1. AMAÇ

Bu kişisel veri saklama ve imha politikası, Veri Sorumlusu tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasların belirlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını amacıyla hazırlanmıştır.

2. VERİ SORUMLUSUNA İLİŞKİN BİLGİLER

Veri Sorumlusu           : SAYDAMTES İNŞAAT SANAYİ VE TİCARET LTD. ŞTİ.

Adres                          : Üçevler Mah. Ahıska Cad. No:60 Nilüfer/BURSA

Telefon                        : 0224 494 16 43

E-posta                       : saydam@saydamtes.com

Web sitesi                    :https://www.saydamtes.com/

3. TANIMLAR

Bu politikada geçen;

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veri,

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan yazılı beyan,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter,

Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin silinmesi, boyanması ve yıldızlanması gibi işlemler,

Kişisel Verilerin İmhası: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi,

Kişisel veri saklama ve imha politikası: Veri sorumlusunun, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika,

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi,

Kurul: Kişisel Verileri Koruma Kurulu,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,

Kişisel Veri Saklama Tablosu: Kişisel verilerin Veri Sorumlusu nezdinde tutulacağı süreleri gösteren tablo,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,

anlamına gelmektedir.

4. İLKELER

Veri Sorumlusu tarafından, kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilir:

  1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve bu Politikaya uygun hareket edilir.
  2. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler, Veri Sorumlusu tarafından kayıt altına alınır ve bu işlemlere ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır.
  3. Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçer. Ancak, ilgili kişinin talebi halinde uygun yöntem, gerekçesi açıklanarak seçilir.
  4. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Veri Sorumlusu tarafından re’sen veya ilgili Kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu hususta ilgili kişi tarafından Veri Sorumlusuna başvurulması halinde;
  1. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılır ve ilgili kişiye bilgi verilir,
    1. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir.

5. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER

Kişisel veriler, Veri Sorumlusu tarafından güvenli bir biçimde, Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde fiziki veyahut elektronik ortamlarda özellikle aşağıda sayılan amaçlar çerçevesinde saklanabilir:

  1. Veri Sorumlusunun, müşterilere, potansiyel müşterilere, çalışanlara, çalışan adaylarına, iş ortaklarına, tedarikçilere ver resmi kurum ve kuruluşlara yönelik Kanundan veya sözleşmeden kaynaklanan yükümlülerinin yerine getirilmesi,
  2. Veri Sorumlusuna ait ürün ve hizmetlerin müşterilere ve potansiyel müşterilere sunulması, reklam ve kampanya faaliyetlerinin yerine getirilmesi, talep ve şikâyetlerin takibi,
  3. Sipariş alınması, ürün teslimi, mal ve hizmet satın alınması veya satılması, taşınır ve taşınmaz kiralama faaliyetlerinin yerine getirilmesi,
  4. Finans ve muhasebe, vergi ödeme, faturalandırma, tahsilat ve ödeme gibi işlemlerin yapılması,
  5. Kayıt ve belgelerin düzenlemesi, yerel ve uluslararası mevzuatın öngördüğü bilgi saklama, arşivleme, imha, raporlama, bilgilendirme ve sair yükümlülüklerin yerine getirilmesi,
  6. Veri Sorumlusunun bilgi işlem gereksinimleri ile veri depolama/yönetme gereksinimlerinin yerine getirilmesi,
  7. Müşteri memnuniyetinin ölçülmesi ve artırılması, şikâyet yönetimi, yeni hizmet ve ürünler ile ilgili görüş ve önerilerin alınması, sorun-hata bildirimlerinin alınması ve değerlendirilmesi,
  8. Sahtecilik ve kara para aklama dâhil, suçları önlemek, tespit etmek ve soruşturma kapsamında mevzuattan kaynaklanan görevlerin yerine getirilmesi,
  9. Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ve eğitim ve performans değerlendirme faaliyetlerinin yürütülmesi,
  10. Yönetim faaliyetlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
  11. Ulusal mevzuatta veya iç hukukun parçası haline gelen uluslararası mevzuatta yer alan diğer yükümlülüklerin ve işlemlerin yerine getirilmesi,
  12. İşyerinin ve taşınır/taşınmaz malların güvenliğinin sağlanması
  13. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER

Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel veriler, Veri Sorumlusu tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

  1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişinin rızasını geri alması,
  5. Veri Sorumlusunun, İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  6. İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Veri Sorumlusu tarafından kabul edilmesi,
  7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

7. SAKLAMA VE İMHA SÜRELERİNE İLİŞKİN PRENSİPLER

Veri Sorumlusu tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılır:

  1.  Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki 2. bent kapsamında işlem yapılır.
  2. Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
  3. Verinin saklanmasının Kanunun 4. maddesinde belirtilen ilkelere uygunluğu (örneğin, verinin saklanmasında Veri Sorumlusunun meşru bir amacının olup olmadığı) sorgulanır. Saklanmasının Kanunun 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
  4. Verinin saklanmasının Kanunun 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
  5. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

8. KİŞİSEL VERİLERİN SAKLANABİLECEĞİ ORTAMLAR

Kişisel veriler, Veri Sorumlusu tarafından Kanun ve ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde aşağıdaki ortamlarda saklanabilir:

I. Elektronik Ortamlar

  1. Sunucular
  2. Yazılımlar (ofis yazılımları vb)
  3. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
  4. Kişisel bilgisayarlar (masaüstü, dizüstü)
  5. Mobil cihazlar (telefon, tablet vb.)
  6. Optik diskler (CD, DVD vb.)
  7. Çıkartılabilir bellekler (USB, hafıza kart vb.)

II. Elektronik olmayan ortamlar

  • Kağıt
  • Yazılı, basılı ve görsel ortamlar

9.  TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanunun 12. maddesindeki ilkeler çerçevesinde, Veri Sorumlusu tarafından aşağıdaki tedbirler alınır:

I. İdari Tedbirler:

  1. Saklanan kişisel verilere erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlıdır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirilir.
  3. Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmeye eklenen hükümler ile veri güvenliği sağlanır. Personele, kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir.

II.  Teknik Tedbirler:

  1. Veri Sorumlusu tarafından kullanılan bilişim sistemlerinin fiziksel ve teknik güvenliği için gerekli önlemler alınır.
  2. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.
  3. Kişisel verilerin bulunduğu elektronik saklama alanına dışarıdan yetkisiz erişimi engelleyen  güvenlik duvarı kullanılır.
  4. Tüm bilgisayarların bağlı olduğu serverde, tüm işlemler için log kayıtları tutulur.
  5. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınır.
  6. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulur.
  7. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılır.
  8. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılır.
  9. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.

10. KİŞİSEL VERİLERİN İMHA USULLERİ

İşlenen kişisel veriler, Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Veri Sorumlusu tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilir:

I. Kişisel Verilerin Silinmesi

a) Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

b) Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

II. Kişisel Verilerin Yok Edilmesi

a)  Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya uygun diğer yöntemlerle geri döndürülemeyecek şekilde yok edilir.

b) Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, durumun gereğine göre, söz konusu verinin geri getirilemeyecek şekilde silinmesi veya medya ortamının fiziken kullanılamayacak hale getirilmesi yoluyla imha edilir.

III. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Veri Sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

10. SAKLAMA VE İMHA SÜRELERİ

Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  1. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
  2. Veri kategorileri bazında saklama süreleri VERBİS’e kaydında,
  3. Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Sorumlusunun İlgili Birimi tarafından yerine getirilir.

SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ
Personelin işe alımına ilişkin evrakİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanmasıİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Personelin meslek içi eğitimine ilişkin evrakİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Personelin özlük dosyası bilgileriİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Hukuki süreçlere ilişkin işlemlerHukuki süreç sona erdikten sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Müşterilere işlemleriİşlemlerin tamamlanmasından itibaren 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Sözleşmelere temel oluşturan evrak10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Sözleşmelerin muhafazası10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Bordrolamaİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
İş sağlığı ve güvenliği uygulamalarıİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Ödeme işlemleriİş ilişkisinin sona ermesinden sonra 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
İş Kazası Raporlamaİlgili kişinin işten ayrılmasından itibaren 10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Acil Durum Hazırlıkları10 yılSaklama süresinin bitiminden sonra 180 gün içinde
Kamera Kayıtları1 ayKayıt yapan cihazın kapasitesi nedeniyle en fazla 1 ay süreyle kayıt yapılabilmektedir. Bu yüzden saklama süresinin sonunda kendiliğinden imha edilmektedir.

10. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11. maddesi gereğince Veri Sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre,  her yıl Mart ve Eylül aylarında periyodik imha işlemi gerçekleştirilir.

11. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Bu politika, elektronik ortamda internet sayfasında yayımlanarak kamuya açıklanır.

12. POLİTİKANIN GÜNCELLEME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

13. POLİTİKANIN YÜRÜRLÜĞÜ

Politika, Veri Sorumlusunun internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

14. DİĞER HUSUSLAR

Kanun ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanır.