TACİRLER KİMYEVİ MADDELER İTHALAT İHRACAT ANONİM ŞİRKETİ

 

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

​

1. AMAÇ :

Tacirler Kimyevi Maddeler İthalat İhracat Anonim Şirketi (“TACİRLER”) sosyal ve hukuki sorumlulukları gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde, TACİRLER’in tamamına uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir. Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, TACİRLER’in faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

 

2. KAPSAM :

Bu Politika TACİRLER’de görev yapmakta olan çalışanların, çalışan adaylarının ve stajyerlerin kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.

 

3. İDARİ VE TEKNİK TEDBİRLER:

Yönetmelik uyarınca, işbu Politika’nın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, TACİRLER tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.

• Ağ yoluyla veri aktarımlarında kapalı sistem ağ kullanılması,

• Ağ güvenliği ve uygulama güvenliğinin sağlanması,

• Erişim yetki kısıtlamalarının öngörülmesi,

• Veri minimizasyonunun sağlanması,

• Veri saklama sürelerinin tespit edilmesi,

• İşten ayrılan veya görevi değişen çalışanların bu alandaki yetkilerinin kaldırılması,

• Güncel anti-virüs ve güvenlik duvarlarının kullanılması,

• Kişisel veri güvenliği politika ve prosedürleri belirlenmesi,

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması,

• Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliğinin sağlanması,

• Kişisel veri içeren ortamların güvenliğinin sağlanması,

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmesi ve uygulanması,

• Kişisel Veri süreçlerinde görev alan çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,

• TACİRLER’ın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,

• Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,

• Sistem güvenliğine yönelik süreçlerin geliştirilmesi

• Anahtar yönetimi uygulanması

• Erişim loglarının düzenli olarak tutulması

• Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,

• Çalışanların veri güvenliği hususunda aydınlatılması – eğitilmesi

• Çalışanlar ve iş ortaklarından gizlilik taahhütnamesi alınması

 

4. UYGULAMA :

TACİRLER kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler TACİRLER’ın Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. TACİRLER, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. TACİRLER organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. TACİRLER, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. TACİRLER tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. TACİRLER, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. 

 

5. SAKLAMA VE İMHA SÜRELERİ :

Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve TACİRLER’ın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda TACİRLER’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı TACİRLER tarafından seçilir. İlgili kişi TACİRLER’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa TACİRLER talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

​

​

Veri Tipi Detayları                                                                                  Saklama dönemi başlangıç tarihi                  Saklama süresi

İş ilişkisi kapsamında toplanan çalışanlara ait kişisel veriler       İşe son verme tarihi                                          15 yıl

Hissedarlara ait veriler                                                                       Ortaklığın sona ermesi tarihi                           15 yıl

Müşterilere ait veriler                                                                         Veri işleme tarihi                                                15 yıl

 

​

​

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

TACİRLER tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

TACİRLER, çalışanlara ait yüz tarama, sağlık verisi, kan grubu, özel sağlık sigortası poliçesi, sağlık raporları, işbaşı sağlık raporu, akciğer grafisi, işitme testi, göz testi, işe giriş ve periyodik muayene formları, hamilelik durumu, hamilelik raporu, sağlık ve doğum izni bilgileri ve ceza mahkumiyeti ile güvenlik tedbirlerine ilişkin verileri açık rıza şartına dayalı olarak KVKK’ya uygun bir biçimde çalışanların işe giriş işlemlerinin yapılması, iş takibinin sağlanması, bilgi güvenliğinin sağlanması, şirketin meşru menfaatlerinin korunması, iş sağlığı ve güvenliği ile alakalı planlamanın yapılması ve gerekli tedbirlerin alınması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlemektedir.

Özel nitelikli kişisel verilerden sağlık raporları ve ceza mahkumiyeti / güvenlik tedbiri verileri rıza şartına bağlı olarak Aydınlatma Metni’nde yer alan amaç ve kapsamda iş ortakları ile paylaşılmaktadır. İşlenen özel nitelikli verilerin tamamı fiziki ortamda tutulmaktadır.

Özel nitelikli verilerin işlenmesine aşağıda belirtilen güvenlik tedbirleri alınmaktadır;

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

• İlgili çalışanlarla gizlilik sözleşmelerinin yapılması,

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

• Kağıt yoluyla aktarılan özel nitelikli verilerin gizlilik dereceli belge formatında gönderilmesi,

• Özel nitelikli veri içeren fiziksel ortamlarda verilerin bulunduğu ortamın niteliğine göre (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) fiziksel önlem alınması

• Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

Özel nitelikli verilerin saklama süreleri ve imhasında aşağıda yer alan tabloda yer verilen sürelere uyulmaktadır;

 

​

Veri Tipi Detayları                                                                                     Saklama dönemi başlangıç tarihi         Saklama süresi

Çalışanlara ait sağlık verileri                                                                İşe son verme tarihi                                  10 yıl

Çalışanlara ait ceza mahkumiyeti ve güvenlik tedbiri verileri        İşe son verme tarihi                                 10 yıl

 

​

7. SORUMLULUK

Şirket faaliyetleri çerçevesinde elde edilen kişisel verilerin muhafazası, işlenmesi, iş bu Politika ile tutarlı yönergelerin tesis edilmesinden, mevzuat ve sözleşmesel sorumlulukların yerine getirilmesinden nihai olarak veri sorumlusu temsilcisi olarak İdari İşler Yöneticisi sorumludur.  Ayrıca kişisel verilerin saklanması ve imhası süreçlerinde yer alanların unvan, birim ve görev tanımları aşağıdaki gibidir;

​

İdari İşler Yöneticisi                 : MUHASEBE .

Muhasebe Birimi Yöneticisi   : MUHASEBE

Bilgi İşlem Yöneticisi               : BİLGİ İŞLEM

 

​

 

TACİRLER KİMYEVİ MADDELER

İTHALAT İHRACAT ANONİM ŞİRKETİ