SAGRA GRUP GIDA ÜRETİM VE TİC. A.Ş.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI


İÇİNDEKİLER 

1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI    

2. TANIMLAR    

3. İLKELER    

4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR    

5. SAKLAMA VE İMHA SÜRELERİ    

6. KİŞİSEL VERİLERİN ŞİRKETİMİZ TARAFINDAN SAKLANMASI VE İMHASI USULLERİ    

I.     KAYIT ORTAMLARI    

II.     TEKNİK VE İDARİ TEDBİRLER    

i. İdari Tedbirler:    

ii. Teknik Tedbirler:    

III.     KİŞİSEL VERİLERİN İMHA USULLERİ    

7. DİĞER HUSUSLAR    

EK-1    

SAKLAMA VE İMHA SÜRELERİ TABLOSU    


      














1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI 

 

Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemeleri esas alınarak hazırlanmıştır.  

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Şirketimiz tarafından hazırlanmıştır. 

2. TANIMLAR 

 

Anonim Hale Getirme


:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Aydınlatma Metni

:

Kişisel verinin hangi amaçla ne kadar süre saklanacağı, hangi yöntemle toplandığı, nasıl muhafaza edildiği ve 3. kişilerle paylaşılıp paylaşılmayacağı hususlarında ilgili kişiye yapılan açıklama

Başkanlık

:

Kişisel Verilerin Korunması Kurumu Başkanlığı

Envanter 

:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

İlgili Kişi

:

Kişisel verisi işlenen gerçek kişi

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun/KVKK

:

Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması işlemleri

Kişisel Verilerin Silmesi

:

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel Verilerin Yok Edilmesi

:

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kurul

:

Kişisel Verilerin Korunması Kurulu

Kurum

:

Kişisel Verilerin Korunması Kurumu

Özel Nitelikli Kişisel Veri 

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha

:

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi 

VERBIS

:

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicili

:

Başkanlık tarafından tutulan Veri Sorumluları Sicili

Veri Sorumlusu İrtibat Kişisi

:

Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Yönetmelik 

:

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.


3. İLKELER 


  • Şirketimiz tarafından Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ve aşağıda yer verilen ilkeler çerçevesinde hareket edilmektedir:  
    • Kişisel veriler, ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. 

1.2. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması KVKK gereği zorunludur:

1.2.1. Hukuka ve dürüstlük kurallarına uygun olma. 

1.2.2. Doğru ve gerektiğinde güncel olma. 

1.2.3. Belirli, açık ve meşru amaçlar için işlenme. 

1.2.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. 

1.2.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

  • Yukarıda yer verilen ilkelere uyum bakımından ise Şirketimiz olarak Veri Sorumlusu sıfatı ile veri güvenliğine ilişkin KVKK’da yer alan hükümlere uygun davranılmaktadır.


  • Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirketimizce belirlenmektedir.

 

  • KVKK’nın 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirketimiz tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirketimiz’e başvurulması halinde;  

 

  •  www.sagra.com web adresinde yer alan başvuru formu ile iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.


  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir. 

 





4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR 

 

Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından; ticari faaliyetlerin sürdürülebilmesi, elde ettiği kişisel verilerin elde edilme amacına uygun olarak kullanması, yasal yükümlüklerini yerine getirmesi, hizmet kalitesinin artırılması, hukuki taahhütlerinin ifası, çalışan haklarının düzenlenmesi,  müşteri veya tedarikçi ilişkilerinin yönetilebilmesi amacıyla fiziki ve/veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenmekte, saklanmakta ve imha edilmektedir. 


    • Kişisel verilerin saklanmasını gerektiren sebepler 


  • Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,  

 

  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,  

 

  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için saklanmasının zorunlu olması,  

 

  • Kişisel verilerin Şirketimizin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması, 

 

  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi, 

 

  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması. 


    • Kişisel Verilerin İmhasını Gerektiren Sebepler 

Şirketimiz tarafından kişisel veriler aşağıdaki sebeplerle ilgili mevzuat kapsamında re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:  


  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması, 

 

  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 

 

  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

  

  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, 

 

  • İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, 

 

  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, 

 

  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

 

5. SAKLAMA VE İMHA SÜRELERİ 


Şirketimiz bünyesinde kişisel veriler ve özel nitelikli kişisel veriler bakımından bir sınıflandırma yapılmakta ver her bir tip kişisel veri için saklama ve imha süreci belirlenmektedir. 

  • Yasal yükümlülükler dikkate alınmakta ve herhangi bir kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilmektedir. 


  • Şirketin yasal olarak bir kişisel veriyi tutması gereken asgari sürenin üzerinde bir süre o kişisel veriye ticari faaliyetini sürdürmek ve/veya herhangi bir istisnai ihtiyaç söz konusu ise o kişisel veri özelinde imha süresi daha uzun bir süre olarak belirlenir ve Aydınlatma ve/veya Açık rıza metninde bu husus detaylı olarak belirtilir. Söz konusu sürenin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir. 


  • Şirketimiz tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinde (Ek-1) yer alan “Saklama ve İmha Listesi”nden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, ilgili ekte yer alan süreler esas alınarak, 6 aylık periyodlarla işbu “Saklama ve İmha Politikası”nda yer verilen usullere uygun olarak imha edilir. 


  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az beş yıl süreyle saklanır.  




6. KİŞİSEL VERİLERİN ŞİRKETİMİZ TARAFINDAN SAKLANMASI VE İMHASI USULLERİ 

 

    I.     KAYIT ORTAMLARI 

 

Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır: 

Elektronik ortamlar: 

  • Bilgisayar
  • Serverlar

Fiziksel ortamlar: 

  • Ofis İçi kilitli dolaplar
  • Kilitli Arşiv 
  • Klasörler

 

II.     TEKNİK VE İDARİ TEDBİRLER 

 

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır: 

i. İdari Tedbirler: 

 

Şirketimiz idari tedbirler kapsamında; 


  • Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.  Şirket uygulamaları esas alınarak hazırlanan Erişim Yetki Politikası’nın hükümleri bu madde uygulamasında dikkate alınır. 

 

  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. 

 

  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar. 

 

  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir. 

 

  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir. 

                                                             

 

ii. Teknik Tedbirler: 

 

Şirketimiz teknik tedbirler kapsamında; 


  • Veri Güvenliği bakımından bilgi teknolojileri risk değerlendirmesi süreçlerini yürütür. 


  • Kişisel verilerin sistemler dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini sağlar. 

 

  • Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar. 

 

  • Bütün birimlerinde çalışanların, özellikle Bilgi Teknolojileri çalışanlarının kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar. 

 

  • Tekrar ulaşılmayacak şekilde kişisel verilerin yok edilmesi sağlanır. 

 

  • Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreleme yöntemleri ile korunur. 

 

III.     KİŞİSEL VERİLERİN İMHA USULLERİ 

 

Şirketimiz tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirketimiz tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir. 

  • Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri: 


Şirketimiz tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:  


Sistemlerden Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.  

Sistemde bulunan ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir. 

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır. 

  • Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması, 


  • Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.  

 

Fiziksel Ortamda Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir. 


Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir. 

Şirket içerisinde elden çıkarılacak olan teçhizat bakımından öncelikle teçhizat üzerinde kişisel veri olabilecek herhangi bir bilgi olup olmadığı kontrol edilmelidir. Üzerinde kişisel veri olan teçhizatlar için birimler (disk, harici bellek, vs.) donanımlar sökülerek yedek parça olarak kullanıma alınmalıdır.

 Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

 Elden çıkarılmak istenen teçhizat aktif cihaz ise (modem, switch, router vb.) default ayarlara getirilerek elden çıkarılır.

 Eğer kritik bilgi herhangi bir medya üzerindeyse (CD, DVD vb.) ortam kırılarak imha edilebilir. 

 Gizlilik dereceli bilgi içeren, ama geçersizleşmiş, hatalı basılmış, kullanılmayacak olan tüm kâğıtlar, kağıt imha makinesi kullanılarak imha edilir.

  Elden çıkarılan teçhizat mutlaka envanter listesinden düşürülmelidir. 

 İçerisinde bilgi barındırma yeteneği olmayan teçhizatlar zimmet ve envanterden çıkarıldıktan sonra ihtiyaca göre istenildiği gibi kullanılabilir.


Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

 

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır. 

 

7. DİĞER HUSUSLAR 

 

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. 

Şirketimiz tarafından hazırlanan işbu Saklama ve İmha Politikası 01.01.2022 tarihinde yürürlüğe girmiştir. 

 



 

 










EK-1 

SAKLAMA VE İMHA SÜRELERİ TABLOSU 

 

Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup aşağıda yer verilmektedir. 

SÜREÇ ve KAPSAM

SAKLAMA VE İMHA SÜRESİ