KVKK POLİTİKASI

KVKK POLİTİKASI

Bu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve bu kanuna dayanılarak çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) gereği kişisel verilerin saklanması, anonimleştirilmesi ve silinmesi konularında, başta kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin tespiti ile verilerin anonimleştirilmesi, silinmesi ve yok edilmesi süreçlerini düzenlemek olmak üzere, öngörülen yükümlülüklerin yerine getirilmesi ve bu konularda veri sahiplerinin bilgilendirilmesi amacıyla veri sorumlusu sıfatıyla Tuzla Kılavuzluk A.Ş. tarafından hazırlanmıştır.

Açık Rıza:  Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Veri Saklama Tablosu: Kişisel verilerin Şirket bünyesinde saklanacağı süreleri gösteren tabloyu,

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Şirket:Tuzla Kılavuzluk A.Ş.

Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder.

Bu politikanın uygulanmasında kayıt ortamları kişisel verilerin bulunduğu her türlü ortam anlamına gelmektedir. Şirket, işlediği kişisel verileri başta Kişisel Verileri Koruma Kanunu olmak üzere ilgili mevzuata uygun olarak ve veri güvenliğine ilişkin en güncel tedbirleri almak suretiyle aşağıdaki kayıt ortamlarında saklamaktadır.

Bu bağlamda Şirketteki kayıt ortamları,

– NAVISION

– BT DATA CENTER

– RIHTIM KAYIT CİHAZI

– TURKCELL DATA CENTER

– FIREWALL

– Birim Dolapları

– Arşiv Dolapları

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıda belirtilen amaçlarla işlenebilir:

  • Yaptığınız iş başvurusu nedeniyle işe uygunluğunuzun tespitini sağlayacak gerekli değerlendirmelerin yapılması, başvurunuzun sonuçlandırılabilmesi ve gerektiğinde sizinle iletişime geçilmesi,
  • İş sözleşmesinin kurulması ve ifası
  • İş sözleşmesinden ve mevzuattan kaynaklanan hakların korunması
  • Personelin faaliyetlerinin takip edilmesi ve iş denetiminin sağlanması
  • İş Kanunu, İş Sağlığı ve Güvenliği Kanunu ve Sosyal Güvenlik Kanunu başta olmak üzere ilgili mevzuat hükümleri çerçevesinde gerekli işlemlerin yapılması
  • İnsan kaynakları politikası çerçevesinde performans düzeyinin ve çalışan memnuniyetinin artırılması
  • Şirketin insan kaynakları politikaları kapsamında açık pozisyonlara uygun personel temin edilmesi
  • İş sözleşmesinin sona ermesi durumunda personelin çıkış işlemlerinin yapılması
  • İnternet güvenliği ve yetki yönetiminin sağlanması
  • Çalışanlarımızın talep ve şikayetlerinin takibi
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
  • Finans ve/veya muhasebe işlerinin takibi
  • Hukuki işlerin takibi ve hakların korunması ve
  • İş güvenliğinin, genel güvenliğin ve bina güvenliğinin sağlanması
  • Ortaklık işlerinin yürütülmesi
  • Şirket ortaklığından kaynaklanan yükümlülüklerin yerine getirilmesi
  • Yönetim kurulu üyeleri ile koordinasyonun sağlanması, şirket işlerinin yürütülmesi ve sözleşmenin ifası
  • Danışmanlık sözleşmesinin kurulması ve ifası

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

  1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
  4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  5. İlgili kişinin, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Teknik Tedbirler:

  • Teknik konularda bilgili personel istihdam edilmektedir.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Fiziki dosyalar çelik dolaplarda koruma altına alınarak yetkisiz kişilerin erişimine engel olunmaktadır.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
  • Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

İdari Tedbirler:

  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve saklanması konusunda bilgilendirilmekte ve eğitilmektedir.
  • Kişisel Veri Envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek personeller belirlenmiştir.
  • Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte; Şirket ile çalışanlar arasındaki sözleşmelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.

Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan Teknik Tedbirler:

  • Siber güvenlik alt yapısını sağlamak için gerekli yazılımları alınmış, güvenlik duvarı ve ağ geçidi gibi tedbirler oluşturulmuştur.
  • Yazılım güncellemeleri düzenli yapılarak güvenlik tedbirlerinin düzgün bir şekilde çalışması temin edilmektedir.
  • Gerek fiziki ortamda gerekse elektronik ortamda saklanan kişisel verilere erişim sınırlandırılmakta, erişim yetkisine sahip kişiler önceden belirlenmektedir.
  • Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır.
  • Tüm kullanıcı işlemleri loglanarak kayıt altına alınmaktadır.
  • Güvenlik sorunları hızlı bir şekilde tespit edilip derhal ilgilisine raporlanmaktadır.
  • Fiziksel kayıt ortamları yangın, sel, su basması gibi dışsal risklere karşı korunmakta ve bu ortamlara erişim kontrol edilmektedir.
  • Elektronik ortamda bulunan kişisel veriler, kaydolma veya zarar görme ihtimalleri göz önünde bulundurularak düzenli olarak yedeklenmektedir.

Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan İdari Tedbirler

  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • Kişisel Veri Envanterinde kayıtlı olan Kişisel verileri imha edecek personel belirlenmiştir.
  • Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
  • Alınan teknik önlemler ilgilisine raporlanmaktadır.
  • Teknik konularda bilgili personel istihdam edilmektedir.

Kişisel veriler kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir.

Kişisel Verilerin Silinmesi Yöntemleri

Bulut Sistemlerinde Bulunan Kişisel Veriler: Bulut sisteminde veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.

Kağıt Ortamında Bulunan Kişisel Veriler: Karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.

Taşınabilir Medyada Bulunan Kişisel Veriler: Uygun yazılımlarla silinir.

Kişisel Verilerin Yok Edilmesi Yöntemleri

Yerel Sistemlerde Bulunan Kişisel Veriler: Fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

Çevresel Sistemlerde Bulunan Kişisel Veriler:

  1. Ağ cihazları (switch, router vb.): de-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
  2. Flash tabanlı ortamlar : İlgili üreticinin önerdiği yöntemler ya da fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
  3. Sim Kart ve sabit hafıza kartları: fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
  4. Optik diskler: fiziksel yöntemlerle yok edilir.
  5. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

Kağıt Ortamlarında Bulunan Kişisel Veriler: Kağıt imha makinaları kullanılarak yok edilir.

Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri

Kişisel verilerin Anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.

SÜREÇ SORUMLUSU GÖREV SORUMLULUK
İdari İşler Müdürü İdari İşler Departmanı-  Kişisel Veri  Saklama ve İmha Politikası Uygulama Sorumlusu Görevli olduğu bölümün  işlediği verilerin, işbu veri aklama ve imha politikasındaki saklama süresine uygunluğunun sağlanması ve periyodik imha dönemlerinde kişisel veri imha sürecinin yönetimi.
İnsan Kaynakları Müdürü İnsan Kaynakları Departmanı-  Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
Muhasebe Müdürü Mali İşler Departmanı – Kişisel Veri  Saklama ve İmha Politikası Uygulama Sorumlusu
Bilgi İşlem Müdürü Bilgi Teknolojileri Departmanı – Kişisel Veri  Saklama ve İmha Politikası Uygulama Sorumlusu
İş Sağlığı ve Güvenliği Büro Amiri İSG Amirliği  – Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
Çevre Departmanı Müdürü Çevre Departmanı – Kişisel Veri Saklama ve İmha politikası Uygulama Sorumlusu
VERİ KATEGORİSİ SAKLAMA SÜRESİ İMHA SÜRESİ
Bir sözleşmenin kurulması veya ifası için işlenmesi gerekli olan veya bu kapsamda işlenen diğer veriler Türk Borçlar Kanunu gereğince Sözleşmenin sona erdiği tarihten itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Çalışanların sağlık verileri İş Sağlığı ve Güvenliği mevzuatı gereğince işten ayrılma tarihinden itibaren 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Meşru menfaat kapsamında bina güvenliğinin sağlanması için ziyaretçi giriş çıkış bilgileri 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Şirket ortaklarına ve Yönetim kurulu üyelerine ilişkin veriler Türk Ticaret Kanunu gereğince ortaklık süresinin sona ermesinden itibaren 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Kira sözleşmesinden kaynaklanan kiracıya ilişkin veriler Türk Borçlar Kanunu gereğince sözleşmenin sona erdiği tarihten itibaren 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Bina güvenliğinin sağlanması ve personelin iş takibinin yapılması için alınan kamera kayıtları 1 ay Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
İlgili kişisel verinin bir ceza soruşturmasına konu olması veya ceza soruşturması ile ilgili olması halinde Türk Ceza Kanunu’nun 66. Maddesinde yer alan dava zamanaşımı süresi boyunca Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
İlgili mevzuatında özel saklama süresi öngörülen diğer veriler İlgili mevzuatında öngörülen saklama süresi boyunca Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Rızaya dayalı olarak işlenen kişisel veriler İlgilinin kişisel verisinin silinmesi yönündeki talebine kadar İlgilinin talebinden itibaren 30 gün içinde

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Şirket kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir.

Silme, yok etme ve anonim hale getirmeye ilişkin işlem kayıtları 3 yıl süre ile saklanır.