SAGRA GRUP GIDA ÜRETİM VE TİC. A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İÇİNDEKİLER
1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI
2. TANIMLAR
3. İLKELER
4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
5. SAKLAMA VE İMHA SÜRELERİ
6. KİŞİSEL VERİLERİN ŞİRKETİMİZ TARAFINDAN SAKLANMASI VE İMHASI USULLERİ
I. KAYIT ORTAMLARI
II. TEKNİK VE İDARİ TEDBİRLER
i. İdari Tedbirler:
ii. Teknik Tedbirler:
III. KİŞİSEL VERİLERİN İMHA USULLERİ
7. DİĞER HUSUSLAR
EK-1
SAKLAMA VE İMHA SÜRELERİ TABLOSU
1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI
Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemeleri esas alınarak hazırlanmıştır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Şirketimiz tarafından hazırlanmıştır.
2. TANIMLAR
Anonim Hale Getirme |
: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Aydınlatma Metni |
: |
Kişisel verinin hangi amaçla ne kadar süre saklanacağı, hangi yöntemle toplandığı, nasıl muhafaza edildiği ve 3. kişilerle paylaşılıp paylaşılmayacağı hususlarında ilgili kişiye yapılan açıklama |
Başkanlık |
: |
Kişisel Verilerin Korunması Kurumu Başkanlığı |
Envanter |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
İlgili Kişi |
: |
Kişisel verisi işlenen gerçek kişi |
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Kanun/KVKK |
: |
Kişisel Verilerin Korunması Kanunu |
Kayıt Ortamı |
: |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması işlemleri |
Kişisel Verilerin Silmesi |
: |
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Kişisel Verilerin Yok Edilmesi |
: |
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Kurul |
: |
Kişisel Verilerin Korunması Kurulu |
Kurum |
: |
Kişisel Verilerin Korunması Kurumu |
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik İmha |
: |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
VERBIS |
: |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Sorumluları Sicili |
: |
Başkanlık tarafından tutulan Veri Sorumluları Sicili |
Veri Sorumlusu İrtibat Kişisi |
: |
Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi |
Yönetmelik |
: |
28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
3. İLKELER
1.2. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması KVKK gereği zorunludur:
1.2.1. Hukuka ve dürüstlük kurallarına uygun olma.
1.2.2. Doğru ve gerektiğinde güncel olma.
1.2.3. Belirli, açık ve meşru amaçlar için işlenme.
1.2.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
1.2.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından; ticari faaliyetlerin sürdürülebilmesi, elde ettiği kişisel verilerin elde edilme amacına uygun olarak kullanması, yasal yükümlüklerini yerine getirmesi, hizmet kalitesinin artırılması, hukuki taahhütlerinin ifası, çalışan haklarının düzenlenmesi, müşteri veya tedarikçi ilişkilerinin yönetilebilmesi amacıyla fiziki ve/veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenmekte, saklanmakta ve imha edilmektedir.
Şirketimiz tarafından kişisel veriler aşağıdaki sebeplerle ilgili mevzuat kapsamında re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
5. SAKLAMA VE İMHA SÜRELERİ
Şirketimiz bünyesinde kişisel veriler ve özel nitelikli kişisel veriler bakımından bir sınıflandırma yapılmakta ver her bir tip kişisel veri için saklama ve imha süreci belirlenmektedir.
6. KİŞİSEL VERİLERİN ŞİRKETİMİZ TARAFINDAN SAKLANMASI VE İMHASI USULLERİ
I. KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
Fiziksel ortamlar:
II. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:
i. İdari Tedbirler:
Şirketimiz idari tedbirler kapsamında;
ii. Teknik Tedbirler:
Şirketimiz teknik tedbirler kapsamında;
III. KİŞİSEL VERİLERİN İMHA USULLERİ
Şirketimiz tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirketimiz tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.
Şirketimiz tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:
Sistemlerden Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Sistemde bulunan ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.
Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
Fiziksel Ortamda Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.
Şirket içerisinde elden çıkarılacak olan teçhizat bakımından öncelikle teçhizat üzerinde kişisel veri olabilecek herhangi bir bilgi olup olmadığı kontrol edilmelidir. Üzerinde kişisel veri olan teçhizatlar için birimler (disk, harici bellek, vs.) donanımlar sökülerek yedek parça olarak kullanıma alınmalıdır.
Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.
Elden çıkarılmak istenen teçhizat aktif cihaz ise (modem, switch, router vb.) default ayarlara getirilerek elden çıkarılır.
Eğer kritik bilgi herhangi bir medya üzerindeyse (CD, DVD vb.) ortam kırılarak imha edilebilir.
Gizlilik dereceli bilgi içeren, ama geçersizleşmiş, hatalı basılmış, kullanılmayacak olan tüm kâğıtlar, kağıt imha makinesi kullanılarak imha edilir.
Elden çıkarılan teçhizat mutlaka envanter listesinden düşürülmelidir.
İçerisinde bilgi barındırma yeteneği olmayan teçhizatlar zimmet ve envanterden çıkarıldıktan sonra ihtiyaca göre istenildiği gibi kullanılabilir.
Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.
Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.
7. DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Şirketimiz tarafından hazırlanan işbu Saklama ve İmha Politikası 01.01.2022 tarihinde yürürlüğe girmiştir.
EK-1
SAKLAMA VE İMHA SÜRELERİ TABLOSU
Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup aşağıda yer verilmektedir.
SÜREÇ ve KAPSAM |
SAKLAMA VE İMHA SÜRESİ |
|
|
|
|
|
|
|
|
|
|
|
|