KVKK KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
1.GİRİŞ
Yepsan Yedek Parça Sanayi Ticaret A.Ş. (“Şirket”) olarak, şirketimizin faaliyet alanı ile sınırlı olmak üzere, hukuki ilişki içerisinde olduğumuz; müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, iş ortakları, şirket ortakları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmesine, korunmasına büyük önem vermekteyiz. Bu amaçla, şirketimiz yasal düzenleme ve alınan kararlar uyarınca, gerekli idari ve teknik tedbirleri almaktadır.
Avrupa Konseyi’nin, 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, ülkemiz tarafından 28 Ocak 1981 yılında imzalanmıştır. Bu sözleşme, 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’ de yayımlanarak iç hukukumuza dâhil edilmiştir. Buna bağlı olarak Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Avrupa Birliği (AB)’nin kişisel verilerin korunmasına ilişkin mevzuatı kapsamında Genel Veri Koruma Tüzüğü/ Regülasyonu (GDPR) ile düzenlenmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında hazırlanan Kişisel Veri Koruma ve İşleme ile Saklama ve İmha Politikası ve ekleri; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile Kişisel Verilerin Silinmesi, Yok Edilmesi, veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında, veri sorumlusu sıfatıyla Yepsan Yedek Parça Sanayi Ticaret A.Ş. tarafından hazırlanmıştır.
2.AMAÇ
Şirketimiz tarafından hazırlanmış olan bu politika metni ile Yepsan Yedek Parça Sanayi Ticaret A.Ş. tarafından, KVK Kanununa uyum sürecinin tamamlanması bakımından aşağıda yazılı temel ilkeler doğrultusunda; müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, iş ortakları, şirket ortakları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel verilerin; KVK Kurumu’nun yayınladığı kararlar, belirlediği ilkeler ile T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak yapılmaktadır.
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Şirketimizce gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda izlenmesi gereken usul ve esasları belirlemek amacıyla hazırlanmıştır.
3.KAPSAM
Müşteriler, tedarikçiler, tedarikçi yetkilisi, tedarikçi çalışanları, iş ortakları, şirket ortakları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; hazırlanmış olan bu politika kapsamında olup, şirketimiz nezdinde otomatik yöntemlerle veya otomatik olmayan yollarla işlenen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik şirket faaliyetlerde işbu politika uygulanmaktadır.
Açık Rıza:
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grubu:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Anonim Hale Getirme:
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan:
Şirketimiz çalışanlarını kapsamaktadır
Çalışan Adayı:
İnternet sayfasını kullanarak veya işyerine bizzat gelerek iş başvuru formunu doldurup, iş başvurusu yapanlar
Elektronik Ortam:
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam:
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet Sağlayıcısı:
Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kullanıcı:
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İlgili Kişi / Kişisel Veri Sahibi:
Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.
İmha:
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel Veri İşleme Envanteri:
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini, kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kayıt Ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi:
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi:
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi:
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kanun:
6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul:
Kişisel Verileri Koruma Kurulu
Kurum:
Kişisel Verileri Koruma Kurumu
Kişisel Veri İrtibat Kişisi:
Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi
Özel Nitelikli Kişisel Veri:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik İmha:
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika:
Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını
Saklama:
Kişisel verilerin, ilgili mevzuatta öngörülen veya işleme amacına uygun süre kadar muhafaza altına alınması
Şirket:
Yepsan Yedek Parça Sanayi Ticaret A.Ş.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi:
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi:
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS:
Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik:
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
5.SORUMLULUK VE GÖREV DAĞILIMI
6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat uyarınca, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, şirket bünyesinde gerekli koordinasyonu sağlamak amacıyla şirket Veri İrtibat Kişisi belirlenmiş, kişisel veri koruma birimi ( komite ) oluşturulmuştur. Komitenin görev ve sorumlulukları tanımlanarak gerekli kararlar alınarak, ilgililere tebliğ edilmiştir.
İşbu politika kapsamında alınan teknik ve idari tedbirlerin gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler veri irtibat kişisi ve komite tarafından sorumlu birimlerce yerine getirilmektedir.
6.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR
Şirketimizce tutulan kişisel veriler, sunucular-server, kullanılan yazılımlar, kişisel bilgisayarlar, telefon, tablet gibi mobil cihazlar, uygulamalar, yazılım programları, optik diskler, çıkarılabilir bellekler gibi elektronik ortamlarda ve kağıt olarak tutulan kişisel veriler, sunulan hizmet bilgilerinin yer aldığı formlar, özlük dosyaları, iş başvuru formları, şirket ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri kayıt sistemleri (anket formları, ziyaretçi formları, yazılı, basılı, görsel ortamlarda tutulan kişisel veriler, birim dolapları, arşiv odaları gibi elektronik olmayan fiziksel ortamlarda kaydedilmektedir.
Kişisel verileriniz, 6698 sayılı KVK Kanunu ve ilgili mevzuata, uluslararası veri güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek, kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz üzerinde gerçekleştirilen her türlü işleme konu olarak şirketimiz tarafından işlenmektedir.
7.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
İşbu politikada açıklandığı üzere, gerek çalışanlar ve gerekse şirketimiz ile irtibatlı kişisel veri sahibi olan ilgili tüm kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamında, kanunda belirtilen haller dışında, hiç kimse başkaca hiçbir amaç için kişilerin verilerini başka amaçla kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla belirlenen amaçlar dışında kullanılamaz.
7.2.Temel İlkeler
Şirketimiz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı KVK Kanunu’nun 4. maddesinde belirtilen ilkelere uygun işlenmektedir. Şirket, Kişisel Verilerin işlenmesi, korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda öngörülen usul ve esaslara uygun olarak işlenmektedir.
8.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5. Maddesine uygun olarak işlenmektedir. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
Şirketimiz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6. Maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; kanunun 6/1. fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
İlgilinin açık rızası aranmaksızın işlenebilir. Şirketimiz Özel nitelikli kişisel verilerin işlenmesinde, 6698 sayılı yasa ve ilgili yasal mevzuata uygun olarak ve ayrıca Kurul tarafından belirlenen yeterli önlemler alınarak işlenmektedir.
10.KİŞİSEL VERİLERİN İŞLENMESİ, TOPLANMASI VE HUKUKİ SEBEBİ
Kişisel verileriniz; şirket faaliyetleri kapsamında, belirtilen amaçlarla sınırlı olmak üzere, her türlü sözlü, yazılı ya da elektronik ortamda, başvuru formlarının doldurulması, özlük dosyalarının oluşturulması, sözleşmelerin düzenlenmesi, ifası, muhasebe, mali ve sosyal hakların tesisi ve sürdürülmesi için finans bilgilerinin işlenmesi, satın alma, pazarlama, planlama, ihracat, kalite ve kurumsal gelişimin sağlanması amacıyla alınan kişisel verilerin işlenmesi, şirket bina ve eklentilerinin, internet sitesinin ziyaret edilmesi, çağrı hizmetlerimizi aranması, şirket bina ve eklentilerinde iç ve dış mekan güvenliğini sağlamak amacıyla görüntülü kamera kayıt sisteminin kullanılması suretiyle, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmekte ve toplanmaktadır.
Kişisel verileriniz; açık rızanız, kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusu olan şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması, işlenen kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu olan şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayalı olarak, kanunun 5 inci maddesine uygun olarak işlenmekte, toplanmakta ve aktarılmaktadır.
11.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR
Şirketimiz tarafından oluşturulan bu politika ile müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, iş ortakları, şirket ortakları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; ilgili mevzuata, usul ve yasaya uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar aşağıda belirlenmiştir.
11.1.Kişisel Verilerin Saklanması
6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi tanımlanmış, 4. Madde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiş olup, 6698 sayılı yasanın 5. ve 6. maddelerde kişisel verilerin işleme şartları sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu politika metninde yazılı olup, şirket faaliyetleri kapsamında kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar idari ve teknik tedbirler alınmak suretiyle saklanmaktadır.
11.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
İşbu politika ile şirketimiz faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır. Yukarıda sayılan ve şirket faaliyetleri kapsamında kişilerin tabi oldukları kanunlarda öngörülen süreler ve ikincil düzenlemeler çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen suçların tabi olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır.
Şirketimizin faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen zamanaşımı süreleri ile şirketin hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan veya oluşabilecek uyuşmazlıklar, şirket kurumsal hafızası ve ticari iş ve faaliyetleri dikkate alınarak, kanunlarda öngörülen süreler dışında, şirketin meşru menfaati ve ilgili veri sahipleri ile yapmış olduğu veya yapacağı sözleşmelerin kurulması ve ifa süreçleri dikkate alınarak, kişisel verilerin saklama ve imha süreleri kurumsal karar olarak işbu politika ile belirlenmiştir.
11.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları
Şirket, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, şirket faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde belirlenmiştir.
11.4.Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru formunu doldurmak suretiyle, şirket tarafından politika, yasa ve yönetmelikte öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir. Buna göre;
12.KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
Bu politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve mevzuata uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için, 6698 sayılı KVK Yasasının 6. maddesinde düzenlenen Özel Nitelikli Kişisel Verilerin 6/4. maddesine göre “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile aynı yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini sağlamak amacıyla KVK Kurulu tarafından belirlenen ve ilan edilen gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak şirket tarafından aşağıda yazılı teknik ve idari tedbirler alınmaktadır.
12.1.Teknik Tedbirler:
Kişisel Verileri Koruma Kurumu tarafından alınması gereken teknik tedbirler https://www.kvkk.gov.tr adresinden duyurulmuş olup, Kurul tarafından ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak şirketimiz tarafından gerekli tedbirler alınmaktadır. “Bilgi İşlem Birimi” tarafından KVKK Teknik Tedbirler Analiz Raporu hazırlanmış olup, gerekli teknik tedbirler ve alınması gereken önlemlere ilişkin tespitler belirlenmiştir. Bilgi güvenliği ile ilgili yerinde ve gerçek zamanlı olarak yapılan analizler sonucunda, bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler tespit edilmiş olup, sürekli olarak izlenmektedir. Şirketimizin bilişim sistemleri donanımı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. Buna göre, alınan teknik tedbirler aşağıda yazılı olduğu şekilde belirtilmiştir.
12.2.İdari Tedbirler:
Kişisel Verileri Koruma Kurulu tarafından ilan edilen idari tedbirler ile ilgili, veri sorumlusu olarak şirket tarafından gerekli idari tedbirler alınmıştır. Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum kapsamında kurumsal olarak gerekli kararları almış, yasa kapsamındaki yükümlülükleri yerine getirmiş, yayımlanması gereken politikaları oluşturarak ilan etmiştir. Buna göre;
13.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
Şirketimizce oluşturulan politika ve kişisel veri envanterinde yazılı olduğu üzere, işlenmiş olan kişisel veri ile ilgili İlgili yasal mevzuatta öngörülen süre veya işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler; şirket yetkili birimlerince kendiliğinden veya ilgili kişisel veri sahibinin şirketimize başvurusu üzerine, 6698 sayılı KVK Kanunu ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle imha edilmektedir.
13.1.Kişisel Verilerin Silinmesi
13.2.Kişisel Verilerin Yok Edilmesi
13.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka 3. kişilere ait verilerle eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle irtibatlandırılamayacak / ilişkilendirilemeyecek hale getirilmesi şeklinde olmaktadır.
14.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Şirketimiz tarafından, şirket faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri “Kişisel Veri İşleme Envanterinde”, veri kategorileri bazında saklama süreleri VERBİS ’e kayıtta; süreç bazında saklama süreleri ise “Kişisel Veri Saklama ve İmha Politikasında” belirlenmiştir.
Söz konusu saklama süreleri ile ilgili olarak gerektiğinde; Veri İrtibat Kişisi ve Kişisel Verileri Koruma Birimi ( Komite ) tarafından gerekli güncellemeler yapılmaktadır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi de, belirlenen yetki, görev ve sorumlulukları kapsamında aynı şekilde Veri İrtibat Kişisi ve Kişisel Verileri Koruma Birimi ( Komite ) tarafından yerine getirilmektedir. Süreç Bazında Kişisel Verileri Saklama ve İmha Süreleri ekte tablo halinde belirtilmiştir.
15.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kanunun 10. Maddesi uyarınca, veri sorumlusu olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirler alınmıştır. Bu amaçla, müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, iş ortakları, şirket ortakları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler kapsayacak şekilde gerekli politikalar ve aydınlatma metni hazırlanmıştır.
Söz konusu aydınlatma yükümlülüğü gereğince kişisel veri sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde şunlardır:
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5.KVK Kanunu’nun 11. maddesinde sayılan başvuru ve diğer haklar.
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri uyarınca, veri sorumlusu sıfatıyla şirketimizce hazırlanan Aydınlatma Metnini internet sayfamızdan inceleyebilirsiniz.
16.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )
6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumlusu olarak, şirketimiz tarafından “BAŞVURU FORMU” düzenlenmiştir. Başvuru formunu şirket internet sitesinden inceleyebilirsiniz.
16.1.Kişisel Veri Sahibinin Başvuru Hakkı
Kanunun 11. maddesi uyarıca; Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak;
16.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları
6698 sayılı KVK Kanunu 13/1. Maddesi uyarınca, yukarıda belirtilen haklarınızı kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun belirlediği yukarıda yazılı yöntemlerle şirketimize iletmeniz gerekmektedir. Şirketimiz, başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
16.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kanunun 13. Maddesi uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
17.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER ( İSTİSNALAR )
6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda yazılı hususlar kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup, kişisel veri sahipleri yukarıda 16. Maddede sayılan haklarını ileri süremezler.
6698 Sayılı KVK Kanunu’nun 28/2. maddesi gereğince, bu kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10.maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11.maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:
18.KİŞİSEL VERİLERİN PERİYODİK İMHA ve DENETİM SÜRESİ
Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri Yönetmeliğin 11. Maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 6 ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. Ayrıca, kişisel veri komitesi üyeleri ve veri sorumlusu tarafından altı ayı geçmemek üzere gerekli denetlemeleri yapacaktır. Kişisel Verileri Koruma Kurulu tarafından, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, yönetmelikte belirtilen süreleri kısaltabilir.
19.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ
İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
20.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Şirket tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) ve elektronik ortamda olmak üzere şirketin www.yepsan.com.tr internet sayfasında iki farklı ortamda yayımlanır. Politikanın internet sayfasında yayımlanması ile kamuya açıklanmış sayılacaktır. Basılı kâğıt nüshası “Kurumsal Gelişim Biriminde / Departmanında” KVK dosyasında saklanır. Oluşturulan bu politika, belirlenen komite üyeleri tarafından yetki ve sorumlulukları kapsamında, yayınlandığı tarihten itibaren, her yılın sonunda yılda bir olmak üzere, ayrıca ihtiyaç duyuldukça beklemeksizin gözden geçirilir ve gerekli olduğu şekilde ilgili bölümler güncellenecektir.
21.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Yukarıda maddeler halinde yazılı işbu politika, şirketin www.yepsan.com.tr internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilecektir.
Veri sorumlusunun onayı ve kişisel veri komitesinin kararı ile politikanın yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları komite tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile komite tarafından “Kurumsal Gelişim Birimi/Departmanında” veri irtibat kişisi tarafından saklanır.
Süreç Bazında Kişisel Verileri Saklama ve İmha Süreleri
Süreç
|
Saklama Süresi |
İmha Süresi |
İnsan Kaynakları Sürçlerinin Yürütülmesi |
Sözleşmenin sona ermesinden itibaren 15 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay |
Çalışan adayları ve Stajyerlere ait başvuru işlem bilgileri |
Talebin alındığı tarihten itibaren 2 yıl |
Talebin olumsuz olarak değerlendirilmesi veya talebin geri çekilmesi halinde 30 gün ve Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Stajyerler ( öğrenci ) |
Stajın sona ermesini takip eden takvim yılı yılbaşından itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Müşteri, Tedarikçi, Hizmet Sağlayıcıları İşlemleri |
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Ziyaretçi İşlemleri
|
2 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Kamera Kayıtları
|
39 gün |
Talep halinde 30 gün içinde, Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Potansiyel Müşteri İşlemleri |
2 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Sözleşme İşlemleri |
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Şirket İletişim Faaliyetleri
|
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Muhasebe ve finansal işlemler |
15 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
İş Sağlığı Ve Güvenliği Süreçleri |
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Çevre İşlem Süreçleri
|
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takiben ilk periyodik imha denetim döneminde, en geç 180 gün içerisinde |
Log Kayıtları, İnternet ve Ağ Erişim süreçleri |
2 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
YEPSAN YEDEK PARÇA SANAYİ TİCARET A.Ş.
Kayapa Mah. 13(530) Sokak No: 7A Nilüfer Bursa Türkiye Telefon : +90 224 493 26 81
Vergi Dairesi: Ertuğrulgazi, Vergi No:9490038980, Ticaret Sicil No: 30515, Mersis No: 9003898000011
web: www.yepsan.com.tr