Pelsan Kişisel Veri Saklama ve İmha Politikası
PELSAN TEKSTİL ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Politika amacı | 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat çerçevesinde hazırlanan, şirket nezdindeki söz konusu Kanun’da tanımlandığı şekilde, kişisel verilerin saklama ve imha süreçlerinin düzenlendiği politikadır. |
Politika Sorumluları
|
İnsan Kaynakları ve Bilgi Teknolojileri Bölüm Müdürleri |
Kapsam Açıklaması | Politika’nın kapsamı Şirket’in tüm iş birimleri ve çalışanları açısından geçerlidir. |
İlgili Dokümantasyon | 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
|
Onaylayan
| Ad-Soyad - İmza |
PELSAN TEKSTİL ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
POLİTİKANIN AMACI VE KAPSAMI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile Pelsan Tekstil Ürünleri Sanayi ve Ticaret Anonim Şirketi (“Şirket”) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili mevzuat uyarınca kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin saklanması ve imha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesi hedeflemiştir.
İşbu Politika Şirketimizin Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri kapsamaktadır.
KISALTMALAR VE TANIMLAR
|
KAYIT ORTAMLARI
Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik Ortamlar
Sunucular (Etki alanı, veritabanı, yedekleme, dosya paylaşımı, v.b.)
Yazılımlar (ERP, Bordro, Ofis yazılımları, EBYS, VERBİS)
Bilgi Güvenliği Cihazları (Güvenlik duvarı, Log dosyaları, v.b.)
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Mobil cihazlar (Cep telefonu, External diskler, usb bellek, v.b.),
Yazıcı, tarayıcı, fotokopi makinesi,
Bulutta [e-mail (Office365), antivirüs (Sophos)]
Elektronik Olmayan Ortamlar
Kağıt dosyalar
Manuel veri kayıt sistemleri (Ziyaretçi giriş defteri, formlar)
Yazılı, basılı, görsel ortam
KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINA İLİŞKİN AÇIKLAMALAR
Şirket bünyesinde tutulan kişisel veriler Kanun ilgili mevzuat ve Şirket internet sitesinde http://www.pelsantekstil.com.tr yer alan Kişisel Verilerin İşlenmesi ve Korunması Politikamız uyarınca, burada belirtilen amaç ve nedenlerle 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ile Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ile ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.
Şirketimiz, kişisel veri işleme faaliyetlerinde, “hukuka ve dürüstlük kuralına uygun olunması”, “kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama”, “belirli, açık ve meşru amaçlarla işleme”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme” ilkelerini esas almaktadır
Şirketimiz, yukarıda bahsi geçen ilkelerle uyumlu şekilde ve Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmakta olup, söz konusu şartların tamamının ortadan kalkması halinde, kişisel verileri belirlenen imha süreleri içerisinde veya kişisel veri sahibinin talebi üzerine imha etmektedir.
Şirketimizin Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartları doğrultusundaki kişisel veri işleme faaliyetleri işbu Politika’nın ekinde yer alan Şirketimiz Kişisel Veri Envanterinde belirtilmektedir.
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA UYGUN OLARAK İŞLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:
Şirketimiz, kişisel verileri korumak için aşağıda sayılanlarla sınırlı olmamak üzere teknik olarak;
Yetki Matrisi, Yetki Kontrol, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Log Kayıtları, Yedekleme, Güvenlik Duvarları, Güncel Anti-virüs Sistemleri, Silme, Yok etme veya Anonim Hale Getirme, Anahtar Yönetimi uygulanmaktadır.
Şirketimiz, kişisel verileri korumak için aşağıda sayılanlarla sınırlı olmamak üzere idari olarak;
. Kişisel Veri İşleme Envanteri Hazırlanması,
. Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.),
. Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen),
. Gizlilik Taahhütnameleri,
. Kurum İçi Periyodik ve/veya Rastgele Denetimler,
. Risk Analizleri,
. İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümlerin ilave edilmesi),
, Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri v.b.),
. Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve mevzuat)
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Şirketimiz, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde ilgili mevzuatta öngörülen süre sonunda veya gerekli saklama süresinin sonunda, resen veya ilgili kişinin başvurusu üzerine kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirilmesi getirmektedir.
Kişisel Verilerin Silinme Yöntemleri
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirketimiz, kişisel verileri silme işlemi için aşağıda tanımlanan süreçleri ve yöntemleri uygulamaktadır:
Silme işlemine konu olacak kişisel veriler belirlenir.
Silme işleminin konusu olan her bir kişisel veri için bu verileri silmeyi takiben erişebilecek ve geri getirebilecek ilgili kullanıcılar tespit edilir.
Bu ilgili kullanıcıların, söz konusu kişisel veriler kapsamında sahip olduğu erişim ve geri getirme yetkileri ve bu işlemlerin yöntemleri tespit edilir.
Tespit edilen erişim ve geri getirme yetki ve yöntemleri kapatılır veya ortadan kaldırılır.
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Şirketimiz, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:
. Kağıt Ortamında Bulunan Kişisel Verilerin karartılması
. Sunucudaki Ofis dosyalarının silinmesi
. Taşınabilir Cihazlardaki (Usb Flash, Taşınabilir Disk v.b.) verilerin silinmesi
. Veri tabanlarındaki verinin uygun komutlar kullanılarak silinmesi
Şirket, kişisel verilerin silinmesine ilişkin konularda silme faaliyetini geçekleştirmek için Kişisel Verileri Koruma Kurumu tarafından çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni kılavuz alır.
Kişisel Verilerin Yok Edilme Yöntemleri
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi için verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden uygun olan bir ya da birkaçı kullanılır.
Şirketimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Yerel Sistemler
. Fiziksel Yok Etme
Çevresel Sistemler
. Ağ cihazları imha listesine eklendikten sonra imhaya gönderilir.
. Flash tabanlı ortamlar ilgili komutlar kullanılarak veya parçalanarak yok edilir.
. Optik diskler kıyma makinası kullanılarak yok edilmektedir.
. Veri kayıt ortamı olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri, veri kısımları imha edildikten sonra imha listesine alınır ve tamamen yok edilmek üzere geri dönüşüm firmasına teslim edilir.
Kağıt ortamlar
. Kağıt v.b. ortamlarımızdaki veriler, kağıt kıyma makinası kullanılarak yok edilir.
Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Şirketimiz, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.
Bu kapsamda Şirketimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:
. Değişkenleri çıkartma
. Kayıtları çıkartma
Bu kapsamda Şirketimiz, kişisel verilerin anonimleştirilmesine ilişkin konularda anonimleştirme faaliyetini geçekleştirmek için Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni kılavuz alır.
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
Şirketimizin kişisel verilerin saklama ve imha süreçlerinde, İnsan Kaynakları ve Bilgi Teknolojileri departmanlarından Şirket Kişisel Veri Koruma Süreçlerinin Yönetimi İç Prosedürüne uygun olarak yetkili ve sorumlu kişiler belirlenerek görevlendirilmiştir.
Bu kişiler, kişisel verilerin hukuka uygun olarak saklanması ile veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınmasını temin eder, veri işleme, saklama ve imha süreçlerini takibi ile Şirket Veri Envanterinin güncel tutulmasından sorumludurlar.
SAKLAMA VE İMHA SÜRELERİ
Şirketimiz, kişisel verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ve imha etmektedir. Bu kapsamda Şirketimiz işbu Politika ekinde yer alan saklama ve imha sürelerini de gösterir Şirket Veri Envanterinde (EK) belirtilen azami süreler boyunca saklamakta ve bu sürelere uygun olarak imha etmektedir.
Şirketimiz, gerekmesi durumunda kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder. Bu hallerde, imha işlemi 6 aylık periyotlar dahilinde yapılır.
YÜRÜRLÜK
İşbu Politika 10.07.2019 tarihinde yürürlüğe girmiştir. Politika ve eki Şirket Veri Envanteri değişen şartlara ve mevzuata uyum sağlamak amacıyla gözden geçirilerek güncellenebilir. Güncel Politika güncellendiği tarihte yürürlüğe girer ve Şirket içinde duyurusu yapılır.
İşbu Politika hükümleri ile Kişisel Verilerin Korunması mevzuatı arasında herhangi bir çelişki olması halinde, öncelik sırasına göre; Kanun, Yönetmelik, Tebliğ ve işbu Politika’da yer alan hükümler geçerlidir.
EK: ŞİRKET VERİ ENVANTERİ