İMHA POLİTİKASI

 

TŞOF TRAFİK ARAÇ VE GEREÇLERİ İMALATI MATBAACILIK

EĞİTİM SAĞLIK HİZMETLERİ AKARYAKIT KONAKLAMA TESİSLERİ İŞLETMECİLİĞİ TİCARET VE SANAYİ A. Ş.

 

TŞOF TRAFİK ARAÇ VE GEREÇLERİ İMALATI MATBAACILIKEĞİTİM SAĞLIK

HİZMETLERİ AKARYAKIT KONAKLAMA TESİSLERİİŞLETMECİLİĞİ TİCARET

VE SANAYİ A. Ş. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI         

 

İÇİNDEKİLER

1. GİRİŞ.................................................................................................................... 1

2. AMAÇ................................................................................................................... 1

3. TANIMLAR.......................................................................................................... 1

4. SORUMLULUK VE GÖREV DAĞILIMLARI..................................................... 3

5. KAYIT ORTAMLARI........................................................................................... 3

6. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER.................................................................................................................................. 4

7. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN AMAÇLAR............... 4

8. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINMASI GEREKEN TEDBİRLER............................................................................................................. 5

8.1. İdari Tedbirler.................................................................................................. 5

8.2. Teknik Tedbirler.............................................................................................. 6

8.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi................. 7

9. KİŞİSEL VERİLERİN İMHASI............................................................................ 7

10. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ..................................................... 8

10.1. Kişisel Verilerin Silinmesi.............................................................................. 8

10.2. Kişisel Verilerin Yok Edilmesi........................................................................ 9

10.3. Kişisel Verilerin Anonim Hale Getirilmesi..................................................... 10

11. SAKLAMA VE İMHA SÜRELERİ................................................................... 10

12. PERİYODİK İMHA SÜRESİ............................................................................ 11

13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI................................... 12

14. POLİTİKA’NIN GÜNCELLENME PERİYODU.............................................. 12

15. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI....... 12

 

 

            

     

1.   GİRİŞ

 

Türkiye Cumhuriyeti Anayasa’sının 20’nci maddesinin 3. fıkrası; “Herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” hükmünü amirdir.

 

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), 07.04.2016 Tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

 

İşbu Kişisel Verileri Saklama ve İmha Politikası ("İmha Politikası"), Tşof Trafik Araç ve Gereçleri

İmalatı Matbaacılık Eğitim Sağlık Hizmetleri Akaryakıt Konaklama Tesisleri İşletmeciliği Ticaret ve Sanayi A. Ş. (“Şirket”) tarafından KVK Kanunu’nun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca hazırlanmıştır. 

 

2.   AMAÇ 

 

İmha Politikası’nın amacı:

 

      Şirket tarafından faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel verilerin, hangi süre ve koşullarda saklanacağına ilişkin bilginin sağlanması, 

      Şirket tarafından muhafaza edilmesi gereken kişisel verilerin Kanun ve Yönetmelik'e uygun olarak saklanmasının sağlanması, 

      Kişisel verilerin muhafazası ve silinmesi amacıyla KVK Kanun’una ve Yönetmelik'e uygun sürelerin belirlenmesi, 

      Şirket tarafından tutulan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi işlemlerinin dayanağının açıklanması, 

      Kişisel verilerin tutulduğu kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin sağlanmasıdır. 

 

3.     TANIMLAR

 

İşbu İmha Politikası’nda kullanılan terimler aşağıda yer alan anlamlara gelmektedir: 

 

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

 

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hâle getirilmesi.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İmha Politikası

Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Karartma

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması işlemleri.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi açıklanması, aktarılması, devralınması, elde edilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVK Kurulu

Kişisel Verileri Koruma Kurulu.

KVK Kurumu

Kişisel Verileri Koruma Kurumu.

KVK Kanunu

07 Nisan 2016 Tarihli ve 29677 Sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Maskeleme

Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler.

Periyodik İmha

KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Verbis

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu

Veri Sorumluları Sicil Bilgi Sistemi.

4.   SORUMLULUK VE GÖREV DAĞILIMLARI

 

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce İmha Politikası kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.  

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait

dağılım aşağıdaki tabloda verilmiştir.

 

UNVAN

SORUMLU KİŞİ

GÖREV TANIMI

Genel Müdür

S. Cüneyt YEŞİLKAYA

Komite Başkanı-Yönetim ve İletişimden Sorumlu

Ostim Fabrika

Müdürü/Satın Alma Yöneticisi

Davut ÇAMBAŞI

KVKK Risk Yönetimi, Politika ve Prosedürlerden

Sorumlu

Muhasebe Müdür Yardımcısı

Sibel BİLGEN

İş Süreçlerinin Planlanmasından ve Raporlanmasından Sorumlu

İnsan Kaynakları Yöneticisi

Tuğba APAYDIN

KVK Kanunu’na Uyum ve Denetimden Sorumlu

Bilgi İşlem Sorumlusu

Murat HAMURCİ

Bilgi Teknolojileri ve Veri Güvenliğinden Sorumlu

 

5.   KAYIT ORTAMLARI

 

Şirket, aşağıdaki tabloda yer alan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir.

 

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.),

Kağıt

Yazılımlar (ofis yazılımları, portal, VERBİS vb.),

Manuel veri kayıt sistemleri (anket formları,

ziyaretçi giriş defteri vb.)

Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)

Yazılı-basılı görsel ortam

Kişisel bilgisayarlar (masaüstü, dizüstü)

Birim dolapları

Mobil cihazlar (telefon, tablet vb.)

Klasörler

Optik diskler (CD, DVD, hard disk vb.)

Arşiv

Çıkartılabilir bellekler (USB, hafıza kartı vb.)

 

Yazıcı

 

Tarayıcı

 

Fotokopi makinesi

 

 

6.   KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER 

 

Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatta öngörülen sebepler dâhilinde muhafaza etmektedir.

 

      6698 Sayılı Kişisel Verilerin Korunması Kanunu, 

      6098 Sayılı Türk Borçlar Kanunu,

      6102 Sayılı Türk Ticaret Kanunu,

      4734 Sayılı Kamu İhale Kanunu, 

      5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

      5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

      5018 Sayılı Kamu Mali Yönetimi Kanunu,

      6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, 

      4982 Sayılı Bilgi Edinme Kanunu, 

      3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 

      4857 Sayılı İş Kanunu, 

      2828 Sayılı Sosyal Hizmetler Kanunu,

      1774 Sayılı Kimlik Bildirme Kanunu,

      213 Sayılı Vergi Usul Kanunu, 

      İşyeri Bina ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik,  Arşiv Hizmetleri Hakkında Yönetmelik 

      Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama

süreleri kadar saklanmaktadır.

 

7.   KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN AMAÇLAR

 

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıda belirtilen amaç ve/veya amaçlar doğrultusunda saklamaktadır.

 

      İnsan kaynakları süreçlerini yürütmek,

      Kurumsal iletişimi sağlamak,

      Şirket güvenliğini sağlamak,

      İstatistiksel çalışmalar yapabilmek,

      İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,

      VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetlerini buna göre düzenlemek ve gerekmesi halinde güncellemek,

      Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,

      Şirket ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,

      Hukuki yükümlülüklerin yerine getirilmesini sağlamak,

      Mevzuat gereği gerekli raporlamalar yapmak,

      İleride doğabilecek olası hukuki uyuşmazlıklarda ispat yükümlülüğü bakımından gerekli delilleri muhafaza etmek. 

 

8.   KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINMASI GEREKEN TEDBİRLER

 

Şirket, KVK Kanunu’nun 12’nci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli idari ve teknik tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. 

 

8.1.    İdari Tedbirler

 

      Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

      Çalışanlar ile Şirket arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiğine, kişisel verilerin ifşa edilmemesi gerektiğine, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiğine ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiğine ilişkin kayıtlar eklenmektedir. 

      Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda Şirket tarafından bilgilendirilmekte ve bu doğrultuda çalışanlardan gerekli taahhütnameler alınmaktadır.

      Çalışanlar tarafından gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin edilmektedir. Kişisel veri işleme faaliyetleri neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulmaktadır. Bu kapsamda; kişisel verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırılmakta veya sınırlandırılmaktadır. 

      Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

      Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.

      İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve KVK Kurul’una bildirilmektedir.

      Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

      Kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde iş birimi bazında kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.

      Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

      Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

      Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

      Kişisel veriler mümkün olduğunca azaltılmaktadır.

      Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

      Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

      Şirket tüzel kişiliği nezdinde KVK Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve/veya yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmektedir.

      Şirket tarafından veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığını sağlanmaktadır.

      Şirket’in, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12’inci maddesi uyarınca sorumluluğu bulunmaktadır. Bu nedenle, Şirket tarafından üçüncü kişilere veri aktarılırken, Şirket ile üçüncü kişiler arasında imzalanacak sözleşmelerde ve yapılacak her türlü hukuki işlemde bu şartların sağlanması ve Şirket’e denetim yapma yetkisi verilmesi konusunda üçüncü kişilerden gerekli taahhütlerin temini hususunda hassasiyet gösterilmektedir.

 

8.2.       Teknik Tedbirler

 

      Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilmektedir. 

      Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

      Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.

      Güncel virüs koruma sistemleri kullanılmaktadır.

      Teknik konularda bilgili personel istihdam edilmektedir.

 

8.3.   Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

 

KVK Kanunu gereğince; kişisel verilerin işlenmesi ve korunması adına, Şirket’in kendi bünyesinde politikalarını belirlemesi ve uyum sürecinde iş bu politikaları benimseyerek Şirket bünyesinde uygulanabilir hale getirmesi esastır. Şirket’in yürüttüğü uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek amacıyla, Şirket bünyesinde “Kişisel Verileri Koruma Komitesi” oluşturulmuştur. 

 

Şirket tarafından, KVK Kanunu’nun ve KVK Kurulu’nun düzenlemeleri kapsamındaki tüm yükümlülüklerin icrası için Kişisel Verileri Koruma Komitesi kurulmuştur. Komitenin yönetim ve iletişimden sorumlu komite başkanı olarak Genel Müdür S. Cüneyt YEŞİLKAYA, komite üyeleri ise KVKK risk yönetimi, politika ve prosedürlerden sorumlu olarak Ostim fabrika Müdürü/Satın Alma Yöneticisi Davut ÇAMBAŞI, iş süreçlerinin planlanmasından ve raporlanmasından sorumlu olarak Muhasebe Müdür Yardımcısı Sibel BİLGEN, KVK Kanunu’na uyum ve denetimden sorumlu olarak İnsan

Kaynakları Yöneticisi Tuğba APAYDIN, bilgi teknolojileri ve veri güvenliğinden sorumlu olarak Bilgi İşlem Sorumlusu Murat HAMURCİ belirlenmiştir. Komitenin görevleri ise Şirket tarafından çıkartılan Kişisel Verileri Koruma Komitesi İç Yönergesi ile detaylıca izah edilmek üzere özetle aşağıdaki gibidir:

 

      Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,

      İşbu politika kapsamında belirlenen tüm idari ve teknik tedbirlerin uygulanmasını sağlamak, düzenli olarak kontrol etmek/ettirmek ve gerekli her türlü tedbiri almak/aldırmak,

      Belirlenen temel politika ve aksiyon adımlarını yönetmek, uygulanmasını gözetmek ve koordinasyonunu sağlamak,

      Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, gerekli görevlendirmelerde bulunmak,

      Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini hayata geçirmek,

      Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,

      Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,

      Şirket’in KVK Kanunu kapsamındaki yükümlülüklerini yerine getirmesi için Şirket içinde gerekli düzenlemelerde bulunmak,

      Kişisel verilerin korunması konusundaki gelişmeleri takip etmek, bu konuda gerekli aksiyonları almak,

      KVK Kurumu ve KVK Kurulu ile olan ilişkileri yönetmek.

 

9.       KİŞİSEL VERİLERİN İMHASI

 

Şirket tarafından;

      Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

      Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değişmesi veya ilgası,

      Kişisel verilerin işlenmesini veya saklanmasını gerektiren amaçların ortadan kalkması,

      Kişisel verilerin işlenmesinin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması halinde kişisel verileri re’sen silinir, yok edilir veya anonim hale getirilir.

 

Bununla birlikte;

      İlgili kişinin, KVK Kanunu’nun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması ve işbu başvurunun Şirket tarafından kabul edilmesi, 

      İlgili kişinin KVK Kanunu’nun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak işbu başvurusunun Şirket tarafından reddedilmesi üzerine ilgili kişinin KVK Kurulu’na şikâyette bulunması ve işbu talebinin KVK Kurulu tarafından uygun bulunması,

      İlgili kişinin KVK Kanunu’nun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak işbu başvurusunun Şirket tarafından KVK Kanunu’nda öngörülen süre içerisinde cevaplanmaması üzerine ilgili kişinin KVK Kurulu’na şikâyette bulunması ve işbu talebinin KVK Kurulu tarafından uygun bulunması,

      İlgili kişinin KVK Kanunu’nun 11’inci maddesi gereğince; kişisel verilerinin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin olarak Şirket’e başvuru yapmış olması; ancak ilgili kişinin Şirket tarafından kendisine verilen cevabı yetersiz bulması üzerine ilgili kişinin KVK Kurulu’na şikâyette bulunması ve işbu talebinin KVK Kurulu tarafından uygun bulunması hallerinde, Şirket tarafından ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

 

 

10.    KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

 

10.1.    Kişisel Verilerin Silinmesi

 

Kişisel veriler, Şirket tarafından aşağıdaki teknikler ile silinir.

KİŞİSEL VERİ KAYIT ORTAMI

AÇIKLAMA

Merkezi Sunucularda Yer Alan Kişisel

Veriler

Merkezi sunucuda yer alan kişisel veriler, işletim sistemindeki silme komutu ile silinmekte veya dosyanın bulunduğu dizin üzerinden ilgili kullanıcının erişim hakları kaldırılmaktadır. Bahse konu işlem gerçekleştirilirken ilgili

 

kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.

Elektronik Ortamda Yer Alan Kişisel

Veriler

Elektronik ortamda yer alan kişisel veriler, bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmektedir. Bahse konu işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.

Bulut Ortamında Yer Alan Kişisel

Veriler

Bulut sisteminde yer alan kişisel veriler, silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmadığına dikkat edilmektedir.

Kâğıt Ortamda Yer Alan Kişisel

Veriler

Kâğıt ortamında yer alan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.

Taşınabilir Medyada Bulunan Kişisel

Veriler

Flash tabanlı saklama ortamlarında yer alan kişisel veriler bu ortamlara uygun yazılımlar kullanılarak silinmektedir.

 

10.2.    Kişisel Verilerin Yok Edilmesi

 

Kişisel veriler, Şirket tarafından aşağıdaki teknikler ile yok edilir:

 

KİŞİSEL VERİ KAYIT ORTAMI

AÇIKLAMA

Kâğıt Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmalarını gerektiren süresi sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilmektedir.

Optik/Manyetik Medyada Yer Alan Kişisel

Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmalarını gerektiren süresi sona erenler; eritme, yakılma, yüksek değerde manyetik alana maruz bırakılma veya toz haline getirilme gibi yöntemler ile fiziksel olarak yok edilmektedir. 

 

 

 

10.3.    Kişisel Verilerin Anonim Hale Getirilmesi

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka veriler ile eşleştirilse dahi hiçbir

surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

11.    SAKLAMA VE İMHA SÜRELERİ

 

Şirket tarafından işlenen kişisel veriler ilgili kanunlarda ve mevzuatta öngörülen süre boyunca saklanmaktadır. Bu kapsamda; Şirket tarafından, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte ve bir süre belirlenmişse bu süreye uygun davranılmaktadır. Kanuni bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişinin başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

 

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; 

 

      Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterlerinde; 

      Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta; Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikası’nda yer alır. 

 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde ilgili kişiler tarafından güncellemeler yapılır.

 

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemleri yerine getirilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak yasal bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler aşağıdaki tabloda belirtilen azami süre boyunca saklanır. 

 

KİŞİSEL VERİ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Kimlik Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden

İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

İletişim Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Lokasyon Verisi

2 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Özlük Verisi

Hukuki İlişki Süresi + Hukuki İlişkinin Sona Ermesinden

İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Hukuki İşlem Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Müşteri İşlem Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Fiziksel Mekân Güvenliği Verisi

2 Ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

İşlem Güvenliği Verisi

3 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Risk Yönetimi Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Finans Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Mesleki Deneyim Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Görsel Kayıt Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Özel Nitelikli Kişisel Veri (Sağlık Verisi)

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 15 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

Araç Bilgisi Verisi

Hukuki İlişki Süresi + Hukuki

İlişkinin Sona Ermesinden İtibaren 10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.

 

12.    PERİYODİK İMHA SÜRESİ

 

Yönetmeliğin 11’inci maddesi gereğince Şirket, periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Bu doğrultuda, Şirket’te her yıl Haziran ve Aralık aylarında periyodik imha işlemleri gerçekleştirilir.

 

 

13.    POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Muhasebe Departmanı’nda ve Danışma’da saklanır.

 

14.    POLİTİKA’NIN GÜNCELLENME PERİYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

15.    POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ve https://www.tsoftrafik.com.tr/kvkk  sitemizde ilan edilecektir.

Politika’nın ıslak imzalı eski nüshası ise, Yönetim Kurulu tarafından iptal edilerek en az 5 (beş) yıl süreyle saklanacaktır.

 

 

        

 

 

 

 

 

 

 

 

 

 

 

 

Hava Durumu

<