• Facebook - Grey Circle
  • Twitter - Grey Circle
  • YouTube - Grey Circle

KİŞİSEL VERİ SAKLAMA ve

İMHA POLİTİKASI

AMAÇ

Kişisel Verileri Saklama ve İmha Politikası OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ.

Veri sorumlusu tarafından yapılan saklama ve imha işlemlerine ait yöntem ve esasları belirlemektedir. Şirket, KVKK ve ilgili mevzuatları doğrultusunda çalışanların, müşterilerin, ziyaretçilerin, tedarikçilerin ve diğer üçüncü kişilerin kişisel verilerinin işlenmesi, kişilerin haklarını kullanması ve takibini burada belirtilen hususlara uygun çerçevede gerçekleştirir.

 

KAPSAM

Şirket, KVKK ve ilgili mevzuatları doğrultusunda çalışanların, müşterilerin, ziyaretçilerin, tedarikçilerin ve diğer üçüncü kişilerin kişisel verilerini kapsar.

 

UYGULAMA:

Şirketçe kaydedilen ve imhasına kadar geçen süreçler içerisinde verilerin bulunduğu tüm kayıtlar, verilerin işlenmesi, silinmesine yönünde gerçekleştirilmesine ilişkin faaliyetler burada belirtilen esaslara göre yapılır.

 

TANIMLAR:

Bu metinde geçen kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Yönetmelikler bu kanuna dayanılarak çıkartılmış yönetmelikler, Tebliğler Kurumca çıkartılmış tebliğler olarak açıklanmaktadır. Kurul, kişisel verileri koruma kurulunu, Kurum, kişisel verileri koruma kurumunu ifade eder. Aşağıda yer verilmemiş tanımlar kanun ve ilgili mevzuat ile diğer ilişkili kanun ve Anayasa’da belirtilen tanımlardır.

 

ANONİM HALE GETİRME: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

 

ALICI/ALICI GRUBU: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

 

AÇIK RIZA: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

 

AÇIK RIZANIN GERİ ALINMASI: İlgili kişinin, veri sorumlusuna belirli bir konuda, bilgilendirmeye dayanarak ve özgür iradesi ile verdiği rızasını ileriye etkili olmak üzere geri çekmesi.

 

AKTARIM: Veri sorumlusu tarafından elde edilen kişisel verilerin yurt içindeki veya yurt dışındaki bir gerçek veya tüzel kişiye, kamu kurum ve kuruluşlarına veya diğer organlara açıklanması.

 

AKTİF RIZA YÖNTEMİ (OPT-İN): İlgili kişinin aktif bir hareketini gerektiren ve hareketsiz kalmanın rıza gösterilmediği anlamına gelen rıza yöntemi.

 

ALENİLEŞTİRME: Kişisel verilerin ilgili kişi tarafından bilerek ve isteyerek herhangi bir şekilde açıklanması.

BİYOMETRİK VERİ: Yüz görüntüleri veya daktiloskopik veriler gibi benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin spesifik teknik işlemlerden kaynaklanan kişisel veriler.

 

BULUT BİLİŞİM: Düşük seviyede yönetim çabası ya da hizmet sağlayıcı etkileşimi ile hızlı bir şekilde sağlanıp serbest bırakılabilen bilgisayar ağları, sunucular, depolama, uygulamalar ve servisler gibi ayarlanabilir bilişim kaynaklarının müşterek havuzuna her yerden elverişli bir şekilde istenildiğinde ağa erişim sağlayan bir model.

 

ÇALIŞAN: Şirkette çalışan gerçek kişilerin tamamı,

 

ELEKTRONİK ORTAM: Verilerin sayısallaştırılarak işlenmesi, saklanması ve iletilmesinin sağlandığı ortam.

 

ELEKTRONİK DIŞI ORTAM: Verilerin sayısallaştırılarak işlenmesi, saklanması ve iletilmesinin sağlandığı ortam haricinde yazılı,görsel ve benzeri ortamlardır.

 

FİZİKSEL YOK ETME: Optik veya manyetik medyayı eritmek, yakmak,toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle kişisel verilerin fiziksel olarak erişilmez kılınması.

GENETİK VERİ: Bir gerçek kişinin fizyolojisi veya sağlığı ile ilgili benzersiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden elde edilen, kişinin kalıtım yoluyla veya sonradan edindiği özelliklerine ilişkin veriler.

 

İLGİLİ KİŞİ:  Kişisel verisi işlenen gerçek kişi.

 

İLGİLİ KULLANICI: Organizasyon şeması içerisinde yetki verilmiş ve verilen yetki çerçevesinde ve sınırında kişisel veri işleyen kişidir.

 

KİŞİSEL VERİ: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

 

KİŞİSEL SAĞLIK VERİSİ: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİ: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

 

KAYIT ORTAMI: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin üzerine kaydedilip saklandığı her türlü ortam. 

 

KİŞİSEL VERİ İŞLEME ENVANTERİ: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

 

KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

KİŞİSEL VERİ SAKLAMA SÜRESİ: 6698 sayılı Kanun ve diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin muhafaza edilebileceği ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami süre.

 

PERİYODİK İMHA: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

SİLME: Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

 

TEDARİKÇİ: Şirketin ihtiyaç duyduğu hizmetlerin, malların alındığı kişiler, tüzel kişiler.

 

VERİ GÜVENLİĞİ: Kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini engelleme ve kişisel verilerin muhafazasını sağlamaya yönelik her türlü teknik ve idari tedbirlerle kişisel verilerin korunması.

 

VERİ KAYIT SİSTEMİ: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

 

VERİ SORUMLUSU: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

 

YOK ETME: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

 

KİŞİSEL VERİLERİN İŞLENME ORTAMI: İş başvurularında personel servislerince basılı kağıt ortamında, müşteriler ve tedarikçilerle yapılan telefon görüşmelerinde ve her türlü yazışmalarda mevzuata uygun, güvenli bir şekilde kaydedilir, işlenir ve saklanır. Her türlü elektronik ortam, elektronik olmayan ortamlarda elektronik iletişim, manuel kayıt sistemleri gibi veri toplama unsurlarıyla işlenir, veri güvenliği politikasına uygun olarak saklanır.

 

KİŞİSEL VERİ SAKLAMA VE İMHA EDİLMESİ :

 

Şirket tarafından kişisel verileri işlenmiş ilgili kişilerin verileri kanunun emrettiği yönde saklanır ve yok edilir. Bu iş ve işlemlerin yapılmasında uyulacak esaslar şöyledir:

 

KİŞİSEL VERİLERİ SAKLAMA SÜRESİ: Kanunlarda belirtilmiş sürelere uyulmak koşuluyla, şirket tarafından veri işleme amacına göre belirlenmiş bu belgede açıklanmış ve detaylandırılması Veri envanterinde yer alan sürelerde saklanır ve korunur.

 

KİŞİSEL VERİLERİ SAKLAMAYI GEREKTİREN YASAL SEBEPLER:

Kanunlarda belirtilmiş sürelere uyulmak koşuluyla, şirket tarafından veri işleme amacına göre belirlenmiş sürelerde saklanır, korunur.

Anayasa, Onaylanmış Uluslararası sözleşmeler, Kişisel Verilerin Korunması Kanunu, Kişisel hayatın gizliliği ve korunmasına yönelik tüm kanunlarda belirtilmiş hükümler, Mali, Ekonomik, Sosyal Güvenlik, Sağlık, İş ve İş Sağlığı, bilgi edinme ve diğer kanun ve yönetmelikler ve ilgili mevzuatlarında hüküm altına alınmış hususlardır.

 

KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASINDA AMAÇ:

  1. İnsan kaynakları ve işgücü süreçlerini gerçekleştirmek, yönetmek,

  2. Şirketin iş gücü ihtiyaç planlamasını yapmak,

  3. Şirketin güvenliğini sağlamak,

  4. Şirketin iletişimini sağlamak,

  5. Resmi Kurum ve kuruluşlara karşı yükümlülüğü yerine getirmek,

  6. Şirketin sözleşmelere bağlı her türlü işlemlerini gerçekleştirmek,

  7. Doğabilecek hukuki anlaşmazlıklarda kanıt oluşturmak, ispat yükümlülüğü,

 

KİŞİSEL VERİLERİN İMHA EDİLMESİNİN SEBEPLERİ:

 

  1. Verilerin işlenmesinde yasal düzenlemenin değişmesi veya ortadan kaldırılması,

  2.  Kişisel verinin işlenmesini ve saklanmasını gerektiren amacın değişmesi, yok olması, veriye ihtiyaç kalmaması,

  3. Kanuni sebepler dışında sadece açık rıza, açık onay nedeniyle işlenmiş verilerin bu onayın, açık rızanın geri alınması nedeniyle imhası,

  4. Kişisel verisi işlenen kişinin verisinin silinmesi ile yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi nedeniyle,

  5. Kişisel verisinin silinmesinin reddedilmesi halinde, Kurula şikayette bulunur ve kurulca şikayetçinin haklı bulunması halinde,

  6. Kişisel verilerin saklanması hakkında şirket belgelerinde ve kanunlarda belirtilmiş azami süresini doldurmuş olması, bu tarihte saklamayı gerektirecek yeni yasal düzenleme veya hukuki sebeplerle daha uzun süre saklanmasını gerektirir haklı, geçerli, makul bir şartın olmaması halinde, KİŞİSEL VERİLER SİLİNİR, YOK EDİLİR VEYA ANONİM HALE GETİRİLİR.

KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK, İMHA İŞ VE İŞLEMLERİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER :

Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek, hukuka uygun şekilde edilmesi için KVKK (6698) 12. Maddesi ile 6. Maddesinde sayılan özel nitelikli kişisel verilerin için Kurulca ve ilan edilmiş “yeterli önlemler” çerçevesinde korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK TEDBİRLER:

 

Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

  • İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.

  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

  • Teknik konularda bilgili personel istihdam edilmektedir.

 

KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN İDARİ TEDBİRLER :

 

Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.

  • İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.

  • Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

  • Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

 

KİŞİSEL VERİLERİN  İMHA EDİLME TEKNİKLERİ

Yasal saklama süresi veya mevzuatında öngörülen sürenin dolması, işlendikleri amaç için gerekli olan sürenin tamamlanması halinde kişisel veriler şirket tarafından ilgilisinin başvurusu beklenmeden veya ilgili kişinin başvurusu neticesinde kanuna uygun şekilde imha edilir.

 

KİŞİSEL VERİLERİN SİLİNMESİNE KADAR, Kişisel verilerin kayıtlı olduğu sunucularda saklanma süresi dolan verilerin sistem yöneticisince ilgili kullanıcıların erişme yetkisi kaldırılır.

 

ELEKTRONİK ORTAMDA BULUNAN KİŞİSEL VERİLER, saklanması gerektiren sürenin dolmasından sonra hiçbir erişimcinin, diğer çalışanların erişimine imkan vermeyecek şekilde silinir, tekrar kullanılmaz hale getirilir.

 

FİZİKSEL ORTAMDA YER ALAN KİŞİSEL VERİLER İMHA EDİLİNCEYE KADAR ; Süresi dolanlar için birimce kullanılma süresi dolanlar Arşiv sorumlusuna verilerek muhafaza edildiğinden, arşiv sorumlusunun dışında hiçbir kimsenin erişmesine izin verilmez, delil niteliği yok ise ve arşivde saklama süresini de doldurmuş ise, kişisel veri bölümleri çizilir, boyanır, okunamayacak ve geri döndürülemeyecek kişisel veri haline getirilemeyecek şekilde, okunamayacak, bir takım teknik uygulamalar ile tekrar kullanılması sağlanamayacak şekilde karartma işlemi yapılır.

 

MOBİL ORTAMLARDA TUTULAN VERİLER, saklanma süreleri dolanlar, sistem yöneticisi tarafından şifrelenerek sadece sistem yöneticinin erişimi için şifreleme işlemi ve yetkilendirmesi yapılır, şifrelerle güvenli ortamda muhafaza edilir.

 

FİZİKSEL ORTAMDA BULUNAN KİŞİSEL VERİLER, kağıt ortamında bulunan veriler süreleri dolmuş ise, kağıt yok etme makinelerinde geri döndürülemeyecek şekilde imha edilir.

 

MANYETİK VE GÖRÜNTÜLEME ORTAMINDA BULUNAN VERİLER, saklanma süresi sona eren verilerin bulunduğu araç gereç ve diğer malzemelerden yok edilebilecekler eritilerek, bozularak, verinin tamamen yok edilmesini sağlayacak teknikler uygulanarak veri veya veriyi bulunduran şey imha edilir. Fiziken Yok edilmiyor veya edilemiyorsa yüksek değerde elektro manyetik alan oluşturan cihaz kullanılarak kayıtlı verilerin okunamaz hale getirilir.

 

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ, veri sorumlusu, sistem yöneticisi ve kullanıcılar tarafından veya üçüncü kişiler tarafından verilerin geri getirilemez, başka verilerle eşleştirilerek veri kullanılamaz hale getirilmek için teknikler uygulanarak belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemez veri haline getirilir.

 

SAKLAMA VE İMHA SÜRELERİ:

Şirket tarafından, kişisel verilerin işlenmesi, saklanması, imhası konusunda yapılacak işlemler ile bunlara ait saklanma süreleri kademeli veya kademesiz şekilde işyeri kişisel veri işleme envanterinde gösterilmiştir. Bu süreler işyerindeki diğer kalite yönetim sisteminde gösterilen süre ve işlemlerle uyumlu haldedir. Bu bakımdan aşağıda sıralanan işlemler:

 

*Envanterde belirtilen saklama süreleri Veri kategorileri bazında VERBİS sistemine kayıt sırasında bildirilmektedir

 

*İmha politikasında süreç bazında saklama süreleri yer alması gerekmekte ancak, veri işleme envanterine atıfta bulunularak tekrardan kaçınılmıştır. Süreç bakımından ise tabloda gösterilen süreler sonunda periyodik imha süresinde imha edilecektir, edilmektedir.

İMHA PERİYOTLARI:

Şirket, Yönetmeliğin 11 inci maddesi uyarınca bir yıl olarak Kasım ayı itibariyle belirlenmiştir. İmhası gereken veriler ertesi yılın Kasım ayında yapılan imha uygulamasında yok etme, silme, anonim hale getirme şeklinde yapılır.

 

ŞİRKET İMHA POLİTİKASININ SAKLANMASI VE PAYLAŞILMASI

Bu belge ıslak imzalı olarak, kağıt üzerinde ve elektronik ortamlarda olmak üzere yayınlanır ve veri sorumlusu tarafından KVKK dosyasında saklanır. İnternet adresinde kamuya duyurulur.

 

YÜRÜRLÜK

İş Bu Belge İmzalanıp İlan Edildiği Tarihte Yürürlüğe Girer, Değişiklik Ve Yürürlükten Kaldırma Aynı Yöntemle Yapılır. Bu belgenin yürürlükten kaldırılması halinde 5 yıl saklanır.

VERİ SORUMLUSU-KAŞE VE İMZA