VERİ SAKLAMA VE İMHA POLİTİKASI

Tablo1: Politikada Yer Alan Hukuki ve Teknik Terimler

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan irade beyanıdır.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Kişisel Verilerin Silinmesi

Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği

Kurul

Kişisel Verileri Koruma Kurulu’dur

Kurum

Kişisel Verileri Koruma Kurumu’dur.

Periyodik İmha

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Veri Sahibi/İlgili Kişi

Kişisel verisi işlenen gerçek kişidir.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Veri ihlalleri

Kişisel verilerin kanuna aykırı şekilde ele geçirilmesi, toplanması, değiştirilmesi, kopyalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır.

İrtibat Kişisi

Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.

1. POLİTİKANIN AMACI VE DAYANAĞI

İşbu Kişisel Veri Saklama ve İmha Politikası “Politika”, Mako Dış Tic. A.Ş. (‘’Makofix’’ veya ‘’Şirket ‘’) tarafından Veri Sorumlusu sıfatıyla;

6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 7’inci maddesinin 3’üncü fıkrası ile 22’nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmış Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’ne uygun olarak;

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.

Makofix; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. Maddesinde sayılan genel ilkeler ile Kanun’un 12. Maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul Kararlarına ve işbu Politikaya uygun hareket etmektedir.

Veri saklama ve imha faaliyetlerine ek olarak kişisel verilerin işlenmesine ilişkin diğer hususlarda ayrıntılı bilgiye http://makofix.com/ adresinde yayımlanan Kişisel Verilerin İşlenmesi ve Korunması Politikası ’ndan ulaşabilirsiniz.

2. POLİTİKANIN KAPSAMI

İşbu Politika Makofix tarafından verisi işlenen çalışan, çalışan adayı, referans kişisi, çalışanın aile bireyleri, ürün veya hizmet alan kişi, gerçek kişi tedarikçi, tedarikçi yetkilisi/çalışanı, hizmet desteği alınan şirket yetkilisi/çalışanı, dış hizmet alınan gerçek kişiler, kargo göndericisi ve ziyaretçilere ait işlenen kişisel verilerin;

  • Kişisel veri işleme faaliyetlerinin yürütülmesine ilişkin genel bilgilendirme,
  • Saklandığı kayıt ortamı,
  • Saklanması ve imhasını gerektiren hukuki, teknik ya da diğer sebepler,
  • İmha yöntemleri,
  • Kişisel verilerin saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  • Saklama ve imha süreçlerinde yer alanların unvanları, birimleri, görev tanımları,
  • Saklama ve imha sürelerini gösteren tablo,
  • Periyodik imha sürelerini,
  • İlgili kişinin talebi ile kişisel verilerinin silinmesi ve yok edilmesi ve süreleri
  • Şirketin veri sahibinin kişisel verilerinin silinmesine ilişkin talebini reddedebileceği durumları, kapsamaktadır.

3. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN YÜRÜTÜLMESİ

Makofix için kişisel verilerin güvenliğinin sağlanması bir çalışma prensibidir. Bu prensiple, kişisel veri işleme faaliyetleri Şirket adına düzenlenen politika ve prosedürlere uygun yürütülmektedir. Çalışanlar için veri koruma farkındalığı sağlamak adına eğitimler düzenlenmektedir. Çalışanlar söz konusu Şirket Politikalarına bağlı hareket edeceklerini Gizlilik Sözleşmesi ile taahhüt etmektedir.

Politikaların yürütülmesi, çalışan hareketlerinin Politikalara uygunluğunun takibi, Politikanın yayımlanması ve güncellenmesi, veri imha işlemlerinin gerçekleştirilmesi hususunda sorumlu kişiler ve görev dağılımları belirlenmiştir. Şirketimiz kişisel verilerin işlenmesi ve bilgi güvenliği konularında kanun değişikliği ve Kurul Kararlarına uygun olarak gerekli güncellemeleri yapma yetkisine haizdir. Şirket 6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘’KVKK’’/’’Kanun’’) kapsamında gerekli denetimleri yapmakta/yaptırmaktadır. Sürecin yürütülmesinde alanında uzman kişilerden hizmet desteği alınabilmektedir.

Her bir bölüm sorumlusu da bölümündeki çalışanların Kanun ve Politika ’ya uygun davranmasını sağlamakla ve aykırı davranan çalışanları Yönetime bildirmekle sorumludur. Şirket tarafından gerekli denetimlerin yapılması/yaptırılmasında alınan idari karar uygulamaya koyulacaktır.

Çalışan da kişisel veri ihlâline ilişkin herhangi bir bilgi alır veya tespitte bulunur ya da bu konuda şüphe duymasını gerektirecek nitelikte bulgularla karşılaşırsa, bu durumu derhal ve 24(yirmi dört) saatten geç olmamak üzere en kısa sürede Şirket’e bildirir.

Tablo2: Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri, Görev Tanımları

İnsan Kaynakları Sorumlusu (Aynı zamanda İrtibat Kişisidir.)

  • Politikanın yayımlanması ve güncellenmesi
  • Politikanın yürütülmesi 
  • Çalışan hareketlerinin Politikaya uygunluğunun takibi/denetimi,
  • Veri silme, yok etme ve imha işlemlerinin takibi

4. KAYIT ORTAMLARI

Makofix tarafından 2. Maddede sayılan gerçek kişilere ait kişisel veriler söz konusu verinin niteliğine ve işleme faaliyetine uygun olarak kayıt altına alınmaktadır.

Tablo 3: Elektronik ve Elektronik Olmayan Kayıt Ortamları

  • E-posta,
  • Web,
  • Yazılımlar (CANİAS vb.)
  • Şirket bilgisayarları (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Kâğıt 
  • Klasörler
  • Dosyalar
  • Manüel veri kayıt sistemleri (form ve defterler, geçici görev kâğıdı gibi)

5. VERİ SAKLAMA

Makofix tarafından, işlenen kişisel veriler ilgili mevzuatta öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır.

Kişisel verilerin birden fazla amaç için işlendiği hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re ’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda veriler silinir, yok edilir veya anonim hale getirilir. İşlenen kişisel veriler aşağıda sayılan yürürlükte olan Kanun ve Yönetmelikler başta olmak üzere diğer ikincil düzenlemelerde öngörülen saklama süreleri kadar muhafaza edilmektedir.

Tablo 4: Veri Saklamayı Gerektiren Hukuki Sebepleri

VERİ SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 Sayılı Türk Borçlar Kanunu,
  • 213 Sayılı Vergi Usul Kanunu,
  • 6102 Sayılı Türk Ticaret Kanunu,
  • 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 4857 Sayılı İş Kanunu,
  • 6361 Sayılı İş Sağlığı ve Güvenliği Kanunu,
  • İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • Arşiv Hizmetleri Hakkında Yönetmelik

5.1. Saklamayı Gerektiren Sebepler

Elde edilen kişisel veriler, Makofix tarafından sunulan hizmetlerinin sürdürülebilmesi, yasal yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası amacıyla işbu Politikada düzenlenen kayıt ortamlarında, Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde aşağıdaki sebeplerle saklanmaktadır;

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

6. VERİ İMHA

Kişisel verileri imha etme (kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi) kişisel verilerin kullanıcıları tanımlayacak hiçbir bilgiye erişilemez ve tekrar kullanılamaz hale getirilmesidir.

6.1. İmhayı Gerektiren Sebepler

Kişisel veriler aşağıda sayılan durumlarda Makofix tarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim hale getirilir:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

7. KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re ’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Şirket kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re ’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı uygun yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmeliğin 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Şirket serbesti içinde olacaktır.

7.1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Şirket tarafından aşağıdaki yöntemlerden bir veya birkaçı kullanabilir:

Hizmet Olarak Kullanılan Bulut Çözümleri İçin

  • Silme komutu verilerek bulut tabanlı mail içeriğindeki kişisel veriler silinecektir.
  • İşlemi yapan kişinin veri geri getirme yetkisi olmayacaktır.

Kâğıt Ortamında Bulunanlar İçin

  • Karartma yöntemi ile silinecektir. (İlgili kısım kesilerek)
  • Mümkün değilse sabit mürekkep kullanılarak okunmayacak hale getirilecektir.

Merkezi Sunucudaki Ofis Dosyaları İçin

  • İşletim sisteminde (Windows) silme komutu ile silinecek veya dosya ve dosyaya ait dizindeki erişim hakları kaldırılacaktır.
  • Silme ve kaldırma işlemini yapan kişi aynı zamanda sistem yöneticisi olmayacaktır.

Taşınabilir Medyaya Bulunan Veriler İçin

Şirket taşınabilir ortamlarda özel nitelikli kişisel veri bulundurmamaktadır. Kişisel verinin bu tip ortamda bulunması gerektiği durumlarda aşağıda belirtilen metotlarla silme işlemini uygulayacaktır:

  • Kişisel veriler flash ortamında saklanması gerekirse şifreli olarak saklanacak ve bu yöntemlere uygun olarak silinecektir.

Veri Tabanları İçin

  • Kişisel Veri bulunan satır veri tabanı komutları (Delete vb.) ile silinecektir.
  • İşlemi yapan kişi aynı zamanda veri tabanı yöneticisi olmayacaktır.

7.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi yöntemi olarak Şirket tarafından aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:

Yerel Sistemler İçin

  • De-manyetize Etme,
  • Fiziksel Yok Etme (eritme, yok etme, toz haline getirme)
  • Üzerine Yazma (optik medya üzerine en a 7 kez 0 ve 1’den oluşan rastgele veriler yazmak), bu yöntemlerden uygun olan bir ya da birkaçı seçilerek gerçekleştirilecektir.

Çevresel Sistemler İçin

  • Ağ cihazlarının çoğunda silme komutu vardır fakat yok etme özelliği bulunmamaktadır. Bu durumda yerel sistemlerde tercih edilen yöntemler uygulanabilir.
  • Flash tabanlı sabit diskler destekleniyorsa ‘’blok erase’’ desteklenmiyorsa yerel sistemlerde tercih edilen yöntemlerden biriyle yok edilebilir.
  • Manyetik bantta saklanan veriler çok güçlü manyetik ortamlara maruz bırakılıp de-manyetize edilerek ya da fiziksel yöntemlerle yok edilir. (Yakma, eritme, küçük parçalara ayırma vb.)
  • Sim kart ve hafıza alanlarında silme komutu yer almaktadır ancak yok etme komutu bulunmamaktadır. Bu sebeple yerel sistemlerden tercih edilen yöntem uygulanır.
  • CD, DVD gibi optik diskler fiziksel yöntemlerle yok edilir.
  • Veri kayıt ortamı çıkarılabilen yazıcılar, kayıt ortamı söküldükten sonra yerel sistemlerden uygun olan yöntemle yok edilir.
  • Veri kayıt ortamı sabit olan yazıcılarda ise silme komutu yer almaktadır fakat yok etme seçeneği olmadığından yerel sistemler için tercih edilen yöntemlerden uygun olan seçilir.
  •  

Kâğıt ve Mikro Fiş Ortamları İçin

  • Kâğıt imha ve kırpma makinaları ile geri birleştirilemeyecek hale getirilecektir.
  • Tarama yoluyla dijitale aktarım olursa yerel sistemlerdeki yok etme metotlarından biri ya da birkaçı kullanılacaktır.

Bulut Ortamı İçin

  • Hizmet alınan her bir bulut ortamı için kriptografik yöntemlerle şifreleme yapılacaktır. Hizmet sona erince anahtarlar kopyaları ile yok edilecektir.
  • Cihazlar arıza ve bakıma gönderilmeden yok etme gerçekleştirilecek, gerçekleştirilemiyorsa veri depolama alanı sökülecektir. Bakım vb. için dışarıdan üçüncü kişi gelmesi durumunda ise olası kopyalama yapılmaması için tedbirler alınacaktır.

7.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Şirket kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

 

Değer Düzensizliği Sağlamayan Yöntemler

Değişkenleri Çıkarma

  • Değişkenlerden bir ya da birkaçı tablodan tamamen çıkartılır. 
  • Örneğin; Cinsiyet, doğum yeri, doğum tarihi, öğrenim durumu gibi bilgileri olduğu bir veri tabanında öğrenim durumu sütunu DELETE komutu ile silinmelidir.

Genelleştirme

  • Kişisel verilerin özelden genele çevrilmesidir.
  • Raporlarda ve toplam değerlerin yer aldığı tablolarda kullanılmaktadır.
  • Örneğin; inşaat ve yapı işi ile ilgilenen kişilerin genellikle doğal taş alması şeklindedir.

Değer Düzensizliği Sağlayan Yöntemler

Veri Değiş Tokuşu

  • Veri tabanının dönüştürülmesi işlemidir.
  • Bir değişkenin belirlenip o değişkene ait değerlerin yerinin değiştirilmesidir.

ANONİM HALE GETİRMEYİ KUVVETLENDİRİCİ İSTATİSTİKİ YÖNTEMLER

K-ANONİMLİK

  • Tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmaması için kullanılır.
  • Örneğin; ad soyad, TC kimlik no, meslek olan bir veri kümesinde ad soyad ve TC kimlik no maskelenmiş halde girilmiş olsa da aynı değeri içeren tek kayıt varsa kişiyi tahmin etmek mümkün olur. Bu sebeple diğer değişkenlerden biri alınarak (x=1 yapılarak) tekrar sıralama yapılabilir.

8. SAKLAMA VE İMHA SÜRELERİ

Şirket, kişisel verileri işlendikleri amaç için gerekli yasal süre boyunca saklar. Kişisel verilerin saklama amacının veya işleme dayanağının ortadan kalkması halinde kişisel veriler ilgili mevzuatlarda belirtilen yasal süreler boyunca saklanmaya devam edilebilir.

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler kişisel verilerin tutulması için azami süre boyunca saklanacaktır. Bu süreler verinin niteliği ve işleme amacına uygun olarak belirlenecektir.

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği söz konusu kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, aşağıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda Şirket bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.

8.1. Periyodik İmha

Şirket tarafından tespit edilen saklama ve imha süreleri, aşağıda ‘’Süreç Bazlı Veri Saklama ve İmha Sürelerine İlişkin Tablosu’’ nda açıklanmıştır. Saklama süresi dolan kişisel veriler, işbu Politika ’da açıklanan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika ‘da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Tablo 5: Süreç Bazlı Veri Saklama ve İmha Süreleri

İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler

İş ilişkisinin sona ermesinden itibaren 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler

İş ilişkisinin sona ermesinden itibaren 15 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sözleşmesel İlişkilerin Yürütülmesi

Sözleşmenin sona ermesinden itibaren 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Tedarikçilere İlişkin Kişisel Veriler

Hukuki ilişkinin sona ermesinden itibaren 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışan Adaylarına İlişkin Kişisel Veriler

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kargo Göndericisine İlişkin İşlenen Kişisel Veriler

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ziyaretçilere İlişkin İşlenen Kişisel Veriler

2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Silme Yok Etme Anonim Hale Getirme Kayıt Süreci

Hizmet süresi boyunca

Saklama süresi sona erince

Çalışanlara Ait Yüz Tanıma Sistemine Kayıtlı Biyometrik Veriler

İşlem tarihinden itibaren 3 Yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

9. İLGİLİ KİŞİNİN TALEBİ İLE KİŞİSEL VERİLERİNİN SİLİNMESİ VE YOK EDİLMESİ VE SÜRELERİ

İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir, her halde yapılan işleme binaen ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; Şirket bu durumu üçüncü kişiye bildirir, üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

9.1. Şirketin Veri Sahibinin Kişisel Verilerinin Silinmesine İlişkin Talebini Reddedebileceği Durumlar:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  • Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
  • Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  • Talep edilen bilginin kamuya açık bir bilgi olması.

10. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

Şirket Kanun’un 12. maddesine uygun olarak, kişisel verinin niteliğine göre gerekli her türlü idari ve teknik tedbiri almaktadır. Bu kapsamda gerekli denetimleri yapmakta/yaptırmakta olup kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesini, hukuka aykırı olarak açıklanması ve aktarılması engellenmektedir. Kişisel veri güvenliğine ilişkin gerekli teknik ve idari tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından kişisel verilerin ele geçirilmesi durumunda, Şirket mümkün olan en kısa süre içerisinde ilgili birimlere haber verecektir.

Tablo 6: Şirket Tarafından Veri Güvenliğinin Sağlanması Amacıyla Alınan Tedbirler

GÜVENLİK ÖNLEMLERİ

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

11. YÜRÜRLÜLÜK

İşbu Politika  ../…/….  Tarihinde onaylanmış ve yürürlüğe girmiştir. Yürürlük tarihi itibariyle ilgili kişiler için geçerli ve bağlayıcıdır. Politikanın yürütülmesine ilişkin sorumlu kişiler ve görevleri Tablo-2’de düzenlendiği gibidir.

12. POLİTİKANIN İHLALİ VE YAPTIRIMLAR

Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili bölüm müdürü tarafından Şirket Müdürü’ne bildirilecektir. Politikaya aykırı davranan çalışan hakkında, Yönetim tarafından yapılacak değerlendirme sonrasında gerekli idari işlem uygulanacaktır.

13. POLİTİKANIN GÜNCELLENMESİ

İşbu Politika ilgili Kanun ve mevzuatta gerçekleşen değişikliklerle uyumlu olarak güncellenir. Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer.

14. VERİ SORUMLUSU BİLGİLERİ

Şirket Unvanı: MAKO DIŞ TİCARET ANONİM ŞİRKETİ

Adres: Söke OSB Mah. 1. Sok. No:15 Söke/AYDIN

Elektronik İletişim Adresi:  ik@makofix.com 

Kayıtlı Elektronik Posta Adresi:  makodisticaret@hs01.kep.tr

15. İRTİBAT KİŞİSİ BİLGİLERİ

İrtibat Kişisi: İsmail COŞKUN

İletişim Bilgileri: ik@makofix.com 

KVKK Menu