdi
kaza sigorta poliçelerinin hazırlanması organizasyonu |
5 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Çalışanlara araç tahsis edilmesi |
5 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
İş sağlığı ve güvenliği uygulamaları |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Log/Kayıt/Takip Sistemleri |
5 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Ana veri oluşturma süreçleri |
İş ilişkisinin sona ermesini müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Ödeme işlemleri |
İş ilişkisinin sona ermesini müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Personel Finansman Süreçleri |
İş ilişkisinin sona ermesini müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Sözleşme sürecinin bir bölümü ve
sözleşmenin muhafazası |
İş ilişkisinin sona ermesini müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Kaza Raporlama |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Toplantı notlarının, katılımcılar ile paylaşılması |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Doküman hazırlanması |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Eğitim kayıtlarının dosyalanması |
10 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
|
Acil Durum Hazırlıkları |
1 yıl |
Saklama süresinin bitimini takiben 180 gün
içerisinde |
9. PERİYODİK İMHA:
MERAY, Kişisel Veri
Saklama Süre Tablosu ve Kişisel Veri İşleme Envanterine paralel olarak, dijital
ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak altı (6)
ayda bir kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu
verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim
hale getireceğini taahhüt eder.
10. TEKNİK VE İDARİ TEDBİRLER:
MERAY, kişisel verilerin
güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi, kişisel verilerinin hukuka uygun olarak imha edilmesi için teknik ve
idari tedbirleri almakta yükümlü olmakla birlikte bu tedbirleri ilgili kişilere
duyurmak ve uygulanmasını sağlamakla yükümlüdür. Alınan Teknik ve İdari
Tedbirler;
10.1 Teknik Tedbirler
· Ağ güvenliği ve uygulama
güvenliği sağlanmaktadır.
· Anahtar yönetimi
uygulanmaktadır.
· Bilgi teknolojileri
sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri
alınmaktadır.
· Çalışanlar için yetki
matrisi oluşturulmuştur.
· Erişim logları düzenli
olarak tutulmaktadır.
· Gerektiğinde veri
maskeleme önlemi uygulanmaktadır.
· Güncel anti virüs
sistemleri kullanılmaktadır.
· Güvenlik duvarları
kullanılmaktadır.
· Kâğıt yolu ile aktarılan
kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak
gizlilik dereceli belge formatında gönderilmektedir.
· Kişisel veri güvenliği
sorunları hızlı bir şekilde raporlanmaktadır.
· Kişisel veri
güvenliğinin takibi yapılmaktadır.
· Kişisel veri içeren
fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri
alınmaktadır.
· Kişisel veri içeren
fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
· Kişisel veri içeren
ortamların güvenliği sağlanmaktadır.
· Kişisel veriler mümkün
olduğunca azaltılmaktadır.
· Kişisel veriler
yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
· Kullanıcı hesap yönetimi
ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
· Log kayıtları kullanıcı
müdahalesi olmayacak şekilde tutulmaktadır.
· Mevcut risk ve tehditler
belirlenmiştir.
· Özel nitelikli kişisel
veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP
veya kurumsal posta hesabı kullanılarak gönderilmektedir.
· Özel nitelikli kişisel
veriler için güncel şifreleme /kriptografik anahtarlar kullanılmakta ve farklı
birimlerce yönetilmektedir.
· Saldırı tespit ve önleme
sistemleri kullanılmaktadır.
· Sızma testi
uygulanmaktadır.
· Siber güvenlik önlemleri
alınmış olup uygulaması sürekli takip edilmektedir.
· Şifreleme yapılmaktadır.
· Taşınabilir bellek, CD,
DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek
aktarılmaktadır.
· Veri işleyen hizmet
sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi
sağlanmaktadır.
· Veri işleyen hizmet
sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
· Veri kaybı önleme
yazılımları kullanılmaktadır.
10.2 İdari Tedbirler
· Çalışanlar için veri
güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
· Çalışanlar için veri
güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları
yapılmaktadır.
· Erişim bilgi güvenliği
kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve
uygulamaya başlanmıştır.
· Gizlilik taahhütnameleri
yapılmaktadır.
· Görev değişikliği olan
ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
· İmzalanan sözleşmeler
veri güvenliği hükümleri içermektedir.
· Kurum içi periyodik ve /
veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
· Kişisel veri güvenliği
politika ve prosedürleri belirlenmiştir.
· Özel nitelikli kişisel
veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve
uygulanmaktadır.
11. SORUMLULUK VE GÖREV
DAĞILIMLARI:
KV imha süreçlerinin
yönetimi KVK Komisyonu’ndadır.
|
PERSONEL |
GÖREV |
SORUMLULUK |
|
Avukat |
Hukuk Departmanı-
Kişisel veri saklama ve imha
politikası uygulama sorumlusu |
Görevi dahilinde
olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca
kişisel veri imha sürecinin yönetimi |
|
İnsan Kaynakları Müd. |
İnsan Kaynakları Departmanı-
Kişisel veri saklama ve imha
politikası uygulama sorumlusu |
Görevi dahilinde
olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca
kişisel veri imha sürecinin yönetimi |
|
Bilgi İşlem
Müd. |
Bilgi Teknolojileri Departmanı-
Kişisel veri saklama ve imha
politikası uygulama sorumlusu |
Görevi dahilinde
olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca
kişisel veri imha sürecinin yönetimi |
|
Muhasebe Müdürü |
Mali İşler Departmanı-
Kişisel veri saklama ve imha
politikası uygulama sorumlusu |
Görevi dahilinde
olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Genel
Müdür
HASAN
KILIÇ