İMHA VE SAKLAMA POLİTİKASI

Özkan Pano Elektrik İnş. Taah. San.ve Tic. Ltd. Şti.

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI

Özkan Pano Elektrik İnş.Taah.San.ve Ltd.Şti. (“Özkan Pano” veya “Şirket”) 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca Veri Sorumlusu sıfatı ile işbu Kişisel Veri Saklama ve İmha Politikasını düzenlemiştir. Kişisel Veri Saklama ve İmha Politikası, Şirket tarafından işlenen her türlü Kişisel Verinin saklanması ve gerekli hallerde imhasına ilişkin süreçlerinin belirlenmesine yönelik olarak hazırlanmıştır.

A.                 Tanımlar

B.                  Kapsam ve Amaç

Şirket, Kanun, Yönetmelik ve sair mevzuat hükümleri uyarınca Veri Sorumlusu sıfatı ile işbu Politika’yı düzenlemiştir. Bu Politika, Şirket tarafından işlenen her türlü Kişisel Verinin saklanması ve gerekli hallerde imhasına ilişkin süreçlerinin belirlenmesine yönelik olarak hazırlanmıştır. Resmi makam ve mercilerin bilgi edinme taleplerinin olması durumunda, konu ilgili mevzuat kapsamında değerlendirilecektir.

İşbu Politika, Çalışanların işe başlarken ve çalıştıkları süre boyunca kanunlar çerçevesinde İşveren’e sağladıkları Kişisel Verilerin saklanması, aktarılması, korunması, gerekli olduğunda silinmesi, yok edilmesi, anonim hale getirilmesi ve çalışan şirketten ayrıldıktan sonra imha yöntemlerinin tanımlanmasını ve sorumlulukların dağıtılmasını amaçlar. Buna ek olarak Şirket çalışanları haricinde üçüncü kişilere ait Kişisel Verilerin saklanması, korunması, aktarılması, silinmesi, yok edilmesi, anonim hale getirilmesi ve imha edilmesine ilişkin olarak da bu Politika hükümleri uygulanacaktır.

Şirket, kişisel verilerin korunmasına verdiği önem doğrultusunda Politika ile Şirket’de yürütülen faaliyetlerin Kanun’da yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlemekte ve bu kapsamda Şirket’in yerine getirilmesi gerekenler belirlenecektir.

C.                 Politika Esasları

Şirket kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeleri benimsemelidir:

§  Kişisel Verileri hukuka ve dürüstlük kurallarına uygun olarak işleme,

§  İşlenen Kişisel Verilerin doğruluğunu ve güncelliğini temin etme,

§  Kişisel Verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme,

§  Kişisel Verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek:

Kişisel Verilerin saklanması için ilgili mevzuatta belli bir süre öngörülüp öngörülmediği tespit edilerek, Türk Ceza Kanunu’nun 138. maddesi ve Kanun’un 4 ve 7. maddelerine uygun olarak; işlenilen Kişisel Verilerin, yalnızca ilgili mevzuatta öngörülmüş bir süre olması halinde bu süre boyunca veya ilgili mevzuatta bir süre öngörülmemiş ise Kişisel Veri işleme amacının gerektirdiği süre kadar muhafaza edilmesi sağlanmaktadır.

Kişisel Verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; Kişisel Veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya Kişisel Veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanunen öngörülen zamanaşımı süresi kadar saklanabilir. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, Kanun’un uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

§  Kişisel Verilerin güvenliğinin sağlanması,

§  Kişisel Verilerin hukuka uygun işlenmesini sağlamak ve kişisel verilere hukuka aykırı erişilmesini önlemek Şirket’in ilgili idari, teknik tedbirleri alması gerekli denetimleri yapması,

§  Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne uymak,

§  Veri sahibini aydınlatma yükümlülüğüne uymak,

§  Kişisel Verilerin güvenliğini sağlama yükümlülüğüne uymak,

§  Kurul tarafından verilen kararları yerine getirme yükümlülüğüne uymak.

D.                 Kişisel Veriler ve Saklama Süreçleri

İşbu bölüm altında Şirket tarafından işlenen Kişisel Veriler kaynaklarına göre sınıflandırılacak, bunların saklama koşulları açıklanacaktır. Şirket’in Kişisel Veri ve Özel Nitelikli Kişisel Verilerin işlenmesindeki öncelikli kuralı, Kanun’a uygun şekilde ilgili kişinin Açık Rızasının alınmasıdır. Mümkün olduğu müddetçe bu rıza yazılı şekilde veya e-mail veya sms ile alınacak ve Şirketin sistemine kaydedilecektir.

Şirket, kişisel veri sahibinin açık rızası ile veya Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanmış olan hallerde açık rıza olmaksızın kişisel verileri işleyebilmektedir:

·      Kanunlarda açıkça öngörülmesi.

·      Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

·      Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

·      Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

·      Kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması.

·      Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

·      Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.

1.       Çalışanların Kişisel Verileri

Şirket, kendi bünyesinde veya iştiraklerinin bünyesinde Çalışan adaylarının ve Çalışanların Kişisel Verileri Kanun’a ve Yönetmeliğe uygun bir şekilde işlemektedir.

2.         İş Ortaklarından, Müşterilerden, Tedarikçilerden ve Ziyaretçilerden Alınan Kişisel Veriler

Şirket, günlük ticari ilişkileri sebebi ile iş ortaklarının, tedarikçilerinin ve müşterilerinin veya bunların gerçek kişi temsilci ve/veya çalışanlarına ilişkin adı, soyadı, T.C. kimlik numarası, doğum tarihi ve yeri, Resmi Kurum çalışanları için Sicil numarası, Pasaport numarası, profesyonel dernek üyelik numarası, vergi numarası, adres, telefon, e-mail, araç plakası ve benzeri Kişisel Verileri işlemektedir. Bu Kişisel Veriler, ilgili iş ortakları ile yapılan sözleşmelerin kurulması veya ifasına yönelik olarak sınırlı şekilde işlenmektedir. Bu şekilde Kişisel Verilerin işlenmesine yönelik düzenlemeler ilgili iş ortakları ile yapılan sözleşmeler ile belirlenmektedir. Dolayısıyla, bunların işlenmesine ilişkin öncelikli düzenleme kaynağı sözleşmelerdir. Kişisel Veriler veri sahibi ilgili kişi tarafından bizzat verilmelidir. Şirket, veri sahibi ilgili kişiyi bu bilgileri neden almaları gerektiği konusunda, olası kaynaklar ve Kişisel Verilere ulaşma metotları konusunda ve aynı zamanda veri sahibi ilgili kişinin yazılı olarak Kişisel Verileri vermeyi reddetmesi halinde meydana gelebilecek sonuçlar hakkında bilgilendirir.

Bu Kişisel Veriler kural olarak ilgili sözleşmenin konusu ile alakalı birim/departman tarafından işlenmektedir.

3.       Kişisel Verilerin Aktarılması

  Kişisel nitelikteki verilerin muhatapları sadece görevlerine göre Kişisel Verileri bilme yetkisi verilen kişiler ile sınırlandırılmaktadır. Kural olarak, 2. madde altında sayılan Kişisel Verilerin bir mahkeme kararına veya resmi mercilerden gelen taleplere göre aktarılması söz konusu olabilir. Bunun dışında ilgili gerçek kişiler ile yapılan sözleşmelerin izin verdiği ölçüde söz konusu Kişisel Verilerin aktarımı mümkündür. Ayrıca, Şirket, Kişisel Verinin Anonim Hale Getirilmesi sonrasında bu verileri üçüncü kişiler ile paylaşmaktadır.

İlgili kişinin açık rızasının bulunmadığı hallerde, herhangi bir verinin yurtdışına aktarılması söz konusu olursa öncelikli olarak [Şirket’in yetkili biriminden] görüş alınacaktır.

Şirket, Kanun’un ilgili maddeleri uyarınca Kanun’da belirtilen güvenlik ve gizlilik esasları çerçevesinde yeterli önlemler alınmak kaydıyla yurt içi ve yurt dışı veri aktarımı yapmaktadır ve Kişisel Veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, veri sahibi ve Şirket arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu taraflar genel itibariyle şu şekilde olabilir: Yurt içi ve yurt dışındaki doğrudan veya dolaylı iştirakler, hissedarlar, sözleşmeli iş ortakları, tedarikçiler, müşteriler, hizmet alınan üçüncü kişiler, kanunen yetkili kamu kurumları ve özel kişiler.

Kişisel Veri aktarımlarda Kişisel Verilerin gerektiği şekilde korunması için gerekli önlemler alınır. Kişisel Veriler, Şirket faaliyetlerinin yürütülmesi, veri sahipleri ile müşterileri arasındaki iş ilişkisinin sağlanması ve/veya bu amaçla görüşmeler yapılması, hizmetler, fırsat ve olanaklar sunulması ve hizmet kalitesinin artırılması amacıyla; grup şirketleri, yerli/yabancı hissedarlar, yurtiçi/yurtdışı iştirakler, doğrudan/dolaylı yurtiçi/yurtdışı iş ortakları, faaliyetler gereği anlaşmalı olduğu ve hizmet sunduğu müşteriler, tedarikçiler, iş ortakları, denetim şirketleri veya yasal bir zorunluluk gereği bu verileri talep etmeye yetkili olan kamu kurum veya kuruluşları, bunlarla sınırlı olmamak üzere ilgili diğer otoriteler ile paylaşabilecektir.

4.       Veri Sahibinin Hak ve Yükümlülükleri

Kişisel verilerin korunmasını sağlamak için, veri sahipleri aşağıda belirtilen haklara sahip olacaktır:

1)            Kişisel verilerine hiçbir ücret ödemeksizin ulaşmak ve Türkiye Cumhuriyeti kanunlarınca belirlenmiş durumlar dışında kişisel verilerinin bulunduğu girdilerin suretlerini temin etmek;

2)    Doğru olmayan ya da tamamlanmamış kişisel verileri kaldırmak veya düzeltmek ve aynı zamanda İş Kanunun gereksinimlerini ihlal edecek şekilde veri işlenmiş ise, bunları kaldırmak;

3)  Doğru olmayan ve tamamlanmamış kişisel bilginin herhangi bir kişiye aktarılmış olması durumunda Şirket’in söz konusu kişiye bildirimde bulunmasını istemek ve bu verilerde düzeltmeler yapmak;

4)   Kişisel verilerin işlendiği sırada şirket tarafından gerçekleştirilen herhangi bir yasadışı durumda veya ihmalde mahkemeye başvurmak;

5)    Başta Kanun’da belirtilen haklar olmak üzere Türkiye Cumhuriyeti yasalarında sağlanan diğer haklar.

Kişisel Veri Sahipleri, Şirkete doğru ve hatasız kişisel veriler ibraz etmelidir ve Şirket ile ilişkilerinin idaresi açısından gerekli olan kişisel verilere ilişkin değişiklikleri Şirkete zamanında bildirmelidir.

5.       Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

Şirket, Kanun’un 13. Maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırmalıdır.

Kanun’un 11. maddesi uyarınca, kişisel veri sahipleri, veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:

a)  kişisel verilerinin işlenip işlenmediğini öğrenme,

b)  kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

c)  kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, ç) kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

d)  kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,

e)   Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,

f)    kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,

g)   işlenen kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

6.       Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Kanun’da yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması halinde, Kişisel Veriler, Şirket tarafından resen veya Kişisel Veri sahibinin talebi üzerine silinecek, yok edilecek veya anonim hâle getirilecektir. Kişisel Veri sahibi Kanun uyarınca Şirket’e başvurarak kendisine ait Kişisel Verilerin silinmesini veya yok edilmesini talep ettiğinde:

-                    Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket, talebe konu Kişisel Verileri silecek, yok edecek veya anonim hale getirecektir. Şirket, Kişisel Veri sahibinin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve ilgili Kişisel Veri sahibine bilgi verir.

-                    Kişisel Verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan veri sahibinin

Kişisel Verileri üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirecek; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edecektir.

-                    Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kişisel Veri sahibinin bu talebi Şirket tarafından Kanun uyarınca gerekçesi açıklanarak reddedilebilir. Şirket’in cevabı ilgili Kişisel Veri sahibine en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda Şirket tarafından bildirilir.

-                    Şirket, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

7.       Teknik ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler aşağıdaki gibidir:

-          Şirket bünyesinde kişisel verilere erişim imkanı sağlayan sistemler üzerinde periyodik olarak yetki ve erişim kontrolleri uygulanmaktadır.

-          Yeterli uzmanlık düzeyinde personel istihdam edilmektedir .

-          Çalışanları KVKK’ya uyum konusunda eğitilmekte ve bilinçlendirilmektedir.

-          KVKK’ya uyum için tespit edilen gerekliliklerin sağlanması için iş birimleri bazında uygulama kuralları belirlenmekte, bunların sürekliliğinin sağlanması için gerekli idari tedbirler şirket içi prosedürler ve eğitimler yoluyla sağlanmaktadır.

-          Sözleşme ve belgelere, Kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmaktadır.

-          Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

-          Fiziksel evraklar kilitli dolaplarda saklanmaktadır ve erişim yetkisi sadece İnsan Kaynakları Müdürü’ndedir. Bu evraklar sadece sahibi ile yazılı talep üzerine paylaşılır kesinlikle mail ortamına dökülmez.

Kişisel verilerin kayıt ortamlarına uygun yöntemlerle silinmesi ve yok edilmesi, imha edilmesi esas olup, kullanılabilecek silme veya yok etme, imha etme teknikleri şu şekildedir:

-          Fiziksel olarak yok etme

-          Dijital ortamlarda muhafaza edilen veriler silinirken yazılımdan güvenli olarak silme/yok etme.

Bu Politika’nın yürürlük tarihi 13.06.2018 olup, Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.

Okudum, Anladım.

Ad-Soyad:

İmza: