Pelsan Kişisel Veri Saklama ve İmha Politikası

Pelsan Kişisel Veri Saklama ve İmha Politikası

 


PELSAN TEKSTİL ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ


KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI



Politika amacı

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat çerçevesinde hazırlanan, şirket nezdindeki söz konusu Kanun’da tanımlandığı şekilde, kişisel verilerin saklama ve imha süreçlerinin düzenlendiği politikadır.

 

Politika Sorumluları

 

 

 

İnsan Kaynakları ve Bilgi Teknolojileri Bölüm Müdürleri

Kapsam Açıklaması

Politika’nın kapsamı Şirket’in tüm iş birimleri ve çalışanları açısından geçerlidir.

İlgili Dokümantasyon

6698 sayılı Kişisel Verilerin Korunması Kanunu

 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

Onaylayan

 

Ad-Soyad - İmza

Ali Zafer Şişman
























PELSAN TEKSTİL ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ


KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI



  1. POLİTİKANIN AMACI VE KAPSAMI


İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile Pelsan Tekstil Ürünleri Sanayi ve Ticaret Anonim Şirketi (“Şirket”) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili mevzuat uyarınca kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin saklanması ve imha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesi hedeflemiştir.


İşbu Politika Şirketimizin Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri kapsamaktadır.


  1. KISALTMALAR VE TANIMLAR

 

 

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

 

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

 

Anonim Hale Getirme

Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

 

Hizmet Sağlayıcı”

 

 

Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

 

İlgili Kişi”

 

Kişisel verisi işlenen gerçek kişi.

 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

 

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

 

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

 

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

 

Kişisel Veri Sahibi

Kişisel verisi işlenen gerçek kişi.

 

 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

Kurul

Kişisel Verileri Koruma Kurulu.

 

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

 

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

Veri Envanteri

Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı Şirket veri envanteri.

 

Veri İşleyen”

 

 

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

 

Veri Sorumlusu”

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

 

 

 

 

 

 

 

  1. KAYIT ORTAMLARI

Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır:


Elektronik Ortamlar

  • Sunucular (Etki alanı, veritabanı, yedekleme, dosya paylaşımı, v.b.)

  • Yazılımlar (ERP, Bordro, Ofis yazılımları, EBYS, VERBİS)

  • Bilgi Güvenliği Cihazları (Güvenlik duvarı, Log dosyaları, v.b.)

  • Kişisel bilgisayarlar (Masaüstü, dizüstü)

  • Mobil cihazlar (Cep telefonu, External diskler, usb bellek, v.b.),

  • Yazıcı, tarayıcı, fotokopi makinesi,

  • Bulutta [e-mail (Office365), antivirüs (Sophos)]


Elektronik Olmayan Ortamlar

  • Kağıt dosyalar

  • Manuel veri kayıt sistemleri (Ziyaretçi giriş defteri, formlar)

  • Yazılı, basılı, görsel ortam


  1. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINA İLİŞKİN AÇIKLAMALAR

Şirket bünyesinde tutulan kişisel veriler Kanun ilgili mevzuat ve Şirket internet sitesinde http://www.pelsantekstil.com.tr yer alan Kişisel Verilerin İşlenmesi ve Korunması Politikamız uyarınca, burada belirtilen amaç ve nedenlerle 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ile Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ile ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.

Şirketimiz, kişisel veri işleme faaliyetlerinde, “hukuka ve dürüstlük kuralına uygun olunması”, “kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama”, “belirli, açık ve meşru amaçlarla işleme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme” ilkelerini esas almaktadır

Şirketimiz, yukarıda bahsi geçen ilkelerle uyumlu şekilde ve Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmakta olup, söz konusu şartların tamamının ortadan kalkması halinde, kişisel verileri belirlenen imha süreleri içerisinde veya kişisel veri sahibinin talebi üzerine imha etmektedir.

Şirketimizin Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartları doğrultusundaki kişisel veri işleme faaliyetleri işbu Politika’nın ekinde yer alan Şirketimiz Kişisel Veri Envanterinde belirtilmektedir.





  1. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA UYGUN OLARAK İŞLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER


Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:


Şirketimiz, kişisel verileri korumak için aşağıda sayılanlarla sınırlı olmamak üzere teknik olarak;

Yetki Matrisi, Yetki Kontrol, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Log Kayıtları, Yedekleme, Güvenlik Duvarları, Güncel Anti-virüs Sistemleri, Silme, Yok etme veya Anonim Hale Getirme, Anahtar Yönetimi uygulanmaktadır.

Şirketimiz, kişisel verileri korumak için aşağıda sayılanlarla sınırlı olmamak üzere idari olarak;

. Kişisel Veri İşleme Envanteri Hazırlanması,

. Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.),

. Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen),

. Gizlilik Taahhütnameleri,

. Kurum İçi Periyodik ve/veya Rastgele Denetimler,

. Risk Analizleri,

. İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümlerin ilave edilmesi),

, Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri v.b.),

. Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve mevzuat)


  1. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ


Şirketimiz, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde ilgili mevzuatta öngörülen süre sonunda veya gerekli saklama süresinin sonunda, resen veya ilgili kişinin başvurusu üzerine kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirilmesi getirmektedir.

  1. Kişisel Verilerin Silinme Yöntemleri

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.


Bu kapsamda Şirketimiz, kişisel verileri silme işlemi için aşağıda tanımlanan süreçleri ve yöntemleri uygulamaktadır:

  • Silme işlemine konu olacak kişisel veriler belirlenir.

  • Silme işleminin konusu olan her bir kişisel veri için bu verileri silmeyi takiben erişebilecek ve geri getirebilecek ilgili kullanıcılar tespit edilir.

  • Bu ilgili kullanıcıların, söz konusu kişisel veriler kapsamında sahip olduğu erişim ve geri getirme yetkileri ve bu işlemlerin yöntemleri tespit edilir.

  • Tespit edilen erişim ve geri getirme yetki ve yöntemleri kapatılır veya ortadan kaldırılır.

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.


Şirketimiz, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:


. Kağıt Ortamında Bulunan Kişisel Verilerin karartılması

. Sunucudaki Ofis dosyalarının silinmesi

. Taşınabilir Cihazlardaki (Usb Flash, Taşınabilir Disk v.b.) verilerin silinmesi

. Veri tabanlarındaki verinin uygun komutlar kullanılarak silinmesi

Şirket, kişisel verilerin silinmesine ilişkin konularda silme faaliyetini geçekleştirmek için Kişisel Verileri Koruma Kurumu tarafından çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni kılavuz alır.


  1. Kişisel Verilerin Yok Edilme Yöntemleri

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi için verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden uygun olan bir ya da birkaçı kullanılır.


Şirketimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:


  1. Yerel Sistemler

. Fiziksel Yok Etme

  1. Çevresel Sistemler

. Ağ cihazları imha listesine eklendikten sonra imhaya gönderilir.

. Flash tabanlı ortamlar ilgili komutlar kullanılarak veya parçalanarak yok edilir.

. Optik diskler kıyma makinası kullanılarak yok edilmektedir.

. Veri kayıt ortamı olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri, veri kısımları imha edildikten sonra imha listesine alınır ve tamamen yok edilmek üzere geri dönüşüm firmasına teslim edilir.

  1. Kağıt ortamlar

. Kağıt v.b. ortamlarımızdaki veriler, kağıt kıyma makinası kullanılarak yok edilir.




  1. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirketimiz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.


Bu kapsamda Şirketimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:


. Değişkenleri çıkartma

. Kayıtları çıkartma


Bu kapsamda Şirketimiz, kişisel verilerin anonimleştirilmesine ilişkin konularda anonimleştirme faaliyetini geçekleştirmek için Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni kılavuz alır.


  1. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI


Şirketimizin kişisel verilerin saklama ve imha süreçlerinde, İnsan Kaynakları ve Bilgi Teknolojileri departmanlarından Şirket Kişisel Veri Koruma Süreçlerinin Yönetimi İç Prosedürüne uygun olarak yetkili ve sorumlu kişiler belirlenerek görevlendirilmiştir.


Bu kişiler, kişisel verilerin hukuka uygun olarak saklanması ile veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınmasını temin eder, veri işleme, saklama ve imha süreçlerini takibi ile Şirket Veri Envanterinin güncel tutulmasından sorumludurlar.


  1. SAKLAMA VE İMHA SÜRELERİ


Şirketimiz, kişisel verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ve imha etmektedir. Bu kapsamda Şirketimiz işbu Politika ekinde yer alan saklama ve imha sürelerini de gösterir Şirket Veri Envanterinde (EK) belirtilen azami süreler boyunca saklamakta ve bu sürelere uygun olarak imha etmektedir.

Şirketimiz, gerekmesi durumunda kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder. Bu hallerde, imha işlemi 6 aylık periyotlar dahilinde yapılır.

  1. YÜRÜRLÜK

 

İşbu Politika 10.07.2019 tarihinde yürürlüğe girmiştir. Politika ve eki Şirket Veri Envanteri değişen şartlara ve mevzuata uyum sağlamak amacıyla gözden geçirilerek güncellenebilir. Güncel Politika güncellendiği tarihte yürürlüğe girer ve Şirket içinde duyurusu yapılır.

 

İşbu Politika hükümleri ile Kişisel Verilerin Korunması mevzuatı arasında herhangi bir çelişki olması halinde, öncelik sırasına göre; Kanun, Yönetmelik, Tebliğ ve işbu Politika’da yer alan hükümler geçerlidir.


EK: ŞİRKET VERİ ENVANTERİ

KENDİN TASARLA!

Türkiyede ilk ve tek PELSAN tarafından müşterilerine sunulan "Kendi Tasarla" sistemiyle müşterilerimiz istedikleri tasarımları oluşturabiliyor. Zengin karakter kütüphanesinden istenilen renklerde birçok yaratıcı tasarım oluşturulabiliyor.

SEKTÖRLER