1. AMAÇ
Nazar Döküm Hidr. Galv. Asan. Ve Kuym. San. ve Tic. Ltd. Şti. (“Nazar Asansör”) 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince kişisel verilerinizi koruma, saklama, işlendikleri amaç için gerekli azami saklama süresini belirleme, silme, yok etme ve anonim hale getirme süreçlerini veri sahipleri için bilinir kılmak ve bu işlemlere ilişkin benimsediği yöntemleri şeffaflıkla ortaya koymak için işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”)’nı hazırlamıştır. Bu Politika’nın hazırlanmasında 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) esas alınmıştır.
2. KAPSAM
Bu Politika, Nazar Asansör çalışanlarının, işbirliği halinde olduğumuz üçüncü kişilerin ve üçüncü kişilerin çalışanlarının, ürün veya hizmet alan kişilerin, tedarikçi çalışanı ve yetkililerinin ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen/işlenebilecek olan gerçek kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
3. TANIMLAR
Kanun/KVKK Kişisel Verilerin Korunması Kanunu
Kurul/Kurum Kişisel Verileri Koruma Kurumu/Kişisel Verileri Koruma Kurulu
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Kişisel Verilerin İmha Edilmesi Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
İlgili Kişi 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanan kişisel veri sahipleri
İlgili Kullanıcılar Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Kişisel Veri Saklama Envanteri Şirketimiz bünyesinde toplana kişisel verilerin hangi Veri Sahibi gruplarına ait olduğunu, süreç bazlı olarak gösteren envanter
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Veri Kayıt Sistemi Kişisel Verilerin Şirketimiz bünyesinde yapılandırılarak işlenmesi için kullandığımız kayıt sistemi
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam Elektronik Ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
4. İDARİ VE TEKNİK TEDBİRLER
Yönetmelik uyarınca, iş bu Politikanın kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, Nazar Asansör tarafından kişisel verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
– Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
– Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
– Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
– Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
– Çalışanlar için yetki matrisi oluşturulmuştur.
– Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
– Gizlilik taahhütnameleri yapılmaktadır.
– Güncel anti-virüs sistemleri kullanılmaktadır.
– Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
– Kişisel veri güvenliğinin takibi yapılmaktadır.
– Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
– Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
– Kişisel veriler mümkün olduğunca azaltılmaktadır.
– Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
– Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
– Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
– Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
– Mevcut risk ve tehditler belirlenmiştir.
– Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
– Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
– Saldırı tespit ve önleme sistemleri kullanılmaktadır.
– Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
– Şifreleme yapılmaktadır.
– Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
– Veri kaybı önleme yazılımları kullanılmaktadır.
5. UYGULAMA
Nazar Asansör kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Nazar Asansör’ün Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Nazar Asansör, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Nazar Asansör organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez. Kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Kişisel Verilerin Yok Edilmesi
Elektronik olan veya olmayan ortamlarda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, geri döndürülemeyecek şekilde yok edilir. Nazar Asansör, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Nazar Asansör tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Nazar Asansör, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
6. SAKLAMA VE İMHA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
İlgili kişi Nazar Asansör’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Nazar Asansör talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
Veri Kategori Detayları İmha Süresi Saklama Süresi
Kimlik bilgisinden Ad, Soyad ve doğum tarihi bilgisi Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Faaliyetin veya sözleşmenin bitimini takiben 10 yıl
İletişim kategorisinden telefon ve adres bilgisi Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Faaliyetin veya sözleşmenin bitimini takiben 10 yıl
İnsan kaynakları süreçleri sebebiyle özlük dosyası oluştururken alınan sağlık verisi Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş sözleşmesinin bitimini takiben 10 yıl
İnsan Kaynakları süreçlerinin yürütülmesi sebebiyle özlük dosyası oluştururken alınan adli sicil kaydı Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İş sözleşmesinin bitimini takiben 10 yıl
Müşteri işlem Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmenin bitimini takiben 10 yıl
Fiziksel mekân güvenliği sebebiyle kamera kayıtları Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Verinin işlenmesinden itibaren 35 gün
Hukuki işlem Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmenin bitimini takiben 10 yıl
Parmak izi (Biyometrik veri) Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmenin bitimini takiben 10 yıl
Mesleki Deneyim Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmenin bitimini takiben 10 yıl
7. SORUMLULUKLAR
Kişisel Verilerin Nazar Asansör’ün kendi ticari faaliyetleri için toplanmasından veya işlenmesinden, işbu Politika ile tutarlı davranılmasından, mevzuat ve sözleşme sorumluluklarının yerine getirilmesinden nihai olarak Nazar Asansör sorumludur.
Tüm iş birimleri kendi yürüttükleri süreçlerle ilgili olarak KVKK’na uyum amacıyla kişisel verilerin işlenmesi, saklanması ve imha edilmesi için gerekli tedbirleri almaktan sorumludur.
8. ONAY VE YÜRÜRLÜĞE GİRME
Bu Politika Nazar Asansör tarafından 28.09.2020 tarihinde onaylanmıştır. Bu tarih itibarıyla geçerli ve bağlayıcı olacaktır.