KVKK
Tarih: 30/09/2020
ODEN İNŞAAT TURİZM VE TİCARET A.Ş. ADI ALTINDA AQUA TOY CITY ÇEŞME
KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
1.GİRİŞ
Her zaman muhataplarına en iyi hizmeti sunmayı hedef edinmiş olan Oden İnşaat Turizm ve Ticaret A.Ş. adı altında Aqua Toy City Çeşme (Şirket”), kişilerin mahremiyetlerinin korunmasına hizmet eden ve Anayasamızın 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatla ortaya konan “kişisel verilerin korunmasına” özel bir önem atfetmektedir. Bu kapsamda sunduğumuz hizmet ve ticari faaliyetlerimiz sebebiyle kişisel verilerine vakıf olduğumuz çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, müşterilerimizin, tedarikçilerimizin, iş yeri hekimimizin ve iş ilişkisi kurduğumuz kurumların çalışanlarının ve üçüncü kişilerin kişisel verilerinin saklanmasına ve imhasına ilişkin usul ve esaslar bu Politika’da ortaya konmuştur.
2. TANIMLAR
Kanun, KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kurul | Kişisel Verileri Koruma Kurulu |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Çalışan | Şirketimiz ile akdedilmiş olan iş sözleşmesi hükümleri gereğince hizmet veren gerçek kişiler |
Çalışan Adayı | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini sitemizin incelemesine açmış olan gerçek kişiler |
Ziyaretçi | Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Konuk | Otelimizde konaklama hizmeti almak amacıyla şirketimizle yapılan veya yazılı olmaksızın yürürlüğe giren bir konaklama sözleşmesine dayalı olarak otel odası olarak tahsis edilmiş alanlarda konaklama hizmeti alan gerçek kişiler |
Tedarikçi | Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi |
Stajyer | Mesleki Eğitim Kanunu Uyarınca ‘’Yüksek Öğretim Kurulunca Yüksek Öğretim Kurumlarında verilmekte olan her düzeydeki alana özgü olarak belirlenen teorik uygulamalı dersler dışında , öğrencilerin öğretim programlarıyla kazandırılması öngörülen mesleki bilgi , beceri , tutum ve davranışları geliştirmeleri sektörü tanımaları , iş hayatına uyumları , gerçek üretim ve hizmet ortamlarında yetişmeleri amacıyla işletmede yaptıkları mesleki çalışma ‘’ faaliyetini gerçekleştirmek amacıyla şirketimizde staj yapan öğrenci |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Veri Sahibi/ Veri İlgilisi | Kişisel verisi işlenen gerçek kişiler |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da otomatik olamayan |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir |
İmha | Kişisel verilerin silinmesi , yok edilmesi veya anonim hale getirilmesi |
Periyodik İmha | |
Anonim Hale Getirme | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir |
Kanun, KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
3.KİŞİSEL VERİ KAYIT ORTAMLARI
Oden İnşaat nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlüklerimize uygun kayıt ortamlarında saklanmaktadır. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibarıyla aşağıdaki tabloda gösterildiği şekildedir.
Elektronik Ortamlar | Basılı Evrak Ortamları |
– Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) – Yazılımlar (ofis yazılımları, portal,) – Bilgi güvenliği cihazları (güvenlik | – Kâğıt – Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) – Yazılı, basılı, görsel ortamlar |
duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) – Video Kaydı ve Ses Kaydı – Kişisel bilgisayarlar (Masaüstü, dizüstü) – Mobil cihazlar (telefon, tablet vb.) – Optik diskler (CD, DVD vb.) – Çıkartılabilir bellekler (USB, Hafıza Kart vb.) – Yazıcı, tarayıcı, fotokopi makinesi – Bulut dijital ortamlar ( Şirket’in bünyesinde yer almayan Şirket’in kullanımında olan kripto grafik olarak şifrelenmiş internet tabanlı sunucular ve diğer alanlar ) |
4.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Kişisel Verilerin Saklanması
Şirketimiz kişisel verilerin saklanması hususunda Anayasa ile belirlenmiş ilkeler çerçevesinde, KVKK ve alt mevzuatı ile KVK Kurulu’nun karar ve uygulamalarına uygun davranmaktadır. Bu kapsamda kişisel veriler veri sahiplerinin iradelerine uygun ve pozitif mevzuatta belirlenen süreler boyunca saklanmaktadır.
Yukarıda anılan mevzuat uyarınca kişisel verilerin ne kadar süre saklanması gerektiğine ilişkin bir düzenleme olmadığı hallerde, kişisel veriler o verinin işlenmesini gerektiren hukuki ilişkinin niteliğine göre ticari hayatta tatbik edilen teamüle uygun süre kadar saklanmayı müteakip silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermesine müteakip, derhal imhası yoluna gidilememektedir. Zira ileride hukuki uyuşmazlıklar yaşanması olanak dâhilinde olduğundan kişisel verinin işlenmesine temel teşkil eden hukuki ilişkinin türüne bağlı olarak saklama süresinin sonuna kadar saklanması gerekmektedir.
4.1.1.Kişisel verilerin Saklanmasına Dayanak Teşkil Eden Hukuki ve Teknik Sebepler
Çalışan adaylarımıza ait kişisel veriler, Şirket faaliyetlerinin yürütülmesi amacıyla ihtiyaç duyulan istihdamın yerine getirilmesi ; çalışan adayının tespit edilen sağlık durumuna göre uygun olan iş pozisyonlarının sağlanması; Şirketimizin insan kaynakları politikalarının yürütülmesinin temini; akdedilmesi hedeflenen sözleşmede yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi ; Şirketimizin sair mevzuattan doğan yükümlülüklerinin yerine getirilmesi; uygun istihdamın saplanması amacıyla özelliklerinize göre gruplandırmaların yapılması
çalışan statüsüne kavuşulması halinde özlük dosyanızın oluşturulması teknik sebeplerine dayalı olarak işlenmektedir.
Bu veriler çalışan adayının mevcut açık istihdam pozisyonu dışında ortaya çıkması olasılığı olan pozisyonlar için de geçerli olmasını istediğine dönük açık rızasının bulunması halinde rızaya uygun süre boyunca saklanmaktadır. Çalışan adaylarımıza ait kişisel verilerin temini ve saklanması, istihdam sağlamak üzere iş sözleşmesinin akdedilmesini hedeflediğinden, KVKK md.5/2-c’de ifadesini bulan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuksal nedenine dayanmaktadır.
Çalışanlarımıza ait kişisel veriler, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa edilmesi; faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi; acil durum listelerinin oluşturulması, acil durum operasyonlarının yürütülmesi ve acil durum analiz raporlarının oluşturulması, işyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi ; rıza verilmesi halinde, tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması yoluyla en uygun iş pozisyonda istihdam sağlanması ; Yönetim insan kaynakları politikalarının yürütülmesi; Şirketimiz ile akdedilmiş olan iş sözleşmesinde yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, özlük dosyasının oluşturulması, Şirketimizin sair mevzuattan doğan yükümlülüklerini yerine getirmesi; kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması ve performans değerlendirme süreçlerinin yürütülmesi teknik sebeplerine dayalı olarak işlenmektedir.
Bu verilerden iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtların saklanması, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Çalışanlarımızın İş Sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın hukuki gerekçesini teşkil eden İş Kanunu’nun 32. Maddesinde işaret edilen “5 yıllık işçi ücret alacakları zamanaşımı” nazara alınarak iş sözleşmesinin sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md.5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.
Stajyerlerimize ait Kişisel Veriler : Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu
, Mesleki Eğitim Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa edilmesi; faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi;
Acil durum listelerinin oluşturulması ve acil durum operasyonlarının yürütülmesi , Acil durum analiz raporlarının oluşturulması, iş kazası halinde gerekli faaliyetlerin icrası , İşyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi, tespit edilen sağlık durumunuza göre pozisyon değişikliklerinin yapılması ve bu yolla uygun olan iş pozisyonlarının sizlere sağlanması, Şirket insan kaynakları politikalarının yürütülmesi, Şirketimiz ile Stajyerlerimiz arasındaki hukuk, ilişki doğrultusunda, etkili çalışan/Stajyer yönetiminin sürdürülmesi ve geliştirilmesi, Özlük/Şahsi dosyasının oluşturulması, Şirketimizin sair mevzuattan doğan yükümlülüklerini yerine getirmesini temini kapsamında, kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması; Performans değerlendirme süreçlerinin yürütülmesi. Şirket araçları ile yapılan görevler sırasında çalışanların/stajyerlerin ve üçüncü kişilerin fiziki ve hukuki güvenliğinin sağlanması gibi teknik sebeplerine dayalı olarak işlenmektedir.
Stajyerlerimizin sonra varsa İş Sağlığı ve güvenliğine ilişkin her türlü kayıtları bu verilerden Çalışanlara kıyasen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtların saklanması, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Stajyerlerimizin İş Sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın ‘’dönemsel edimlere ilişkin zamanaşımını belirlemesi ‘’ sebebiyle hukuki gerekçesini teşkil eden özel nitelikteki sözleşmeye dayalı ödenmeyen staj ücret alacağı TBK m.147/1. Maddesinde işaret edilen “5 yıllık zamanaşımı” nazara alınarak Stajın sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md.5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.
Mal ve Hizmet Alımı Yapılan Şirketlerin (Tedarikçilerin) Temsilcilerine ve Personeline ait
kişisel veriler, Şirket çalışan ve müşterileri ile müşteri temsilcilerinin güvenliğinin sağlanması ; şirketimizin ifa etmek zorunda olduğu sözleşmeler kapsamında müşterilerine ve muhataplarına verilen hizmetlerin yerine getirilmesi ve kalitesinin yükseltilmesi ; müşterilere verilen hizmetlerle ilgili ifa kusuru iddialarına karşı delil niteliği sebebiyle hukuki hakların korunabilmesi; Şirketimizin sair mevzuattan kaynaklanan ve müşterilerine vermeyi taahhüt ettiği hizmetlere ilişkin yükümlülüklerin yerine getirmesi; şirket hizmetlerinin performans değerlendirme süreçlerinin yürütülmesi gibi teknik sebeplerine dayalı olarak işlenmektedir.
Bu teknik sebepler yukarıda sayılan şirketimiz ile müşterilerimiz arasındaki hukuki ilişkiye dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md.5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, hizmet alımına konu sözleşmenin ifasının tamamlanması ile son bulmaktadır. Bu andan itibaren anılan kişisel veriler sözleşmenin karşı tarafından sözleşmeye aykırılık iddiası gelmesi, üçüncü kişilerden veya sözleşmenin karşı tarafı tarafından sözleşme hükümlerinin ihlal edildiği ihbarında bulunulması gibi sebeplerle Şirketimizin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 146. Maddesi nazara alınarak 10 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.
Ziyaretçilere ilişkin kişisel veriler, Şirketimizin çalışanları, çözüm ortakları, tedarikçi temsilci ve yardımcıları ile ziyaretçilerimizin can ve mal güvenliğinin sağlanması, giriş çıkışlarının kontrol altına alınması ; Şirket yöneticileri ve çalışanlarının iradelerine uygun olarak sadece istedikleri kişileri/gerekli gördükleri kişileri kabul etme olanağı tanınarak güvenliklerinin artırılması, Şirkette kontrol dışı kalan şahıslar olup olmadığının tespiti yoluyla ziyaretçilerin ve Şirketimizin fiziki ve hukuki kontrol ve güvenliğinin sağlanması teknik sebeplerine dayalı olarak işlenmektedir. Bu teknik sebeplerin hukuki gerekçesi, KVKK md 5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ziyaretçinin Şirketten ayrılması ile son bulmaktadır.
Bu andan itibaren ziyaretçilerimizden anılan kişisel veriler herhangi bir ilgili tarafından bir haksız fiil ihbarında bulunulması ihtimalinde Şirketin, müşterilerin, şirket çalışanları/stajyerlerinin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 72. maddesi nazara alınarak 2 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.
Konuklara ilişkin kişisel veriler : Otelimizde konaklama hizmeti almak amacıyla şirketimizle yapılan veya yazılı olmaksızın yürürlüğe giren bir konaklama sözleşmesine dayalı olarak otel odası olarak tahsis edilmiş alanlarda konaklama hizmeti alan gerçek kişilerin can ve mal güvenliğinin sağlanması, giriş çıkışlarının kontrol altına alınması, şirket yöneticilerinin iradelerine uygun olarak sadece istedikleri kişileri kabul etme olanağı tanınarak güvenliklerinin artırılması, şirkette kontrol dışı kalan şahıslar olup olmadığının tespiti yoluyla konuklarımızın ve şirketimizin fiziki ve hukuki kontrol ve güvenliğinin sağlanması teknik sebeplerine dayalı olarak işlenmektedir. Bu teknik sebeplerin hukuki gerekçesi, KVKK md.5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır” ve md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, konuğun şirketten ayrılması ile son bulmaktadır.
Bu andan itibaren Konuklarımızdan anılan kişisel veriler herhangi bir ilgili tarafından bir haksız fiil ihbarında bulunulması ihtimalinde Şirketin, müşterilerin, şirket çalışanları/stajyerlerinin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 146. maddesi nazara alınarak 10 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.
Güvenlik Kamera Görüntülerine (CCTV) Giren Şahısların kişisel veri niteliğindeki görüntüleri şirketin kontrolünde olan fiziksel mekanlar ile her türlü ilgilinin can ve mal güvenliğinin sağlanması; çalışanların, stajyerlerin, müşterilerin, ziyaretçilerin, tedarikçilerin, şirket yöneticilerinin veya üçüncü kişilerin herhangi bir haksız fiille karşılaşmaları, sorunun çözümü ve mağdurun meşru menfaatlerinin korunması gibi teknik sebeplere dayalı olarak işlenmektedir. Bu teknik sebepler Şirket çalışanları, stajyerler, müşteriler, tedarikçiler ve diğer ilgililer arasındaki hukuki ilişkiye ve iyi niyet ve dürüstlük kurallarına dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ilgili kişinin güvenlik kamera kaydının yapılması ile son bulmaktadır.
Bu andan itibaren anılan kişisel veriler, herhangi bir ceza soruşturmasında kullanılma ve hak taleplerine delil teşkil etmesi ihtimali sebepleriyle bu ihtimalin gerçekleşip gerçekleşmeyeceğinin
beklenmesi amacıyla hiç kimseyle paylaşılmaksızın kayıt tarihinden itibaren 2 ay süreyle saklanmakta ve herhangi bir hukuki/cezai ihtilaf sebebiyle delil niteliği taşımıyorsa bu iki aylık süre sonunda imha edilmektedir.
4.1.2.Kişisel Verilerin Güvenli Şekilde Saklanması ve Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önüne Geçilmesi İçin Alınmış Olan Teknik ve İdari Tedbirler
Teknik Tedbirler
Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan teknik tedbirleri almaktadır.
Kişisel verilerin muhafaza edildiği ortamların güvenliği için bilişim teknolojisinin sağladığı en yeni olanaklarla koruma sağlanmaktadır.
Kişisel verilerin muhafaza edildiği ortamlarla ilgili olarak çoklu güvenlik sistemleri tatbik edilmektedir.
Bilişim sisteminde güvenlik zafiyeti olup olmadığının tespiti amacıyla gerektikçe güvenlik ve sızdırmazlık testleri uygulanması ve elde edilecek sonuca uyarlı tedbirler alınması öngörülmektedir.
Kişisel verilerin bulunduğu ortamlara erişim yetkileri, gereklilik ve ölçülülük ilkeleri uyarınca hem fiziksel, hem de bilişim sistemleri üzerinden kategorize edilmekte ve sınırlandırılmaktadır.
4.1.2.2.İdari Tedbirler
Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan idari tedbirleri almaktadır.
Kişisel verilere erişim yetkisi olan ve/veya işleme/imha sürecine dahil olan tüm personele kişisel veriler, bilgi güvenliği ve özel hayatın gizliliği gibi ilgili tüm konularda bilgilendirme ve farkındalık eğitimleri
Kişisel verilerin korunması hususunda gereklilikler hakkında çalışanlar ayrıntılı olarak talimatlandırılmakta, gerektiğinde idari ve disiplin işlemi yapılması öngörülmektedir.
Şirket içerisinde saklanan dijital ve / veya fiziksel olarak işlenen kişisel verilere erişme yetkisine haiz tüm personeller, erişmesi gereken alanlarla sınırlandırılmıştır.
Özel nitelikli kişisel verilerin önem derecesi dikkatte alınarak yalnızca erişilmesi gereken noktalarda personelin dijital ve/veya fiziksel erişimine izin verilmiştir.
Faaliyetlerimizin yerine getirilmesi sürecinde kişisel verilerin paylaşımı gerektiğinde, bunların korunması ve ilgili kişilerin haklarının muhafazası için lüzumlu sözleşme hükümleri eklenmekte ve eski sözleşmeler için ek sözleşmeler yapılmaktadır.
Faaliyetlerimizin icrası sırasında hizmet alımını yapılması ve kişisel verilerin hizmet verenin personeliyle kişisel veri paylaşımını gerektirmesi halinde gerektiğinde hizmet verenin personelinden de kişisel verilerin korunması ve amacına uygun kullanımını emin amacıyla özel olarak taahhütname alınmaktadır.
4.2.Kişisel Verilerin İmhası
Kişisel Verilerin Hukuka Uygun İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
Kişisel verilerin saklama süreleri sonunda imha edilmesi yoluyla üçüncü kişilerce ulaşılmasını geri dönüşümsüz olarak engelleyebilmek amacıyla, imha takip dosyası oluşturulmuş olup, ilgililer talimatlandırılarak bilişim sisteminde ve fiziksel olarak bulunan kişisel verilerin imhasının sürekli takibi yapılmaktadır.
4.3. Saklama ve İmha Süreçlerinde Yer Alan Birimler ve Görevleri Tablosu
Kişisel verilere ilişkin farkındalığın sürekliliğinin sağlanması için lüzumlu eğitimlerin planlanması ve icrası | İnsan Kaynakları Departmanı. |
Kişisel verilerin korunmasına ilişkin personel görev tanımlarının ilgili çalışanlara ve hizmet alınan şirket personeline tebliği ve takibi |
İnsan Kaynakları Departmanı. |
Kişisel verilerin işlendiği güvenlik kamerası veya ziyaretçi kayıt defteri gibi harici ortamların fiziksel denetimi | Bilgi İşlem Departmanı |
Kişisel veri imha dosyasının oluşturulup düzenli bir şekilde imhanın sağlanması ve bu işlemlerin kayıt altına alınması | İnsan Kaynakları Departmanı |
Kişisel veri saklama ortamlarının fiziki ve bilişim sistemi güvenlik araçlarının geliştirilmesi ve güncellenmesi | İnsan Kaynakları ve Bilgi İşlem Departmanı |
Kişisel verilerin korunması ve imhası sürecine ilişkin kurulmuş olan sistemin geliştirilmesi için lüzumlu takip, araştırma ve önerilerin ortaya konması |
İnsan Kaynakları Departmanı. |
Saklama ve İmha Sürelerini Gösterir Tablo
VERİ SAHİBİ | VERİ KATEGORİSİ | SAKLAMA SÜRESİ |
Çalışan Adayı | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, sağlık verileri, ceza mahkûmiyet verileri | Başvuruya konu boş statüye ilişkin kararın verilmesinden itibaren açık rıza varsa 2 yıl |
Çalışan | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük verileri, ceza mahkûmiyet verileri | İş sözleşmesinin sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 5 yıl |
Çalışan | İş sağlığı ve güvenliği faaliyetlerine ilişkin sağlık | İş sözleşmesinin sona ermesinden itibaren, herhangi bir dava veya hukuki |
verileri dahil her türlü kayıt | ihtilaf söz konusu değilse 15 yıl | |
Stajyer | Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük verileri | Stajın sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 5 yıl |
Stajyer | İş sağlığı ve güvenliği faaliyetlerine ilişkin sağlık verileri dahil her türlü kayıt | Stajın sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 15 yıl |
Ziyaretçi |
Kimlik verileri, iletişim verisi | Ziyaretçinin şirketten ayrılmasından itibaren Türk Borçlar Kanunu’nun 72. maddesi nazara alınarak 2 yıl |
Konuk | Kimlik verileri, iletişim verisi | Konuğun otelden ayrılmasından itibaren Türk Borçlar Kanunu’nun 146. maddesi nazara alınarak 10 yıl |
Tedarikçiler | Kimlik verileri, iletişim verileri | Hizmet alımına ilişkin sözleşmenin ifasından itibaren Türk Borçlar Kanunu’nun 146. Maddesi nazara alınarak 10 yıl |
Güvenlik Kamerası Görüntüleri | Görsel veri | Kayıttan itibaren 2 ay |
Periyodik İmha Süresi
Şirketimizce, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
5. YÜRÜRLÜK VE GÜNCELLEME
Bu politikanın yürürlüğü Şirket tarafından yerinde getirilir. Yasal mevzuatta veya kişisel verilerin işlenme ve saklanmasıyla ilgili süreçlerde değişiklik olması halinde Şirketimizce güncellenir.