Kişisel Verilerin Korunması ve İşlenmesi Politikası
ÖNSÖZ
Kişisel Verilerin Korunması SUDER için büyük önem arz etmektedir. Bizimle herhangi bir şekilde temas ederek herhangi bir kişisel verisini bize bırakmış olan herkesin bilgilerini titizlikle muhafaza etmekteyiz. Bu bilgilerin güvenliğini sağlamak için SUDER içinde gerekli bütün tedbirleri aldık. SUDER ile kişisel verilerinizin güvende olacağı duygusuyla işlem yapabilirsiniz. Gerek T.C. Anayasası gerekse Kanunları ile güvence altına alınan verilerinizle ilgili haklarınıza riayet edeceğiz. Aşağıda SUDER’de yürürlüğe konulan Gizlilik Politikasını sizlerle paylaşıyoruz.
Sizlerden gelecek iyileştirme önerilerine, başvurularınıza ve olası şikayetlerinize karşı bütün duyarlılığı göstereceğimizden emin olabilirsiniz. Kişisel verilerinizle ilgili bütün tereddütlerinizde bizlere başvurabilirsiniz. Bizler bütün hizmetlerimizde olduğu gibi kişisel verilerinizin korunmasında da aynı hassasiyeti ve özeni göstereceğiz.
Saygılarımızla,
Ambalajlı Su Üreticileri Derneği (SUDER)
Amacı
Bugüne kadar Ambalajlı Su Üreticileri Derneği (“SUDER”) olarak uğraştığımız işlerin hassasiyeti gereğince toplanan kişisel veriler gizli tutulmuş ve hiçbir zaman üçüncü kişilerle amacı dışında paylaşılmamıştır. Kişisel verilerin korunması, SUDER’in temel politikasıdır. Herhangi bir yasal düzenleme olmadan önce de SUDER, kişisel verilerin gizliliğine büyük önem vermiş ve bunu bir çalışma ilkesi olarak benimsemiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) getirdiği bütün sorumluluklara da uymayı SUDER olarak taahhüt etmekteyiz.
Kapsamı ve Değiştirilmesi
SUDER tarafından hazırlanan bu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“KVK Politikası”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak hazırlanmıştır. Kanun, bugün itibariyle bütün hükümleri ile yürürlüğe girmiştir.
Sizlerden rızanızla ya da Kanun’da sayılan diğer hukuka uygunluk halleri gereği elde edilmiş veriler, sunmuş olduğumuz hizmetlerin kalitelisinin arttırılması ve kalite politikamızın iyileştirilmesi amacıyla kullanılacaktır. Yine elimizdeki bazı veriler ise, kişisel olmaktan çıkarılmakta ve anonimleştirilmektedir. Bu veriler, istatistiki amaçlarla kullanılan verilerdir ve Kanun uygulamasına ve Politikamıza tabi değildir.
SUDER KVK Politikası, müşterilerimizin, müşteri adaylarımızın, çalışanlarımız ile bizimle çözüm ortaklığı içinde çalışan şirketlerin müşterileri ve çalışanlarının ya da diğer kişilerin otomatik olarak elde edilen verilerinin korunmasını amaçlar ve bunlara ilişkin düzenlemeleri içerir.
SUDER, Politikamızı Kanuna uygun olmak ve kişisel verilerin daha iyi korunması şartı ile, değiştirme hakkına sahiptir.
Kişisel Verilerin İşlenmesi İle İlgili Temel Kurallar
- Hukuka ve dürüstlük kurallarına uygun olma: SUDER, topladığı ya da kendisine diğer şirketlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine önem verir.
- Doğru ve gerektiğinde güncel olma: SUDER, kurum bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir.
- Belirli, açık ve meşru amaçlar için işlenme: SUDER, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: SUDER, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: SUDER, sözleşmeler kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir. Bunları Kişisel Verileri Silme Yönergesi’ne göre siler veya yok eder.
Önemle belirtelim ki, SUDER, verileri ister rızaya dayanarak isterse kanuna uygun bir şekilde toplamış ya da işlemiş olsun yine de yukarıda sıraladığımız bu ilkeler geçerlidir.
Kişisel Veri Sahibinin KVK Kanunu’nun 11. maddesinde Sayılan Hakları
KVKK m.11’e göre aşağıda sayılan haklarınız bulunmaktadır. Bu haklarınızı kolaylaştırmak için sizler için ayrıca bir başvuru formu da SUDER tarafından hazırlanmış ve internet sayfanızda sizlere sunulmuştur.
Kişisel verileri işlenen kişiler, SUDER tarafından internet sayfamızda duyurulan ilgilimize başvurarak kendi verisi ile ilgili olarak;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişiselverilerinişlenmeamacınıvebunlarınamacınauygunkullanılıpkullanılmadığınıöğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVKK’nın 7. Maddesinde öngörülen şartlar çerçevesinde, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. SUDER olarak bu haklara saygılıyız.
Azami Tasarruf İlkesi/Cimrilik İlkesi
Azami tasarruf ilkesi ya da cimrilik ilkesi adı verilen bu ilkemize göre SUDER’e ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. SUDER’e intikal eden diğer veriler de aynı şekilde SUDER bilişim sistemlerine aktarılır. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir.
Kişisel Verilerin Silinmesi
Kanunen saklanması gereken sürelerin dolması, yargı süreçlerinin tamamlanması ya da diğer gereklilikler ortadan kalktığında SUDER tarafından bu veriler kendiliğinden ya da ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir ya da anonim hale getirilir.
Doğruluk ve Veri Güncelliği
SUDER bünyesinde bulunan veriler, kural olarak ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. SUDER, müşteriler ya da SUDER ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi SUDER tarafından da benimsenmiştir. SUDER kendisine ulaşan resmî belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.
Gizlilik ve Veri Güvenliği
Kişisel veriler gizlidir ve SUDER bu gizliliğe riayet etmektedir. Kişisel verilere SUDER içinde ancak yetki verilmiş kişiler ulaşabilir. SUDER tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve SUDER içinde de KVK Politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız şirketlerden de verileri koruması talep edilir.
Veri İşleme Amaçları
SUDER’in kişisel verileri işleme amaçları Kişisel Verilerin İşlenmesi Aydınlatma Metninde belirtildiği şekildedir.
Müşteri, Muhtemel Müşteri ve İş ve Çözüm Ortakları Verisi
a. Sözleşme İlişkisi İçin Verinin Toplanması ve İşlenmesi
Müşteriler ve muhtemel müşterilerimizle bir sözleşme ilişkisi kurulmuş ise, toplanmış olan kişisel veriler, müşterinin onayı alınmaksızın kullanılabilir. Ancak bu kullanım, sözleşme amacı doğrultusunda gerçekleşir. Sözleşmenin daha iyi icrası ve hizmetin gereklilikleri ölçüsünde veriler kullanılır ve gerektiğinde müşterilerle irtibata geçilerek güncellenir.
b. İş ve Çözüm Ortakları Verileri
SUDER, gerek iş gerekse çözüm ortakları ile veri paylaşımı yaparken hukuka uygun davranmayı ilke edinir. İş ve çözüm ortakları ile veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri paylaşılmakta ve bu taraflardan mutlaka veri güvenliğinin sağlanmasına ilişkin tedbirleri alması talep edilir.
Reklam Amaçlı Veri İşleme
E-Ticaretin Düzenlenmesi Hakkındaki Kanun’un ile Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmeliğe uygun olarak ancak önceden onay alınan kişilere reklam amaçlı elektronik ileti gönderilebilir. Reklamın gönderileceği kişinin onayının açık bir şekilde mevcudiyeti şarttır.
Yine aynı mevzuat uyarınca belirlenen “onay”ın detaylarına da SUDER de riayet etmektedir. Alınacak onay, şirketinizin mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği tüm ticari elektronik iletileri kapsamalıdır. Bu onay, yazılı olarak fiziki ortamda veya her türlü elektronik iletişim aracıyla alınabilir. Önemli olan, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresinin bulunmasıdır.
1. SUDER’in Hukuki Yükümlülüğü veya Kanunda Açıkça Öngörülmesi Sebebiyle Yapılan Veri İşlemleri
Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
SUDER’in Veri İşlemesi
SUDER’in sunduğu hizmet ve meşru amaçları doğrultusunda kişisel veriler işlenebilir. Ancak veriler hiçbir şekilde hukuka aykırı hizmetler için kullanılamaz.
Özel Nitelikli Verilerin İşlenmesi
SUDER, özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından ayrıca belirlenen yeterli önlemlerin hepsini alır. SUDER’de özel nitelikli kişisel veriler “Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası”na göre işlenir.
Otomatik Sistemlerle İşlenen Veriler
Otomatik sistemler aracılığı ile işlenen veriler konusunda SUDER, Kanun ve ikincil mevzuata uygun davranır. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak SUDER, kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir.
Kullanıcı Bilgileri ve İnternet
SUDER’e ait internet siteleri ve diğer sistemlerde veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilir.
Kişiler, internet sayfalarındaki uygulamalarımız konusunda bilgilendirilir. Kişisel veriler, hukuka uygun olarak işlenecektir.
Çalışanlarımıza Ait Veriler
c. İş İlişkisi İçin Verilerin İşlenmesi
Çalışanlarımızın kişisel verileri, iş sözleşmesinin ifası ve yan haklarının tesisi bakımından gerekli olduğu kadarıyla işlenebilir. Ancak SUDER, çalışanlarına ait verilerin gizliliği ve korunmasını temin eder.
d. Hukuki Yükümlülükler Gereği İşleme
SUDER, çalışanlarına ait kişisel verileri, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan verileri işleyebilir. Bu husus, kanundan kaynaklanan yükümlülüklerle sınırlıdır.
e. Çalışanların Yararına İşlemeler
SUDER, yan hak tesisi gibi şirket çalışanlarının menfaatine olan işlemler için onay almaksızın kişisel verileri işleyebilir. İş ilişkilerinden kaynaklanan ihtilaflar için de SUDER, çalışanlara ait verileri işleyebilir.
f. Özel Nitelikli Verilerin İşlenmesi
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
SUDER, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin onayı yanında Kurul tarafından ayrıca belirlenen yeterli önlemleri alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda izin verilen hallerle ilgili ve sınırlı olarak işlenebilir.
g. Otomatik Sistemlerle İşlenen Veriler
Çalışanların otomatik sistemlerle ilgili olarak işlenen verileri, SUDER içi terfilerde ve performans değerlendirmelerinde kullanılabilir. Çalışanlarımız aleyhine çıkan sonuca itiraz etme hakkına sahiptir ve bunu SUDER içi prosedürlere uyarak gerçekleştirirler. Çalışanların itirazları da yine SUDER içinde değerlendirilir.
h. Telekomünikasyon ve İnternet
SUDER içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan SUDER’in kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. SUDER bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir. Çalışan, işe başladığı andan itibaren kendisine tahsis edilen bilgisayarda, telefonlarda ya da diğer araçlarda iş dışında başka bir veri ya da bilgi bulundurmayacağını taahhüt etmektedir.
Kişisel Verilerin Yurt İçi ve Dışına Aktarılması
Kişisel veriler, SUDER tarafından hizmetin görülebilmesi amacıyla hâkim hissedar ile ayrıca iş ve çözüm ortakları ile paylaşılabilir.
SUDER kişisel verileri, SUDER’in tedarikçiden dış kaynaklı olarak temin ettiği ve SUDER’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin SUDER’e sunulmasını sağlamak amacıyla sınırlı olarak SUDER’in tedarikçilerine aktarabilecektir.
SUDER, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.
İlgili Kişinin Hakları
SUDER, KVKK kapsamında ilgili kişinin veri işlenmeden önce onayını alma hakkının olduğunu, verinin işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir.
SUDER tarafından internet sayfamızda duyurulan ilgilimize başvurarak kişisel verilerle ilgili olarak;
- a) Kişisel verinizin işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.
Buna karşın,
SUDER içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. SUDER, kişisel verileri, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarca paylaşabilir.
Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini SUDER resmi internet adresinden temin edebileceğiniz başvuru formunu eksiksiz doldurarak ve ıslak imza ile imzalayarak yine SUDER’in adresine, iadeli taahhütlü mektupla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi olacak şekilde) göndererek SUDER’e iletebileceklerdir. Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ya da SUDER’e ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Başvurularınızı, iadeli taahhütlü mektupla yapmanız gerekmektedir. Ayrıca başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir.
SUDER, başvuru sahiplerinden başkaca ilgili bilgi ve belge talep edebilir.
Gizlilik İlkesi
İster çalışanlar isterse diğer kişilerin SUDER’deki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.
İşlem Güvenliği
SUDER tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve SUDER içinde de KVK Politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.
Denetim
SUDER, kişisel verilerin korunması konusunda gerekli iç ve dış denetimleri yaptırır.
İhlallerin Bildirimi
SUDER, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde söz konusu ihlali gidermek için derhal harekete geçer. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.
İhlallerin bildirimi ile kurumsal internet adresimizde belirtilen usullere göre başvuruda bulunabilirsiniz. KVKK Başvuru ve Bilgi Talep formu için tıklayınız. (Forma Link Konulacak)
Güncelleme
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.
Politika Güncelleme Tarihi | Değişiklikler |
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası
1.Amaç
İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.
2.Tanımlar
KISALTMA | TANIM |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel verilerin anonim hale getirilmesi | Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel verilerin silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel verilerin yok edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu |
Politika | Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası |
Şirket | SUDER |
Veri sahibi | Kişisel verisi işlenen gerçek kişi |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
3.Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
SUDER, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- Belirli, açık ve meşru amaçlar için işlenme
- Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, SUDER tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.
Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.
Sağlık verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet edilmektedir.
4.Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Teknik ve İdari Tedbirler
SUDER, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:
5.İdari Tedbirler
- SUDER, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda düzenli eğitimler vermektedir.
- SUDER, çalışanları ile veri güvenliğinin sağlanması icin gizlilik sözleşmeleri akdetmektedir.
- Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
- Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. SUDER, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.
6.Teknik Tedbirler
i. Elektronik Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
- Özel nitelikli kişisel veriler kripto grafik yöntemler kullanılarak muhafaza edilmektedir.
- Kripto grafik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
- Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere uzaktan erişim sağlandığı hallerde en az iki kademeli doğrulama sistemi kullanılmaktadır.
j. Fiziksel Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
- Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.
7.Özel Nitelikli Kişisel Verilerin Aktarılması
SUDER, özel nitelikli kişisel verileri Kanun’un 8. ve 9. maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla SUDER tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.
- E-Posta Yoluyla Aktarım
Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmaktadır.
- Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım
Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografik anahtar farklı bir ortamda tutulmaktadır.
- Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım
Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
- Kâğıt Ortamı Yoluyla Aktarım
Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
8.Özel Nitelikli Kişisel Verilerin Saklanması ve İmhası
Özel nitelikli kişisel veriler, SUDER tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
- Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması
SUDER tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 6. Maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin SUDER’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin SUDER tarafından haklı görülmesi ve olumlu sonuçlandırılması
- SUDER’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar SUDER Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.
9.Güncelleme
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.
Politika Güncelleme Tarihi | Değişiklikler |
E. SAKLAMA İMHA VE YÖNERGESİ
- KİŞİSEL VERİ SAKLAMA VE İMHA YÖNERGESİNİN HAZIRLANMA AMACI
İşbu Kişisel Veri Saklama ve İmha Yönergesi (“Yönerge”), veri sorumlusu sıfatıyla Ambalajlı Su Üreticileri Derneği (“SUDER”) tarafından SUDER kişisel veri işleme envanterine uygun olarak hazırlanmıştır. Politika’nın hazırlanma amacı 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te öngörülen yasal yükümlülüklerin yerine getirilmesi; tüzel kişilik bünyesinde kişisel veri saklama ve periyodik imha sürelerinin ortaya konulması; kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarının, birimlerinin ve görev tanımlarının belirlenmesi ve diğer yükümlülüklerin yerine getirilmesidir.
- TANIMLAR
Kısaltma | Tanım |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel veri işleme envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel verilerin anonim hale getirilmesi | Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel verilerin silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel verilerin yok edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu |
Periyodik imha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Sicil: | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili. |
Şirket: | SUDER |
Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri sahibi | Kişisel verisi işlenen gerçek kişi |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Yönerge | SUDER Kişisel Veri Saklama ve İmha Yönergesi |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
- KAYIT ORTAMLARI
Kişisel veriler, SUDER tarafından Kanun ve diğer mevzuata uygun bir şekilde ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak aşağıdaki fiziki ve elektronik ortamlarda saklanmaktadır:
- Fiziki Kayıt Ortamları
Birim Dolapları
Arşiv
- Elektronik Kayıt Ortamları
- KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Kişisel veriler, SUDER’in hukuki yükümlülüklerini yerine getirebilmesi, müşteri, tedarikçi, çalışan ve diğer iş ortakları ile ilişkilerinin sürdürülebilmesi, ticari faaliyetlerinin yürütülebilmesi amaçlarıyla ile aşağıdaki hukuki sebepler dahilinde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Kişisel verilerin saklanmasının SUDER’in tabi olduğu mevzuatta açıkça öngörülmüş olması
- Sözleşmelerin kurulmasıya da ifası ile doğrudan doğruya ilgili olmak kaydıyla sözleşme taraflarından birine ait kişisel verilerin saklanmasının gerekli olması
- Kişisel verilerin saklanmasının SUDER’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması
- Bir hakkın tesisi, kullanılması ya da korunması için kişisel verilerin saklanmasının gerekli olması
- Veri sahiplerinin kendileri tarafından alenileştirilen kişisel verilerin alenileştirme amacıyla örtüşecek biçimde saklanmasının gerekli olması
- Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla SUDER’in meşru menfaatlerinin elde edilebilmesi için kişisel verilerin saklanmasının gerekli olması
SUDER tarafından hukuka uygun olarak ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak saklanan kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 5. Maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin SUDER’e usulüne uygun olarak ilettiği kişisel verilerinin imhasına ilişkin talebinin SUDER tarafından haklı görülmesi ve olumlu sonuçlandırılması
- SUDER’in, veri sahibi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Özel nitelikli kişisel verilerin korunması ve hukuka uygun olarak işlenmesine yönelik SUDER tarafından alınan tedbirler SUDER Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmektedir.
Özel nitelikli kişisel veriler, SUDER tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki sebeplerle dahilinde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
- Sağlık ve cinsel hayata ilişkin verilerin saklanmasının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için gerekli olması.
SUDER tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 6. Maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin SUDER’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin SUDER tarafından haklı görülmesi ve olumlu sonuçlandırılması
- SUDER’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
- VERİ GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla SUDER tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
- İdari Tedbirler
SUDER’in aldığı idari tedbirler şunlardır:
- SUDER, Kanun ve diğer mevzuata uygun olarak kişisel veri güvenliği politika ve prosedürlerini belirler; Kanun’un ve belirlenen politikaların uygulanmasının temini için tüzel kişiliği bünyesinde düzenli denetim çalışmaları yürütür.
- SUDER, kişisel verilerin korunması konusunda bilgili personel istihdam eder. Personellerine yönelik kişisel verilerin korunması hukuku eğitim programları düzenler ve farkındalık çalışmaları yürütür.
- SUDER, kişisel veri aktarım faaliyetlerinde kişisel verilerin aktarıldığı kişiler ile veri paylaşım sözleşmesi imzalar ve veri güvenliğini sağlar.
- SUDER, saklanan kişisel verilere erişim yetkisini yalnızca tüzel kişilik bünyesindeki görevi gereği yetkili personel ile sınırlandırır.
- SUDER, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından ele geçirilmesi halinde ihlali veri sahibine ve Kurul’a gecikmeksizin bildirir.
- Teknik Tedbirler
SUDER, teknik tedbirler kapsamında;
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek Teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak system zafiyetlerinin kontrolünü sağlar.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin control altında tutulmasını sağlar.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- Kanun’un 12. Maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
- PERİYODİK İMHA SÜRESİ
SUDER, işbu Politika’da belirlenen saklama süresinin dolması ile imha yükümlülüğünün ortaya çıkmasını takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder ya da anonim hale getirir.
Periyodik imha, yılda iki kez 6 aylık aralıklarla olmak üzere Nisan-Ekim aylarında gerçekleştirilir.
- KAYITLARIN SAKLANMASI
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
- SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak mevzuatta öngörülen ya da işlenme amacı için gerekli olan süre ile sınırlı olarak saklanmaktadır. Bu kapsamda belirlenen saklama süreleri aşağıdaki tabloda yer almaktadır.
Veri Kategorisi | Saklama Süresi | İmha Süresi | ||
CCTV Kayıtları | 30 gün | Saklama süresinin bitiminde otomatik imha | ||
Çalışan Özlük Dosyası ve Bordro Bilgileri | 15 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde | ||
Çalışan Adayı Özgeçmişleri | 1 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde | ||
Sözleşme, Fatura, Yasal Beyanname, Ticari Defter ve Ticari Yazışmalarda Yer Alan Bilgiler | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde | ||
SUDER Yöneticileri ve Yönetim Kurulu Üyeleri Bilgileri | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde | ||
- PERSONEL UNVAN, BİRİM VE GÖREV TANIMLARI TABLOSU
Kişisel veri saklama ve imha süreçlerine katılan SUDER personelinin unvan, birim ve görev tanımları aşağıdaki tabloda gösterildiği şekildedir:
Unvan | Birim | Görev Tanımı |
İnsan Kaynakları Müdürü | İnsan Kaynakları Departmanı | Departman bünyesinde Politika’nın uygulanmasını temin etmek |
Mali İşler Müdürü | Mali İşler Departmanı | Departman bünyesinde Politika’nın uygulanmasını temin etmek |
Bilgi Teknolojileri Müdürü | Bilgi Teknolojileri Departmanı | Departman bünyesinde Politika’nın uygulanmasını temin etmek ve periyodik imha süreleri kapsamında SUDER sistemlerinde gerekli imha faaliyetlerini gerçekleştirmek |
- GÜNCELLEME
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.
Politika Güncelleme Tarihi | Değişiklikler |
F. KVK HÜKMÜ
MADDE X: VERİ KORUMA HÜKMÜ Taraflar, birbirleri tarafından aktarılan bilgilerden gerçek kişilere ilişkin her türlü bilginin, tüzel kişilere ilişkin olmakla birlikte gerçek kişilere ilişkin bilgileri içeren her türlü bilginin kişisel veri olduğunu, bu bilgilerin 6698 Sayılı “Kişisel Verilerin Korunması Kanunu’na” uygun olarak ve bu sözleşmedeki şartlarla işleneceğini kabul eder.
Taraflar; birbirlerinin aktardığı kişisel verileri, iş bu Sözleşme’ye ilişkin hizmet kapsamında, Sözleşme amacına uygun, işlendiği amaçla bağlantılı ve sınırlı olarak işlemeyi, bu Sözleşme kapsamındaki hizmetin görülmesi için gerekli olan süre sonuna kadar muhafaza etmeyi, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silmeyi, yok etmeyi veya anonim hâle getirmeyi kabul, beyan ve taahhüt eder. Taraflar, birbirlerinin aktarmış olduğu kişisel verileri, hiçbir şekilde gerek yurt içindeki gerekse yurt dışındaki üçüncü kişilere ya da kurumlara aktarmamayı, kişisel verilere hukuka aykırı olarak erişilmesini ve/veya kişisel verilerin hukuka aykırı olarak işlenmesini önlemeyi, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeyi, her türlü teknik ve idari tedbirleri almayı, 6698 Sayılı “Kişisel Verilerin Korunması Kanunu” gereğince çıkarılacak tüm alt düzenlemelere uymayı ve gerekli olması halinde iş bu Sözleşme kapsamındaki işlemlerini uyumlu hale getirmeyi kabul, beyan ve taahhüt eder.
Taraflar, kendisinin ve/veya personelinin işbu Sözleşme kapsamında kendisine aktarılan kişisel verilerin herhangi bir üçüncü kişiye açıklanması, aktarılması halinde ya da üçüncü bir gerçek ya da tüzel kişinin bu Sözleşme kapsamındaki bilgilere herhangi bir şekilde ulaşması halinde, diğer Taraf’ın Sözleşmeyi tek yanlı olarak feshedebileceğini ve ihlale uğramış tarafın doğmuş ve doğacak tüm zararını tazmin etmekle yükümlü olacağını kabul, beyan ve taahhüt eder.