KVKK

Tarih: 30/09/2020

ODEN İNŞAAT TURİZM VE TİCARET A.Ş. ADI ALTINDA AQUA TOY CITY ÇEŞME

KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI

1.GİRİŞ

 

Her zaman muhataplarına en iyi hizmeti sunmayı hedef edinmiş olan Oden İnşaat Turizm ve Ticaret A.Ş. adı altında Aqua Toy City Çeşme (Şirket”), kişilerin mahremiyetlerinin korunmasına hizmet eden ve Anayasamızın 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatla ortaya konan “kişisel verilerin korunmasına” özel bir önem atfetmektedir. Bu kapsamda sunduğumuz hizmet ve ticari faaliyetlerimiz sebebiyle kişisel verilerine vakıf olduğumuz çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, müşterilerimizin, tedarikçilerimizin, iş yeri hekimimizin ve iş ilişkisi kurduğumuz kurumların çalışanlarının ve üçüncü kişilerin kişisel verilerinin saklanmasına ve imhasına ilişkin usul ve esaslar bu Politika’da ortaya konmuştur.

2. TANIMLAR

 

Kanun, KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurul

Kişisel Verileri Koruma Kurulu

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Çalışan

Şirketimiz ile akdedilmiş olan iş sözleşmesi hükümleri gereğince hizmet veren gerçek kişiler

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini sitemizin incelemesine açmış olan gerçek kişiler

Ziyaretçi

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

Konuk

Otelimizde konaklama hizmeti almak amacıyla şirketimizle yapılan veya yazılı olmaksızın yürürlüğe giren bir konaklama sözleşmesine dayalı olarak otel odası olarak tahsis edilmiş alanlarda konaklama hizmeti alan

gerçek kişiler

Tedarikçi

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi

Stajyer

Mesleki Eğitim Kanunu Uyarınca ‘’Yüksek Öğretim Kurulunca Yüksek Öğretim Kurumlarında verilmekte olan her düzeydeki alana özgü olarak belirlenen teorik uygulamalı dersler dışında , öğrencilerin öğretim programlarıyla kazandırılması öngörülen mesleki bilgi , beceri , tutum ve davranışları geliştirmeleri sektörü tanımaları , iş hayatına uyumları , gerçek üretim ve hizmet ortamlarında yetişmeleri amacıyla işletmede yaptıkları mesleki çalışma ‘’ faaliyetini gerçekleştirmek amacıyla

şirketimizde staj yapan öğrenci

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle

açıklanan rıza

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri

sorumlusudur

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her

türlü işlem

Kişisel Veri Sahibi/ Veri

İlgilisi

Kişisel verisi işlenen gerçek kişiler

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da otomatik olamayan

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri

işleyen gerçek ve tüzel kişidir

İmha

Kişisel verilerin silinmesi , yok edilmesi veya anonim hale getirilmesi

Periyodik İmha

 

Anonim Hale Getirme

Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri

alınamayacağı şekilde değiştirilmesidir

Kanun, KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu

 

 

3.KİŞİSEL VERİ KAYIT ORTAMLARI

 

 Oden İnşaat nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlüklerimize uygun kayıt ortamlarında saklanmaktadır. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibarıyla aşağıdaki tabloda gösterildiği şekildedir.

Elektronik Ortamlar

Basılı Evrak Ortamları

–          Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

–          Yazılımlar (ofis yazılımları, portal,)

–          Bilgi güvenliği cihazları (güvenlik

–          Kâğıt

–          Manuel   veri   kayıt   sistemleri   (anket formları, ziyaretçi giriş defteri)

–          Yazılı, basılı, görsel ortamlar

duvarı,   saldırı   tespit   ve   engelleme, günlük kayıt dosyası, antivirüs vb. )

–          Video Kaydı ve Ses Kaydı

–          Kişisel bilgisayarlar (Masaüstü, dizüstü)

–          Mobil cihazlar (telefon, tablet vb.)

–          Optik diskler (CD, DVD vb.)

–          Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

–          Yazıcı, tarayıcı, fotokopi makinesi

–          Bulut dijital ortamlar ( Şirket’in bünyesinde yer almayan Şirket’in kullanımında olan kripto grafik olarak şifrelenmiş internet tabanlı sunucular ve

diğer alanlar )

 

4.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

  • Kişisel Verilerin Saklanması

 

Şirketimiz kişisel verilerin saklanması hususunda Anayasa ile belirlenmiş ilkeler çerçevesinde, KVKK ve alt mevzuatı ile KVK Kurulu’nun karar ve uygulamalarına uygun davranmaktadır. Bu kapsamda kişisel veriler veri sahiplerinin iradelerine uygun ve pozitif mevzuatta belirlenen süreler boyunca saklanmaktadır.

Yukarıda anılan mevzuat uyarınca kişisel verilerin ne kadar süre saklanması gerektiğine ilişkin bir düzenleme olmadığı hallerde, kişisel veriler o verinin işlenmesini gerektiren hukuki ilişkinin niteliğine göre ticari hayatta tatbik edilen teamüle uygun süre kadar saklanmayı müteakip silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermesine müteakip, derhal imhası yoluna gidilememektedir. Zira ileride hukuki uyuşmazlıklar yaşanması olanak dâhilinde olduğundan kişisel verinin işlenmesine temel teşkil eden hukuki ilişkinin türüne bağlı olarak saklama süresinin sonuna kadar saklanması gerekmektedir.

4.1.1.Kişisel verilerin Saklanmasına Dayanak Teşkil Eden Hukuki ve Teknik Sebepler

 

 Çalışan adaylarımıza ait kişisel veriler, Şirket faaliyetlerinin yürütülmesi amacıyla ihtiyaç duyulan istihdamın yerine getirilmesi ; çalışan adayının tespit edilen sağlık durumuna göre uygun olan iş pozisyonlarının sağlanması; Şirketimizin insan kaynakları politikalarının yürütülmesinin temini; akdedilmesi hedeflenen sözleşmede yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi ; Şirketimizin sair mevzuattan doğan yükümlülüklerinin yerine getirilmesi; uygun istihdamın saplanması amacıyla özelliklerinize göre gruplandırmaların yapılması

çalışan statüsüne kavuşulması halinde özlük dosyanızın oluşturulması teknik sebeplerine dayalı olarak işlenmektedir.

Bu veriler çalışan adayının mevcut açık istihdam pozisyonu dışında ortaya çıkması olasılığı olan pozisyonlar için de geçerli olmasını istediğine dönük açık rızasının bulunması halinde rızaya uygun süre boyunca saklanmaktadır. Çalışan adaylarımıza ait kişisel verilerin temini ve saklanması, istihdam sağlamak üzere iş sözleşmesinin akdedilmesini hedeflediğinden, KVKK md.5/2-c’de ifadesini bulan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuksal nedenine dayanmaktadır.

 Çalışanlarımıza ait kişisel veriler, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa edilmesi; faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi; acil durum listelerinin oluşturulması, acil durum operasyonlarının yürütülmesi ve acil durum analiz raporlarının oluşturulması, işyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi ; rıza verilmesi halinde, tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması yoluyla en uygun iş pozisyonda istihdam sağlanması ; Yönetim insan kaynakları politikalarının yürütülmesi; Şirketimiz ile akdedilmiş olan iş sözleşmesinde yer alan amaçlar doğrultusunda etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, özlük dosyasının oluşturulması, Şirketimizin sair mevzuattan doğan yükümlülüklerini yerine getirmesi; kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması ve performans değerlendirme süreçlerinin yürütülmesi teknik sebeplerine dayalı olarak işlenmektedir.

Bu verilerden iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtların saklanması, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Çalışanlarımızın İş Sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın hukuki gerekçesini teşkil eden İş Kanunu’nun 32. Maddesinde işaret edilen “5 yıllık işçi ücret alacakları zamanaşımı” nazara alınarak iş sözleşmesinin sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md.5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.

 Stajyerlerimize ait Kişisel Veriler : Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Kanunu

, Mesleki Eğitim Kanunu ve ilgili diğer mevzuatla Şirketimize yüklenen yasal yükümlülüklerin ifası; Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; yapılan sözleşmelerin Şirket tarafından ifa edilmesi; faaliyet süreçlerinin belirlenmesi ve uygulanması; Şirketimizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülüklerinin yerine getirilmesi;

Acil durum listelerinin oluşturulması ve acil durum operasyonlarının yürütülmesi , Acil durum analiz raporlarının oluşturulması, iş kazası halinde gerekli faaliyetlerin icrası , İşyeri hekiminden sağlık raporu elde edilmesine bağlı süreçlerin yürütülmesi, tespit edilen sağlık durumunuza göre pozisyon değişikliklerinin yapılması ve bu yolla uygun olan iş pozisyonlarının sizlere sağlanması, Şirket insan kaynakları politikalarının yürütülmesi, Şirketimiz ile Stajyerlerimiz arasındaki hukuk, ilişki doğrultusunda, etkili çalışan/Stajyer yönetiminin sürdürülmesi ve geliştirilmesi, Özlük/Şahsi dosyasının oluşturulması, Şirketimizin sair mevzuattan doğan yükümlülüklerini yerine getirmesini temini kapsamında, kamu kurumlarına bildirim yapılması amacıyla özelliklerinize göre gruplandırmaların yapılması; Performans değerlendirme süreçlerinin yürütülmesi. Şirket araçları ile yapılan görevler sırasında çalışanların/stajyerlerin ve üçüncü kişilerin fiziki ve hukuki güvenliğinin sağlanması gibi teknik sebeplerine dayalı olarak işlenmektedir.

Stajyerlerimizin sonra varsa İş Sağlığı ve güvenliğine ilişkin her türlü kayıtları bu verilerden Çalışanlara kıyasen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıtların saklanması, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesi uyarınca çalışanın iş akdinin sona erdiği tarihten itibaren en az 15 yıl saklanması zorunluluğu gerekçesine dayanmaktadır. Stajyerlerimizin İş Sağlığı ve güvenliği verileri dışındaki kişisel verileri ise, bu saklamanın ‘’dönemsel edimlere ilişkin zamanaşımını belirlemesi ‘’ sebebiyle hukuki gerekçesini teşkil eden özel nitelikteki sözleşmeye dayalı ödenmeyen staj ücret alacağı TBK m.147/1. Maddesinde işaret edilen “5 yıllık zamanaşımı” nazara alınarak Stajın sona ermesinden itibaren 5 yıl boyunca saklanmaktadır. Anılan yasal zorunluluklar sebebiyle ifa edilen veri saklama faaliyeti, KVKK md.5/2-a kapsamında “kanunlarda açıkça öngörülmesi” ve md. 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuki sebeplerine dayanmaktadır.

Mal ve Hizmet Alımı Yapılan Şirketlerin (Tedarikçilerin) Temsilcilerine ve Personeline ait

 kişisel veriler, Şirket çalışan ve müşterileri ile müşteri temsilcilerinin güvenliğinin sağlanması ; şirketimizin ifa etmek zorunda olduğu sözleşmeler kapsamında müşterilerine ve muhataplarına verilen hizmetlerin yerine getirilmesi ve kalitesinin yükseltilmesi ; müşterilere verilen hizmetlerle ilgili ifa kusuru iddialarına karşı delil niteliği sebebiyle hukuki hakların korunabilmesi; Şirketimizin sair mevzuattan kaynaklanan ve müşterilerine vermeyi taahhüt ettiği hizmetlere ilişkin yükümlülüklerin yerine getirmesi; şirket hizmetlerinin performans değerlendirme süreçlerinin yürütülmesi gibi teknik sebeplerine dayalı olarak işlenmektedir.

Bu teknik sebepler yukarıda sayılan şirketimiz ile müşterilerimiz arasındaki hukuki ilişkiye dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md.5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, hizmet alımına konu sözleşmenin ifasının tamamlanması ile son bulmaktadır. Bu andan itibaren anılan kişisel veriler sözleşmenin karşı tarafından sözleşmeye aykırılık iddiası gelmesi, üçüncü kişilerden veya sözleşmenin karşı tarafı tarafından sözleşme hükümlerinin ihlal edildiği ihbarında bulunulması gibi sebeplerle Şirketimizin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 146. Maddesi nazara alınarak 10 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.

 Ziyaretçilere ilişkin kişisel veriler, Şirketimizin çalışanları, çözüm ortakları, tedarikçi temsilci ve yardımcıları ile ziyaretçilerimizin can ve mal güvenliğinin sağlanması, giriş çıkışlarının kontrol altına alınması ; Şirket yöneticileri ve çalışanlarının iradelerine uygun olarak sadece istedikleri kişileri/gerekli gördükleri kişileri kabul etme olanağı tanınarak güvenliklerinin artırılması, Şirkette kontrol dışı kalan şahıslar olup olmadığının tespiti yoluyla ziyaretçilerin ve Şirketimizin fiziki ve hukuki kontrol ve güvenliğinin sağlanması teknik sebeplerine dayalı olarak işlenmektedir. Bu teknik sebeplerin hukuki gerekçesi, KVKK md 5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ziyaretçinin Şirketten ayrılması ile son bulmaktadır.

Bu andan itibaren ziyaretçilerimizden anılan kişisel veriler herhangi bir ilgili tarafından bir haksız fiil ihbarında bulunulması ihtimalinde Şirketin, müşterilerin, şirket çalışanları/stajyerlerinin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 72. maddesi nazara alınarak 2 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md 5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.

 Konuklara ilişkin kişisel veriler : Otelimizde konaklama hizmeti almak amacıyla şirketimizle yapılan veya yazılı olmaksızın yürürlüğe giren bir konaklama sözleşmesine dayalı olarak otel odası olarak tahsis edilmiş alanlarda konaklama hizmeti alan gerçek kişilerin can ve mal güvenliğinin sağlanması, giriş çıkışlarının kontrol altına alınması, şirket yöneticilerinin iradelerine uygun olarak sadece istedikleri kişileri kabul etme olanağı tanınarak güvenliklerinin artırılması, şirkette kontrol dışı kalan şahıslar olup olmadığının tespiti yoluyla konuklarımızın ve şirketimizin fiziki ve  hukuki kontrol ve güvenliğinin sağlanması teknik sebeplerine dayalı olarak işlenmektedir. Bu teknik sebeplerin hukuki gerekçesi, KVKK md.5/2-c kapsamında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır” ve md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, konuğun şirketten ayrılması ile son bulmaktadır.

Bu andan itibaren Konuklarımızdan anılan kişisel veriler herhangi bir ilgili tarafından bir haksız fiil ihbarında bulunulması ihtimalinde Şirketin, müşterilerin, şirket çalışanları/stajyerlerinin meşru menfaatini koruyabilmek gerekliliği sebebiyle Türk Borçlar Kanunu’nun 146. maddesi nazara alınarak 10 yıl süreyle saklanmaktadır. Anılan durum sebebiyle ifa edilen veri saklama faaliyeti, KVKK md. 5/2-e kapsamında “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanmaktadır.

 Güvenlik Kamera Görüntülerine (CCTV) Giren Şahısların kişisel veri niteliğindeki görüntüleri şirketin kontrolünde olan fiziksel mekanlar ile her türlü ilgilinin can ve mal güvenliğinin sağlanması; çalışanların, stajyerlerin, müşterilerin, ziyaretçilerin, tedarikçilerin, şirket yöneticilerinin veya üçüncü kişilerin herhangi bir haksız fiille karşılaşmaları, sorunun çözümü ve mağdurun meşru menfaatlerinin korunması gibi teknik sebeplere dayalı olarak işlenmektedir. Bu teknik sebepler Şirket çalışanları, stajyerler, müşteriler, tedarikçiler ve diğer ilgililer arasındaki hukuki ilişkiye ve iyi niyet ve dürüstlük kurallarına dayandığından veri işleme faaliyetinin hukuki gerekçesi, KVKK md.5/2-f kapsamında “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır”. Bu kişisel verilerin işlenmesine ilişkin hukuki gerekçe, ilgili kişinin güvenlik kamera kaydının yapılması ile son bulmaktadır.

Bu andan itibaren anılan kişisel veriler, herhangi bir ceza soruşturmasında kullanılma ve hak taleplerine delil teşkil etmesi ihtimali sebepleriyle bu ihtimalin gerçekleşip gerçekleşmeyeceğinin

beklenmesi amacıyla hiç kimseyle paylaşılmaksızın kayıt tarihinden itibaren 2 ay süreyle saklanmakta ve herhangi bir hukuki/cezai ihtilaf sebebiyle delil niteliği taşımıyorsa bu iki aylık süre sonunda imha edilmektedir.

4.1.2.Kişisel Verilerin Güvenli Şekilde Saklanması ve Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önüne Geçilmesi İçin Alınmış Olan Teknik ve İdari Tedbirler

 

  • Teknik Tedbirler

 

Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan teknik tedbirleri almaktadır.

  • Kişisel verilerin muhafaza edildiği ortamların güvenliği için bilişim teknolojisinin sağladığı en yeni olanaklarla koruma sağlanmaktadır.

  • Kişisel verilerin muhafaza edildiği ortamlarla ilgili olarak çoklu güvenlik sistemleri tatbik edilmektedir.

  • Bilişim sisteminde güvenlik zafiyeti olup olmadığının tespiti amacıyla gerektikçe güvenlik ve sızdırmazlık testleri uygulanması ve elde edilecek sonuca uyarlı tedbirler alınması öngörülmektedir.

  • Kişisel verilerin bulunduğu ortamlara erişim yetkileri, gereklilik ve ölçülülük ilkeleri uyarınca hem fiziksel, hem de bilişim sistemleri üzerinden kategorize edilmekte ve sınırlandırılmaktadır.

4.1.2.2.İdari Tedbirler

Şirketimiz, kişisel verilerin niteliğine ve saklandığı ortamların özelliklerine bağlı olarak aşağıda sıralanan idari tedbirleri almaktadır.

  • Kişisel verilere erişim yetkisi olan ve/veya işleme/imha sürecine dahil olan tüm personele kişisel veriler, bilgi güvenliği ve özel hayatın gizliliği gibi ilgili tüm konularda bilgilendirme ve farkındalık eğitimleri

  • Kişisel verilerin korunması hususunda gereklilikler hakkında çalışanlar ayrıntılı olarak talimatlandırılmakta, gerektiğinde idari ve disiplin işlemi yapılması öngörülmektedir.

  • Şirket içerisinde saklanan dijital ve / veya fiziksel olarak işlenen kişisel verilere erişme yetkisine haiz tüm personeller, erişmesi gereken alanlarla sınırlandırılmıştır.

  • Özel nitelikli kişisel verilerin önem derecesi dikkatte alınarak yalnızca erişilmesi gereken noktalarda personelin dijital ve/veya fiziksel erişimine izin verilmiştir.

  • Faaliyetlerimizin yerine getirilmesi sürecinde kişisel verilerin paylaşımı gerektiğinde, bunların korunması ve ilgili kişilerin haklarının muhafazası için lüzumlu sözleşme hükümleri eklenmekte ve eski sözleşmeler için ek sözleşmeler yapılmaktadır.

  • Faaliyetlerimizin icrası sırasında hizmet alımını yapılması ve kişisel verilerin hizmet verenin personeliyle kişisel veri paylaşımını gerektirmesi halinde gerektiğinde hizmet verenin personelinden de kişisel verilerin korunması ve amacına uygun kullanımını emin amacıyla özel olarak taahhütname alınmaktadır.

4.2.Kişisel Verilerin İmhası

 

  • Kişisel Verilerin Hukuka Uygun İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler

 

Kişisel verilerin saklama süreleri sonunda imha edilmesi yoluyla üçüncü kişilerce ulaşılmasını geri dönüşümsüz olarak engelleyebilmek amacıyla, imha takip dosyası oluşturulmuş olup, ilgililer talimatlandırılarak bilişim sisteminde ve fiziksel olarak bulunan kişisel verilerin imhasının sürekli takibi yapılmaktadır.

4.3.     Saklama ve İmha Süreçlerinde Yer Alan Birimler ve Görevleri Tablosu

 

Kişisel verilere ilişkin farkındalığın sürekliliğinin sağlanması

için lüzumlu eğitimlerin planlanması ve icrası

İnsan Kaynakları Departmanı.

Kişisel    verilerin   korunmasına   ilişkin    personel   görev tanımlarının ilgili çalışanlara ve hizmet alınan şirket

personeline tebliği ve takibi

 

İnsan Kaynakları Departmanı.

Kişisel verilerin işlendiği güvenlik kamerası veya ziyaretçi

kayıt defteri gibi harici ortamların fiziksel denetimi

Bilgi İşlem Departmanı

Kişisel veri imha dosyasının oluşturulup düzenli bir şekilde

imhanın sağlanması ve bu işlemlerin kayıt altına alınması

İnsan Kaynakları Departmanı

Kişisel veri saklama ortamlarının fiziki ve bilişim sistemi

güvenlik araçlarının geliştirilmesi ve güncellenmesi

İnsan Kaynakları ve Bilgi İşlem

Departmanı

Kişisel verilerin korunması ve imhası sürecine ilişkin kurulmuş olan sistemin geliştirilmesi için lüzumlu takip,

araştırma ve önerilerin ortaya konması

 

İnsan Kaynakları Departmanı.

 

  • Saklama ve İmha Sürelerini Gösterir Tablo

 

VERİ SAHİBİ

VERİ KATEGORİSİ

SAKLAMA SÜRESİ

Çalışan Adayı

Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, sağlık verileri, ceza mahkûmiyet

verileri

Başvuruya konu boş statüye ilişkin kararın verilmesinden itibaren açık rıza varsa 2 yıl

Çalışan

Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük verileri, ceza mahkûmiyet

verileri

İş sözleşmesinin sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 5 yıl

Çalışan

İş       sağlığı       ve      güvenliği

faaliyetlerine      ilişkin      sağlık

İş    sözleşmesinin    sona    ermesinden

itibaren, herhangi bir dava veya hukuki

 

verileri dahil her türlü kayıt

ihtilaf söz konusu değilse 15 yıl

Stajyer

Kimlik verileri, iletişim verileri, mesleki geçmiş verileri, performans verileri, özlük

verileri

Stajın sona ermesinden itibaren, herhangi bir dava veya hukuki ihtilaf söz konusu değilse 5 yıl

Stajyer

İş       sağlığı       ve       güvenliği faaliyetlerine      ilişkin      sağlık

verileri dahil her türlü kayıt

Stajın     sona     ermesinden    itibaren, herhangi bir dava veya hukuki ihtilaf

söz konusu değilse 15 yıl

Ziyaretçi

 

Kimlik verileri, iletişim verisi

Ziyaretçinin    şirketten    ayrılmasından itibaren Türk Borçlar Kanunu’nun 72.

maddesi nazara alınarak 2 yıl

Konuk

Kimlik verileri, iletişim verisi

Konuğun otelden ayrılmasından itibaren

Türk Borçlar Kanunu’nun 146. maddesi nazara alınarak 10 yıl

Tedarikçiler

Kimlik verileri, iletişim verileri

Hizmet alımına ilişkin sözleşmenin ifasından itibaren Türk Borçlar Kanunu’nun 146. Maddesi nazara

alınarak 10 yıl

Güvenlik Kamerası

Görüntüleri

Görsel veri

Kayıttan itibaren 2 ay

 

  • Periyodik İmha Süresi

 

Şirketimizce, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

5. YÜRÜRLÜK VE GÜNCELLEME

Bu politikanın yürürlüğü Şirket tarafından yerinde getirilir. Yasal mevzuatta veya kişisel verilerin işlenme ve saklanmasıyla ilgili süreçlerde değişiklik olması halinde Şirketimizce güncellenir.