KVKK Aydınlatma Metni
1. Politikanın Amacı ve Kapsamı
Kolsara Bilişim Teknolojileri A.Ş. (“Şirket” olarak anılacaktır) Kişisel Verilerin İşlenmesi ve Korunması Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin T.C. Anayasası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair ilgili mevzuat tarafından getirilmiş ilke ve kurallara uymaya, ilgili kişilerin haklarını korumaya son derece önem vermektedir. Bu doğrultuda uygulanmak ve geliştirilmek üzere işbu politika hazırlanmıştır.
İşbu Politika, Kolsara Bilişim Teknolojileri A.Ş. için hazırlanmış olup, kurum bünyesinde verilen hizmetleri kapsamaktadır. Politika, Şirketin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini, sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için hazırlanmış düzenlemeleri kapsamaktadır. Bu politika Şirketin Müdürler Kurulunu, tüm departmanları, müdürlükleri, her türlü hizmeti veren firma çalışanlarını, stajyer ve sözleşmeli tüm personeli, ürün veya hizmet alıcılarını, ziyaretçileri ve ilgili tüm kişi gruplarını kapsamaktadır. KVKK veya işbu politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.
Çalışanlarımızın kişisel verilerinin korunmasına ilişkin yürütülen faaliyetler ise, bu Politika’daki esaslara paralel olarak kaleme alınan Kolsara Bilişim Teknolojileri A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.
Politika ile Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumunu temin etmek için gereken düzenin kurulması amaçlanmaktadır.
Kişisel verilerin korunması çerçevesindeki uygulamalar ve yasal düzenlemeler hakkında güncel bilgiler sunmak amacıyla Politika’da değişiklikler yapma hakkı saklı tutulmaktadır. Bununla birlikte, Politika’da esaslı değişiklikler yapılması halinde veri sahipleri uygun kanallar aracılığıyla haberdar edilecektir.
TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Çalışan: Şirket personeli
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi: Kişisel verisi işlenen gerçek kişi örneğin; müşteriler ve çalışan adayları
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurulu arasındaki iletişimin sağlanmasından sorumlu kişidir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Sağlık Verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
KVK Kurulu: Kişisel Verilere Koruma Kurulu
KVK Kurumu: Kişisel Verileri Koruma Kurumu
Kolsara Bilişim Teknolojileri A.Ş. Tedarikçileri: Sözleşme temelli olarak Kolsara Bilişim Teknolojileri A.Ş.’ne hizmet sunan taraflar
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika: Kişisel Verilerin İşlenmesi ve Korunması Politikası
Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu: Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
2. Kişisel Veri Güvenliğinin Sağlanması
Şirket, Kanun’un 12. Maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirket, Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Şirket Tarafından Alınan İdari ve Teknik Tedbirler
İdari Tedbirler
- Şirket kişisel verilere erişimi olan tüm çalışanların bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıkların artırılması ve bilinçlendirilmesi için çalışmalar yapmaktadır.
- Kişisel verilerin paylaşılması ile ilgili olarak kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliği sağlanır. Gizlilik taahhütnameleri yapılır.
- Kişisel verilerin korunmasına yönelik Şirket içinde güvenlik politika ve prosedürleri oluşturulmuştur. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Teknik Tedbirler
- Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli donanımsal ve yazılımsal önlemler alınmaktadır.
- Kişisel verilerin korunmasına yönelik uygun teknik tedbirlerin alınması sağlanmakta ve alınan teknik tedbirlere yönelik teknik kontroller yapılmaktadır.
- Teknik konulara ilişkin uzman personel istihdam edilmektedir aksi takdirde destek hizmetleri alınmaktadır.
- Alınan teknik tedbirlerin uygulanmasına yönelik düzenli aralıklarla gerekli denetim ve kontroller yapılmaktadır.
3. Özel Nitelikli Kişisel Verilerin Korunması
Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Kanun lafzında bu veriler özel nitelikli kişisel veriler olarak tanımlanmıştır. Şirket tarafından Kanun ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda Şirket tarafından, kişisel verilerin korunması ve güvenliği için alınan teknik ve idari tedbirler, özel nitelikli kişisel verilerin korunması bakımından özenle uygulanmakta ve şirket bünyesinde gerekli denetimler sağlanmaktadır.
4. Sorumluluklar
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine yönelik gerekli eğitimlerin düzenlenmesini sağlamaktadır. Şirket, çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemleri kurmakta, konuya ilişkin danışmanlık hizmeti almaktadır.
5. Kişisel Verilerin İşlenmesinde İlkeler ve Uyulacak Kurallar
Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
a. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Şirket bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğü çerçevesinde işlenmektedir.
b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, ilgili kişiye verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkânı sunulmaktadır.
c. Belirli Açık ve Meşru Amaçlarla İşleme
Şirket tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışı çerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar dahilinde kişisel veriler işlenmektedir.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan ve işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu sebeple, işlenen kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır. Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler silinmekte, yok edilmektedir.
6. Kişisel Verilerin İşlenme Şartları
Şirket, kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. Ve 6. Maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir.
Şirket, kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit eder, şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemektedir.
Bu kapsamda, kişisel veri işleme faaliyetleri aşağıda belirtilen kişisel veri işleme şartlarının varlığı halinde gerçekleşmektedir.
i. İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri de ilgili kişinin açık rızasıdır. İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde Şirket kişisel veri işleme faaliyetini yürütmektedir.
Aşağıda yer alan kişisel veri işleme şartlarından birinin veya birkaçının varlığı halinde ise, ilgili kişinin açık rızasına başvurulmaksızın veri işleme faaliyeti yapılabilecektir.
ii. Kanunlarda ve İlgili Mevzuatta Açıkça Öngörülmesi
Kişisel veri işleme faaliyetine ilişkin, kanunlarda açıkça düzenleme bulunması durumunda, Şirket tarafından ilgili kanuni düzenleme ile sınırlı olarak veri işleme faaliyeti yürütülecektir.
iii. Fiili İmkânsızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması ve Veri İşlemenin Zorunlu Olması
İlgili kişinin açık rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verinin işlenmesi zorunlu ise Şirket tarafından bu kapsamda veri işleme faaliyeti yürütülecektir.
iv. Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise, Şirket tarafından sadece sözleşme kapsamında veri işleme faaliyeti yürütülecektir.
v. Veri Sorumlusunun Hukuki Yükümlülüğünün Yerine Getirilmesi için Veri İşleme Faaliyetinin Zorunlu Olması
Şirketin hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için veri işleme faaliyeti yürütülecektir.
vi. İlgili Kişinin Kişisel Verisini Alenileştirmesi
Şirket tarafından, ilgili kişinin kendisi tarafından alenileştirilen kişisel veriler alenileştirilme amacına uygun olarak işlenebilecektir.
vii. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması
Kişisel verilerin işlenmesinin, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda Şirket tarafından bu zorunluluk ile orantılı biçimde veri işleme faaliyeti yürütülecektir.
viii. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Veri Sorumlusunun Meşru Menfaati İçin Gerekli Olması
Şirketin meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, ilgili kişinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülecektir.
7. Özel Nitelikli Verilerin İşlenme Şartları
Şirket tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma, mağduriyet yaşatma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir.
Bu kapsamda özel nitelikli kişisel veriler Şirket tarafından KVK Kurulu tarafından belirtilen önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilecektir:
1) Kişisel Sağlık Verilerinin İşlenmesi
Şirket tarafından kişisel sağlık verileri aşağıda sayılan şartlardan birinin varlığı halinde işlenebilecektir:
· kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ve/veya
· ilgili kişinin açık rıza vermesi
2) Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek, vakıf veya sendika üyeliği, biyometrik veriler, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler) ilgili kişinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilecektir.
8. Kişisel Verilerin Aktarılması
8.1.Kişisel Verilerin Yurt İçine Aktarımı
Şirket kişisel verilerin aktarılması konusunda Kanun’da öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun şekilde hareket etmektedir.
Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere Şirket tarafından aktarılmaz.
Kanun ve sair mevzuatın öngördüğü istisnai hallerde ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler, mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan kurum ve kuruluşlara veya özel hukuk tüzel kişilerine aktarılabilir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirilebilmesi için zorunlu olması,
- Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
8.2.Kişisel Verilerin Yurt Dışına Aktarımı
Kişisel veriler kural olarak ilgili kişinin açık rızası olmadan yurt dışına aktarılmaz. Ancak istisnai hallerin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin;
- Kurul’un ilan ettiği yeterli korumanın olduğu ülkelerde bulunması,
- Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.
9. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirket tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri, ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.
10. İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
Şirket tarafından, kişisel veriler toplanırken öncelikle Kanun’un 10. Maddesine Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. İlgili kişi Aydınlatma metinlerinde;
- Şirketin unvanı, açık adresi ve iletişim bilgileri,
- Mevcut ise temsilci kimliğine ilişkin bilgiler,
- Kişisel veri kategorileri,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Veri toplama yöntemi ve hukuki sebebi,
- İlgili kişinin Kanun’un 11. Maddesinde sayılan hakları ve Şirket’e başvuru yolları, yer almaktadır.
Şirket işbu Aydınlatma metinleri ile Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir olmayı hedeflemiştir.
11. Kişisel Verilerin Saklanması ve İmhası
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda Şirket, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Şirket internet sayfasında yayınlanan Kolsara Bilişim Teknolojileri A.Ş. Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına, saklama ve imhaya ilişkin alınan teknik ve idari tedbirlere yer verilmiştir.
12. İlgili Kişilerin Hakları ve Bu Hakların Kullanılması
12.1. İlgili Kişilerin Hakları
İlgili kişiler Kanun kapsamında aşağıda yer alan haklara sahiptirler:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
12.2. İlgili Kişinin Haklarını Kullanması
İlgili kişiler Kanun’un 11. Maddesinde sayılan haklar kapsamındaki taleplerini, Veri Sorumlusu Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun şekilde Şirketin ilgili kişinin gerçek hak sahibi olduğunun tespitini yapabilmesi için kimliklerini doğrulayan bilgilerle / belgelerle (T.C. Kimlik Numarası, adres, cep telefonu vb.) birlikte www.kolsara.com adresindeki İletişim Formu’nu doldurarak
- Yazılı olarak iadeli taahhütlü posta ile Şehit Muhtar Mah. Mis Sok. No:24 İç Kapı No: 8 Beyoğlu/İstanbul adresine,
- Tarafımıza daha önce bildirmiş olduğunuz ve sistemlerimize kayıtlı e-posta adresiniz üzerinden [email protected] adresine elektronik olarak
İletebilirler.
Şirkete iletilen kimlik doğrulayıcı nitelikteki bilgi veya belgelerde özel nitelikli verilere (kan grubu, din bilgisi vb.) yer verilmemesi gerekmektedir. Şirket ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir.
13. Şirket’in Başvurulara Cevap Vermesi
Şirket, ilgili kişi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
İlgili kişinin talebinin niteliğine göre en kısa sürede ve en geç 30 gün içinde başvuru ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre ilgili kişiden ücret talep edilebilecektir.
14. İş Yeri ve İnternet Sitesi Ziyaretçilerine İlişkin Veri İşleme Faaliyetleri
14.1.1. İş Yeri kapsamında Kamera ile İzleme Faaliyetleri
a. Kişisel verilerin korunması hukukuna uygun şekilde iş yerinin, çalışanların, ziyaretçilerin ve müşterilerin güvenliğinin sağlanabilmesi amacıyla ve bu amaçla sınırlı olarak güvenlik kamerası ile izleme faaliyeti yürütülmektedir.
b. Kamera ile izleme faaliyeti ilgili kişilere bildirilmektedir.
c. Kamera ile izleme faaliyeti kapsamında elde edilen verilerin güvenliği sağlanmaktadır.
d. Kamera ile izleme faaliyeti kapsamında elde edilen kişisel verilerin muhafaza süresi Şirket tarafından belirlenmiş ve ilgili kişiler bu konuda aydınlatılmıştır.
e. İzleme sonucunda elde edilen bilgilere kimlerin erişebildiği ve bu bilgilerin kimlere aktarıldığı, şeklindeki bilgiler Kurul’un resmi internet sitesinde ilan etmiş olduğu şekilde ‘katmanlı’ olarak aydınlatma metinlerine eklenmiştir. Kamera sistemlerinin bulunduğu tüm yerlere tablolar halinde Katmanlı Kamera Aydınlatma Metinleri asılmıştır.
15. İnternet Sitesi Ziyaretçileri
Çerez kayıtları, Şirket internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanılmaktadır. Şirket internet sitesinde geçirilen vaktin daha verimli hale getirilmesi amaçlanmaktadır. Bunların yanında, internet sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için Şirket internet sitesinde www.kolsara.com yer alan Kolsara Bilişim Teknolojileri A.Ş. Çerez Politikasını İnceleyebilirsiniz.
16. İhlal Durumu ile Karşılaşılması Halinde Yapılacaklar
Şirket tarafından alınan tüm teknik ve idari tedbirlere karşın bir ihlal durumu ortaya çıkarsa, ihlalin öğrenilmesinden itibaren irtibat kişisi vasıtasıyla Kişisel Verileri Koruma Kurulu’na (en geç 72 saat içerisinde) bildirim yapılacaktır. İhlal durumunda ilgili kişilere açık şekilde bildirim yapılacaktır. Bu bildirimde;
- İhlalin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları yer alacaktır.
KİŞİSEL VERİ İŞLEME AMAÇLARI
Şirketin İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimleri Tarafından Gerekli Çalışmaların Yapılması veya Buna Bağlı İş Süreçlerinin Yürütülmesi
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
Şirket’in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
Şirket’in ve Şirket’le İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temini
- Fiziksel Mekân Güvenliğinin Temini
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
KİŞİSEL VERİ SAHİPLERİ
Aile Bireyleri ve Yakınları: Şirket tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen çalışanların eş, çocuk ve yakınları.
Çalışan Adayı: Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler
Çalışan: Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları faaliyetleri, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. çerçevesinde kişisel verileri işlenen Şirket çalışanı gerçek kişiler
Şirket Hissedarı: Şirketin hissedarı gerçek kişiler
Şirket Tedarikçisi: Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraf çalışanı, yetkilisi veya hissedarı olan gerçek kişiler.
Üçüncü Kişi: Bu Politika kapsamına girmeyen diğer gerçek kişiler. (Örn: Kefil, Refakatçi, Eski çalışanlar)
Ürün veya Hizmet Alan Kişi: Şirket ile sözleşmesel iş ilişkileri kapsamında kişisel verileri elde edilen gerçek kişiler
Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket internet sitesini ziyaret eden gerçek kişiler
KİŞİSEL VERİ KATEGORİZASYONU
Kimlik Bilgisi: Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir: Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne-baba adı, doğum tarihi/yeri, cinsiyet, medeni hal, ehliyet, nüfus cüzdanı, pasaport gibi belgeler, vergi numarası, SGK numarası, imza vb. bilgiler)
İletişim Bilgisi: Telefon numarası, adres bilgisi, e-posta bilgisi
Özlük Bilgisi: Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi, özgeçmiş bilgileri vb.
Hukuki İşlem Bilgisi: Adli makamlarla yazışma bilgileri, dava dosyasındaki bilgiler
Müşteri İşlem Bilgisi: Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb.
İşlem Güvenliği Bilgisi: İnternet sitesi giriş-çıkış bilgileri, IP adres bilgileri, şifre ve parola bilgileri vb.
Fiziksel Mekân Güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları vb.
Finans Bilgisi: Banka hesap/Iban bilgisi, borç/alacak bilgisi vb.
Aile Bireyleri ve Yakını Bilgisi: İlgili kişinin aile bireyleri (anne, baba, çocuk, eş vb.), yakınları veya acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Görsel/İşitsel Bilgi: Fotoğraf, kamera/video kayıtları, ses kayıtları vb.
Pazarlama Bilgisi: Alışveriş geçmişi bilgileri, anketler, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.
Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Çalışılan Kurum Bilgileri: Ürün veya Hizmet Alan Kişi’nin anlaşmalı olduğu Özel Sağlık Sigortası/Anlaşmalı kurum bilgileri ve/veya İlgili Kişi’nin bizzat çalıştığı kurum bilgisi
EK-1
1. POLİTİKANIN AMAÇ VE KAPSAMI
Kişisel Verileri Saklama ve İmha Politikası (Politika), Kolsara Bilişim Teknolojileri A.Ş. (Şirket) olarak gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel Verileri Saklama ve İmha Politikası (Politika), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ve Kanun’un uygulanmasına yönelik düzenlenmeler içeren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) uyarınca kişisel verilerinizi Kanun ve ilgili mevzuat hükümlerine uygun olarak işledikten sonra, veri işlenmesini gerektiren sebeplerin ortadan kalkması ya da işlenen verilerin mevzuatta öngörülen azami saklama sürelerinin dolması durumunda veri sorumlusu olarak yükümlülüklerimizi yerine getirmek ve işlenen kişisel verilerinizi silme, yok etme ve anonim hale getirme süreçleri hakkında sizleri bilgilendirmek amacıyla Kolsara Bilişim Teknolojileri A.Ş. (Şirket) tarafından hazırlanmıştır.
Şirket; Kanun ve ilgili mevzuat kapsamında belirlenen usul ve esaslar ve kendi misyon, vizyon ve temel ilkeleri doğrultusunda; şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, ürün veya hizmet alan kişi, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi yetkilisi ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı KVKK ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak benimsemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.
2. TANIMLAR
İşbu Politika’da geçen terimler aşağıdaki anlamları ihtiva eder:
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan: Şirket personeli
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika: Kişisel Verilerin İşlenmesi, Saklanması ve İmha Edilmesi Hakkında Politika
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
3. SORUMLULUKLAR VE GÖREV DAĞILIMI
Kişisel verilerin Şirket adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu olarak Şirket ile veri işleyen kişiler, veri güvenliğine yönelik tedbirlerin alınması konusunda idari makamlara ve ilgili kişilere karşı Kanunen müştereken sorumlu olurlar. Bu minvalde, Veri işleyenler asgari olarak Şirket’in almış olduğu tedbirleri almakla ve iş burada belirtilen imha sürelerine ve yöntemlerine uymakla sorumludur. Şirket, veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; iş ortakları, tedarikçi ve yüklenicileri tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin Kişisel Verilerin Korunması mevzuatına ve idari kararlar ile yargı kararlarına uyumunu denetler.
Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
· Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
· Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere madde 8’de açıklanan sürelerle saklanmaktadır.
· Kurul tarafından aksine bir karar alınmadıkça kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
· Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır.
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
| UNVAN | BİRİM | GÖREV |
| ŞİRKET MÜDÜRÜ / YÖNETİM KURULU BAŞKANI | ŞİRKET | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
| GENEL MÜDÜR | Kolsara Bilişim Teknolojileri A.Ş. Genel Müdürlüğü | Şirket içerisindeki tüm birimlerin, departmanların ve çalışanların Politika’ya uygun hareket etmesinden sorumludur. |
| İNSAN KAYNAKLARI MÜDÜRÜ | İNSAN KAYNAKLARI MÜDÜRLÜĞÜ | Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi ve politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
Tablo 1: Saklama ve imha süreçleri görev dağılımı
4. KAYIT ORTAMLARI
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Verileri Saklama ve İmha Politikası’na uygun olarak işlemekte ve korumaktadır.
Elektronik olmayan ortamlar: Kâğıt, manuel veri kayıt sistemleri (katılımcı formları, anket formları, ziyaretçi kayıt defteri, yetkili satıcı formları, insan kaynakları form ve dilekçe örnekleri vb.) yazılı, basılı, görsel ortamlar, birim dolapları, arşiv alanları
Elektronik ortamlar : Şirket bünyesinde yer alan kişisel bilgisayarlar, yurt içi ve/veya yurtdışı sunucular, bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.) mobil cihazlar, yazılımlar, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
Bulut ortamlar: Şirket bünyesinde yer almamakla birlikte Şirket’in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
Tablo 2: Kişisel verilerin kaydedildiği ortamlar
5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, ürün veya hizmet alan kişi, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi yetkilisi ve diğer üçüncü kişilere ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
5.1. KİŞİSEL VERİLERİ SAKLAMAYA İLİŞKİN AÇIKLAMALAR
Kanunun 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
5.1.1. Saklamayı Gerektiren Hukuki Sebepler
Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
a. 6698 sayılı Kişisel Verilerin Korunması Kanunu,
b. 6098 sayılı Türk Borçlar Kanunu,
c. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
d. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
e. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
f. 4857 sayılı İş Kanunu,
g. İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
h. 6102 sayılı Türk Ticaret Kanunu
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
5.1.2. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
· İnsan kaynakları süreçlerini yürütmek,
· Çalışan haklarının ve yan haklarının planlanması ve ifası,
· Şirketin ticari işleyişini sağlamak,
· Kurumsal iletişimi sağlamak,
· Şirket güvenliğini sağlamak,
· Müşteri ilişkilerinin yönetilebilmesi,
· İstatistiksel çalışmalar yapabilmek,
· İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
· Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
· Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
· Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişilerin talep ve şikayetlerinin sonuçlandırılması,
· Kanun kapsamında gerekli teknik önlemlerin alınmasını temin etmek (veri yedekleme, silme yok etme işlemlerinin kayıt altına alınması vb.)
· İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
amacıyla fiziki ya da elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
5.2. İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
· İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
· İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
· Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
· Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kişisel Verileri Koruma Kurulu tarafından kabul edilmesi veya yargı kararı,
· Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanunun 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından gerekli teknik ve idari tedbirler alınır.
6.1. ALINAN İDARİ TEDBİRLER
Şirket kişisel verilerin saklandığı tüm ortamlarda ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
· Çalışanlarla imzalanan iş sözleşmelerinde sır saklama yükümlülüğü ve gizlilik hükümlerine yer verilmiştir.
· Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
· Kişisel verilerin paylaşılması ile ilgili olarak kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliği sağlanır. Gizlilik taahhütnameleri yapılır.
· Kişisel Veri Envanteri hazırlanır ve süreç içerisinde güncellenir.
· İlgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmektedir.
· Özel nitelikli kişisel verilerin güvenliğine yönelik prosedürler belirlenmiş ve uygulanmaktadır.
· Kişisel veriler mümkün olduğunca azaltılmaktadır.
· Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
· İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
· Kişisel verilere erişimi olan tüm çalışanların bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
· Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
· Kişisel veri içeren fiziksel ortamlara (arşiv odası vb. gibi) giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınır ve fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanır.
· Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
6.2. ALINAN TEKNİK TEDBİRLER
Şirket kişisel verilerin saklandığı tüm ortamlarda ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
· Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
· Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
· Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
· Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
· Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
· Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
· Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
· Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
· Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
· Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
· Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
· Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
· Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
· Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
· Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
· Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
· Özel nitelikli kişisel verilerin Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
7. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
7.1. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
| VERİ KAYIT ORTAMI | AÇIKLAMA |
| Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
| Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365 vb.) | Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir. |
Tablo 3: Kişisel verilerin silinmesi
7.2. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel veriler Tablo-4’te verilen yöntemlerle yok edilir.
| VERİ KAYIT ORTAMI | AÇIKLAMA |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Tablo 4: Kişisel verilerin yok edilmesi
7.3. KİŞİSEL VERİLERİN ANONİMLEŞTİRİLMESİ
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Kişisel verilerin anonim hâle getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi gerekir.
Şirket kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerden bir veya birkaçını kullanabilir:
Değişkenleri Çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.
Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişiyi belirtemez hale getirilmesidir.
Bölgesel Gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme: Birçok kişiye ait kişisel verilerin bir araya getirilip ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Şirket kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmeliğin 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Şirket, serbesti içinde olacaktır.
8. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
· Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
· Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
· Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu verilerin imhasında uygulanacak yöntem, verinin niteliği ve Şirket nezdindeki önem derecesine göre belirlenir.
Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
8.1. İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi ve Silme‐Yok Etme Süreleri
İlgili kişi, Kanun’un 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini tercihen Kolsara Bilişim Teknolojileri A.Ş. Başvuru formunu kullanmak suretiyle yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Kolsara Bilişim Teknolojileri A.Ş.’ne iletir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlem hakkında ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanun’un 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
8.2. Periyodik İmha
Şirket tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha işlemlerinde mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Saklama süresi dolan kişisel veriler, Şirket tarafından belirlenen imha süreleri çerçevesinde, 6 aylık periyodlarla her yılın Haziran ve Aralık ayında işbu Politika’da yer verilen usûllere uygun olarak imha edilir.
Şirket Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Politika uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Söz konusu işlemler İnsan Kaynakları Birimi tarafından yerine getirilir.
8.3. Saklama Süreleri Sona Eren Kişisel Veriler İçin Gerçekleştirilecek İşlemler
Kağıt ortamında re’sen silme, yok etme veya anonim hale getirme işlemi ilgili birimin müdürünün bilgisi dahilinde ilgili veri kullanıcısı çalışan tarafından, ilgili işlem tutanakla kayıt altına alınmak suretiyle gerçekleştirilir.
Elektronik ortamda re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem Departmanı tarafından (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında)
Şirket bilgisayarı, telefon, e-mail hesabı, tablet vb. ortamda ise ilgili birimin genel müdürünün, yardımcısının ve bilgi işlem departmanının ön bilgisine sunulmak kaydıyla ilgili veri kullanıcısı çalışan tarafından yerine getirilir. Çalışanlar iş için kendisine tahsis edilen bu elektronik ortamlarda silme, yok etme işlemlerini kişisel veri envanterine uygun şekilde süresinde re’sen gerçekleştirmekle, saklama süresinin dolmasından önce gerçekleşen veri imha sebeplerinde ise İnsan Kaynakları Müdürünün görüş ve talimatına konuyu bildirmek ve gelecek cevaba uygun şekilde işlemleri gerçekleştirmekle bizzat sorumludur. Bilgi İşlem Departmanı elektronik ortamdaki bu silme, yok etme, anonimleştirme işlemlerinin kayıt altına alınması için gerekli teknik donanımı çalışana sağlamakla yükümlüdür.
Süreç bazında Kişisel verileri saklama ve imha süreleri aşağıdaki gibidir:
| Veri Türü | Saklama Süresi | İmha Süresi |
| Çalışan Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışan Adaylarına İlişkin Veriler | 10 Gün | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| E-postalar ve şirket içi yazışmalar | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Eski Çalışan Kayıtları | İşten ayrılmalarından itibaren10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hukuk Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kamera Kayıtları | 3 Ay | Otomatik olarak kayıtlar silinerek imha edilmektedir. |
| Log Kayıt Takip Sistemleri | 1 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Muhasebe ve Finans Kayıtları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri Kayıtları | Son ilişki tarihinden itibaren10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşmeler | Sözleşmenin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket İçi Şikayetler ve İlgili Belgeler | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışan Eğitimleri( İş Güvenliğine Yönelik Mesleki Eğitim ve Diğerleri) | 15 yıl – 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tablo 5: Veri bazında saklama ve imha süreleri
9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, ayrıca Şirket’in internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Basılı kâğıt nüshası da Muhasebe birimi tarafından KVKK Dosyasında saklanır.
10. POLİTİKA’NIN GÜNCELLENMESİ VE YÜRÜRLÜKTEN KALDIRILMASI
Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca yahut sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika’da değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
Yürürlükten kaldırılmasına karar verilmesi halinde Politika’nın ıslak imzalı eski nüshaları Yönetim Kurulu kararı ile İnsan Kaynakları Birimi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Birimi tarafından saklanır.
Kolsara Bilişim Teknolojileri A.Ş.
Mersis No : 0575-1027-0170-0001
Adres : Şehit Muhtar Mah. Mis Sok. No:24 İç Kapı No: 8 Beyoğlu/İstanbul
Telefon : 0850 304 1088
E-posta : [email protected]
Not: İşbu websitesini kullanıp üyelik/kullanım sözleşmemizi onayladığınız takdirde “Kolsara”nın kişiye özel pazarlama faaliyetleri kapsamında açık bir onay vermiş olursunuz. Onayınız doğrultusunda “Kolsara”nın işbu kişiye özel hizmet ve pazarlama yöntemlerini kabul etmiş olursunuz. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat uyarınca, “Kolsara" tarafından vermekte olduğumuz hizmetler kapsamında, www.kolsara.com web sitesi üzerinden temin edilen bilgileriniz doğrultusunda, onay vermeniz halinde herhangi bir iletişim aracı kullanarak (SMS, e-posta, telefon, faks, çağrı merkezi, v.b. gibi) tarafınıza her türlü bilgilendirme, tanıtım, reklam, ürün teklifleri, promosyonlar, kampanyalar, memnuniyet değerlendirme çalışmaları ve duyuruların iletilmesi amacıyla tarafınızla iletişime geçilebilecektir.İlgili vermiş olduğunuz açık rızayı geri alma hakkına sahipsiniz. İşbu Ticari Elektronik İleti www.kolsara.com adresindeki Kişisel Verilerin Korunması Kanunu Politikası, Müşteri Aydınlatma Metni ve Üyelik Sözleşmesi’nin ayrılmaz bir parçasıdır.