- Giriş
- Amaç
- Kapsam
- Tanımlar
- Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
- Kişisel Verilerin İşlenmesi
- Kişisel Verilerin Güvenliğinin ve Gizliliğinin Sağlanması
- Kişisel Verilerin İşlenme Amaçları ve Saklama Süreleri
- Kişisel Verilerin Silinmesi, İmha Edilmesi ve Anonim Hale Getirilmesi
- Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarım Amaçları
- Şirketimizin Aydınlatma Yükümlülüğü
- Kişisel Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması
- Şirket İçi ve İnternet Sitesi Üzerinde Yapılan Veri İşleme Faaliyetleri
- Kişisel Veri Saklama ve İmha Politikası
- İmha İşleminin Hukuka Uygunluğunun Denetimi
- Yürürlük
- Güncelleme ve Uyum
1. Giriş
Türkiye Cumhuriyeti Anayasası’nın 20. Maddesine göre, herkes kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsamaktadır.
Söz konusu anayasal hakkın kullanılması kapsamında, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yayımlanmış ve yürürlüğe girmiştir. ÇAĞ PLASTİK SAN. VE TİC. LTD. ŞTİ. (“ÇAĞ”) KVKK uyarınca belirlenen uyum konusunda gerekli özeni göstermekte ve bunu işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile bir şirket politikası haline getirmektedir.
Politika’nın konusunu; Çalışan Adaylarına, Çalışanlara, Bayilere, Tedarikçilere, Yüklenicilere, Ziyaretçilere, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarına, Müşterilere ve Üçüncü Kişilere (Kefil, Mağdur/Hak Sahibi) ait kişisel verilerin ÇAĞ tarafından korunması oluşturmaktadır.
2. Amaç
Bu Politika’nın amacı, ÇAĞ PLASTİK SAN. VE TİC. LTD. ŞTİ. tarafından KVKK’ya uygun olarak yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik olarak benimsenen ilkeler konusunda açıklamalarda bulunulması ve bu kapsamda kişisel verileri ÇAĞ tarafından işlenen kişilerin bilgilendirilerek şeffaflığın sağlanmasıdır.
3. Kapsam
İşbu Politika’nın kapsamı dahilinde kişisel verileri işlenen veri sahipleri aşağıdaki şekilde kategorize edilmiştir:
| Veri Sahibi Kategorisi | Açıklama |
|---|---|
| Çalışan Adayları | ÇAĞ’a iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini erişilebilir kılan gerçek kişiler |
| İşbirliği İçinde Olduğumuz Kurumların Çalışanları | ÇAĞ ile iş ilişkisi içerisinde bulunan kurumların çalışanları |
| Bayi | ÇAĞ ile bir sözleşmeye dayanarak muayyen bir yer veya bölge içinde daimi bir surette ÇAĞ’ın nam ve hesabına ürünlerin satışına aracılık eden gerçek ve tüzel kişiler |
| Tedarikçiler | ÇAĞ veya bayilerinde planlanan alımların yapılacağı (Tedarikçi Gizlilik Sözleşmeleri dahilinde) tüzel ve gerçek kişiler |
| Yükleniciler | ÇAĞ veya bayilerinde ÇAĞ adına yapacağı yapım ya da ticaretle ilgili bir işi yapmayı üstüne alan tüzel ve gerçek kişiler |
| Müşteriler | Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın ÇAĞ tarafından yürütülen faaliyetler kapsamında kişisel verileri elde edilen gerçek kişiler |
| Ziyaretçiler | ÇAĞ’ın fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler |
| Üçüncü Kişiler | Politika’da tanımlanmamış olmasına rağmen kişisel verileri işlenen tedarikçi, kefil, mağdur/hak sahibi, aile bireyleri vb. dahil diğer gerçek kişiler |
4. Tanımlar
İşbu Politika’da kullanılan tanımlar aşağıda yer almaktadır:
| Terim | Tanım |
|---|---|
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
| Çalışan | ÇAĞ’a bağımlı olarak belirli veya belirsiz süreli olarak iş gören tüm gerçek kişiler |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
| KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
| KVK Kurulu | Kişisel Verileri Koruma Kurulu |
| Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
| Kişisel Veri Sahibi | KVK Kanunu’nda “ilgili kişi” olarak addedilen, kişisel verisi işlenen gerçek kişi |
| Veri Envanteri | ÇAĞ’ın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini detaylandırdığı envanter |
5. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
KVKK’nın 3. maddesi uyarınca, kişisel verilerin tamamen veya kısmen otomatik olmayan ve/veya otomatik yollarla elde edilmesi, kaydedilmesi, depolanması gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamına girmektedir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
5.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
ÇAĞ, kişisel verileri işleme faaliyetlerini T.C. Anayasası, KVKK ve ilgili mevzuata ve dürüstlük kurallarına uygun olarak yürütür.
5.2. Doğru ve Gerektiğinde Güncel Olma
Kişisel verilerin doğruluğu ve güncelliğinin sağlanmasına yönelik her türlü idari ve teknik tedbir ÇAĞ tarafından alınmaktadır.
5.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
ÇAĞ, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirlemektedir.
5.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, ÇAĞ tarafından belirli, açık ve meşru amaçlar için ilgili amaç ile bağlantılı olarak gerektiği kadar işlenmektedir.
5.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
ÇAĞ, kişisel verileri KVK Kanunu ve ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak saklamaktadır.
6. Kişisel Verilerin İşlenmesi
ÇAĞ, kişisel verileri ve özel nitelikli kişisel verileri işleme faaliyetlerini KVKK’nın 5. ve 6. maddelerinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir.
6.1. Kişisel Verilerin İşlenme Şartları
ÇAĞ, kişisel veri sahibinin açık rızası ile veya KVK Kanunu’nun 5. maddesinde öngörülen hallerde açık rıza olmaksızın kişisel verileri işleyebilmektedir:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- ÇAĞ’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- Kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla ÇAĞ’ın meşru menfaatleri için veri işlenmesinin zorunlu olması
6.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
ÇAĞ, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesini KVK Kanunu’nun 6. maddesinde ortaya konulan veri işleme şartlarına uygun olarak gerçekleştirmektedir. Özel nitelikli kişisel verilerin kişisel veri sahibinin açık rızası olmaksızın işlenmesi yasaktır.
6.3. İşlenen Kişisel Verilere İlişkin Kategorizasyon
| Kişisel Veri Kategorisi | Açıklama | İlgili Veri Sahibi |
|---|---|---|
| Kimlik Bilgisi | Ad-soyad, TC Kimlik numarası, uyruk bilgisi, anne-baba adı, doğum yeri, doğum tarihi, cinsiyet, SGK numarası vb. | Müşteriler, Üçüncü Kişiler, Tedarikçiler, Ziyaretçiler, Çalışan Adayları |
| İletişim Bilgisi | Telefon numarası, adres, e-posta, faks numarası | Müşteriler, Çalışan Adayları, Ziyaretçiler, Tedarikçiler |
| Müşteri Bilgisi | Ticari faaliyetler kapsamında ilgili kişi hakkında elde edilen ve üretilen bilgiler | Müşteriler |
| İşlem Güvenliği Bilgisi | Teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen kişisel veriler | Müşteriler, Ziyaretçiler, Tedarikçiler |
| Finansal Bilgi | Hukuki ilişki tipine göre yaratılan finansal bilgi, belge ve kayıtlar | Müşteriler, Tedarikçiler, Bayiler |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, sağlık, biyometrik ve genetik veriler vb. | Müşteriler, Çalışan Adayları, Üçüncü Kişiler |
| Pazarlama Bilgisi | Kullanım alışkanlıkları doğrultusunda özelleştirilerek pazarlama yapılmasına yönelik veriler | Müşteriler |
| Talep/Şikâyet Yönetim Bilgisi | ÇAĞ’a yöneltilmiş olan her türlü talep veya şikâyetin alınmasına ilişkin veriler | Müşteriler, Çalışan Adayları |
7. Kişisel Verilerin Güvenliğinin ve Gizliliğinin Sağlanması
ÇAĞ, KVK Kanunu’nun 12. maddesine uygun olarak işlemekte olduğu kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazasını sağlamak ve hukuka aykırı biçimde erişilmesini önlemek için gerekli olan her türlü teknik ve idari tedbirleri almaktadır.
7.1. Alınan Teknik Tedbirler
- Kişisel verilere erişim imkânı sağlayan sistemler üzerinde periyodik olarak yetki ve erişim kontrolleri uygulanmaktadır.
- Alınan teknik önlemler risk yönetimi, iç kontrol ve iç denetim süreçleri kapsamında gözetilmektedir.
- Yeterli uzmanlık düzeyinde personel istihdam edilmektedir.
7.2. Alınan İdari Tedbirler
- ÇAĞ çalışanları KVKK’ya uyum konusunda eğitilmekte ve bilinçlendirilmektedir.
- Kişisel veri aktarımı yapılan taraflar ile güvenlik yükümlülüklerini içeren genel şartlar oluşturulmakta ve imza edilmesi sağlanmaktadır.
- İş birimleri bazında uygulama kuralları belirlenmekte, şirket içi prosedürler ve eğitimler yoluyla süreklilik sağlanmaktadır.
7.3. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun en kısa sürede ilgili veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan bir iç prosedür geliştirilmiştir.
8. Kişisel Verilerin İşlenme Amaçları ve Saklama Süreleri
8.1. Kişisel Verilerin İşlenme Amaçları
ÇAĞ nezdinde kişisel veriler aşağıda sayılan amaçlar çerçevesinde işlenmektedir:
- Mal/hizmet satış sonrası destek süreçlerinin yönetilmesi
- Müşteri ilişkileri yönetimi ve müşteri memnuniyetine yönelik aktiviteler
- Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi
- Reklam/kampanya/promosyon süreçlerinin yürütülmesi
- Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve icrası
- Finans ve muhasebe işlerinin yürütülmesi
- Hukuk işlerinin takibi ve yürütülmesi
- Lojistik faaliyetlerinin yürütülmesi
- Mal/hizmet satın alım ve satış süreçlerinin yürütülmesi
- Mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi
- Sözleşme süreçlerinin yürütülmesi
- Stratejik planlama ve pazarlama analiz çalışmalarının yürütülmesi
- Ücret politikasının yürütülmesi
8.2. Kişisel Verilerin Saklama Süreleri
ÇAĞ, kişisel verilerin saklanması için ilgili mevzuatta belli bir süre öngörülüp öngörülmediğini tespit etmekte, TCK’nın 138. maddesine ve KVKK’nın 4. ve 7. maddelerine uygun olarak kişisel verilerin yalnızca ilgili mevzuatta öngörülmüş süre boyunca veya veri işleme amacının gerektirdiği süre kadar muhafaza edilmesini sağlamaktadır.
9. Kişisel Verilerin Silinmesi, İmha Edilmesi ve Anonim Hale Getirilmesi
Kişisel verilerin işlenme amacı sona ermiş ve saklama sürelerinin sonuna gelinmişse, kişisel veriler veri sahibinin talebi veya re’sen ÇAĞ tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
9.1. Silinme ve İmha Teknikleri
9.1.1. Fiziksel Olarak İmha Etme
Otomatik olmayan yollarla işlenen veriler silinirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
9.1.2. Yazılımdan Güvenli Olarak Silme/İmha Etme
Dijital ortamlarda muhafaza edilen veriler bir daha kurtarılamayacak şekilde ilgili yazılımdan silinmektedir.
9.1.3. Uzman Tarafından Güvenli Olarak Silme/İmha Etme
ÇAĞ bazı durumlarda kişisel verileri silmesi/imha etmesi için bir uzman ile anlaşabilir.
9.2. Anonim Hale Getirme Teknikleri
Kişisel verilerin anonim hale getirilmesi, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. ÇAĞ tarafından kullanılan başlıca teknikler:
- Maskeleme: Temel belirleyici bilginin veri setinden çıkartılması
- Toplulaştırma: Birçok verinin toplulaştırılarak kişiyle ilişkilendirilemez hale getirilmesi
- Veri Türetme: İçerikten daha genel bir içerik oluşturulması
- Veri Karma: Veri seti içindeki değerlerin karıştırılarak kişi bağının kopartılması
10. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarım Amaçları
Kişisel veri aktarımlarında uygulanacak usul ve esaslar KVKK’nın 8. ve 9. maddelerinde düzenlenmiştir. Kişisel verilerin, KVKK’da belirtilen istisna haller hariç olmak üzere kişisel veri sahibinin açık rızası olmaksızın aktarılması mümkün değildir.
10.1. Yurt İçinde Aktarım
KVK Kanunu’nun 8. maddesine uygun olarak, Politika’nın 6.1. bölümünde belirtilen koşullardan birinin sağlanması kaydıyla mümkündür.
10.2. Yurt Dışına Aktarım
KVKK’nın 9. maddesine uygun olarak yurt içi koşulların yanı sıra: aktarım yapılacak ülkenin yeterli korumaya sahip olması veya veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu izninin bulunması gerekmektedir.
10.3. Aktarıldığı Kişi Grupları
| Kişi Grupları | Tanım | Aktarım Amacı |
|---|---|---|
| Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine uygun olarak bilgi ve belge talep eden kamu kurum ve kuruluşları | İlgili kurumun talep ettiği amaçla sınırlı olarak |
| Özel Hukuk Kişileri | İlgili mevzuat hükümlerine uygun olarak bilgi ve belge paylaşımında bulunulan özel hukuk kişileri | ÇAĞ’ın faaliyet alanlarında hizmetini devam ettirmesi amacıyla sınırlı olarak |
11. Şirketimizin Aydınlatma Yükümlülüğü
ÇAĞ, KVKK’nın 10. maddesine uygun olarak kişisel verilerin toplanması sırasında kişisel veri sahiplerini bilgilendirmektedir:
- Veri sorumlusu sıfatıyla ÇAĞ’ın unvanı
- Kişisel verilerin hangi amaçla işleneceği
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Kişisel veri toplamanın yöntemi ve hukuki sebebi
- Kişisel veri sahibinin hakları
12. Kişisel Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması
Kişisel veri sahipleri KVK Kanunu’nun 13. maddesine uygun olarak taleplerini aşağıdaki yöntemlerle ÇAĞ’a iletebilir:
E-posta: [email protected] (güvenli elektronik imza ile)
12.1. Başvuru Hakkı
Kişisel veri sahipleri KVKK’nın 11. maddesi uyarınca:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
- Eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
- İşlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini, yok edilmesini veya anonim hale getirilmesini isteme
- Otomatik sistemler vasıtasıyla aleyhine bir sonuç ortaya çıkmasına itiraz etme
- Kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
12.2. Başvuru Hakkının Kapsamı Dışında Kalan Durumlar
KVKK’nın 28. maddesi uyarınca; resmi istatistik amaçlı anonim işleme ve sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işleme halleri Kanun kapsamı dışındadır.
12.3. Cevap Verme Usulü
ÇAĞ, başvuru taleplerini en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmaktadır. Kişisel veri sahibi, başvurusunun reddedilmesi veya yetersiz bulması halinde 30 gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.
13. Şirket İçi ve İnternet Sitesi Üzerinde Yapılan Veri İşleme Faaliyetleri
13.1. Kamera ile İzleme
ÇAĞ Genel Merkez ve bayilerin bulunduğu bina içlerinde kamera ile izleme gerçekleştirilmektedir. Kamera ile izlemenin yapıldığı alanların girişlerine bildirim yazısı asılmaktadır. Kişinin mahremiyetine müdahale sonucunu doğurabilecek alanlarda izleme yapılmamaktadır.
13.2. Şirketi Ziyaret Eden Müşteri Giriş-Çıkışları
ÇAĞ’ı ziyaret eden misafirlerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyeti gerçekleştirilmektedir. Kimlik bilgileri yalnızca giriş çıkış takibi amacıyla elektronik ortamda kaydedilmektedir.
13.3. İnternet Sitesi Ziyaretçileri
ÇAĞ’a ait internet sitesini ziyaret eden kişilerin site içerisindeki hareketleri, özelleştirilmiş içerikler gösterilebilmesi ve çevrimiçi reklamcılık faaliyetleri için teknik vasıtalar (çerez/cookie) ile kaydedilmektedir.
14. Kişisel Veri Saklama ve İmha Politikası
14.1. Politikanın Amacı
6698 sayılı Kanun’a dayalı olarak çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin yerine getirilmesi amacıyla ÇAĞ genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.
14.2. Kayıt Ortamları
| Ortam Türü | Açıklama |
|---|---|
| Matbu Ortamlar | Verilerin kâğıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlar |
| Yerel Dijital Ortamlar | Sunucular, sabit ya da taşınabilir diskler, optik diskler gibi dijital ortamlar |
| Bulut Ortamlar | Kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemler |
14.3. Kişisel Verileri Koruma Komitesi
ÇAĞ bünyesinde bir Kişisel Verileri Koruma Komitesi kurulmuştur. Komite bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere en az üç kişiden oluşur:
| Unvan | Görev Tanımı |
|---|---|
| Komite Yöneticisi | Kanuna uyumluluk sürecinde planlama, analiz, araştırma ve risk belirleme çalışmalarını yönlendirmek; süreçleri yönetmek ve talepleri karara bağlamak |
| KVK Uzmanı (İrtibat Sorumlusu) | İlgili kişi taleplerinin incelenmesi ve raporlanması; saklama ve imha süreçlerinin denetimi ve yürütülmesi |
14.4. İmha Yöntemleri
Silme Yöntemleri:
| Ortam | Yöntem | Açıklama |
|---|---|---|
| Matbu | Karartma | Kişisel verilerin kesilmesi veya sabit mürekkep ile görünemez hale getirilmesi |
| Bulut / Dijital | Yazılımdan güvenli silme | Veriler bir daha kurtarılamayacak şekilde dijital komutla silinir |
İmha Etme Yöntemleri:
| Ortam | Yöntem | Açıklama |
|---|---|---|
| Matbu | Fiziksel yok etme | Belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir |
| Yerel Dijital | Fiziksel yok etme | Optik/manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi |
| De-manyetize etme | Yüksek manyetik alana maruz bırakılarak verilerin bozulması | |
| Üzerine yazma | En az yedi kez rastgele veriler yazılarak eski verinin kurtarılmasının önüne geçilmesi | |
| Bulut | Yazılımdan güvenli silme | Dijital komutla silinir ve şifreleme anahtarlarının tüm kopyaları yok edilir |
Anonimleştirme Yöntemleri:
| Yöntem | Açıklama |
|---|---|
| Değişkenleri Çıkarma | Doğrudan tanımlayıcıların bir ya da birkaçının çıkarılması |
| Bölgesel Gizleme | İstisna durumdaki veriye ilişkin ayırt edici bilgilerin silinmesi |
| Genelleştirme | Birçok kişiye ait verinin bir araya getirilip istatistiki veri haline getirilmesi |
| Alt ve Üst Sınır Kodlama | Değişkenler için aralıklar tanımlanarak kategorilendirme yapılması |
| Mikro Birleştirme | Alt kümelerin ortalama değer ile değiştirilmesi |
| Veri Karma ve Bozma | Tanımlayıcıların başka değerlerle karıştırılarak kişi ilişkisinin koparılması |
14.5. Kişisel Veri Saklama Tablosu
| Veri Sahibi | Veri Kategorisi | Saklama Süresi |
|---|---|---|
| Çalışan | İşe alım evrakları, SGK bildirimleri, özlük verileri, sağlık dosyası | İş akdi bitiminden itibaren 10 yıl; iş sağlığı kapsamında 15 yıl |
| İş Ortağı / Danışman | Kimlik, iletişim, finansal bilgiler, ses kayıtları | İş ilişkisi sona ermesinden itibaren 10 yıl (TBK Md.146, TTK Md.82) |
| Ziyaretçi | Ad, soyad, araç plakası, kamera kayıtları | 1 yıl; Wi-Fi bilgileri 2 yıl |
| İnternet Sitesi Ziyaretçisi | Ad, soyad, e-posta, gezinme hareketleri | 2 yıl |
| Çalışan Adayı | Özgeçmiş ve işe başvuru formu | En fazla 2 yıl |
| Müşteri | Kimlik, iletişim, ödeme, işlem geçmişi bilgileri | Her bir ürün/hizmetin sunulmasından itibaren 10 yıl (TBK Md.146, TTK Md.82) |
| Kamera / Santral | Kamera görüntüleri, santral arama bilgileri | Kamera: 1 ay; Santral: 2 yıl |
| Potansiyel Müşteri | Kimlik, iletişim, finansal bilgiler | 10 yıl |
| İşbirliği İçinde Olunan Kurum | Kimlik, iletişim, finansal bilgiler, kurum çalışanı verileri | İş ilişkisi sona ermesinden itibaren 10 yıl (TBK Md.146, TTK Md.82) |
14.6. İmha Süreleri
ÇAĞ, silme/yok etme/anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir. İlgili kişinin talebi halinde bu işlem başvuru tarihinden itibaren en geç 30 gün içinde sonuçlandırılır.
14.7. Periyodik İmha Süreleri
KVKK’da yer alan işlenme şartlarının tamamının ortadan kalkması durumunda ÇAĞ, kişisel verileri bu Politikada belirtilen tekrar eden aralıklarla re’sen siler, yok eder veya anonim hale getirir.
15. İmha İşleminin Hukuka Uygunluğunun Denetimi
ÇAĞ, imha işlemlerini Kanun’a, sair mevzuata ve bu Politikaya uygun olarak yapar.
15.1. Teknik Tedbirler
- İmha yöntemine uygun teknik araç ve ekipman temin edilir
- İmha işlemlerinin yapıldığı yerin güvenliği sağlanır
- İmha işlemini yapan kişilerin erişim kayıtları tutulur
- Yetkin elemanlar istihdam edilir veya üçüncü kişilerden hizmet alınır
15.2. İdari Tedbirler
- İmha yapacak çalışanların bilgi güvenliği farkındalığı artırılır
- Güvenli imha teknikleri alanında hukuki ve teknik danışmanlık hizmeti alınır
- Üçüncü kişilere yaptırılan imha işlemlerinde protokoller imzalanır
- İmha işlemleri düzenli olarak denetlenir
Tüm imha işlemleri kayıt altına alınır ve en az iki yıl süreyle saklanır.
16. Yürürlük
Politika yayınlanma tarihi itibarıyla yürürlüğe girecektir. Politikanın ÇAĞ genelinde duyurulması ve gerekli güncellemelerin yapılması Kişisel Verileri Koruma Komitesi’nin sorumluluğundadır.
17. Güncelleme ve Uyum
ÇAĞ, Kanun’da yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki veya bilişim alanındaki gelişmeler doğrultusunda bu Politikada değişiklik yapma hakkını saklı tutar. Yapılan değişiklikler zaman geçirmeden metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.