Kişisel Veri Saklama ve İmha Politikası
1. GİRİŞ
BENTAŞ; KVKK, ilgili mevzuat ve diğer düzenlemelere uyumlu olarak hazırladığı genel Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun olarak işbu Kişisel Veri Saklama ve İmha Politikası’nı hazırlamıştır.
2.AMAÇ
Bu politika Anayasa, 6698 sayılı Kişisel verilerin Korunması Kanunu, yönetmelik ve ilgili mevzuat ışığında BENTAŞ tarafından işlenen kişisel verilerin saklanması, silinmesi, yok edilmesi, imha edilmesi ve anonim hale getirilmesi hususlarını düzenlemek amacı ile hazırlanmıştır.
3. KAPSAM
İşbu politika; BENTAŞ’ın çalışan adayları, çalışanları, eski çalışanları, gerçek kişi tedarikçiler, tedarikçi çalışanları, tedarikçi tarafından yetkilendirilen gerçek kişiler, tedarikçi adayları, anket dolduran kişiler, ziyaretçiler, çevrimiçi ziyaretçiler ile üçüncü kişilerin kişisel verilerinin mevzuata uygun olarak saklanması, silinmesi, yok edilmesi, imhası ve anonim hale getirilmesi işlemlerinin usul ve esaslarını kapsar.
4. TANIMLAR
Bu politika kapsamında kullanılan;
Açık Rıza :
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Alıcı grubu :
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anket Dolduran Kişi:
BENTAŞ’ın verdiği hizmetin memnuniyetinin ölçülmesine ve hizmet kalitesinin artmasına yönelik önerilere ilişkin anket formu dolduran kişiyi,
Anonim Hale Getirme :
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
BENTAŞ :
BENTAŞ Bentonit Madencilik San ve Tic AŞ
Çalışan :
BENTAŞ bünyesinde iş gören tüm gerçek kişileri,
Çalışan adayı :
BENTAŞ bünyesinde çalışmak üzere başvuru yapmış gerçek kişileri,
Çevrimiçi Ziyaretçi :
BENTAŞ bünyesinde kurulu www.boschdogfood.com.tr başta olmak üzere çevrimiçi tabanlara ulaşan, cihazlara uzaktan erişebilen kişiler ile Wi-fi kullanıcılarını ifade eder.
Eski çalışan :
BENTAŞ bünyesindeki iş görme yükümlülüğü sona eren gerçek kişileri,
İlgili kişi/gerçek kişi :
Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı :
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha :
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kayıt Ortamı :
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi :
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Veri Saklama Ve İmha Politikası :
BENTAŞ’ın, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı politikayı,
Kişisel Verilerin Silinmesi :
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kişisel Verilerin Yok Edilmesi :
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kurul :
Kişisel Verileri Koruma Kurulu’nu,
Kurum:
Kişisel Verileri Koruma Kurumu’nu,
KVKK :
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Özel Nitelikli Kişisel Veri :
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Müşteri :
BENTAŞ’ın ve/veya grup şirketlerinin bünyesinden, tedarikçilerinden veya online sistemler üzerinden ürün/hizmet alan tüketici veya tacir her tür gerçek kişiyi
Periyodik İmha:
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Server :
Bilgisayar ağlarında, istemcilerin (kullanıcıların) erişebileceği, kullanımına ve paylaşımına açık kaynakları veya bazı servisleri (FTP, E-Posta, Web Sitesi) çalıştıran bilgisayar birim veya birimlerini,
Tedarikçi :
BENTAŞ’a ve çalıştığı gerçek veya tüzel kişilere mal, çalışan veya hizmet sağlayan gerçek veya tüzel kişiler ile bu kişilerin yetkilendirdiği gerçek kişileri,
Tedarikçi adayı :
BENTAŞ’a ve çalıştığı gerçek veya tüzel kişilere mal, çalışan veya hizmet sağlamak üzere teklif veren veya teklif talep edilen gerçek kişileri,
Tedarikçi çalışanı :
Tedarikçi bünyesinde iş gören tüm gerçek kişileri,
Veri Envanteri :
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Veri İşleyen :
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişileri,
Veri Kayıt Sistemi :
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sahibi Başvuru Formu :
BENTAŞ bünyesinde işlenen ve saklanan gerçek kişilerin KVKK md 11’de açıklanan hakları ile ilgili başvurularında kullanabilecekleri formu,
Veri Sorumlusu :
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri Sorumluları Sicili :
Kişisel Verileri Koruma Kurulu Başkanlığı tarafından tutulan veri sorumluları sicilini,
Ziyaretçi :
BENTAŞ yerleşkelerine ve bürolarına çeşitli amaçlarla giriş yapan gerçek kişileri
5- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİNE İLİŞKİN GENEL İLKELER
BENTAŞ, işlemekte olduğu kişisel verileri işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda belirtilen amaçların ortadan kalkmış olması, mevzuatta veya işbu politikada öngörülen saklama sürelerinin dolması, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması, re’sen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde de BENTAŞ; hukuka ve dürüstlük kurallarına uygun olmak doğru ve gerektiğinde güncel olmak belirli, açık ve meşru amaçlar için yok etmek, bu işlemleri yaparken saklama ve yok etme amacına uygun, bağlantılı, sınırlı ve ölçülü olmak zorundadır.
BENTAŞ, silinen kişisel verilere mevzuat hükümlerinin zorunlu kıldığı durumlar hariç olmak üzere erişilmesini engellemek amacıyla gerekli teknik ve idari tedbirleri almak zorundadır.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. BENTAŞ kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yöntem ve politikalarını web sitesinden, fiziki olarak ise faaliyet göstermekte olduğu “Fatsa Organize Sanayi Sitesi 101 Nolu Sok No: 20 Fatsa ORDU” adresinde yer alan bürosunda askı suretiyle duyurmaktadır.
BENTAŞ, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer.
6- VERİ KAYIT SİSTEMİ
BENTAŞ’ın, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uyumlu olarak edinilen kişisel veriler şirket bünyesinde “Fatsa Organize Sanayi Sitesi 101 Nolu Sok No: 20 Fatsa ORDU” adresindeki serverlar, bilgisayar sabit ya da taşınabilir diskler, CD vb hafıza sistemleri gibi dijital ortamlarda, şifrelenmiş internet tabanlı bulut sistemlerinde ya da kağıt, dosya, ozalit ya da mikrofilmler gibi basılı/yazılı evraklarda saklanmaktadır. Bu serverlar dışarıdan müdahalelere kapalı, herkesin erişimi bulunmayan, yalnızca şirketin yetkilendirdiği personelce erişebilen, acil durumlara ilişkin (yangın, deprem, terör, sel vb) gerekli önlemlerin alınacak şekilde konumlandırılmıştır.
Bunun dışında BENTAŞ’ın KVKK’ya uygun olarak işlemek ve saklamak üzere elde ettiği kişisel veriler BENTAŞ’ın yerleşkelerinde, şantiyelerinde, bürolarında ve eklentilerinde olmak üzere sayılan yerlerde bulunan bilgisayar dâhil her türlü kaydedici cihazda elektronik olarak veya bu işlemler için ayrılmış bölümlerde fiziksel olarak saklanabilir.
7- KİŞİSEL VERİ SAKLAMAYI, SİLMEYİ, YOK ETMEYİ VE ANONİM HALE GETİRMEYİ GEREKTİREN SEBEPLER
BENTAŞ’ın işlediği ve sakladığı kişisel veriler KVKK ve BENTAŞ tarafından hazırlanan Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun amaç ve nedenlerle saklanmaktadır.
8- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
VERİ SAHİBİ
VERİ KATEGORİSİ
VERİ SAKLAMA SÜRESİ
Çevrimiçi Ziyaretçi
Kimlik Verisi, İletişim Verisi, Hukuki İşlem Verisi, Elektronik İşlem Verisi
15 YIL (Ticari elektronik iletilerde onayın kalmasından itibaren 1 yıl)
Çalışan
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
İş Akdinin Feshinden İtibaren 15 Yıl (Görsel Veriler Yönünden 110 Gün)
Çalışan Adayı/Stajyer
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
1 yıl (Görsel Veriler Yönünden 110 Gün)
Eski Çalışan
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri (ISG verisi), Özlük Verisi, Eğitim Verisi
İş Akdinin Feshinden İtibaren 15 Yıl (Görsel Veriler Yönünden 110 Gün)
Gerçek Kişi Tedarikçi
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
Taraflar Arasındaki Hukuki İlişkinin Sona Ermesinden İtibaren 15 Yıl (Görsel Veriler Yönünden 110 Gün)
Müşteri
Kimlik Verisi, İletişim Verisi, Finansal Veri, Görsel Veri, Özel Nitelikli Kişisel Veri,
15 yıl (Görsel veriler yönünden 110 gün)
Tedarikçi Tarafından Yetkilendirilen Kişi
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
Taraflar Arasındaki Hukuki İlişkinin Sona Ermesinden İtibaren 15 Yıl (Görsel Veriler Yönünden 110 Gün)
Tedarikçi Çalışanı
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
Taraflar Arasındaki Hukuki İlişkinin Sona Ermesinden İtibaren 15 Yıl (Görsel Veriler Yönünden 110 Gün)
Tedarikçi Adayı
Kimlik Verisi, İletişim Verisi, Finansal Veri, Hukuki İşlem Verisi, Görsel Veri, Özel Nitelikli Kişisel Veri, Özlük Verisi, Eğitim Verisi
15 Yıl (Görsel Veriler Yönünden 110 Gün)
Fiziksel Ziyaretçi
Kimlik Verisi, Görsel Veri
110 Gün (Görsel Veriler Yönünden 110 Gün)
Anket Dolduran Kişi
Kimlik Verisi, İletişim Verisi
Anket Formu Tarihinden İtibaren 1 yıl
9- KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ
Fiziki ortamda basılı/yazılı olarak tutulan kişisel verilerin silinmesi için tamamen karartma, okunamayacak şekilde kesilme, kesilmenin mümkün olmadığı durumlarda geri döndürülemeyecek ve teknolojik sistemlerle okunamayacak şekilde mürekkep vb materyal kullanılarak görünmez hale getirme yöntemleri uygulanır. Şifrelenmiş çevrimiçi yerli bulut sistemlerinde veya dijital ortamlarda bulunan kişisel verilerin silinmesinde ise erişime yetkili kişilerin bir daha kurtaramayacağı şekilde verilerin dijital olarak silinmesi yöntemi kullanılır.
10- KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ
Fiziki ortamda basılı/yazılı olarak tutulan kişisel verilerin yok edilmesi için yırtma veya yakma yöntemleri kullanılır. Şifrelenmiş internet tabanlı bulut sistemlerinde veya dijital ortamlarda bulunan kişisel verilerin yok edilmesinde ise verinin bulunduğu materyali yok etme için gerekli yöntemler (veriyi geri döndüremeyecek şekilde; materyali yakma, kırma, eritme, öğütme, üzerindeki verilerin okunamayacağı şekilde materyalin bilinçli olarak bozulması, materyal üzerine yeniden eski verilerin okunmasının ve kurtarılmasının önüne geçecek şekilde veri yazılması, bulut ortamından dijital komut veya diğer yöntemlerle silinmesi vb) kullanılır.
11- KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ YÖNTEMLERİ
Kişisel verilerin ait olduğu kimliği belirli veya belirlenebilir olan ilgili kişilerle ilişkilendirilemeyecek hale getirmek için bazı tanımlayıcıların çıkarılması, coğrafi bilgilerinin (Ör; memleket bilgisi, adresi vb) veya kişiyi ayırt edici nitelikteki bilgilerin silinmesi, verinin ilgili kişi ile bağlantısı yapılmayacak şekilde çeşitli kodlamalar yapmak (Ör; gerek varsa ad ve soyad bilgisinin sadece baş harflerinin saklanması, vb) farklı birçok kişiye ait kişisel verinin bir araya getirilip harmanlanarak istatistikî veri haline getirilmesi ve genelleştirilmesi, vb yöntemleri kullanılır.
12- PERİYODİK İMHA
KVKKanunu ve ilgili mevzuat uyarınca kişisel verilerin işlenme şartlarının ortadan kalkması, sürelerin sona ermesi veya ilgilinin talep etmesi halinde BENTAŞ kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihten itibaren en kısa süre içerisinde kişisel verileri siler, yok eder veya anonim hale getirir. Aynı zamanda tekrar eden aralıklarla ve re’sen gerçekleştirilecek bir işlemle gereken kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri altı ayda bir tekrarlanır. Tüm bu süreçler işlemi yapan personelce tutanak ile imza altına alınarak 3 yıl süre ile saklanır.
13- DENETİM
BENTAŞ kişisel verilerin işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak saklandığına ve imha edilmesine ilişkin olarak gerekli tedbirleri alır. Bu tedbirler arasında;
- Teknik Tedbirler
- İşbu Kişisel Veri Saklama ve İmha Politikası’nda öngörülen saklama ve imha yöntemlerine ilişkin uygun araç ve ekipman bulundurur.
- Olay yönetimi ve acil eylem planlarını oluşturur.
- Saklama ve imha işlemini yapan veri işleyen kişinin erişim kayıtlarını tutar. Konu ile ilgili personel istihdam eder ya da üçüncü kişilerden hizmet alır.
- BENTAŞ önlemleri belirlerken Kurumun Kişisel Veri Güvenliği Rehberini esas alır.
- Kendi bünyesinde, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yaptırır.
- İdari Tedbirler
- Görevli personeli saklama ve imha konusunda bilgilendirir.
- Veri işleyen personelden gizlilik taahhütnamesi alır.
- Saklama, silme, yok etme ve anonim hale getirme sürecine ilişkin eksikleri tespit eder ve giderilmesi için şirket içi uygulamaları hayata sokar.
- Veri saklama ve imha sürecini denetlemek üzere veri işleyenden farklı personel veya personeller görevlendirir. Bu denetimin her yıl düzenli olarak yapılmasını sağlar.
14- POLİTİKADA YAPILABİLECEK DEĞİŞİKLİK VE GÜNCELLEMELER
BENTAŞ bu Politikada, yasal düzenlemeler ve Kişisel Verilerin İşlenmesi ve Korunması Politikası doğrultusunda gerekli gördüğünde değişiklik veya güncellemeler yapabilir.
Son Değişiklik Tarihi: 31/12/2020