ABC DETERJAN SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Amaç

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla ABC Deterjan Sanayi ve Ticaret A.Ş. (“Şirket”) tarafından hazırlanmıştır.

 

Tanımlar

Kanun/KVKK: Kişisel Verilerin Korunması Kanunu

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Veri Sahibi/İlgili Kişi: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanan kişisel verisi işlenen gerçek kişi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

İlkeler

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

  •  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
  • Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  • Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;

       – Talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

      – Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişilerin gerekli işlemleri yapması sağlanmaktadır.

 

Kişisel Verilerin Saklandığı Ortamlar

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Matbu ortamlarVerilerin kağıt üzerine basılarak tutulduğu ortamlardır
Yerel dijital ortamlarŞirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
Bulut ortamlarŞirket bünyesinde yer almamakla birlikte, e-posta ve önemli ortak dosyalarımız bulut ortamında saklanmaktadır.  

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle yukarıda  sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.


Saklamayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Şirket tarafından ticari faaliyetlerin sürdürülebilmesi,  hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren durumlarda veri sahiplerinin açık rızasının bulunması.

 

İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması sebebiyle gerekli olması hali,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın olmaması.

 

Saklama ve İmha Süreleri

Kişisel verilerin saklanma süresi belirlenirken, yasal düzenlemelerin getirdiği yükümlülükler ve kişisel verilerin  işlenme amaçları dikkate alınmaktadır. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde, bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen talepler dikkate alınmaktadır. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Veri sahibi Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, ilgili talep kişisel verilerin işleme şartlarının ortadan kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu kişisel verileri imha eder. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler en geç 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir. 

Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, yasal düzenlemelerde ve işbu Politika’da belirlenen imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. İmha işlemleri kayıt altına alınır ve kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Veri SahibiVeri KategorisiVeri Saklama Süresi
Çalışan  İşe alım evrakları ile Sosyal Güvenlik Kurumu’na gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ve bunların dışında kalan özlük verileriHukuki ilişki + 10 yıl 
Çalışanİşyeri Kişisel Sağlık Dosyası içeriğindeki verilerHukuki ilişki + 15 yıl
Çalışan AdayıÇalışan adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgilerEn fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre
Stajyer (Öğrenci)Stajyere ait staj dosyasında yer alan bilgilerHukuki ilişki + 10 yıl
İş Ortağı/ÇözümOrtağı/DanışmanTicari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileriHukuki ilişki + 10 yıl
MüşteriMüşteri’ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri,  ürün/hizmet tercihleri, ticari işlem geçmişi.Hukuki ilişki + 10 yıl
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar  

(Tedarikçi, Fason Üretici)

Ticari ilişkinin yürütülmesine ilişkin kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileriHukuki ilişki + 10 yıl
Ziyaretçi Üretim tesislerimizde fiziki mekana girişte alınan Ziyaretçi’ye ait ad, soyad, iletişim bilgileri, T.C.K.N.  10 yıl  
ZiyaretçiKamera kayıtları12 gün
İnternet SitesiZiyaretçisiİnternet sitesi ziyaretçisine ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri2 yıl
Misafir Wifi

İnternet

TCKN, Mobil telefon, Ad ve Soyad 2 yıl

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi yukarıdaki tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulanacaktır. 

 

Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler

Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer haklardan yararlanabilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler Şirket’in Server Sistemine işlenmektedir. 

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari  ve teknik tedbirler aşağıda sayılmıştır:

 

İdari Tedbirler:

  • Saklanan kişisel verilere Şirket içi erişimi, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilir.
  • Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalar veya mevcut sözleşmeye eklenen hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder, personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
  • Şirket nezdinde gerekli denetimleri yapar ve yaptırır, ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  • Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerini (yangın, su baskını, elektrik kaçağı, hırsızlık vb. gibi ) alır ve bu ortamlara yetkisiz giriş çıkışları engeller.

 

Teknik Tedbirler:

  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi süreçlerini yürütür.
  • Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  • Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  • Kişisel verilerin yok edilmesini geri dönüştürülemeyecek şekilde sağlar.
  • Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.
  • Özel nitelikli kişisel veriler üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip eder ve gerekli güvenlik testlerinin düzenli olarak yaptırır. 
  • Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yapar ve yazılımların güvenlik testlerinin düzenli olarak yaptırır. 

 

İmha Yöntemleri

Şirket tarafından en çok kullanılan imha yöntemleri ve teknikleri aşağıda sıralanmaktadır:

  • Silme Yöntemleri 
Matbu Ortamda tutulan kişisel veriler için silme yöntemleri
KarartmaKarartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
Yazılımdan güvenli olarak silmeBulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak ve ulaşılamayacak şekilde dijital komutla silinir. 

 

  • Yok Etme Yöntemleri
Matbu Ortamda tutulan kişisel veriler için yok etme yöntemleri
Fiziksel yok etmeMatbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
Yerel Dijital Ortamda tutulan kişisel veriler için yok etme yöntemleri
Fiziksel yok etmeKişisel veri barındıran optik ve manyetik medyanın kırılması veya metal öğütücüden geçirerek toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik ve manyetik medyayı kırmak veya metal öğütücüden geçirerek toz haline getirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Bulut Ortamda tutulan kişisel veriler için yok etme yöntemleri
Yazılımdan güvenli olarak silmeBulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

 

  • Anonimleştirme Yöntemleri
Değişkenleri çıkarmaİlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.
Bölgesel gizlemeKişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi. 
GenelleştirmeBirçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Veri karma ve bozmaKişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

 

Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar

  • İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
  • Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
  • Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.