KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKAMIZ
KHT ULUSLARARASI NAKLİYE GÜMRÜKLEME LOJİSTİK SANAYİ TİCARET LİMİTED ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla KHT ULUSLARARASI NAKLİYE GÜMRÜKLEME LOJİSTİK SANAYİ TİCARET LİMİTED ŞİRKETİ (“Şirket”) tarafından hazırlanmıştır.
TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi veya yok edilmesi
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme veya yok etme
Veri Sahibi/ İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İLKELER
Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
• Kişisel verilerin silinmesi veya yok edilmesi ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme veya yok etme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte ya da yok edilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
– İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
– Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir ya da yok edilir:
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi veya yok edilmesi getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Saklama ve İmha Süreleri Şirket tarafından
Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
• Mevzuatlarda söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise söz konusu süre Hukuk ve Ceza zaman zamanaşımları ile yüksek mahkeme içtihatları birlikte değerlendirilerek tayin olunur. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
– Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir. Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir ya da yok edilir.
– Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir yada yok edilir .
Saklama süresi dolan kişisel veriler, işbu Politikanın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politikada yer verilen usullere uygun olarak imha edilir. Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel Verilerin Yurt Dışı İle Paylaşımı
Kişisel Verilerin yurt dışı ile doğrudan paylaşımı söz konusu olmamakla birlikte, şirket faaliyeti ile sınırlı olarak bilgi alışverişinde kullanılan e–posta kanallarının serverlarının yurt dışında bulunması sebebiyle kurum e-postalarında yer alan kişisel veriler veri sorumlusu şirket tarafından aktarma amacı bulunmasa da dolaylı olarak paylaşılmış sayılmaktadır. Konuya ilişkin Kurum tarafından uygulama sürecinde getirilecek kıstaslar şirketimizce dikkate alınacaktır.
Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler
Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler sisteme işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in merkezinde ki sunucusuna kaydedilmektedir. Fiziki olarak tutulan kayıtlar Şirketin özel girişli arşivinde saklanmaktadır. Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
İdari Tedbirler:
Şirket idari tedbirler kapsamında;
Çalışanların Niteliği Ve Teknik Bilgi/Becerisinin Geliştirilmesi, Kişisel Verilerin Hukuka Aykırı İşlenmesinin Önlenmesi ve Kişisel Verilerin Muhafazasını sağlanır,
İletişim Teknikleri Ve İlgili Mevzuatlar Hakkında Eğitim Verilmekte; Çalışanlara Gizlilik Sözleşmeleri İmzalatılmakta; Güvenlik Politika Ve Prosedürlerine Uymayan Çalışanlara Uygulanacak Disiplin Prosedürü Uygulanmakta, İlgili Kişilerin Aydınlatma Yükümlülüğü Yerine Getirilmekte, Kurum İçi Periyodik Ve Rastgele Denetimler Yapılmakta Ve Çalışanlara Yönelik Bilgi Güvenliği Eğitimleri Verilmekte olup,
Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
Teknik Tedbirler:
Şirket idari tedbirler kapsamında;
Kurumun Bilişim Sistemleri Teçhizatı, Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemleri Almakta, Hukuka Aykırı İşlemeyi Önlemeye Yönelik Riskleri Belirlemekte, Bu Risklere Uygun Teknik Tedbirler Alınmakta,
Erişim Yetki Ve Rol Dağılımları İçin Prosedürler Oluşturulmakta Ve Uygulanmakta ,Yetki Matrisi Uygulanmakta ,Erişimler Kayıt Altına Alınarak Uygunsuz Erişimler Kontrol Altında Tutulmakta ,
Saklama Ve İmha Politikasına Uygun İmha Süreçleri Tanımlanmakta Ve Uygulanmakta , Hukuka Aykırı İşleme Tespiti Halinde İlgili Kişiye Ve Kurula Bildirmek İçin Bir Sistem Ve Altyapı Oluşturulmakta ,Güvenlik Açıkları Tespit Edilerek Uygun Güvenlik Yamaları Yüklenmekte, Bilgi Sitemleri Güncel Halde Tutulmakta ,Kişisel Verilerin İşlendiği Elektronik Ortamlarda Güçlü Parolalar Kullanılmakta Ve Güvenli Kayıt Tutma (Loglama )Sistemleri Kullanılmakta ,Kişisel Verilerin Güvenli Olarak Saklanmasını Sağlayan ,Yedekleme Programları Kullanılmakta, Fiziki Kayıtlar Arşivlenerek Gerekli Güvenlik Önlemleri Altında Saklanmaktadır.
Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
Kişisel Veriler İçin alınan İdari Tedbirlerin Yanı Sıra ,Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Düzenli Veri Güvenliği Eğitimleri Verilmekte ,Bu Verilerin İşlendiği Ve Saklandığı Ortamların Güvenlik Önlemleri Alınmakta ,Yetkisiz Giriş Ve Çıkışlar Engellenmekte ,Kağıt Ortamına Aktarımı Gerekiyorsa Evrak “Gizlilik Dereceli Belgeler ” Formatında gönderilmektedir.
Kişisel Veriler İçin Alınan Teknik Tedbirlerin Yanı Sıra Özel Nitelikli Kişisel Verilerin Güvenliğine Yönelik Politika Ve Prosedürler Belirlenmekte, Erişim Yetkileri Tanımlanmakta ,Bu Verilerin İşlendiği Elektronik Ortamda Kriptografik Anahtarlar Güvenli Ortamlarda Tutulmakta ,İşlem Kayıtları Loglanmakta ,Güvenlik Testleri Düzenli Yapılmaktadır.
Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
İhlalden haberdar olan üst amir söz konusu ihlali derhal ilgili kişi ve Kişisel Verileri Koruma Kuruluna bildirilecektir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
Politikaya aykırı davranan çalışan hakkında, İlgili Birim tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
Veri işleyenin görevlendirilmesi
Şirketimizin bünyesinde yetkilendirilmiş çalışanımız , kişisel verileri işleme faaliyetimizde veri işleyen sıfatına sahiptir.
Politikanın Güncellenme Periyodu:
İş bu Politika, yılda en az bir kez gözden geçirilir ve ihtiyaç halinde güncellenir.
Politikanın Yürürlük Tarihi:
İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri için bağlayıcı olacaktır.
EK-1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo
Kişisel veriler politikanın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise yok edilecektir:
Süreç
-
İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.)
-
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)
-
SGK mevzuatı kapsamında tutulan veriler
-
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar
-
Sair ilgili mevzuat gereği toplanan veriler
-
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması
-
Müşteri verileri
Saklama Süresi
-
İş ilişkisinin sona ermesine müteakip 15 yıl
-
İş ilişkisinin sona ermesine müteakip 15 yıl
-
İş ilişkisinin sona ermesine müteakip 15 yıl
-
İş ilişkisinin sona ermesine müteakip 15 yıl
-
İlgili mevzuatta öngörülen süre kadar
-
Dava zaman aşımı müddetince
-
Kayıt altına alınmasına müteakip 15 yıl
İmha Süresi
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
-
Saklama süresinin bitimini takiben 180 gün içerisinde.
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Kişisel Verilerin Silinmesi Ek
2-Kişisel verileri silinme yöntemlerini gösteren tablo
Veri Kayıt Ortamı
-
Veri Kayıt Ortamı
-
Sunucularda Yer Alan Kişisel Veriler
-
Elektronik Ortamda Yer Alan Kişisel Veriler
-
Fiziksel Ortamda Yer Alan Kişisel Veriler
-
Taşınabilir Medyada Bulunan Kişisel Veriler
Açıklama
-
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
-
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
-
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
-
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Ek 3- Kişisel verileri yok etme yöntemini gösteren tablo
Veri Kayıt Ortamı
-
Fiziksel Ortamda Yer Alan Kişisel Veriler
-
Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Açıklama
-
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
-
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.