1. AMAÇ
Bu kişisel veri saklama ve imha politikası, Veri Sorumlusu tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasların belirlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını amacıyla hazırlanmıştır.
2. VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
Veri Sorumlusu : SAYDAMTES İNŞAAT SANAYİ VE TİCARET LTD. ŞTİ.
Adres : Üçevler Mah. Ahıska Cad. No:60 Nilüfer/BURSA
Telefon : 0224 494 16 43
E-posta : saydam@saydamtes.com
Web sitesi :https://www.saydamtes.com/
3. TANIMLAR
Bu politikada geçen;
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veri,
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan yazılı beyan,
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi,
Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter,
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin silinmesi, boyanması ve yıldızlanması gibi işlemler,
Kişisel Verilerin İmhası: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi,
Kişisel veri saklama ve imha politikası: Veri sorumlusunun, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika,
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi,
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi,
Kurul: Kişisel Verileri Koruma Kurulu,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,
Kişisel Veri Saklama Tablosu: Kişisel verilerin Veri Sorumlusu nezdinde tutulacağı süreleri gösteren tablo,
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,
anlamına gelmektedir.
4. İLKELER
Veri Sorumlusu tarafından, kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilir:
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve bu Politikaya uygun hareket edilir.
- Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler, Veri Sorumlusu tarafından kayıt altına alınır ve bu işlemlere ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır.
- Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçer. Ancak, ilgili kişinin talebi halinde uygun yöntem, gerekçesi açıklanarak seçilir.
- Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Veri Sorumlusu tarafından re’sen veya ilgili Kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu hususta ilgili kişi tarafından Veri Sorumlusuna başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılır ve ilgili kişiye bilgi verilir,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir.
5. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER
Kişisel veriler, Veri Sorumlusu tarafından güvenli bir biçimde, Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde fiziki veyahut elektronik ortamlarda özellikle aşağıda sayılan amaçlar çerçevesinde saklanabilir:
- Veri Sorumlusunun, müşterilere, potansiyel müşterilere, çalışanlara, çalışan adaylarına, iş ortaklarına, tedarikçilere ver resmi kurum ve kuruluşlara yönelik Kanundan veya sözleşmeden kaynaklanan yükümlülerinin yerine getirilmesi,
- Veri Sorumlusuna ait ürün ve hizmetlerin müşterilere ve potansiyel müşterilere sunulması, reklam ve kampanya faaliyetlerinin yerine getirilmesi, talep ve şikâyetlerin takibi,
- Sipariş alınması, ürün teslimi, mal ve hizmet satın alınması veya satılması, taşınır ve taşınmaz kiralama faaliyetlerinin yerine getirilmesi,
- Finans ve muhasebe, vergi ödeme, faturalandırma, tahsilat ve ödeme gibi işlemlerin yapılması,
- Kayıt ve belgelerin düzenlemesi, yerel ve uluslararası mevzuatın öngördüğü bilgi saklama, arşivleme, imha, raporlama, bilgilendirme ve sair yükümlülüklerin yerine getirilmesi,
- Veri Sorumlusunun bilgi işlem gereksinimleri ile veri depolama/yönetme gereksinimlerinin yerine getirilmesi,
- Müşteri memnuniyetinin ölçülmesi ve artırılması, şikâyet yönetimi, yeni hizmet ve ürünler ile ilgili görüş ve önerilerin alınması, sorun-hata bildirimlerinin alınması ve değerlendirilmesi,
- Sahtecilik ve kara para aklama dâhil, suçları önlemek, tespit etmek ve soruşturma kapsamında mevzuattan kaynaklanan görevlerin yerine getirilmesi,
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ve eğitim ve performans değerlendirme faaliyetlerinin yürütülmesi,
- Yönetim faaliyetlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Ulusal mevzuatta veya iç hukukun parçası haline gelen uluslararası mevzuatta yer alan diğer yükümlülüklerin ve işlemlerin yerine getirilmesi,
- İşyerinin ve taşınır/taşınmaz malların güvenliğinin sağlanması
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER
Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel veriler, Veri Sorumlusu tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişinin rızasını geri alması,
- Veri Sorumlusunun, İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Veri Sorumlusu tarafından kabul edilmesi,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
7. SAKLAMA VE İMHA SÜRELERİNE İLİŞKİN PRENSİPLER
Veri Sorumlusu tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki 2. bent kapsamında işlem yapılır.
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Verinin saklanmasının Kanunun 4. maddesinde belirtilen ilkelere uygunluğu (örneğin, verinin saklanmasında Veri Sorumlusunun meşru bir amacının olup olmadığı) sorgulanır. Saklanmasının Kanunun 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının Kanunun 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
8. KİŞİSEL VERİLERİN SAKLANABİLECEĞİ ORTAMLAR
Kişisel veriler, Veri Sorumlusu tarafından Kanun ve ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde aşağıdaki ortamlarda saklanabilir:
I. Elektronik Ortamlar
- Sunucular
- Yazılımlar (ofis yazılımları vb)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
- Kişisel bilgisayarlar (masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, hafıza kart vb.)
II. Elektronik olmayan ortamlar
- Kağıt
- Yazılı, basılı ve görsel ortamlar
9. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanunun 12. maddesindeki ilkeler çerçevesinde, Veri Sorumlusu tarafından aşağıdaki tedbirler alınır:
I. İdari Tedbirler:
- Saklanan kişisel verilere erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlıdır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirilir.
- Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmeye eklenen hükümler ile veri güvenliği sağlanır. Personele, kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir.
II. Teknik Tedbirler:
- Veri Sorumlusu tarafından kullanılan bilişim sistemlerinin fiziksel ve teknik güvenliği için gerekli önlemler alınır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.
- Kişisel verilerin bulunduğu elektronik saklama alanına dışarıdan yetkisiz erişimi engelleyen güvenlik duvarı kullanılır.
- Tüm bilgisayarların bağlı olduğu serverde, tüm işlemler için log kayıtları tutulur.
- Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulur.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
10. KİŞİSEL VERİLERİN İMHA USULLERİ
İşlenen kişisel veriler, Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Veri Sorumlusu tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilir:
I. Kişisel Verilerin Silinmesi
a) Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
b) Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
II. Kişisel Verilerin Yok Edilmesi
a) Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya uygun diğer yöntemlerle geri döndürülemeyecek şekilde yok edilir.
b) Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, durumun gereğine göre, söz konusu verinin geri getirilemeyecek şekilde silinmesi veya medya ortamının fiziken kullanılamayacak hale getirilmesi yoluyla imha edilir.
III. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Veri Sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
10. SAKLAMA VE İMHA SÜRELERİ
Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
- Veri kategorileri bazında saklama süreleri VERBİS’e kaydında,
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Sorumlusunun İlgili Birimi tarafından yerine getirilir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Personelin işe alımına ilişkin evrak | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Personelin meslek içi eğitimine ilişkin evrak | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Personelin özlük dosyası bilgileri | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Hukuki süreçlere ilişkin işlemler | Hukuki süreç sona erdikten sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Müşterilere işlemleri | İşlemlerin tamamlanmasından itibaren 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Sözleşmelere temel oluşturan evrak | 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Sözleşmelerin muhafazası | 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Bordrolama | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Ödeme işlemleri | İş ilişkisinin sona ermesinden sonra 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
İş Kazası Raporlama | İlgili kişinin işten ayrılmasından itibaren 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Acil Durum Hazırlıkları | 10 yıl | Saklama süresinin bitiminden sonra 180 gün içinde |
Kamera Kayıtları | 1 ay | Kayıt yapan cihazın kapasitesi nedeniyle en fazla 1 ay süreyle kayıt yapılabilmektedir. Bu yüzden saklama süresinin sonunda kendiliğinden imha edilmektedir. |
10. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11. maddesi gereğince Veri Sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Mart ve Eylül aylarında periyodik imha işlemi gerçekleştirilir.
11. POLİTİKANIN YAYINLANMASI VE SAKLANMASI
Bu politika, elektronik ortamda internet sayfasında yayımlanarak kamuya açıklanır.
12. POLİTİKANIN GÜNCELLEME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
13. POLİTİKANIN YÜRÜRLÜĞÜ
Politika, Veri Sorumlusunun internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
14. DİĞER HUSUSLAR
Kanun ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanır.