İZİ SÜT VE GIDA MAMÜLLERİ SAN. TİC. A.Ş.
KİŞİSEL VERİLERİN KORUNMASI
AYDINLATMA VE AÇIK RIZA METNİ
Değerli Ziyaretçimiz,
İZİ SÜT VE GIDA MAMÜLLERİ SAN.TİC. A.Ş. (“Şirket”) olarak; kişisel verilerinizin gizliliği ve güvenliği önemli önceliklerimizden biridir. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ("Kanun") 10. maddesinden doğan ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında yerine getirmek amacıyla aşağıdaki açıklamalar ile siz değerli müşterilerimizin ve web-sitemizi kullanan 3. kişilerin bilgilendirilmesi amaçlanmaktadır.
İzi Süt ve Gıda Mamülleri Sanayi Ticaret A.Ş. olarak, gerek web sitemizi kullanırken, gerek ilgili başvuru formlarını doldurarak, gerekse başka yollarla tarafımıza iletmiş olduğunuz kişisel bilgilerinizin, Şirketimiz tarafından tamamen veya kısmen otomatik yollar ile işbu metinde belirtilen amaçlar ile sınırlı olarak Kanun ve Tebliğ’de belirtilen genel ilkeler ışığında ve Kanun’da belirtilen kişisel veri işleme şartları dahilinde Şirketimiz tarafından işlenebilecektir.
Şirketimiz ile tüketici, abone, müşteri, tedarikçi, çalışan ve diğer ilişkiler çerçevesinde paylaştığınız kişisel verileriniz, KVKK’ya uygun şekilde, hukuk ve dürüstlük kuralının öngördüğü biçimde, tamamen veya kısmen işlenme amaçları ile bağlantılı, sınırlı ve ölçülü, doğru ve güncel olarak, belirli açık ve meşru amaçlar ile işlenebilir, kaydedilebilir, depolanabilir, muhafaza edilebilir; başta iş ortakları, bayileri, tedarikçileri, alt yüklenicileri ve yardımcıları, ilgili denetleyici kurumlar, resmi kurumlar, yurtiçi-yurtdışındaki ilgili üçüncü kişilere aktarılabilir; buralarda depolanabilir, güncellenebilir, periyodik olarak kontrol edilebilir, yeniden düzenlenebilir, sınıflandırılabilir. Şirketimizce tarafınıza bilgilendirme ve tanıtım için e-posta ve/veya sms atılabilir, telefon araması yapılabilir yahut bu hizmet üçüncü kişilerden alınmak suretiyle ifa edilebilir. Şirketimiz web sitesi üzerinden diğer web sitelerine erişim için verilen linklerin güvenlik ve gizliliği Şirketimizin sorumluluğu altında bulunmamaktadır. Bu sitelerde karşılaşılabilecek maddi/manevi kayıplardan Şirketimiz sorumluluk üstlenemez.
Veri sorumlusu olarak Şirketimiz aracılığıyla bizlerle paylaştığınız kimlik ve iletişim verileriniz ile internet sitemizi ziyaret etmeniz halinde toplanan dijital iz verileriniz; işyerimizi ziyaret etmeniz halinde veya düzenlenen toplantı ya da organizasyonlara katıldığınızda izniniz dahilinde fotoğraf veya kamera kaydı verileriniz, Şirketimizin müşterilerine en iyi şekilde hizmet sunabilmesini teminen aşağıda belirtilen hizmet ya da faaliyetlerle sınırlı olarak işlenmektedir.
- Şirketimiz tarafından sunulan ürün ve hizmet süreçlerinin yürütülmesi ve sunulan/alınan hizmetler kapsamında müşteri/tedarikçi çalışanının ve hizmet veya tedarik konusu işlemlerde yer alan diğer kişilerin verilerinin işlenmesi,
- Tüketici ihtiyaçlarını anlamak, isteklerine göre daha hızlı cevap verebilmek ve tüketicilerimizle olan iletişimimizi geliştirilerek daha iyi hizmet vermek, tüketicilerimizi ürün ve hizmetlerimiz hakkında bilgilendirebilmek, ürün ve hizmetlerimiz hakkında görüşlerinizi alabilmek, istekleriniz ve ihtiyaçlarınız doğrultusunda ürün ve hizmetlerimizi geliştirmek ve çeşitlendirmek ve bunlarla birlikte gerekli kalite ve standart denetimlerimizi ilgili kanun ve mevzuatların öngördüğü şekilde yapabilmek,
- Ziyaretçi kayıtlarının oluşturulması ve işyerlerimizin güvenliğinin sağlanması,
- Toplantı, organizasyon, eğitim, konferans veya etkinliklerin düzenlenmesi,
- Veri güvenliği kapsamında bilgi sistemleri güvenliğinin ve sürekliliğinin sağlanması,
- Müşteri ilişkilerinin yönetilmesi ve bu kapsamda iş süreçlerinin iyileştirilmesi ve geliştirilmesi, analiz, anket, raporlama çalışmalarının yapılması,
- Sponsorluk faaliyetlerinin yürütülmesi,
- Bülten, yayın, derginin paylaşılması,
- İnternet sitesine üyelik kaydının yapılması,
- İç kontrol, bağımsız denetim, inceleme ve raporlama süreçlerinin yürütülmesi
- Resmi kurum ve kuruluşların taleplerinin yerine getirilmesi ve Şirketimize iletilen kararların uygulanması,
- Saklama ve arşiv faaliyetlerinin yürütülmesi, işlemleri sağlanmaktadır.
Kişisel verileriniz, yukarıda belirtilen amaç ve internet sitesi, muhtelif sözleşmeler, mobil uygulamalar, elektronik posta, başvuru formları gibi araçlar üzerinden Şirketimiz ile yapılan yazılı veya sözlü iletişimler vb. kanallar aracılığıyla sözlü, yazılı veya elektronik ortamda toplanabilir, onaylarınız alınabilir.
6698 sayılı KVKK’nın “ilgili kişinin haklarını düzenleyen” 11. maddesi kapsamındaki taleplerinizi, Kanun’un 13. maddesinin 1. fıkrası gereğince ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca yazılı olarak İzi Süt ve Gıda Mamülleri Sanayi Ticaret A.Ş. için “Fetih Mahallesi İnce Mehmet Sokak No:10 Karatay/KONYA” adresine ıslak imzalı olarak veya “kvkk@izisut.com.tr” posta adresine gönderebilirsiniz. Taleplerin ayrıca bir maliyet gerektirmesi durumunda Şirket, ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edebilecektir.
Şirketimizin web sitesine müşterilerimizin/ziyaretçilerimizin giriş yapması, yukarıda belirtilen koşulları kabul ettiği anlamına gelmekte olup, Şirketimiz bu yasal uyarıda yer alan koşulları ve hükümleri, önceden bir ihbara gerek kalmaksızın değiştirme ve güncelleme hakkına sahiptir.
Gizlilik ve Çerez Politikası
İZİ SÜT VE GIDA MAMÜLLERİ SAN. TİC. A.Ş. (ŞİRKET) tarafından işletilen (www.izisut.com.tr) internet sitesini ziyaret edenlerin (Veri Sahibi) gizliliğini koruma önde gelen ilkelerimiz arasındadır. İnternet Sitesi Gizlilik ve Çerez Politikası (Politika) ile; veri sahiplerinin kişisel verilerinin işlenmesi, çerez politikası ve internet sitesi gizlilik politikası hakkında açıklamalar yapılmaktadır.
Gizlilik ve Çerez Politikası
- Veri Sahiplerinin Kişisel Verilerinin İşlenmesi
İnternet sitemizi ziyaret etmeniz sırasında elde edilen kişisel veriler, Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca aşağıda belirlenen kapsamda işlenebilecektir. Kişisel verilerinizin işlenmesine ilişkin detaylı bilgilere, (www.izisut.com.tr) internet adresinden ulaşabilirsiniz.
- Kişisel Verilerinizin İşlenme Amacı
İnternet Sitemizi ziyaret etmeniz dolayısıyla elde edilen kişisel verileriniz aşağıda sıralanan amaçlarla Şirket tarafından Kanun’un 5. ve 6. maddelerine uygun olarak işlenebilecektir:
- Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
- Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişilerin faydalanması için gerekli çalışmaların birimlerimiz tarafından yapılması ve ilgili süreçlerinin yürütülmesi,
- Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve uygulanması.
- Kişisel Verilerinizin Aktarıldığı Taraflar ve Aktarım Amacı
İnternet sitemizi ziyaret etmeniz ile elde edilen kişisel verileriniz, kişisel verilerinizin işlenme amaçları doğrultusunda iş ortaklarımıza, kanunen yetkili kamu kurumlarına ve özel kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında aktarılabilecektir.
- Kişisel Verilerinizin Toplanma Yöntemi Ve Hukuki Sebebi
Kimliğinizi belirli ya da belirlenebilir kılan her türlü bilgi “kişisel veri”dir. İnternet sitemizi ziyaretiniz kapsamında kişisel verileriniz Kanun’da yer alan veri işleme şartlarına uygun olarak İnternet Sitemizi ziyaret etmeniz dolayısıyla teknik iletişim dosyaları olan çerezler (cookies) vasıtasıyla toplanmaktadır.
- Veri Sahiplerinin Hakları
Veri sahibi olarak aşağıdaki haklara sahip olduğunuzu bildiririz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun’a ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda buna itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
Yukarıda sıralanan haklarınıza yönelik başvurularınızı, kvkk@izisut.com.tr mail adresinden veya şirket açık adresinden tarafımıza iletebilirsiniz. Talebinizin niteliğine göre en kısa süre içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre ücret talep edilebilecektir.
- Çerez Politikası Hakkında
Bu Politika, çerezlerin ne olduğunu, türlerini, bunları nasıl kullandığımızı, çerez tercihlerinin nasıl kontrol edileceğini açıklamaktadır. Kişisel verilerinizi nasıl kullandığımız, sakladığımız hakkında bilgi edindikten sonra, istediğiniz zaman web sitemizdeki Çerez Bildirimi'ndeki onayınızı değiştirebilir veya geri çekebilirsiniz.
Çerez Nedir?
Çerezler, küçük bilgileri saklamak için kullanılan küçük metin dosyalarıdır. Web sitesi tarayıcınıza yüklendiğinde, çerezler cihazınızda saklanır. Bu çerezler, web sitesinin düzgün çalışmasını sağlamamıza, web sitesini daha güvenli hale getirmemize, daha iyi bir kullanıcı deneyimi sunmamıza ve web sitesinin nasıl performans gösterdiğini ve neyin işe yaradığını ve iyileştirilmesi gereken yerleri analiz etmemizi sağlar.
İnternet sitemizden en verimli şekilde faydalanabilmeniz ve kullanıcı deneyiminizi geliştirebilmek için Çerez kullanıyoruz. Çerez kullanılmasını tercih etmezseniz tarayıcınızın ayarlarından çerezleri silebilir ya da engelleyebilirsiniz. Ancak bunun internet sitemizi kullanımınızı etkileyebileceğini hatırlatmak isteriz. Tarayıcınızdan çerez ayarlarınızı değiştirmediğiniz sürece bu sitede çerez kullanımını kabul ettiğinizi varsayacağız.
- Çerezleri Nasıl Kullanıyoruz?
Web sitelerimizde kullanılan üçüncü taraf çerezleri, temel olarak web sitesinin nasıl performans gösterdiğini, web sitemizle nasıl etkileşimde bulunduğunuzu, hizmetlerimizi güvende tutmak, sizinle alakalı reklamlar sunmak ve hepsinde size daha iyi ve daha iyi bir hizmet sunmak için kullanılır; Kullanıcı deneyimi ve web sitemizle gelecekteki etkileşimlerinizi hızlandırmaya yardımcı olur.
Çerezler, ziyaret ettiğiniz internet siteleri tarafından tarayıcılar aracılığıyla cihazınıza veya ağ sunucusuna depolanan küçük metin dosyalarıdır.
İnternet Sitemizde çerez kullanılmasının başlıca amaçları aşağıda sıralanmaktadır:
- İnternet sitesinin işlevselliğini ve performansını arttırmak yoluyla sizlere sunulan hizmetleri geliştirmek,
- İnternet Sitesini iyileştirmek ve İnternet Sitesi üzerinden yeni özellikler sunmak ve sunulan özellikleri sizlerin tercihlerine göre kişiselleştirmek,
- İnternet Sitesinin, Sizin ve Şirketimizin hukuki ve ticari güvenliğinin teminini sağlamak.
- Ne tür çerezler kullanıyoruz?
Çevrimiçi hizmetlerin çoğu gibi, web sitemiz çerezler için bir dizi amaç için birinci ve üçüncü taraf çerezleri kullanır. Birinci taraf çerezleri çoğunlukla web sitesinin doğru şekilde çalışması için gereklidir ve kişisel olarak tanımlanabilir verilerinizin hiçbirini toplamazlar. Temel: Sitemizin tüm işlevselliğini tecrübe edebilmeniz için bazı çerezler zorunludur. Kullanıcı oturumlarını sürdürmemize ve güvenlik tehditlerini önlememize izin veriyorlar. Kişisel bilgiler toplamaz veya saklamazlar. Örneğin, bu çerezler hesabınıza giriş yapmanızı ve sepetinize ürün eklemenizi ve güvenli bir şekilde ödeme yapmanızı sağlar.
İstatistikler: Bu çerezler, web sitesine gelen ziyaretçi sayısı, benzersiz ziyaretçi sayısı, web sitesinin hangi sayfalarının ziyaret edildiği, ziyaretin kaynağı vb. bilgileri depolar. Bu veriler, web sitesinin ne kadar iyi performans gösterdiğini ve analiz etmemize yardımcı olur.
Pazarlama: Web sitemiz reklam veriyor. Bu çerezler, size gösterdiğimiz reklamları sizin için anlamlı olacak şekilde kişiselleştirmek için kullanılır. Bu çerezler ayrıca bu reklam kampanyalarının verimliliğini takip etmemize yardımcı olur.
Bu çerezlerde depolanan bilgiler, üçüncü taraf reklam sağlayıcıları tarafından size tarayıcıdaki diğer web sitelerinde reklam göstermek için de kullanılabilir.
İşlevsel: Bunlar, web sitemizdeki bazı önemli olmayan işlevlere yardımcı olan çerezlerdir. Bu işlevler arasında videolar gibi içerik yerleştirme veya web sitesindeki içerikleri sosyal medya platformlarında paylaşma yer alır.
Tercihler: Bu çerezler ayarlarınızı kaydetmemize ve dil tercihleri gibi tarama tercihlerinizi belirlememize yardımcı olur, böylece web sitesine gelecekteki ziyaretlerinizde daha iyi ve verimli bir deneyime sahip olursunuz.
- Çerez Tercihlerini Nasıl Kontrol Edebilirim?
Buna ek olarak, farklı tarayıcılar web siteleri tarafından kullanılan çerezleri engellemek ve silmek için farklı yöntemler sunar. Çerezleri engellemek / silmek için tarayıcınızın ayarlarını değiştirebilirsiniz.
- Çerezlerin Kullanımı Veri Sahipleri Tarafından Engellenebilir Mi?
Tarayıcınızın ayarlarını değiştirerek çerezlere ilişkin tercihlerinizi kişiselleştirme imkanına sahipsiniz.
- İnternet Sitesi Gizlilik Politikası’nın Yürürlüğü
Bu Politika 15/10/2019 tarihinde yürürlüğe girmiştir. Politika’nın tümünün veya belirli maddelerinin yenilenmesi halinde Politika’nın yürürlük tarihi revize edilecektir.
Politika Şirketin internet sitesinde (www.izisut.com.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Kişisel verilerinizin işlenmesine ilişkin detaylı aydınlatma metnine web sitemiz üzerinden ulaşabilirsiniz.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla İZİ SÜT VE GIDA MAMÜLLERİ SAN. TİC. A.Ş. (“Şirket”) tarafından hazırlanmıştır.
1.Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
2.İlkeler
Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta ilgili kişi tarafından Şirket’e başvurulması halinde;
- İletilen talepler en geç 60 (altmış) gün içerisinde cevaplandırılmaktadır,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
3.Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle
- Ticari faaliyetlerin sürdürülebilmesi,
- Hukuki yükümlülüklerin yerine getirilebilmesi,
- Çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
İmhayı gerektiren sebepler aşağıdaki gibidir:
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
4.Kişisel Verilerin Saklandığı Ortamlar
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her şartta veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
a) Matbu ortamlar: Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
b) Yerel dijital ortamlar: Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
c) Bulut ortamlar: Şirket bünyesinde yer almamakla birlikte, Şirketin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
5.Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler
Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler Şirket sistemine işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in serverına kaydedilmektedir.
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
5.1.İdari Tedbirler:
Şirket idari tedbirler kapsamında;
• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve, sözleşme, imzalar veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
5.2.Teknik Tedbirler:
Şirket idari tedbirler kapsamında;
• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
• Verilerin şirket dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
• Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.
• Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.
• Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
- Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
- Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.
6.Kişisel Verileri Koruma Komitesinin Görev ve Yetkileri
Kişisel Verileri Koruma Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.
- Kişisel Veri Komitesi Yöneticisi:Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.
- Kişisel Veri Komite Sorumlusu: İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.
7.Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
• İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
• Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
8.Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
8.1 Kişisel Verilerin Silinmesi
Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler; Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler; Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler; Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
8.2.Kişi Verilerinin Yok Edilmesi
Fiziksel Ortamda Yer Alan Kişisel Veriler; Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler; Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
8.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
9.Saklama ve İmha Süreleri
Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
- Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Yönetimi Dairesi Başkanlığınca güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı tarafından yerine getirilir.
Kişisel veriler politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir :
Süreç |
Saklama Süresi |
İmha Süresi |
İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.) |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.) |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
SGK mevzuatı kapsamında tutulan veriler |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Sair ilgili mevzuat gereği toplanan veriler |
İlgili mevzuatta öngörülen süre kadar |
Saklama süresinin bitimini takiben 180 gün içerisinde |
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması |
Dava zaman aşımı müddetince |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Müşteri verileri |
Kayıt altına alınmasına müteakip 10 yıl |
Saklama süresinin bitimini takiben 180 gün içerisinde |
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
10.Güncelleme
Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki veya bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.