VERPAK AMBALAJ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
-
AMAÇ
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), Verpak Ambalaj Sanayi Ve Ticaret Limited Şirketi (“Şirket”) tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.
-
KAPSAM
Şirket çalışanları, çalışan adayları, müşteriler, tedarikçiler, ziyaretçiler, hissedar ve ortalar ile diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirket’in sahip olduğu ya da Şirket’çe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
-
TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Çalışan: Verpak Ambalaj Sanayi Ve Ticaret Limited Şirketi personeli.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Veri Saklama ve İmha Politikası.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
-
SORUMLULUK VE GÖREVLER
Şirketin tüm çalışanları ve birimleri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve birimler, sorumlu birimlere destek olur.
-
KAYIT VE SAKLAMA ORTAMLARI
Elektronik Ortamlar
Elektronik Olmayan Ortamlar
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Yazıcılar, tarayıcılar, fotokopi makinesi
Çıkarılabilir ve taşınabilir bellekler
Sunucular
Yazılımlar
Bilgi güvenliği cihazları (antivirüs, güvenlik duvarı vs.)
Kağıtlar
Dosyalar
Yazılı, basılı ve görsel kayıtlar
Manuel veri kayıt sistemleri (formlar, anketler, ziyaretçi defteri)
-
SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Şirket tarafından işlenen kişisel veriler aşağıda belirtilen yasal düzenlemeler ve yürürlükte bulunan diğer ikincil mevzuat kapsamında ve mevzuatta öngörülen saklama süreleri kadar saklanmaktadır.
-
Türkiye Cumhuriyeti Anayasası
-
6698 sayılı Kişisel Verilerin Korunması Kanunu
-
6098 sayılı Türk Borçlar Kanunu
-
4857 sayılı İş Kanunu
-
5510 sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu
-
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
-
6331 sayılı İş Sağlığı Ve Güvenliği Kanunu
-
4982 sayılı Bilgi Edinme Kanunu
-
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun
-
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
-
5237 sayılı Türk Ceza Kanunu
-
6102 sayılı Türk Ticaret Kanunu
-
213 sayılı Vergi Usul Kanunu
-
28710 sayılı İşyeri Bina Ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik
-
30922 sayılı Devlet Arşiv Hizmetleri Hakkında Yönetmelik
-
SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
-
İnsan Kaynakları süreçlerinin yürütülmesi,
-
Çalışan haklarının ve yan haklarının planlanması ve ifası,
-
Finans ve muhasebe faaliyetlerin yürütülmesi,
-
Ticari faaliyetlerin sürdürülebilmesi,
-
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
-
Kurumsal iletişimin sağlanması,
-
Şirket güvenliğinin sağlanması
-
Resmi kurumlardan gelen soruların cevaplanması,
-
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesinin sağlanması, mevzuat ve resmi otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması,
-
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi.
-
-
İMHAYI GEREKTİREN SEBEPLER
Aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, Şirket tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
-
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
-
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
-
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
-
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
-
İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
-
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
-
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
-
KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN UYGULANAN TEDBİRLER
İDARİ TEDBİRLER
Şirket idari tedbirler kapsamında;
-
Gizlilik taahhütnameleri yapmaktadır.
-
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
-
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
-
Kişisel veri güvenliği politika ve prosedürleri belirlemiştir.
-
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlamaktadır.
-
Kişisel veri güvenliğinin takibi yapmaktadır.
-
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri almaktadır.
-
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliğini sağlamaktadır.
-
Kişisel veri içeren ortamların güvenliğini sağlamaktadır.
-
Kurum içi periyodik ve/veya rastgele denetimler yapmakta ve yaptırmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
-
Mevcut risk ve tehditleri belirlemiştir.
-
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlemiş ve bunları uygulamaktadır.
-
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlamaktadır.
-
Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
-
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
-
Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
TEKNİK TEDBİRLER
Şirket teknik tedbirler kapsamında;
-
Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
-
Ağ güvenliği ve uygulama güvenliği sağlar.
-
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanır.
-
Erişim loglarını düzenli olarak tutar.
-
Güncel anti-virüs sistemleri kullanılır.
-
Güvenlik duvarları kullanır.
-
Kişisel veriler yedekler ve yedeklenen kişisel verilerin güvenliği de sağlar.
-
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygular ve bunların takibi de yapar.
-
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
-
Saldırı tespit ve önleme sistemleri kullanır.
-
Siber güvenlik önlemleri almış olup uygulanması sürekli takip eder.
-
Şifreleme yapmaktadır.
-
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alır.
-
Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
-
Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
-
Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
-
Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.
-
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
-
SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda anonim hale getirilecek veya yok edilecektir.
Süreç
Saklama Süresi
İmha Süresi
İnsan kaynakları süreçleri, iş sağlığı ve güvenliği
İş sözleşmesinin sona ermesini takiben 30 yıl
Saklama süresinin bitimini takiben 180 gün içerisinde
Bordrolama ve ödeme işlemleri vb. muhasebe faaliyetleri
İş sözleşmesinin sona ermesini takiben 30 yıl
Saklama süresinin bitimini takiben 180 gün içerisinde
Ticari faaliyetlerin yürütülmesi, sözleşmelerin hazırlanması, ticari iletişimin sürdürülebilmesi
Ticari ilişkinin sona ermesini takiben 30 yıl
Saklama süresinin bitimini takiben 180 gün içerisinde
Ziyaret ve toplantı süreçlerinin yürütülmesi
Etkinlik tarihinden itibaren 2 yıl
Saklama süresinin bitimini takiben 180 gün içerisinde
Kamera Kayıtları
Kayıt tarihinden itibaren 30 gün
Saklama süresinin bittiği gün
İş görüşmesi süreçleri
İş görüşmesinden itibaren 3 ay
Saklama süresinin bitimini takiben 180 gün içerisinde
Sair ilgili mevzuat gereği yürütülen süreçler
İlgili mevzuatta öngörülen süre kadar
Saklama süresinin bitimini takiben 180 gün içerisinde
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermediyse, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Saklama süresi dolan kişisel veriler, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak silinir, anonim hale getirilir veya yok edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
-
KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
-
Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı
Açıklama
Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır
-
Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı
Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
-
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
-
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, Şirket internet sitesinde kamuya açıklanır. Basılı kâğıt nüshası da Şirket KVKK dosyasında saklanır.
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
Politika, Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshası iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.