İÇİNDEKİLER
- AMAÇ VE KAPSAM 2
- TANIMLAR 2
- GENEL KAPSAM VE YASAL DAYANAK 3
3.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler 3
3.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar 4
3.3. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler 5
3.4. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları 6
3.4.1. KVK Sorumlusu 6
3.4.2. İrtibat Kişisi 7
- KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ 7
- YÜRÜRLÜK 8
|
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu Kanuna dayalı olarak çıkarılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği kişisel verilerin saklanması ve imhasına ilişkin PETSAN AMBALAJ VE KİMYA SAN. TİC. LTD. ŞTİ’ in (Bundan sonra “Şirket” olarak anılacaktır) yükümlülüklerinin yerine getirilmesini teminen izlenecek sürecin temel esaslarının belirlenmesi amacıyla düzenlenmiştir.
Bu Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.
Kanunda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.
|
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
KVK Sorumlusu: Veri Sorumlusunun KVKK ve ilgili Yönetmelikler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair yasal düzenlemeler kapsamındaki yükümlülüklerini yerine getiren, Veri Sorumlusu adına gerekli işlemleri yürüten, Veri Sorumlusunun Veri Sorumluları Siciline kaydını gerçekleştiren, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler, mevzuatta meydana gelebilecek değişiklikler gibi durumları takip eden Şirket içi Kişisel Verileri Koruma Sorumlu’sunu,
İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile Veri Sorumlusu arasındaki iletişimin sağlanması ve yönetilmesi, süreçlerin takibi ve diğer işlemlerinin yürütülmesinden sorumlu personeli,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumlusu organizasyonu içerisinde kişisel verileri işleyen personeli,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri İşleme Envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesini,
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
ifade eder.
Bu Politikada, aksi belirtilmedikçe kişisel veri ve özel nitelikli kişisel veri “Kişisel Veri” olarak kullanılmaktadır.
|
-
Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket “Veri Sorumlusu” sıfatıyla;
- Şirket’in faaliyetlerinin yürütülmesi amacı ile Şirket’in işlemleri neticesinde doğrudan veya dolaylı olarak edinilen kişisel veriler, aşağıda açıklandığı çerçevede; kaydedilebilecek, saklanabilecek, güncellenebilecek veya mevzuatın izin verdiği durumlarda 3. kişilere açıklanabilecek, devredilebilecek, sınıflandırılabilecek ve KVKK’da sayılan şekillerde işlenebilecektir.
3.1.2. Şirket tarafından, müşterileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.
Toplanan kişisel veriler;
- Aydınlatma metninde belirtilen işleme amaçlarının gerçekleştirilmesi ve hizmetlerin müşterilere sunulabilmesi, müşterilere karşı olan yükümlülüklerin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, denetim ve sair yükümlülüklere uymak,
- Bilgi işlem gereksinimleri, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurmak,
- Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, hizmetler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerini almak, ürün ve hizmetlere, şikayet ve taleplere yönelik bilgi vermek,
- Ödeme işlemlerini gerçekleştirmek, 3. kişiler ile lojistik iş birliği sağlayarak bilgi yazılarının ulaşmasını sağlamak,
- Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme, denetim yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak Şirket’in tabi olduğu yasal yükümlülükleri ifa etmek,
- Şirket’in stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek
- Resmi makamlardan veya veri sahiplerinden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,
amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
-
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar
- KVK Sorumlusu, Kişisel Veri İşleme Envanteri’nde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri ortamlarında gözden geçirir. Kurulun veya bir mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın KVK Sorumlusu tarafından kararların/bildirimlerin gereği yapılır.
- KVK Sorumlusu tarafından gözden geçirmeler neticesinde veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu politikaya göre verinin saklanmasına veya silme, yok etme veya anonim hale getirilmesine karar verilir.
- KVK Sorumlusu, Kurum veya mahkeme tarafından iletilen müzekkere veya kararları derhal uygular ya da bu müzekkere veya kararlarla ilgili itiraz, temyiz gibi yasal yollara başvurulmasını değerlendirir ve sonucuna göre hareket eder.
- Kişisel Verilerin işlenmesi ile ilgili Kanunun 5. ve 6. maddesi ile düzenlemiş olan şartların ortadan kalkmış olmasına rağmen, açılan bir davada verilen bir ihtiyati tedbir kararı veya sair bir karar ile bu tür bir karar olmamasına rağmen açılmış bir davanın olması ve bu davanın Kurumsal Müşteriye / Şirketimize bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla KVK Sorumlusukişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.
- Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde KVK Sorumlusu ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.
- Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; KVK Sorumlusu ve verinin saklanmasından sorumlu teknik personel dışındaki diğer kullanıcıların erişimine kapatılarak yapılır. Bu işlemlerin yapılması için Şirket tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.
- Kişisel verilerin imha edilmesi ile ilgili bir talep, Kurul’un kararı veya bir mahkeme kararı olması durumunda; KVK Sorumlusu kişisel veriyi saklandığı fiziksel veya elektronik kayıt ortamlarından kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolmasından sonra ilgili kullanıcıların erişimine (kişisel verilerin silinmesi) kapatır.
- Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak kayıtlar tutulur ve bu kayıtlar üç yıl boyunca saklanır.
- İlgili kişilerin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talepleri, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması şartıyla, Kurumsal Müşteriler / Şirketimiz tarafından talebin alınmasını müteakip 30 gün içinde gerçekleştirilir. Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul kararı veya mahkeme kararı yoksa, kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi reddedilebilir. Red kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda ilgili kişiye bildirilir.
-
Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler
- Kişisel verilerin güvenli bir şekilde saklanması ve bu verilere güvenli bir şekilde erişilmesi konusunda alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla kişisel veriler güvence altına alınır.
- Bu Politika tüm çalışanlara duyurulur ve düzenli bir şekilde duyurulmaya devam edilir. Ayrıca, KVKK’ya uyum çalışmaları kapsamında tüm Şirket personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm Şirket nezdinde duyurulur. Bu Politika tüm personelin erişimine açık olan Şirket portalında bulundurulur.
- Politikanın gereklerinin yerine getirilip getirilmediğinin takibi KVK Sorumlusu tarafından yapılır. Politika’ya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yöneticisi gerekli tedbirleri alır. Politika’ya aykırı davranan çalışan hakkında yapılacak işlem için Şirket içerisinde uygun görülecek disiplin işlemi uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.
- Politika gereklerinin yerine getirilmesi için Şirket tarafından gerekli yazılımlar/ sistemler/uygulamalar devreye alınır ve mevzuattaki değişiklikler, Şirket’e tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi tarafından takip edilir. Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en hızlı şekilde gerçekleştirilir.
-
Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları
-
KVK Sorumlusu:
KVK Sorumlusu aşağıda yer verilen görevleri yerine getirmekle sorumludur:
- Bu Politika’nın uygulanmasının temin ve takip edilmesi,
- Mevzuatta meydana gelebilecek değişiklikleri, Kurul’un düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler gibi durumların takip edilmesi,
- Veri saklama ve imha ile ilgili olarak yapılan iş programlarının takip edilmesi, gözden geçirilmesi ve iş programları çerçevesinde yapılanların bu Politika ile uyumlu olup olmadığının denetlenmesi, uyumsuzlukların tespit edilmesi durumunda bunların bu Politika ile uyumlu hale getirilmesinin sağlanması,
- Kurum tarafından yapılan tebligat veya yazışmaların veri sorumlusu adına tebellüğ veya kabul edilmesi,
- Kurum tarafından veri sorumlusuna yöneltilen taleplerin veri sorumlusu adına alınması ve cevaplarının Kurum’a iletilmesi,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanun’un 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruların veri sorumlusu adına alınması,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevaplarının iletilmesi,
- Veri sorumlusu adına Sicile ilişkin iş ve işlemlerin yapılması,
- Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerinin sicile işlenmesi,
- İşbu Politika’da yer verilen çeşitli görevleri yerine getirilmesi.
-
İrtibat Kişisi
İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:
- Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına alma, KVK Sorumlusu’na iletmek,
- Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin yaptığı başvurulara ilişkin Veri Sorumlusunun cevabını ilgi kişilere iletmek.
|
Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak zorundadır.
Bununla birlikte, 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olmasındanolması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesini mümkün kılmak için kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.
Şirket personeline ait sağlık ve güvenlik kayıtları, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmüne göre 15 yıl boyunca saklanmak durumundadır. Bununla birlikte 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket personeline ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl boyunca saklanır.
Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusu olan Kurumsal Müşterinin / Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere sunulabilmesini mümkün kılmak için son işlem tarihinden itibaren 10 yıl süre ile saklanır.
KVKK KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI yönetmeliğince görüntü kayıtları bir (1) ay süre ile saklanmaktadır. Bu bildirim kurumsal güvenlik kameraları politikamızda yer almaktadır.
Kişisel Verilerin Saklama ve İmha Süreleri Tablosu
İlgili Kişi |
Açıklama |
Saklama/İmha süresi |
Şirket işlemlerinin doğrudan ya da dolaylı tarafları |
Kişisel Veri |
10 yıl |
Personel |
Kişisel Veri |
15 yıl |
Personel |
İSG kayıtları |
15 yıl |
Destek hizmeti sunucusu/Tedarikçi |
Kişisel Veri |
10 yıl |
Söz konusu sürelerin bitiminden itibaren 6 aylık periyodik imha zaman aralıklarında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde KVK Sorumlusu’nin ve verileri saklamakla gürevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.
|
- Bu Politika 01/07/2024 tarih ve 2024/3 sayılı Yönetim Kurulu Kararı ile kabul edilmiştir.
- Bu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.
- Bu Politika hükümlerini KVK Sorumlusu yürütür.