KVKK KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

1.HAZIRLANMA AMACI
İşbu Kişisel Verileri Saklama ve İmha Politikası Tanmak Baskı Silindirleri Dişli Makine Sanayi ve Ticaret Anonim Şirketi tarafından gerçekleştirilmekte olan kişisel verileri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirket, kişisel veri işleme envanterinde belirlenen ilgili kişilere ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin kanundan doğan haklarını etkin bir şekilde kullanmasının sağlanmasını amaçlamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, şirket tarafından işbu politikaya uygun olarak gerçekleştirilir.

2.TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. 
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. 
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

 
  1. GÖREV DAĞILIMI
Yönetim Kurulu Üyeleri ve Şirket Yetkilileri: Çalışanların politikaya uygun hareket etmesinden ve politikanın değişen koşullara göre güncellenmesinden ve sorumludur.
Satın Alma ve Finans Birimi : Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
(Güvenlik Hizmetlerinin alındığı iş ortağı): Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından ve güvenlik önlemlerinin alınmasından sorumludur.
  1. KAYIT ORTAMI
ELEKTRONİK ORTAMDA SAKLAMA ARAÇLARI ELEKTRONİK OLMAYAN ORTAMDA SAKLAMA ARAÇLARI
-Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
-Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
-Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
-Kişisel bilgisayarlar (Masaüstü, dizüstü)
-Mobil cihazlar (telefon, tablet vb.)
-Optik diskler (CD, DVD vb.)
-Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
-Yazıcı, tarayıcı, fotokopi makinesi.		 -Kağıt,
-Manuel veri kayıt sistemleri (talep-şikayet formları, ziyaretçi giriş defteri, işyerine giriş-çıkış kayıtları, fatura, sevk irsaliyesi vb işin yapılması sırasında düzenlenen evrak.)
-Yazılı, basılı, görsel ortamlar.

 
  1. KİŞİSEL VERİLERİN SAKLANMASI AMACI VE SÜRESİ İLE VERİLERİN İMHASI
Elde ettiğimiz kişisel veriler, şirketin ticari faaliyetlerini yerine getirebilmesi amacıyla uygun süre zarfında fiziksel (elektronik olmayan ortam) ve/veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. 

Kişisel verilerin saklanmasını gerektiren amaçlar; Türk Ticaret Kanunu, Vergi Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal (mali/hukuki)  yükümlülükleri çerçevesinde şirketin yönetim faaliyetlerini gerçekleştirilebilmek, yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki/icrai yükümlülüklerin yerine getirmek, özlük haklarının takibini sağlamak, acil sağlık müdahalesinde bulunabilmek, işyerinin ve çalışanların güvenliğini sağlamak, imzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak, yapılan işin kontrolünü ve denetlenmesini sağlamak, çağrı merkezi süreçlerini yönetmek ve ileride doğabilecek hukuki uyuşmazlıklarda kullanılmak üzere verilerin muhafaza edilmesidir.

İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller istisna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, kişisel veriler re’sen şirket tarafından veya ilgililerin talebi üzerine; kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ise ilgili kişinin açık rızasını geri alması halinde silinecek, yok edilecek veya anonim hale getirilecektir. 

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Türk Borçlar Kanunu, İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu veya şirketi ilgilendiren sair mevzuat ve ikincil düzenlemelerde belirlenen zamanaşımı süreleri dolana kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir.

 
SAKLANAN VERİ SAKLAMA SÜRESİ İMHA SÜRESİ
Kimlik İş/hizmet ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
İletişim İş/hizmet ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Özlük İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Hukuki İşlem İş/mal/hizmet alım/satım ilişkisinin bitiminden itibaren 10 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Müşteri İşlemi Mal/Hizmet alım/satım ilişkisinin bitiminden itibaren 10 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Fiziksel mekan güvenliği/ Görsel ve işitsel kayıtlar Kaydedilmesinden itibaren 20 gün. Saklama süresinin bitimini takiben 180 gün içerisinde
İşlem Güvenliği İş/mal/hizmet alım/satım ilişkisinin bitiminden itibaren 10 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Risk Yönetimi İş/mal/hizmet alım/satım ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Finans İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Mesleki Deneyim İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Pazarlama Mal/hizmet alım/satım ilişkisinin bitiminden itibaren 10 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Din İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Sağlık Bilgileri İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Ceza Mahkumiyeti İş ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
Mali Kayıtlar İş/mal/hizmet alım/satım ilişkisinin bitiminden itibaren 15 yıl. Saklama süresinin bitimini takiben 180 gün içerisinde
 
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise o süre uygulama alanı bulacaktır.

  1. KİŞİSEL VERİLERİN SİLİNMESİ/YOK EDİLMESİ/ANONİM HALE GETİRİLMESİ
  Kişisel verilerin silinmesi gereken hallerde;
Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. 

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. 

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Kişisel verilerin yok edilmesi gereken hallerde;
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. 

Kişisel verilerin anonim hale getirilmesi gereken hallerde;
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

  1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER 
 
Şirket KVK Kanunu’nda belirlenen şartlara uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. 
 
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, şirket bu durumu mümkün olan en kısa süre içerisinde kurula ve ilgili kişiye haber verir. 
 
  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  3. Anahtar yönetimi uygulanmaktadır.
  4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  5. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  6. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  7. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  8. Gizlilik taahhütnameleri yapılmaktadır.
  9. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  10. Güncel anti-virüs sistemleri kullanılmaktadır.
  11. Güvenlik duvarları kullanılmaktadır.
  12. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  13. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  14. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  15. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  16. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  17. Kişisel veriler mümkün olduğunca azaltılmaktadır.
  18. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  19. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  20. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  21. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  22. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  23. Şifreleme yapılmaktadır.
  24. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  25. Veri kaybı önleme yazılımları kullanılmaktadır.