KİŞİSEL VERİLERİN KORUNMASI, SAKLAMA VE İMHA POLİTİKASI
AMAÇ
“6698 Sayılı Kişisel Verilerin Korunması Kanunu” (KVKK) ve bu kanuna dayanılarak çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği kişisel verilerin saklanması, anonimleştirilmesi ve silinmesi konularında, başta kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin tespiti ile verilerin anonimleştirilmesi, silinmesi ve yok edilmesi süreçlerini düzenlemek olmak üzere, öngörülen yükümlülüklerin yerine getirilmesi ve bu konularda veri sahiplerinin bilgilendirilmesi amacıyla veri sorumlusu sıfatıyla Ordel Ortadoğu Elektronik San. ve Tic. Ltd. Şti.’nin Kişisel Veri Saklama ve İmha Politikası’nın tanımlanması ve uygulama esaslarının belirlenmesidir.
Kayıt Ortamı
Bu politikanın uygulanmasında kayıt ortamı, kişisel verilerin bulunduğu her türlü ortam anlamına gelmektedir. Şirket, işlediği kişisel verileri başta “Kişisel Verileri Koruma Kanunu” olmak üzere ilgili mevzuata uygun olarak ve veri güvenliğine ilişkin en güncel tedbirleri almak suretiyle aşağıdaki kayıt ortamlarında saklamaktadır.
Bu bağlamda Şirketteki kayıt ortamları,
- Sistem odasında muhafaza edilen ve düzenli olarak yedeklenen bilgi depolama (data storage) ortamları
- Bulut hizmeti kapsamında muhafaza edilen ve düzenli olarak yedeklenen bilgi depoalama ortamları
- Çalışma bilgisayarları
- ERP Uygulaması
- Bölüm/Birim Dolapları
- Arşiv Dolapları
Kişisel Verilerin Saklanması ve İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler Veri sahiplerine ait kişisel verilerin işlenmesi
Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıda belirtilen amaçlarla işlenebilir.
- Şirket politikalarının uygulanması ve şirket organizasyonunun sağlanması,
- Şirketin ticari faaliyetlerini yerine getirmek için tedarikçilerden dış kaynaklı olarak temin ettiği hizmetlerin sağlanması,
- Şirketin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi,
- Şirketin gerekli kalite ve standart denetimlerini yapabilmesi ya da kanun ve yönetmelikler ile belirlenmiş raporlama ve sair yükümlülüklerinin yerine getirilmesi,
- Şirketin insan kaynakları politikaları kapsamında açık pozisyonlara uygun insan kaynağının temin edilmesi,
- Şirket faaliyetlerinin etkin bir şekilde icra edilmesi,
- Yapılan iş başvurusunun değerlendirilmesi, sonuçlandırılabilmesi ve gerektiğinde başvuruda bulunan ile iletişime geçilmesi,
- İş sözleşmesinin kurulması ve ifası,
- İş sözleşmesinden ve mevzuattan kaynaklanan hakların korunması,
- İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta olmak üzere ilgili mevzuat hükümleri çerçevesinde gerekli işlemlerin yapılması,
- İnsan kaynakları politikası çerçevesinde performans düzeyinin ve çalışan memnuniyetinin artırılması,
- İş görme edimi nedeniyle çalışanlara tahsis edilen ve aynı zamanda özel kullanıma da sunulan her türlü araç ve gerecin işveren tarafından çalışma saatleri ile sınırlı olmaksızın denetim, kontrol ve takibe tabi tutulabilmesi,
- İşverenin yönetim ve denetim hakkı kapsamında biyometrik veriler yoluyla mesai takibini sağlaması, İş güvenliğinin, genel güvenliğin ve bina güvenliğinin sağlanması,
- “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun” gereği internet ortamında gerçekleştirilen her türlü erişime ilişkin trafik bilgisinin kayıt altına alınması,
Veri sahiplerine ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen ya da talep üzerine silinir, yok edilir veya anonim hale getirilir.
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve/veya kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Kişisel Verilerin Güvenli Şekilde Saklanması ve Hukuka Uygun Olarak İşlenmesi İçin Alınan Teknik ve İdari Tedbirler
Teknik Tedbirler
- Teknik konularda uzman çalışan istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanım kullanılmaktadır.
- Kişisel verilerin güvenli biçimde saklanmasını sağlamak üzere hukuka uygun yedekleme programları kullanılmaktadır.
- Kişisel verilerin bulunduğu veri depolama alanlarına erişim kayıt altına alınmakta (loglama), yetkisiz erişim veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve saklanması konusunda bilgilendirilmekte ve eğitilmektedir.
- Kişisel Veri Envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek çalışanlar belirlenmiştir.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve Şirket ile çalışanlar arasındaki sözleşmelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.-
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan Teknik ve İdari Tedbirler Teknik Tedbirler
- Siber güvenlik altyapısını oluşturmak üzere gerekli yazılımlar alınmış, güvenlik duvarı ve ağ geçidi gibi tedbirler oluşturulmuştur.
- Yazılım güncellemeleri düzenli olarak yapılmakta ve güvenlik tedbirlerinin sistematik şekilde çalışması sağlanmaktadır.
- Gerek fiziki ortamda gerekse elektronik ortamda saklanan kişisel verilere erişim sınırlandırılmakta, erişim yetkisine sahip çalışanlar önceden belirlenmektedir.
- Kötü amaçlı yazılımlardan korunmak için bilgi işlem sistem ağını düzenli olarak tarayan, tehlikeleri tespit eden antivirüs, antispam gibi yazılımlar kullanılmakta, ayrıca bunlar güncel tutularak gerekli güvenlik taraması yapılmaktadır.
- Tüm kullanıcı işlemleri kayıt altına (loglama) alınmaktadır.
- Güvenlik sorunları hızlı şekilde tespit edilip, derhal ilgilisine raporlanmaktadır.
- Fiziksel kayıt ortamları yangın, sel, su basması gibi risklere karşı korunmakta ve bu alanlara erişim kontrol altında tutulmaktadır.
- Elektronik ortamda bulunan kişisel veriler, kaybolma veya zarar görme ihtimaline karşı düzenli olarak yedeklenmektedir.
İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Kişisel Veri Envanterinde kayıtlı olan kişisel verileri imha edecek çalışanlar belirlenmiştir.
- Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Teknik konularda uzman çalışan istihdam edilmektedir.
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Kullanılan Yöntemler
Kişisel veriler kayıtlı bulundukları ortama uygun yöntemlerle silinir.
Kişisel Verilerin Silinmesi Yöntemleri
Bulut Sistemlerinde Bulunan Kişisel Veriler, silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir. Kağıt Ortamında Bulunan Kişisel Veriler, karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle Taşınabilir Medyada Bulunan Kişisel Veriler, üzerine yazma yöntemi ile veya uygun yazılımlarla silinir.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Yerel sistemlerde bulunan kişisel veriler, fiziksel yok etme ya da üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
Çevresel sistemlerde bulunan kişisel veriler;
- Ağ Cihazları: Switch, router vb.’de manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
- Flash Tabanlı Ortamlar: İlgili üreticinin önerdiği yöntemler ya da fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
- Sim Kart ve Sabit Hafıza Kartları: Fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
- Optik Diskler: Fiziksel yöntemlerle yok edilir.
- Veri Kayıt Ortamı Sabit Olan Yazıcı, Parmak İzli Kapı Geçiş Sistemi Gibi Çevre Birimleri: Fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir. Kağıt ortamında bulunan kişisel veriler, kağıt imha makinaları kullanılarak yok edilmek üzere gizlilik sözlşemeli firmalara verilir.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Kişisel verilerin anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.
KİŞİSEL VERİLERİLER HAKKINDA BAŞVURU METNİ
İlgili kişi (veri sahibi) olarak 6698 sayılı KVK Kanunun 13. maddesi ile 10.03.2018 tarih ve 30356 sayılı “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” hükümleri uyarınca, aynı kanunun 11. maddesinde belirtilen ve aşağıda 9 madde halinde sayılan haklarınıza ilişkin taleplerinizi yazılı olarak şirket merkezimize (Ostim OSB Mahallesi 1250. Cadde No:10 Yenimahalle / Ankara) info@ordel.com.tr veya ordel@hs01.kep.tr kayıtlı elektronik posta (KEP) adresimize gönderebilirsiniz.
Başvurunuzda;
- Ad, soyadı ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu, bilgilerinin bulunması yukarıda belirtilen tebliğin 5/2 maddesi gereğince zorunlu olup bu bilgilerden bir veya birkaçını içermeyen başvurular mevzuat gereği maalesef işleme alınamamaktadır.
KVK Kanunun 11. maddesi kapsamında iletebileceğiniz talepler şunlardır:
- Kişisel verilerinizin işlenip işlenmediğini öğrenebilirsiniz
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep edebilirsiniz
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilirsiniz
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri öğrenebilirsiniz
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteyebilirsiniz
- Kişisel verilerinizin silinmesini veya yok edilmesini isteyebilirsiniz
- Düzeltme, silme veya yok etme taleplerinizin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteyebilirsiniz
- İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda bu sonuca itiraz edebilirsiniz
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız durumunda zararın giderilmesini talep edebilirsiniz.