Politem Kişisel Veri Saklama ve İmha Politikası

POLİTEM PLASTİK VE TEKSTİL PAZARLAMA SANAYİ DIŞ TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Yayın Tarihi

Revizyon Numarası

Revizyon Tarihi

24.09.2020

v.1

24.09.2020

A. POLİTİKANIN AMACI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un 7nci maddesinin üçüncü fıkrasında yer alan “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü ve hüküm doğrultusunda 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) doğrultusunda oluşturulmuştur.

Politika yürürlükteki mevzuat çerçevesinde, Politem Plastik Ve Tekstil Pazarlama Sanayi Dış Ticaret Anonim Şirketi (“Şirket”) uygulanmakta ve kişisel veri imha ile ilgili temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir.

Kanun ve Yönetmelik kapsamında, bu Politikanın amacı, Şirket’in faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

B. KAPSAM

Bu Politika Şirkette görev yapmakta olan çalışanların, çalışan adaylarının, ziyaretçilerin, iş ilişkisi içerisinde olduğumuz üçüncü kişilerin ve üçüncü kişilerin çalışanlarının işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.

C. TANIMLAR

Kanun/KVKK

07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Yönetmelik

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik,

Kurul/Kurum

Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu,

Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
İlgili Kişi	Kişisel verisi işlenen gerçek kişiyi,
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Politika	Kişisel Verileri Saklama ve İmha Politikasını,
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

İLKELER

Şirket tarafından kişisel verilerin saklanmasında ve imhasında aşağıda yer alan ilkelere uygun eylemler gerçekleştirilecektir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politika’da belirtilen tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilmektedir.
Kanun’un ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, Şirket tarafından resen veya ilgili kişinin talebi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde, Şirket tarafından en fazla 30 gün içerisinde anılan başvuruya ilişkin cevap verilecektir.

E. İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un

maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

1. İDARİ TEDBİRLER:

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri yayımlanmıştır ve uygulanmaktadır.
Veri minimizasyonu ilkesi uyarınca mümkün olduğunca az kişisel veri işlenmektedir.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

2. TEKNİK TEDBİRLER:

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlamıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarda ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel ) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip
Şifreleme yapılmaktadır.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.

F. KİŞİSEL VERİLERİ KORUMA KOMİTESİ

Şirket, kendi bünyesinde bir Kişisel Verileri Koruma Komitesi (“Komite”) kurar. Komite, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması, imhası ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Saklama süresi dolan kişisel verilerin imhası, Komite üyelerinin en az üçünün imzası altına alınarak sağlanır.

İsim – Soy İsim	Birim				Görev Tanımı
Saniye KOÇ	Muhasebe Müdürü	ve	Mali	İşler	İrtibat Kişisi ve Kişisel Verileri Koruma Komitesi Başkanı
Gürkan İZACAN	Genel Müdür Yardımcısı				Kişisel Verileri Komitesi Üyesi	Koruma
Çetin YILDIZ	İnsan Kaynakları Müdürü				Kişisel Verileri Komitesi Üyesi	Koruma

G. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

VERİLERİ SAKLAMANIN HUKUKİ GEREKÇESİ

Kişisel veriler, Şirket tarafından Kanunun 4. maddesinde yer alan ilkeler kapsamında ve Kanunun 5. Maddesinde yer alan koşullarla saklanmakta olup anılan Kişisel Verilerin saklanması için söz konusu koşulların ortadan kalkması halinde işbu politikada da gösterilen şekillerle anılan veriler imha edilmektedir.

Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.

2. VERİLERİ SAKLAMA SÜRESİ

VERİ SAHİBİ	VERİYİ KATEGORİSİ	VERİ SAKLAMA SÜRESİ
Çalışan	Kimlik Bilgisi	10 Yıl
Çalışan	İletişim Bilgisi	10 Yıl
Çalışan	Özlük Bilgisi	10 Yıl
Çalışan	Hukuki İşlem	10 Yıl
Çalışan	Mesleki Deneyim	10 Yıl
Çalışan	Görsel ve İşitsel Kayıtlar	10 Yıl
Çalışan	Sağlık Bilgisi	10 Yıl
Çalışan	Fiziksel Mekan Güvenliği	6 Ay
Çalışan Adayı	Kimlik Bilgisi	1 Yıl
Çalışan Adayı	İletişim Bilgisi	1 Yıl
Çalışan Adayı	Mesleki Deneyim	1 Yıl
İş Ortağı Çalışanı	Kimlik	10 Yıl
İş Ortağı Çalışanı	İletişim	10 Yıl
İş Ortağı Çalışanı	Banka Hesap Bilgileri	10 Yıl
Tedarikçi	Kimlik	10 Yıl
Tedarikçi Yetkilisi	İletişim	10 Yıl
Ürün veya Hizmet Alan Kişi	Kimlik	10 Yıl
Ürün veya Hizmet Alan Kişi	İletişim	10 Yıl
Hissedar	Kimlik	10 Yıl
Hissedar	İletişim	10 Yıl
Hissedar	Banka Hesap Bilgileri	10 Yıl
Hissedar	Fiziksel Mekan Güvenliği	6 Ay
Ziyaretçi	Fiziksel Mekan Güvenliği	6 Ay

VERİLERİ İMHA YÖNTEMLERİ

Şirket tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirket tarafından resen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

a) Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Örneğin verilerin bilgisayar ortamındansilinerek, geri dönüşüm kutusundan da kaldırılması sonucunda, söz konusu veriler tekrar kullanılamaz ve erişilemez hale getirilmiş olmaktadır.

b) Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Örneğin fiziksel ortamda tutulan verilerin kağıt biçme makinesinden geçirilmesi sonucunda söz konusu verilere erişilemez, geri getirilemez ve veriler tekrar kullanılamaz.

c) Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu kapsamda ilgili kişilere ulaşılmasının eldeki verilerle mümkün olmayacağı seviyede veriler anonim hale getirilmektedir. Örneğin ilgili kişilere ait isim, soy isim, telefon bilgileri silinip yalnızca yerleşim yeri bilgisi saklanmaktadır.