KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

 

  1. AMAÇ

 

Solaress Kişisel Verilerin Saklanması ve İmha Politikası’nın amacı; şirketimizin ticari faaliyetleri ve şirket nedeniyle kullanılan veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yasal mevzuata uygun olarak işlenmesi, korunması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasları düzenlemektir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler bu Politikaya uygun olarakgerçekleştirilir.

 

2.KAPSAM

 

Kişisel Verilerin Korunması Politikamız, şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, tedarikçiler, müşteriler, tüketiciler, web sitesi aboneleri ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup şirketin sahip olduğu ya da şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel verilerin saklanması ve imhasına yönelik faaliyetlerde bu Politika uygulanır.

 

3.TANIMLAR

 

1-Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini;

 

2-İlgili kullanıcı: Veri Sorumlusunun organizasyonu içinde yer alan tüm çalışanlar ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veriişleyenleri;

 

3-İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini; 4-Kanun: 6698 Sayılı Kişisel Verilerin KorunmasıKanununu;

5-  Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı;

 

6-Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; 7-Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;

8-Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlüişlemi;

 

9-Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıklarıenvanteri;

 

10-Kurum: Kişisel Verileri KorumaKurumunu;

 

11-Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetikverileri;

 

12-Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmeişlemini;

 

13-Politika: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbuPolitikayı.

 

14-Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlargeçerlidir.

 

15-Şirket: Solaress / Kerem H. Ar m ay .’i

 

 

 

4.KAYITORTAMLARI

 

Şirket bünyesinde yer alan kişisel veriler, ilgili kişisel verinin niteliğine göre belirlenen uygun ortamlarda tutulmakta ve saklanmaktadır. Kişisel veriler, Şirket tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekildesaklanır.

 

1-ElektronikOrtamlar

 

–          Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım,vb.)

–          Yazılımlar (ofis yazılımları, portal,vb.)

–          Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)

–          Kişisel bilgisayarlar (Masaüstü,dizüstü)

–          Mobil cihazlar (telefon, tabletvb.)

–          Çıkartılabilir bellekler (USB, Hafıza Kartvb.)

–          Yazıcı, tarayıcı, fotokopimakinesi

–          Bulut ortamlar, (Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan, teknik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.)

 

 

2-FizikiOrtamlar

 

–          Kâğıt

–          Manuel veri kayıt sistemleri (anket formları, ziyaretçi girişdefteri)

–          Yazılı, basılı, görselortamlar

 

5-SORUMLULUK DAĞILIMI

 

Şirketin bütün yöneticileri, birim sorumluları ve çalışanları, birimlerinde Kişisel Verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir ve bu hususta azami hassasiyet gösterir. Şirket yönetimi bu nedenle; birim çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur. İlgili Kullanıcıların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıkları artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destekverir.

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:

 

Müdür                                                      :Kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasındansorumludur.

 

PersonelBirimSorumlusu                       : Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve uygun olarak düzenlenmesini, saklanması ve imhasından sorumludur.

 

Bilgi SistemleriBirimSorumlusu            : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasındansorumludur.

 

DiğerBirimYöneticileri                          : Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesindensorumludur.

 

İlgili Kullanıcı veVeriİşleyenler            : Veri işleme ve saklanması ile ilgili işlemlerin usul ve yasaya uygun olmasındansorumludur.

 

Özel YetkiliİlgiliKullanıcı                     : Prosedür veya ilgili kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesindensorumludur.

 

5-KİŞİSEL VERİLERİNSAKLANMASI

 

Şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların çalışanlarına ait bu politikada ve veri envanterinde işlendiği ve

 

işleme amacı açıklanan kategori ve kişi gruplarına ait kişisel veriler, ilgili mevzuata ve Kişisel Verileri Koruma Kurulu’nun ilke kararları ve yönlendirmelerine uygun güvenlik önlemleri altında, işleme amaçlarımıza uygun süre boyunca saklanır.

 

Saklamayı Gerektiren Sebepler

 

Kişisel verilerin saklama sürelerinin belirlenmesinde hükümleri dikkate alınan yasal düzenlemeler:

 

  •          6698 sayılı Kişisel Verilerin KorunmasıKanunu,
  •          6098 sayılı Türk Borçlar Kanunu,
  •          6102 sayılı Türk TicaretKanunu,
  •          6563 Sayılı Elektronik Ticaretin Düzenlenmesi HakkındaKanun,
  •          5510 sayılı Sosyal Sigortalar ve Genel Sağlık SigortasıKanunu,
  •          5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu YayınlarYoluyla İşlenen Suçlarla Mücadele Edilmesi HakkındaKanun,
  •          6361 sayılı İş Sağlığı ve GüvenliğiKanunu,
  •          4982 Sayılı Bilgi EdinmeKanunu,
  •          4857 sayılı İşKanunu,
  •          5188 sayılı Özel Güvenlik Hizmetlerine DairKanun,
  •          6356 sayılı Sendikalar ve Toplu İş SözleşmesiKanunu,
  •          İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkinYönetmelik,
  •          Ve ticari faaliyetin yürütülmesi işlerini düzenleyen diğer yasal düzenlemeler ve bu düzenlemelere dayanan diğer mevzuat hükümleri. çerçevesinde öngörülen saklama süreleri kadarsaklanmaktadır.

 

 

 

6-SAKLAMAYI GEREKTİRİR İŞLEMEAMAÇLARI

 

Şirketin faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

 

  •          Ücret PolitikasınınYürütülmesi
  •          Ürün / Hizmetlerin Pazarlama SüreçlerininYürütülmesi
  •          Veri Sorumlusu Operasyonlarının GüvenliğininTemini
  •          Yabancı Personel Çalışma Ve Oturma İzniİşlemleri
  •          Yatırım SüreçlerininYürütülmesi
  •          Yetenek / Kariyer Gelişimi FaaliyetlerininYürütülmesi
  •          Yetkili Kişi, Kurum Ve Kuruluşlara BilgiVerilmesi
  •          Yönetim FaaliyetlerininYürütülmesi
  •          Ziyaretçi Kayıtlarının Oluşturulması VeTakibi
  •          Acil Durum Yönetimi SüreçlerininYürütülmesi
  •          Bilgi Güvenliği Süreçlerinin Yürütülmesi
  •          Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme SüreçlerininYürütülmesi
  •          Çalışan Adaylarının Başvuru SüreçlerininYürütülmesi
  •          Çalışan Memnuniyeti Ve Bağlılığı SüreçlerininYürütülmesi
  •          Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin YerineGetirilmesi
  •          Çalışanlar İçin Yan Haklar Ve Menfaatleri SüreçlerininYürütülmesi
  •          Denetim / Etik FaaliyetlerininYürütülmesi
  •          Eğitim FaaliyetlerininYürütülmesi
  •          Erişim YetkilerininYürütülmesi
  •          Faaliyetlerin Mevzuata UygunYürütülmesi
  •          Finans Ve Muhasebe İşlerininYürütülmesi
  •          Firma / Ürün / Hizmetlere Bağlılık SüreçlerininYürütülmesi
  •          Fiziksel Mekan GüvenliğininTemini
  •          Görevlendirme SüreçlerininYürütülmesi
  •          Hukuk İşlerinin Takibi VeYürütülmesi
  •          İç Denetim/ Soruşturma / İstihbarat FaaliyetlerininYürütülmesi
  •          İletişim FaaliyetlerininYürütülmesi
  •          İnsan Kaynakları SüreçlerininPlanlanması
  •          İş Faaliyetlerinin Yürütülmesi /Denetimi
  •          İş Sağlığı / Güvenliği FaaliyetlerininYürütülmesi
  •          İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması VeDeğerlendirilmesi
  •          İş Sürekliliğinin Sağlanması FaaliyetlerininYürütülmesi
  •          Lojistik FaaliyetlerininYürütülmesi
  •          Mal / Hizmet Satın Alım SüreçlerininYürütülmesi
  •          Mal / Hizmet Satış Sonrası Destek HizmetlerininYürütülmesi
  •          Mal / Hizmet Satış SüreçlerininYürütülmesi
  •          Mal / Hizmet Üretim Ve Operasyon SüreçlerininYürütülmesi
  •          Müşteri İlişkileri Yönetimi SüreçlerininYürütülmesi
  •          Müşteri Memnuniyetine Yönelik AktivitelerinYürütülmesi
  •          Organizasyon Ve EtkinlikYönetimi
  •          Pazarlama Analiz ÇalışmalarınınYürütülmesi
  •          Performans Değerlendirme SüreçlerininYürütülmesi
  •          Reklam / Kampanya / Promosyon SüreçlerininYürütülmesi
  •          Risk Yönetimi SüreçlerininYürütülmesi
  •          Saklama Ve Arşiv FaaliyetlerininYürütülmesi
  •          Sosyal Sorumluluk Ve Sivil Toplum AktivitelerininYürütülmesi
  •          Sözleşme SüreçlerininYürütülmesi
  •          Stratejik Planlama FaaliyetlerininYürütülmesi
  •          Talep / ŞikayetlerinTakibi
  •          Taşınır Mal Ve Kaynakların GüvenliğininTemini
  •          Tedarik Zinciri Yönetimi SüreçlerininYürütülmesi

 

 

7-   VERİGÜVENLİĞİ

 

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

 

7.1.   Teknik Önlemler

 

  •          Ağ güvenliği ve uygulama güvenliğisağlanmaktadır.
  •          Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağkullanılmaktadır.
  •          Bulutta depolanan kişisel verilerin güvenliğisağlanmaktadır
  •          Güvenlik duvarlarıkullanılmaktadır.
  •          Log kayıtları kullanıcı müdahalesi olmayacak şekildetutulmaktadır.
  •          Saldırı tespit ve önleme sistemlerikullanılmaktadır.
  •          Sızma testiuygulanmaktadır.
  •          Siber güvenlik önlemleri alınmış olup uygulanması sürekli takipedilmektedir.
  •          Şifrelemeyapılmaktadır.
  •          Veri kaybı önleme yazılımlarıkullanılmaktadır.
  •          Veri    işleyen    hizmet    sağlayıcılarının,     veri    güvenliği    konusunda    farkındalığı sağlanmaktadır.

 

 

7.2.  İdariTedbirler

 

  •          Gizlilik taahhütnameleriyapılmaktadır.
  •          Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  •          Çalışanlara yönelik veri güvenliği eğitimleriverilmektedir.
  •          Kişisel veri içeren ortamlara giriş çıkışlarla ilgili güvenlik önlemlerialınmaktadır.
  •          Kişisel veriler olabildiğinceazaltılmaktadır.
  •          Kişisel verilerin yer aldığı dolap ve odalar kilitaltındadır.
  •          Kişisel veri işleme envanterihazırlanmıştır.
  •          İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  •          Denetleme ve kontrolleryapılmaktadır.

 

8-KİŞİSEL VERİLERİNİMHASI

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak imha edilir.

 

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi ilgili birim yöneticileri tarafından yerine getirilir.

 

Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta yer alır. Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.

 

9-İMHAPERİYOTLARI

 

Saklama süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler altı ayda bir imha edilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında gerçekleştirilir.

 

 

 

10-POLİTİKANIN YAYINLANMASI VESAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda oluşturulur. Elektronik ortamda oluşturulan internet sayfasında ilan edilir. Basılı kâğıt olarak oluşturulan dosyasında saklanır.

 

11-POLİTİKANIN GÜNCELLENMEPERYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

 

12-   POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTENKALDIRILMASI

 

Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir Politika metni ve içeriğinde değişiklik olması durumunda, eski nüsha 5 yıl saklanmak üzere arşive kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.