KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

GİRİŞ

Amaç:  LAYKİ - Kişisel Verilerin Korunması Politikası’nın amacı; şirketimizin ticari faaliyetleri nedeniyle kullanılan kişisel verilerin, yasal mevzuata uygun olarak işlenmesi, korunması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasları düzenlemektir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler bu Politikaya uygun olarak gerçekleştirilir.

Kapsam: Kişisel Verilerin Korunması Politikamız, şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve faaliyetleri kapsar.

İlgili kişinin tanımlanamayacağı şekilde anonim hale gelen istatistiki veriler ve tüzel kişileri tanımlayan veriler kişisel veri olarak kabul edilmemektedir ve bu politika kapsamında değildir.

TANIMLAR

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini;

İlgili kullanıcı: Veri Sorumlusunun organizasyonu içinde yer alan tüm çalışanlar ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri;

İlgili Kullanıcı (Özel Yetkili) : İlgili kullanıcıdan farklı olarak, prosedür veya ilgili kişinin isteği üzerine silinen ancak yasal nedenlerle henüz yok edilmeyen kişisel verilere erişime yetkisi olan, bu verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesini sağlamak üzere özel olarak yetkilendirilen veri işleyenleri;

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini;

Yasa: 6698 Sayılı Kişisel Verilerin Korunması Kanununu;

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı;

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;

Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;

Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri;

Kurul: Kişisel Verileri Koruma Kurulunu;

Kurum: Kişisel Verileri Koruma Kurumunu;

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;

Politika: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı;

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi;

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.

KVK Yönetim Yapısı - Görev Ve Sorumluluklar

LAYKİ’nin bütün birim yöneticileri, birimlerinde Kişisel Verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir. Birim Yöneticileri bu amaçla; birim çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur.

İlgili Kullanıcıların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıkları artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:

Genel Müdür: Veri sorumlusu Temsilcisi sıfatıyla, kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasından sorumludur.

İnsan Kaynakları Yöneticisi: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, eğitim ve bilgilendirmeden sorumludur.

Bilgi Sistemleri Yöneticisi: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasından sorumludur.

Diğer Birim Yöneticileri: Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesinden sorumludur.

İlgili Kullanıcı ve Veri İşleyenler: Veri işleme ve saklanması ile ilgili işlemlerin usul ve yasaya uygun olmasından sorumludur.

Özel Yetkili İlgili Kullanıcı: Prosedür veya ilgili kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesinden sorumludur.

1. VERİ KAYIT VE SAKLAMA ORTAMLARI

Elektronik Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

Yazılımlar   (ofis yazılımları)

Bilgi güvenliği cihazları   (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

Kişisel bilgisayarlar (Masaüstü, dizüstü)

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler  (USB,  Hafıza Kart vb.)

Yazıcı, tarayıcı, fotokopi makinesi

 Fiziki Ortamlar

Kâğıt

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

Yazılı, basılı, görsel ortamlar

2. KİŞİSEL VERİLERİN İMHASI

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

2.1. İmhayı Gerektiren Sebepler

Şirketin ticari faaliyeti kapsamında işlenen kişisel verilerin imha sebepleri şöyledir:

Veri işlenmesine esas teşkil eden yasal hükümlerin ortadan kalkması veya değişmesi,

Veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

 Kişisel verileri işlemenin sadece açık rıza koşuluna bağlı olduğu durumlarda, ilgili kişinin açık rızasını geri alması,

 KVK Kanununun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,

 İlgili kişinin başvuru veya şikâyeti üzerine Koruma Kurulu tarafından kişisel verilerin imha edilmesine karar verilmesi,,

Kişisel verilerin saklanmasını gerektiren sürenin dolması ve kişisel verileri daha uzun süre saklanmasını gerektirecek bir durumun olmaması.

2.2. Kişisel Verilerin Silinmesi

İşlenen ve korunan kişisel veriler aşağıda düzenlenen yöntemlerle silinir, yok edilir ve anonim hale getirilir.

2.2.1. Bulut Çözümleri

Bulut sisteminde bulunan ve depolanan verilerden silinmesi gerekenler, silme komutu verilerek silinir, veritabanı yöneticisi dışında kalan kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

2.2.2. Kağıt Ortamında Bulunan Kişisel Veriler

Fiziki dosya ve kağıt ortamında bulunan kişisel veriler, Veri Sorumlusu tarafından arşiv ve saklama işlemleri için görevlendirilen İlgili Kullanıcı dışında diğer ilgili kullanıcılar, veri işleyenler ve çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, evrak üzerindeki kişisel verilerin kesilmesi veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılıp karartılarak ilgili kullanıcılara görünemez hale getirilir.

2.2.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosyalar işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde veritabanı yöneticisi dışında kalan kullanıcıların erişim hakları kaldırılarak erişimleri engellenir.

2.2.4. Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarındaki kişisel veriler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır bu ortamlara uygun yazılımlar kullanılarak silinir.

2.2.5. Veri Tabanları

Veri tabanları üzerindeki kişisel verilerin bulunduğu satırlar,  veri tabanı silme komutları ile silinir.

2.3. Kişisel Verilerin Yok Edilmesi

2.3.1. Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makineleri gibi imha araçları ile geri döndürülemeyecek şekilde yok edilir.

2.3.2. Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

2.4. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

3. Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi

Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle iletir.

Veri sahibinin başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir. Başvurunun yapılan bir işleme hatasından kaynaklanması durumunda ücret alınmaz veya alınmış ise iade edilir.

Veri sahibine; talebinin kabul edildiği veya talebinin reddedildiği gerekçesi açıklanarak bildirilir. Bildiri yazılı olarak veya elektronik ortamda yapılır.

4. Saklama ve İmha Süreleri

4.1. Prosedürel saklama ve imha süreleri

Şirket faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Yasal düzenlemeler veya ihtiyaçlar çerçevesinde saklama sürelerinde güncellemeler ve değişiklikler yapılır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi yetkilendirilen İlgili Kullanıcı / Özel Yetkili Kullanıcı tarafından yerine getirilir.

Saklama ve imha süresinin belirlenmesinde;

İşlenen kişisel verinin iş sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi göz önüne alınarak, iş sözleşmesinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin ticari sözleşmeler ile kurulan her tür ticari ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi göz önüne alınarak, ticari ilişkinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin dolaylı olarak iş veya ticari sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi göz önüne alınarak, hukuki ilişkinin sona ermesinden itibaren 10 yıl saklanması,

İşlenen kişisel verinin herhangi bir ticari alışveriş ile doğrudan ilgisi olmaması, irtibat kurulma, ziyaret, tanışma, teklif verme, iş veya staj için başvurma gibi amaçlarla verilmesi ve sonrasında iş veya ticari ilişkiye dönüşmemesi halinde 2 yıl saklanması,

Güvenlik kayıtlarının otomatik olarak altı ay içinde silinmesi, herhangi bir olay veya görüntüye ihtiyaç olması nedeniyle başka bir amaç ve hukuki nedene bağlı olarak saklanması gereken bölümlerin kesilerek, ilgili hukuki neden ve amacın tabi olduğu zamanaşımı süresine uygun olarak saklanması,

İlkeleri temel alınmış ve saklama süreleri buna göre belirlenmiştir.

4.2. Veri Sahibinin Başvurusu Durumunda Silme ve Yok Etme Süreleri

Veri Sahibinin kendisine ait kişisel verilerin silinmesini veya yok edilmesi için başvurması durumunda;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; başvuru konusu kişisel veriler silinir, yok edilir veya anonim hale getirilir. İlgili kişinin talebi en geç 30 gün içinde sonuçlandırılır ve ilgili kişiye bilgi verilir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve başvuru konusu kişisel veriler üçüncü kişilere aktarılmışsa, durum veri aktarılan üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını sağlanır.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgilinin isteği gerekçesi açıklanarak reddedilebilir ve ret cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

4.3. İmha Periyotları

Saklama süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler altı ayda bir imha edilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında gerçekleştirilir.

5. Politikanın Yayınlanması ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda oluşturulur. Elektronik ortamda oluşturulan internet sayfasında ilan edilir. Basılı kâğıt olarak oluşturulan dosyasında saklanır.

6. Politikanın Güncellenme Periyodu

Şirket faaliyetleri ve işlenen kişisel veri gruplarında olabilecek değişiklikler, yasal mevzuatta yapılacak değişikler ve Kişisel Verileri Koruma Kurulu ilke kararları takip edilerek, ortaya çıkan ihtiyaca göre politika gözden geçirilir ve gerekli olan bölümler güncellenir, değiştirilir veya yeniden oluşturulur.

7. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması

Politika, Verbis Sistemine kayıt olduğunda yürürlüğe girer. Politika metni ve içeriğinde değişiklik olması durumunda, eski nüsha 5 yıl saklanmak üzere arşive kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.

                                               LAYKİ MAĞAZACILIK SANAYİ İÇ VE DIŞ TİC. LTD. ŞTİ.

cultureSettings.RegionId: 0 cultureSettings.LanguageCode: TR
Çerez Kullanımı