SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1- POLİTİKANIN AMACI VE KAPSAMI

Mevzuatta veri sorumlusu tarafından hazırlanması gerektiği de belirtilen İş bu politika SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ’nin işlediği kişisel verilerin tamamına ilişkin saklama ve imha faaliyetlerini ayrıntılı şekilde açıklamak ve bu iş ve işlemler konusunda usul ve esasları belirlemek ve amacıyla hazırlanmıştır.

Firmamıza ait kişisel veri işleme ve koruma politikasında kişisel verileri işlendiği belirtilen ve VERBİS kaydında da kamuoyu ile paylaşılan veri sahibi kategorilerine ait kişisel veriler bu Politika kapsamında olup firmamıza ait kayıt ortamlarında bulunan tüm kişisel verilere ilişkin saklama ve imha süreçlerinde bu Politika uygulanacaktır.

Firma yetkili ve çalışanlarının da bu hususta farkındalığı artırılarak gerekli eğitimleri alması sağlanmıştır.

    İşbu Politika’nın ilgili maddeleri mevzuatta belirtilen emredici hususlara aykırılık teşkil etmediği sürece özel nitelikli kişisel veriler hakkında da uygulanacaktır. Özel nitelikli kişisel veriler ile ilgili ilave olarak uyulması gereken hususlar ayrıca da belirtilmiştir.

İş bu politikada belirtilen hususlar ile ilgili yeni bir mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, firmamız politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır. Ancak herhangi bir güncelleme yapılmasa dahi maddeler güncellenen mevzuat hükümlerine uygun şekilde yorumlanacak ve uygulanacaktır.

• – TANIMLAR

Alıcı Grubu:

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Fiziki Olarak Yok Etme:

Veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi

Yazılımdan Güvenli Olarak Silme:

Veriler silinirken bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesi

Elektronik Ortam:

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı:

Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi:

Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha:

Kişisel verilerin silinmesi veya yok edilmesi

Kanun:

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul:

Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika:

Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi(VERBİS):

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Yönetmelik:

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

3 – SAKLAMA -KAYIT ORTAMLARI

• Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
• Yazılımlar (ofis yazılımları)
• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.
• Bilgisayarlar (Masaüstü, dizüstü)
• Mobil cihazlar (telefon, tablet vb.)
• Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri , Optik diskler (CD, DVD vb.)
• Güvenlik Kamera kayıtları
• Web sitesi
• Mail
• Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
• Yazıcı, tarayıcı, fotokopi makinesi, faks cihazı , telefon hafıza kayıtları
• Manuel veri kayıt ortamları/Kağıt ortamı (Her türlü form, sözleşme, fotokopi, anket formları, şikayet/talep yazıları gibi)
• Yazılı, basılı, görsel ortamlar

4 – SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Firmamız faaliyetleri çerçevesinde işlenen kişisel verilerin saklama süreleri her şeyden önce ilgili veri ve işleme amacına göre belirlenecek ilgili mevzuatta belirtilen saklama süreleri ve olası uyuşmazlıklar ile ilgili zamanaşımı süreleri dikkate alınarak belirlenmektedir.

Bu kapsamda firmamız tarafından işlenen kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 4857 sayılı İş Kanunu
• 5237 sayılı Türk Ceza Kanunu
• 213 sayılı Vergi Usul Kanunu
• 6102 sayılı Türk Ticaret Kanunu
• 2004 sayılı İcra ve İflas Kanunu

İle bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri ve olası uyuşmazlıklar ile ilgili uygulanacak zamanaşımı süreleri dikkate alınarak saklanmaktadır.

• – SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Firmamız faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri  , “Kişisel Verileri İşleme ve Koruma Politikası”nda belirtilen amaçlar dahilinde ve özellikle de aşağıdaki amaçlar doğrultusunda saklar.

• Denetim/etik faaliyetlerinin yerine getirilmesi
• Firma faaliyetlerinin hukuka uygun şekilde yürütülmesi
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
• İnsan kaynakları süreçlerini yürütmek
• Kurumsal iletişimi sağlamak
• Firmaya ait ticari /idari ve hukuki işlemlere dair firma güvenliğini sağlamak
• Sözleşme süreçlerinin takibi
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
• Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• Firmamız ile herhangi bir şekilde hukuki /idari /ticari ilişkide bulunan gerçek / tüzel kişilerle irtibat sağlamak

6 –  KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR

Firmamız adına veri işleme faaliyetini yürütenler veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar da mevcut olmadığı sürece aşağıda listelenen ve mevzuata belirtilen diğer ilgili durumlarda veri işlenme şartlarının ortadan kalktığı kabul edilir:

1. a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
2. b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
3. c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
4. d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
5. e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
6. f) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,
7. g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
8. h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

  7 – KİŞİSEL VERİLERİN İMHASI

Kişisel verilerin imhası, verilerin silinmesi veya yok edilmesi şeklinde iki farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Veri Sorumlusu SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ kişisel verilerin hukuka uygun olarak silinmesi ve yok edilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. .

1. Kişisel Verilerin Silinmesi; Söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2. Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

• – KİŞİSEL VERİLERİN İMHA SÜRECİ VE YÖNTEMLERİ
  • Kişisel Verilerin Silinme Süreç Ve Yöntemleri

Silme

Dijital ortamda bulunan kişisel veriler teknolojik çözümlerle geri döndürülemeyecek şekilde erişilemez hale getirilmektedir. Bu kapsamda;

Kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir ;

• Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
• Erişim Yetki ve kontrol metrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması

             Firmamızda işlenen kişisel veriler çeşitli kayıt ortamlarında saklandığı için kayıt ortamlarına uygun yöntemler ile de silinmektedir. Bu çerçevede;

1-Merkezi Sunucuda Yer Alan Ofis Dosyalarının Silinmesi

Kişisel verinin bulunduğu dosyanın işletim sistemindeki silme komutu ile silinmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Bu işlemler yapılırken ilgili kullanıcının aynı zamanda sistem yöneticisi olmamasına da dikkat edilmektedir.

2-Taşınabilir Medyada Bulunan Kişisel Verilerin Silinmesi

Flash tabanlı saklama ortamlarındaki kişisel veriler şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.

3-Veri Tabanları

Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir.  Bu işlemler yapılırken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmamasına da dikkat edilmektedir.

8.3.2.Kişisel Verilerin Yok Edilmesi Süreç Ve Yöntemleri

Fiziksel olarak Yok Etme

Gerek dijital ortamda bulunan (hard disk, usb vb.) gerekse kağıt ortamında bulunan kişisel veriler hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmektedir.

         Bu imha yöntemi seçildiğinde verilerin bulunduğu tüm kopyalar tespit edilmekte ve verilerin bulunduğu veri kayıt ortamının/sisteminin türüne göre aşağıda belirtilen yöntemlerden bir veya birkaçı kullanılarak yok etme işlemi gerçekleştirilmektedir; 

1. Yerel Sistemler Üzerindeki Verilerin Yok Edilmesi
   1. Fiziksel Olarak Yok etme: Optik Medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok etme işlemi gerçekleştirilmektedir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanmaktadır. Katı hal diskler bakımından da disk üzerine yazma veya de-manyetize etme işlemi başarılı olmadığı takdirde yine burada belirtilen fiziki yok etme yöntemlerinden biri seçilmektedir.

1. Çevresel Sistemler Üzerindeki Verilerin Yok Edilmesi
   1. Mobil Telefonlar (Sim Kart ve sabit hafıza alanları) : Söz konusu cihazların içindeki saklama ortamları sabit olduğu için yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
   2. Optik Diskler(CD, DVD vs.) : Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleri ile yok edilmektedir.

1. Kağıt Ve Mikrofiş Ortamlardaki Verilerin Yok Edilmesi
   1. Kişisel verinin bulunduğu kağıt ve/veya mikrofiş kağıt imha veya kırpma makineleri ile anlaşılmaz boyutta yatay ve dikey olarak geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilmektedir.
   2. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel veriler bulundukları elektronik ortama göre yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.

1. Arızalanan Ya Da Bakıma Gönderilen Cihazlarda Yer Alan Kişisel Verilerin Yok Edilmesi
   1. İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
   2. Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı sökülerek saklanmakta arızalı diğer parçalar üretici, satıcı, servis gibi üçüncü kişilere gönderilmektedir.

• Dışarıdan bakım, onarım gibi amaçlarla gelen personelin kişisel verileri kopyalayarak Firma dışına çıkartmasının engellenmesi için gerekli önlemler alınmaktadır.

• – SAKLAMA VE İMHA SÜRELERİ

• Firmamız veri kategorisi ve işleme amacına dair ilgili kanunlarda ve mevzuatlarda süre öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklar.

• Yine saklama ve imha sürelerinin belirlenmesinde her bir veri kategorisi ve veri işleme amacı dikkate alınarak ilgili mevzuatta belirtilen zamanaşımı süreleri de esas alınmaktadır.

• Periyodik İmha ve Yasal Saklama Süreleri Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak ve iş bu politikada belirtilen uygun yöntem ve/veya yöntemler seçilmek sureti ile imha edilir. Firmamız Kişisel verileri silme veya yok etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler veya yok eder.

• Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen veya yok edilen verilere ilişkin işlemler/tutanaklar diğer hukuki yükümlülüklere de uyulmak sureti ile en az 3 yıl süre ile saklanır.

• Veri sahiplerinin firmamıza başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumu kontrol edilir.
  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel veriler verinin saklanma yöntemine uygun olacak şekilde silinir veya yok edilir. Veri sahibinin talebi en geç otuz gün içinde sonuçlandırır ve kendisine bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa firmamız bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili veri sahibine gerekçesi açıklanarak talebinin reddedildiği en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

• Saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları aşağıda belirtilmiştir;

Firmamız faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

-Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde

-Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta

-Süreç bazında saklama süreleri ise iş bu Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.

Belirlenen sürelerde veri işleme süreci içinde işlenen kişisel verilerden en uzun süre saklanması gereken esas alınmaktadır. Bu süreler azami olup bu sürelerden önce de periyodik imha süreçlerinde yapılan değerlendirmelerde verinin saklanmasını gerektirecek yasal zorunluluk süresinin bittiği ve diğer saklama amaçlarının da ortadan kalktığının anlaşılması halinde belirtilen saklama süreleri öncesinde de imha gerçekleştirebilecektir. Bu nedenle saklama süreleri veriyi belirtilen süreler dahilinde saklama taahhüdü/yükümlülüğü şeklinde yorumlanmayacaktır.

11 – POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

1. İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından İşbu Politika’da değişiklik yapılabilir.
2. SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ’nin Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika’yı kurumsal internet üzerinden herkesin erişimine sunacaktır.

12 – POLİTİKA YÜRÜRLÜLÜK TARİHİ

İşbu Politika ……………….. tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.