Sepet
Sepetin şu anda boş.
Please press for continue with your region

KİŞİSEL VERİLERİN İŞLENMESİNE DAİR BİLGİLENDİRME

 

www.orderact.com adresinde faaliyet sürdüren PIA Giyim, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, üyelere ilişkin kişisel veriler bakımından “veri sorumlusu” sıfatına sahiptir. KVKK uyarınca üyelerin “Pia Giyim” tarafından gerçekleştirilen kişisel veri işleme faaliyetleri hakkında bilgilendirilmesi amacıyla işbu metin hazırlanmıştır.

İşlenen Kişisel Veriler:

Üyelere ait; Kimlik Bilgisi (  ad-soyad, doğum yeri, doğum tarihi, yaş, cinsiyet, T.C. Kimlik numarası, sosyal medya hesap bilgileri vb), İletişim Bilgisi (e-mail adresi, telefon numarası, cep telefonu numarası, adres, fatura adresi, fatura bilgileri), Üyeler İşlem Bilgileri (talep ve talimatlar, satın aldığı ürün/ abonelik bilgileri vb), Şirketimiz ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler (örn. kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren Internet sitesi giriş şifre ve parola gibi bilgiler), Şirketimizin ticari, teknik ve idari risklerini yönetebilmek için işlenen kişisel veriler (örn. IP adresi, Mac ID vb. kayıtlar) ve ödemeye ilişkin finansal bilgiler kişisel veri kapsamında işlenmektedir.

 

Kişisel Verilerin İşlenme Sebebi:

 

PIA Giyim tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, PIA Giyim tarafından sunulan ürünlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, PIA Giyim’in ticari ve/veya iş stratejilerinin planlanması ve icrası PIA Giyim’in ve Order Act ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temini, finans ve muhasebe işlerinin ve hukuk işlerinin takibi, insan kaynakları süreçlerini yürütülmesi, Kurum ve üyeler güvenliğini sağlanması, istatistiksel çalışmalar, imzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak, Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak, yasal raporlamalar yapmak, ileride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü de dahil olmak üzere KVKK’un 5. ve 6. Maddeleri çerçevesinde işlenmektedir.

 

İşlenen Kişisel Verilerin Aktarımı :

 

PIA Giyim kişisel verileri işleme sebebiyle sınırlı olmak üzere ve amacı gerçekleştirmeye yeterli bilgileri KVKK’un 8. ve 9. Maddeleri çerçevesinde Şirket yetkilileri, iş ortaklarımız, tedarikçilerimiz, kanunen yetkili kamu kurum ve kuruluşları ile özel kurumlar ile paylaşılabilecektir.

Yukarıda belirtilen hukuki sebeplerle işlenen/toplanan kişisel veriler KVKK’un 5. ve 6. Maddeleri uyarınca, üyelere yönelik kampanyaların oluşturulması, Üyeler hareketlerinin takip edilerek kullanıcı deneyimini arttırıcı faaliyetlerin yürütülmesi, PIA Giyim’e ait internet sitesi ile mobil uygulamanın işleyişinin geliştirilmesi ve Üyeler ihtiyaçlarına göre kişiselleştirilmesi, doğrudan ve doğrudan olmayan pazarlama, kişiye özel pazarlama ve yeniden pazarlama faaliyetlerinin yürütülmesi, kişiye özel segmentasyon, hedefleme, analiz ve şirket içi raporlama faaliyetlerinin yürütülmesi, pazar araştırmaları, üyeler memnuniyeti aktivitelerinin planlanması ve icrası, PIA Giyim’in sunduğu ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması ile üyeler ilişkileri yönetimi süreçlerinin planlanması ve icrası amaçları da dahil olmak üzere genel anlamda PIA Giyim’in ürün ve/veya hizmetlerinin satış ve pazarlama süreçlerinin planlanması ve icrası, PIA Giyim’in sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve icrası kapsamında Üyelerin vereceği onayı doğrultusunda  işlenebilmekte ve aktarılabilmektedir.

 

Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

Kişisel veriler, üyelerden elektronik ortamda ve yukarıda sayılan sebeplerle toplanmaktadır. İlgili mevzuatın ilgili kişiden açık rıza alınmaksızın işlenmesine (aktarımlar dahil) imkan verdiği haller dışındaki her türlü kişisel veri işlemleri için izin alındığını ve izinsiz işlenme yapılmadığını belirtmek isteriz.

 

Kişisel Verilerin Saklanma Süresi

KVKK kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Şirketimiz, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimiz, bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok etmektedir. Kanun kapsamında anonimleştirme “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış olup Şirketimiz anonimleştirme faaliyetleri yürürlükteki mevzuata uygun bir şekilde gerçekleştirilmektedir.

Veri Sahibinin Hakları ve Hakların Kullanımı

KVKK 11. Madde uyarınca; veri sahibi, veri sorumlusuna başvurarak kendisiyle ilgili; (a) Kişisel veri işlenip işlenmediğini öğrenme, (b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, (e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f) verilerde düzeltme veya silinme/yok edilme halinde, kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini isteme, (g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, (ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

 

Veri sahibi, KVKK’un uygulanmasıyla ilgili taleplerini yazılı olarak şahsen veya noter kanalıyla veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen diğer yöntemlerle Şirketimize iletmelidir. Şirketimiz başvuruda yer alan talepleri, talebin ulaştığı tarihten itibaren ve talebin niteliğine göre en kısa sürede, en geç otuz gün içinde sonuçlandırılacak ve yazılı olarak veya elektronik ortamda Veri sahibine bildirilecektir. PIA Giyim’nın taleplere ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından belirlenen (varsa) ücret tarifesi üzerinden ücret talep etme hakkı saklıdır.

Başvuru Adresleri:

Merkez mah. Silahşör cad. Bomonti plaza no:38 kat:4

Şişli/İstanbul

e-posta: info@orderact.com

İnternet Adresi: www.orderact.com

PİA GİYİM SANAYİ VE DIŞ TİCARET ANONİM ŞİRKETİ




PİA GİYİM

KİŞİSEL VERİ SAKLAMA ve İMHA 

PROSEDÜRÜ

 

 

 

A.     AMAÇ, KAPSAM

 

PİA çalışanlar, çalışan adayları, müşteri ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler ve diğer üçüncü kişilere ait kişisel veriler işlenmektedir.

 

PİA tarafından yasaya uygun olarak işlenen verilerin saklanması ve imhası süreçlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uygun yapılabilmesi amacıyla,  rehber niteliğinde bu prosedür hazırlanmıştır.

 

PİA Kişisel Veri Saklama ve İmha Politikası (PİA KVK Politikası) ’na istinaden hazırlanan işbu prosedüre PİA’nın tüm departmanları uymakla ve uyulmasını gözetmekle sorumludur.

 

PİA KVK Politikası’na uygun hazırlanan bu prosedür, standart ve eğitim faaliyetlerinin PİA bünyesinde uygulanmasında, İnsan Kaynakları tavsiye kaynağı ve rehber olacaktır. PİA GİYİM genelindeki tüm personel PİA prosedüre uymak ve risklerin / tehlikenin önlenmesinde İnsan Kaynakları ile iş birliği yapmakla yükümlüdürler.

 

B.TANIMLAR

Mevzuatta, PİA KVK Politikası’nda ve prosedürde kullanılan terimler aşağıda yer almaktadır.

Ø Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

Ø Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Ø Biyometrik Veri: Kişinin belirlenmesini veya doğrulanmasını sağlayan ve kişiye ait parmak izi, avuç içi izi, yüz, iris, retina, kulak, ses, imza, yürüyüş biçimi, el damarı, vücut kokusu veya DNA bilgisi şeklinde bir veya daha fazla fiziksel veya davranış karakterleri.

Ø Kişisel Veri Sahibi /İlgili Kişi: Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler

Ø Açık Rıza : Belirli bir konuya ilişkin, önceden yapılmış bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Ø Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Ø  Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Ø  İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Ø  Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Ø  Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Ø  Kurul   : Kişisel Verileri Koruma Kurulu 

 

 

C.KİŞİSEL VERİNİN KORUNMASINDA PİA MODA’NIN BENİMSEDİĞİ TEMEL İLKELER

PİA, hukuk düzeninin toplumsal hayatın temel taşlarından biri olduğu gerçeği nedeniyle, kurulduğu tarihten bu yana genel hukuk kurallarına uymakta ve kişilerin hak ve menfaatini gözetmek için azami gayret göstermektedir.

PİA faaliyetleri kapsamında veri işleme, koruma veya iletme faaliyetine dahil olsun yahut olmasın tüm çalışanlar aşağıda sıralanan temel ilkeleri benimsenmeli, bu ilkelere uygun hareket etmelidir.

Kişisel Veriler insan hakları kapsamında üst düzeyde korunması gereken bilgilerdir. Kişisel veri, kişiye ait ve kişinin belirlenesini sağlayan her türlü bilgiyi içermektedir ve bu sebeple korunması veri sahibi yönünden üstün yarar teşkil etmektedir. Bu sebeple veri toplama, işleme, aktarma, saklama ve yok etme aşamalarında özen, dikkat ve gerek eğitimlerde ve gerekse bu prosedürde verilen bilgilere azami uyulması gereklidir.

 

D. PROSEDÜRÜN UYGULANMASI VE SORUMLULUKLAR

 

PİA’nın tüm birimleri ve çalışanları, sorumlu birimlerce prosedürde belirtilen teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımları şu şekildedir:

 

·         Şirket Müdürü              : Çalışanların politikaya ve prosedüre uygun hareket etmesinden sorumludur.

·         Bilgi işlem uzmanı         : Politika’nın ve prosedürün uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

·         Diğer birim personelleri: Görevlerine uygun olarak Politikanın ve prosedürün yürütülmesinden sorumludur

 

E.   SAKLAMA ORTAMLARI

Kişisel veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır:

a.   Elektronik olmayan ortamlar

1.               Kağıt

2.                Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

3.               Yazılı, basılı, görsel ortamlar

b.   Elektronik ortamlar

1.   Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

2.   Yazılımlar (ofis yazılımları, Nebim, VCloud.)

3.   Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

4.   Kişisel bilgisayarlar (Masaüstü, dizüstü)

5.   Mobil cihazlar (telefon, tablet vb.)

6.   Optik diskler (CD, DVD vb.)

7.   Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

8.   Yazıcı, tarayıcı, fotokopi makinesi

 

F.    KİŞİSEL VERİLERİN SAKLAMASINA İLİŞKİN ESASLAR

PİA tarafından; çalışanlar, çalışan adayları, müşteriler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.

a.   Saklamayı Gerektiren İşleme Amaçları: PİA, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır. Personel bu amaçlar için kullanılmayacak verileri işlemeyecek ve saklamayacaktır.

 

1.       İnsan kaynakları süreçlerini yürütmek.

2.       Kurumsal iletişimi sağlamak.

3.       Kurum güvenliğini sağlamak,

4.       İstatistiksel çalışmalar yapabilmek.

5.       İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek

6.       Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

7.       Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

8.       Yasal raporlamalar yapmak.

9.       İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

 

b.       Kişisel Verilerin Güvenliğinin Sağlanması

 

PİA personeli, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdır. Bu kapsamda ;

 

1.     İdari Tedbirler şunlardır:

 

·     Kişisel veri işlemeye başlamadan önce personel tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmelidir.

·     Personel Kişisel Veri İşleme, Koruma prosedürüne uygun veri işleme ve aktarımı yapmalıdır.

·     Personel tespit ettiği idari ve/veya teknik güvenlik açıklarını ihlallerini derhal Şirket Müdür’e yahut İK’ya bildirmelidir.

 

2.     Teknik Tedbirler: Personel aşağıda belirtilen güvenlik kurallarına uygulayacaktır.

Posta Kullanma Kuralları

  1. Çalışanlara tanımlanan adisoyadi@piatextil.com e-posta hesabı kesinlikle iş yeri işleri ile ilgili haberleşmede kullanılmalıdır.
  2. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  3. Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlerekarşı korunmalıdır.
  4. Kullanıcılar, iş yeri tarafından kendilerine verilen e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler.
  5. İş yeriden ayrılan personel kurumsal e-posta sistemini kullanamaz. E-posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirme, emekli olma, işten ayrılma sebepleriyle iş yerinde ki değişikliğinin yetkililer tarafından İK birimine en kısa zamanda bildirilmesi gerekmektedir.

Şifre Kullanma Kuralları

  1. Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her üç ayda birdir.
  2. Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
  3. Şifreler başkası ile paylaşılmamalı, kağıtlara yada elektronik ortamlara yazılmamalıdır.
  4. Şifrelemede, küçük ve büyük karakterlere (örnek, a-z, A-Z), hem digit hemde noktalama karakterleri ve ayrıca harflere (örnek, 0-9, !’^+%&/()=?_;*) sahip olmalıdır.
  5. En az altı adet alfa nümerik karaktere sahiptir.
  6. Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır.
  7. Aile isimleri kullanılmamalıdır.
  8. Herhangi bir kişiye telefonda şifre verilmemelidir.
  9. E-posta mesajlarında şifre yazılmamalıdır.
  10. Şifreler aile bireyleriyle paylaşılmamalıdır.
  11. Şifreler, işten uzakta olduğunuz zamanlarda iş arkadaşlarına verilmemelidir.
  12. Bir kullanıcı adı ve şifresi birden çok bilgisayarda kullanılmamalıdır.
  13. Şifre kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir. Güvenlik taraması sonucunda şifreler tahmin edilirse veya kırılırsa kullanıcıya şifresini değiştirmesi talep edilecektir.

Antivirüs Politikası

  1. Bütün bilgisayarda iş yerinin lisanslı antivirüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır.
  2. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistemden kaldıramaz ve başka bir antivirüs yazılımını sisteme kuramaz.

İnternet Kullanım Politikası

  1. Hiçbir kullanıcı peer-topeer bağlantı yoluyla internetteki servisleri kullanamayacaktır. (Örneğin;KaZaA, iMesh, eDonkey, Gnutella, Napster, Aimster, Madster, FastTrak, Audiogalaxy, MFTP, eMule,Overnet, NeoModus, Direct Connect, Asquisition, BearShare, Gnucleus, GTK- Gnutella, LimeWire,Mactella, Morpheus, Phex, Qtella, Shareaza, XoLoX, OpenNap, WinMX. vb)
  2. Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde Messenger, whatsapp vb. mesajlaşma ve sohbet programları gibi chat programlarının kullanılmaması, bu chat programları üzerinden dosya alışverişinde bulunulmamalıdır.
  3. İnternet üzerinden İş yeri tarafından onaylanmamış yazılımlar indirilemez ve İş yeri sistemleri üzerine bu yazılımlar kurulamaz, kullanılamaz.

Genel Kullanım Politikası

  1. Bilgisayar başından uzun süreli uzak kalınması durumunda bilgisayar kilitlenmeli ve 3.şahısların bilgilere erişimi engellenmelidir.
  2. Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. İşletim sistemi şifreleri aktif hale getirilmelidir.
  3. Şirkette domain (çalışma alanı) yapısı varsa mutlaka login olunmalıdır. Bu durumda, domain’ e bağlı olmayan bilgisayarların yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
  4. Laptop bilgisayarın çalınması/kaybolması durumunda en kısa sürede İnsan Kaynakları birimine haber verilmelidir.
  5. Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek, kuruma veya kişiye yönelik saldırılardan (örneğin; elektronik bankacılık, hakaret-siyaset içerikli mail, kullanıcı bilgileri vs.) sistemin sahibi sorumludur.
  6. Ağ güvenliğini (örneğin; bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ trafiğini bozacak (packetsniffing, packetspoofing, denial of service vb.) eylemlere girişmemelidir.
  7. Port veya ağ taraması yapılmamalıdır.
  8. Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. DoS saldırısı, port-network taraması vb. yapılmamalıdır.
  9. Şirket bilgileri şirket dışından üçüncü kişilere iletilmemelidir.
  10. Kullanıcıların kişisel bilgisayarları üzerine İK biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
  11. Cihaz, yazılım ve veri izinsiz olarak İş yeri dışına çıkarılmamalıdır.
  12. Şirketin kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (Dergi CD’leri veya internetten indirilen programlar vs.) kurmak ve kullanmak yasaktır.
  13. Yetkisi olmayan personelin, şirkette gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
  14. Kurumsal veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, iş yerindeki bu konudaki ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilemez.
  15. Personel, kendilerine tahsis edilen ve İş yeri çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin güvenliği ile sorumludur.
  16. İK birimi tarafından yetkili kişiler kullanıcıya haber vermeksizin yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel kişisel bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez.
  17. Şirkette İK biriminin bilgisi olmadan Ağ Sisteminde (web Hosting, e-posta servisi vb.) sunucu niteliğinde bilgisayar ve cihaz bulundurulmamalıdır.
  18. Birimlerde sorumlu İnsan Kaynakları personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarlarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.
  19. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisansız yazılımı bilgisayarında barından personel ilgili kanunlar karşısında kendisi sorumludur.
  20. Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.
  21. Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle İK personeline haber verilmelidir.

 

c.       Kişisel Verilerin Saklama Süreleri  

Kişisel verilerin süreç bazında saklama süreleri aşağıdaki gibidir. Bu sürelerinin dolmasını müteakip ilk periyodik imha döneminde imha edilirler.

 

Sözleşmeler

Sözleşmenin sona ermesini takiben 10 yıl

Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar

10 yıl

 

Ticari Elektronik Mail Onay Kayıtları

Onayın geri alındığı tarihten itibaren 1 Yıl

 

 

Tedarikçilere İlişkin Kişisel Veriler

Hukuki ilişki son erdikten sonra 10 Yıl

SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.)

İş İlişkisinin sona ermesinden itibaren 10 Yıl

İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler

İş İlişkisinin sona ermesinden itibaren 10 Yıl

İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.)

İş İlişkisinin sona ermesinden itibaren 5 Yıl

İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.)

İş İlişkisinin sona ermesinden itibaren 15 Yıl

İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması

İş İlişkisinin sona ermesinden itibaren 10 Yıl

 

İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.)

3AY

Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları

İş İlişkisinin sona ermesinden itibaren 10 Yıl

 

Vergisel Kayıtlara İlişkin Kişisel Veriler

5 Yıl

Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler

5 Yıl

 

Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler

10 Yıl

CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları

3ay

Seminer/ Toplantı Katılımcıların Kaydı

Etkinliğin Sona ermesinden İtibaren 2 Yıl

 

Kurum İletişim Faaliyetleri

Faaliyetin Sona Ermesinden İtibaren 10 Yıl

İnsan Kaynakları Süreçleri

Faaliyetin Sona Ermesinden İtibaren 10 Yıl

Kişisel Verileri Koruma Kurulu İşlemleri

10 yıl

 

 

G.  KİŞİSEL VERİLERİN İMHASI

a.       İmhayı Gerektiren Sebepler: Kişisel veriler aşağıdaki durumlarda PİA tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun PİA tarafından kabul edilmesi,
  • PİA’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,

 

b.       İmha Teknikleri: İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, PİA tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir

 

b.a. Kişisel Verilerin Silinmesi

·   Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi (İK) tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

·   Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi (İK) hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

·   Fiziksel Ortamda Yer Alan Kişisel Veriler: Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

·   Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi (İK) tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine (İK) verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

b.b. Kişisel Verilerin Yok Edilmesi

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 

  • Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

b.c. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel veriler, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

 

c.    İmha Süreci ve Süreleri

c.a. PİA’da saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi İnsan Kaynakları tarafından yerine getirilir.

c.b. Kurul tarafından aksine bir karar alınmadıkça, PİA’da saklama süreleri sona eren kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçilir. İlgili kişinin talebi ile kişisel verilerin imhası halinde, uygun yöntemi gerekçesini açıklanmak suretiyle, uygun yöntem seçilir ve uygulanır.

c.c. Periyodik imha süresi: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesi gereğince PİA’da her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilir.

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

c.d. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

c.e. Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri: İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden PİA’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; en geç otuz gün içinde, talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, ilgili kişinin talebi üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği kapsamında gerekli işlemlerin yapılmasını temin edilir.

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa;  en geç otuz gün içinde, gerekçesi açıklanarak reddedilir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir

 

 

F- DİSİPLİN HÜKÜMLERİ

İşbu prosedür hükümleri iş sözleşmesinin eki mahiyetinde olup,  prosedür kurallarına uymayan personel hakkında, iş sözleşmesinin eki olan ve personel tarafından imzalanarak teslim alınan “ İK YÖNERGESİ “ disiplin uygulamaları ile sözleşmenin feshine ilişkin hükümleri uygulanır.  

 

G- GÜNCELLENME

PİA Kişisel Veri İşleme, Koruma ve Gizlilik Politikası (PİA KVK Politikası) ’na istinaden hazırlanan ve Şirket Müdürü tarafından onaylandığı andan itibaren yürürlüğe giren işbu prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Şirket Müdürü onayıyla işbu Prosedür içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Prosedürde yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

 


PİA GİYİM

KİŞİSEL VERİ SAKLAMA - İMHA

POLİTİKASI


 

İÇİNDEKİLER

                                                                                                          Sayfa numarası

A. AMAÇ VE KAPSAM.......................................................................................... 3

 

B. TANIMLAR ........................................................................................................3

 

C.   POLİTİKANIN UYGULANMASI VE SORUMLULUKLAR....................................... 4

 

D. SAKLAMA ORTAMLARI .................................................................................... 4

a.       Elektronik olmayan ortamlar……………………………………………………………..….4

b.       Elektronik ortamlar……………………………………………………………………………….4

 

E.KİŞİSEL VERİLERİN SAKLAMASINA İLİŞKİN ESASLAR…………………………………………5

a.       Saklamayı Gerekli Kılan Hukuki sebepler………………..………………………………5

b.        Saklamayı Gerektiren İşleme Amaçları…………………………………………………..5

c.       Kişisel Verilerin Güvenliğinin Sağlanması………………………………………………..5

1.   Alınan İdari Tedbirler ………………………………………………………………………6

2.   Alınan Teknik Tedbirler……………………………………………………………………6

d.       Kişisel Verilerin Saklama Süreleri…………………………………………………………...8

 

F.   KİŞİSEL VERİLERİN İMHASI…………………………………………………………………………..9

a.       İmhayı Gerektiren Sebepler…………………………………………………………………9

b.       İmha Teknikleri…………………………………………………………………………………….10

b.a. Kişisel Verilerin Silinmesi……………………………………………………………….10

b.b. Kişisel Verilerin Yok Edilmesi………………………………………………………….11

b.c. Kişisel Verilerin Anonim Hale Getirilmesi………………………….…………….11

c.       İmha Süreci ve Süreleri………………………………………………………………………….11

 

G- POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI ………………………………………….12

H- POLİTİKA’NIN GÜNCELLENME ………………………………………………………………….….12

 

 

 

  

 

 

A.           AMAÇ VE KAPSAM

 

PİA GİYİM Kişisel Verilerin Saklama-İmha Politikası (“PİA GİYİM KVK Politikası”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

 

PİA GİYİM, çalışanlar, çalışan adayları, müşteriler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup PİA GİYİM’insahip olduğu ya da PİA GİYİM’nce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

B.          TANIMLAR

Mevzuatta ve aynı zamanda PİA GİYİM KVK Politikası’nda kullanılan terimler aşağıda yer almaktadır.

     I.    Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

   II.     Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

 III.     Kişisel Veri Sahibi/ İlgili Kişi : Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.

 IV.    Açık Rıza : Belirli bir konuya ilişkin, önceden yapılmış bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

   V.     Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

 VI.    Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

VII.    İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

VIII.    Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

 IX.    Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

   X.    Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

 XI.    KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

XII.    KVK Kurulu : Kişisel Verileri Koruma Kurulu.

XIII.    KVK Kurumu : Kişisel Verileri Koruma Kurumu.

 

 

C.               POLİTİKANIN UYGULANMASI VE SORUMLULUKLAR

 

PİA GİYİM’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımları şu şekildedir:

 

·         Şirket Müdürü  : Çalışanların politikaya uygun hareket etmesinden sorumludur.

·         İK Sorumlusu     : Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

·         Diğer birim personelleri: Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.

 

D.          SAKLAMA ORTAMLARI

Kişisel veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır:

a.   Elektronik olmayan ortamlar

1.                Kağıt

2.                Manuel veri kayıt sistemleri (anket formları)

3.               Yazılı, basılı, görsel ortamlar

b.   Elektronik ortamlar

1.   Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

2.   Yazılımlar (ofis yazılımları, Nebim, VCloud.)

3.   Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

4.   Kişisel bilgisayarlar (Masaüstü, dizüstü)

5.   Mobil cihazlar (telefon, tablet vb.)

6.   Optik diskler (CD, DVD vb.)

7.   Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

8.   Yazıcı, tarayıcı, fotokopi makinesi

 

E.   KİŞİSEL VERİLERİN SAKLAMASINA İLİŞKİN ESASLAR

PİA GİYİ tarafından; çalışanlar, çalışan adayları, müşteri ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.

 

a.   Saklamayı Gerekli Kılan Hukuki sebepler: PİA GİYİM tarafından kişisel veriler;

1.     6102 sayılı Türk Ticaret Kanunu

2.     6098 sayılı Türk Borçlar Kanunu,

3.     5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

4.     6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

5.     4857 sayılı İş Kanunu,

6.     6698 sayılı Kişisel Verilerin Korunması Kanunu,

7.     Vergi mevzuatı ile bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

b.      Saklamayı Gerektiren İşleme Amaçları: PİA GİYİM, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.

 

1.       İnsan kaynakları süreçlerini yürütmek.

2.       Kurumsal iletişimi sağlamak.

3.       Kurum güvenliğini sağlamak,

4.       İstatistiksel çalışmalar yapabilmek.

5.       İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek

6.       Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

7.       Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

8.       Yasal raporlamalar yapmak.

9.       İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

 

c.      Kişisel Verilerin Güvenliğinin Sağlanması

 

PİA GİYİM, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almaktadır. Bu kapsamda ;

 

1.     Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler şunlardır:

 

·     Kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitmekte ve bilinçlendirmektedir.

·     Kurum tarafından yürütülen faaliyetlere ilişkin çalışanların sözleşmelerine gizlilik şartı eklenmiştir.

·     Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü İK yönetmeliğinde hazırlanmış ve personele sözleşmelerinin ekinde olarak teslim edilmiştir.

·     Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

·     Kişisel veri işleme envanteri hazırlanmıştır.

·     Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmiştir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşlarında bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmaktadır.

·     Kişisel veri içeren fiziksel ortamların güvenliği sağlanmaktadır.

·     Kurum içi denetim yapılmaktadır.

 

2.           Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan Teknik Tedbirler şunlardır:

·       Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenmekte ve iyileştirilmektedir.

·       Teknik konularda, uzman personel istihdam edilmektedir.

·       Personeller tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmaktadır.

·       Sunucu bilgisayar ve veri depolama sistemlerinin teknik yönetim faaliyetlerinin yerine getirilmesini sağlamak, bu kapsamda;

a.   PİA GİYİM’nın teknik altyapısı dahilinde kullanılan sunucu sistem donanımlarının ve bunların üstünde servis veren MS Windows işletim sistemlerinin, kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon fonksiyonlarının yerine getirilmesi,

b.   Sunucu kullanıcı aktivasyon/de-aktivasyon, konfigürasyon ve yetkilendirme çalışmalarının yerine getirilmesi,

c.    Sunucular üstünde sanallaştırma ve sanallaştırma performans optimizasyonu çalışmalarının yerine getirilmesi,

d.   Sunuculara entegre olarak çalışan veya SAN/NAS yapısında olan depolama sistemlerinin günlük monitör edilme işlemlerinin yerine getirilmesi, doluluk/kapasite planlarının yapılması, yedekleme/yedekten geri dönme işlemlerinin yerine getirilmesi,

e.   Sunucu ve depolama sistemlerinin yazılım ve donanımlarının sistem entegrasyonu, test, kalite kontrolü̈ çalışmalarının yerine getirilmesi, devreye alınan donanım, işletim sistemi veya uygulama modüllerinin sağlıklı olarak hizmet verdiğinin sürekli kontrol edilmesi, düzeltme/geliştirme/iyileştirme/verimlilik artırma gibi bakım ve işletim faaliyetlerinin yerine getirilmesi,

f.    Sunucu sistemlerinin ve bu sistemler üzerinde çalışan tüm servislerin günlük monitör edilme işlemlerinin yerine getirilmesi, tüm sunucu donanım ve servislerinin çalışır durumda olduğunun kontrolü̈, normal-dışı kapanan sunucu veya servisler için koruyucu ve düzeltici önlemlerin alınması, sistem log'larının konfigürasyon ve kontrol çalışmalarının yerine getirilmesi,

g.   Sunucu donanımları, işletim sistemleri, depolama sistemleri ve uygulama yazılımlarıyla ilgili, temel seviyedeki son kullanıcı kullanım kılavuzlarının hazırlanması ve güncellenmesi, son kullanıcı eğitimlerinin verilmesi,

h.   Sunucu sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması,

i.     Sunucu donanımları ve işletim sistemleri alanındaki yeni teknolojilerin takip edilmesi ve kurumun altyapısına uyarlanması işlemlerini yürütülmektedir.

·       E-posta sistemleri, Web Sunucuları, SMTP, POP, IMAP, LDAP, FTP, SNMP, DNS, gibi temel uygulama ve protokollerin teknik yönetim faaliyetlerinin yerine getirmek, bu kapsamda;

a.   PİA GİYİM’in teknik altyapısı dahilinde kullanılan e-posta sunucu sisteminin kullanıcı aktivasyon/de-aktivasyon/yönlendirme, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim, operasyon ve dokümantasyon fonksiyonlarının yerine getirilmesi,

b.   E-posta sistemlerinin altyapısında hizmet veren SMTP, POP, IMAP protokollerinin yönetim/konfigürasyon ve dokümantasyon fonksiyonlarının yerine getirilmesi,

c.    Sistem kullanıcılarının yönetimi ve LDAP protokolünün konfigürasyonu/yönetimi/ yedeklenmesi/yetkilendirilmesi çalışmalarının yerine getirilmesi,

d.   FTP alanı açma, DNS domain/sub-domain tanımlama, vb. gibi operasyonel çalışmaların yerine getirilmesi,

e.   E-posta, LDAP, FTP, DNS, vb. tanımlaması gerektiren son-kullanıcı taleplerinin, PİA GİYİM’in ilgili prosedür/politika ve standartlara uygun olarak yerine getirilmesinin sağlanması; standart dışı, LDAP, E-mail, sub-domain tanımlamalarının ve veri kirliliğinin önüne geçilmesi için gerekli tedbirlerin alınması ve uygulanması,

f.    Uygulama sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması,

g.   E-posta sunucuları ve uygulamaları alanındaki yeni teknolojilerin takip edilmesi ve kurumun altyapısına uyarlanması işlerini yürütülmektedir.

·       Veritabanı yönetim sistemlerinin, teknik yönetim faaliyetlerini yerine getirmek, bu kapsamda;

a.   PİA GİYİM’in teknik altyapısı dahilinde kullanılan Oracle/MS-SQL/MYSQL, vb. tüm veritabanı yönetim sistemlerinin kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon fonksiyonlarının yerine getirilmesi,

b.   Veritabanı SQL scripting çalışmalarının yerine getirilmesi,

c.    Veritabanı kullanıcı aktivasyon/de-aktivasyon, konfigürasyon ve yetkilendirme çalışmalarının yerine getirilmesi,

d.   PİA GİYİM dahilindeki tüm sistemlerin veri yapılarının birbirleriyle entegrasyonu, test, kalite kontrolü̈ çalışmalarının yerine getirilmesi, veri bütünlüğünün sağlanması. Veri duplikasyonunun önüne geçecek önlemlerin alınması, veri altyapısının sağlıklı olarak hizmet verdiğinin sürekli kontrol edilmesi, düzeltme/geliştirme/iyileştirme/verimlilik artırma gibi bakım ve işletim faaliyetlerinin yerine getirilmesi,

e.   Veritabanı yönetim sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması işlemlerini yürütülmektedir.

 

d.     Kişisel Verilerin Saklama Süreleri  

 

Kişisel verilerin süreç bazında saklama süreleri aşağıdaki gibidir:

 

Sözleşmeler

Sözleşmenin sona ermesini takiben 10 yıl

Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar

10 yıl

 

Ticari Elektronik Mail Onay Kayıtları

Onayın geri alındığı tarihten

 itibaren 1 Yıl

 

 

 

 

Tedarikçilere İlişkin Kişisel Veriler

Hukuki ilişki son erdikten sonra 10 Yıl

SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.)

İş İlişkisinin sona ermesinden itibaren 10 Yıl

İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler

İş İlişkisinin sona ermesinden itibaren 10 Yıl

İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.)

İş İlişkisinin sona ermesinden itibaren 5 Yıl

İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.)

İş İlişkisinin sona ermesinden itibaren 15 Yıl

İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması

İş İlişkisinin sona ermesinden itibaren 10 Yıl

 

İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.)

3 ay

Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları

İş İlişkisinin sona ermesinden itibaren 10 Yıl

 

Vergisel Kayıtlara İlişkin Kişisel Veriler

5 Yıl

Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler

5 Yıl

 

Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler

10 Yıl

CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları

3 Ay

Seminer/ Toplantı Katılımcıların Kaydı

Etkinliğin Sona ermesinden İtibaren 2 Yıl

 

Kurum İletişim Faaliyetleri

Faaliyetin Sona Ermesinden İtibaren 10 Yıl

İnsan Kaynakları Süreçleri

Faaliyetin Sona Ermesinden İtibaren 10 Yıl

Kişisel Verileri Koruma Kurulu İşlemleri

10 yıl

 

 

 

F.   KİŞİSEL VERİLERİN İMHASI

a.       İmhayı Gerektiren Sebepler: Kişisel veriler aşağıdaki durumlarda PİA GİYİM tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,

 

b.       İmha Teknikleri: İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, PİA GİYİM tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir

 

b.a. Kişisel Verilerin Silinmesi

·   Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

·   Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

·   Fiziksel Ortamda Yer Alan Kişisel Veriler: Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

·   Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

 

b.b. Kişisel Verilerin Yok Edilmesi

·       Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 

·       Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

b.c. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel veriler, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

 

c.    İmha Süreci ve Süreleri

 

c.a. PİA GİYİM’nde saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi IT Koordinatörlüğü tarafından yerine getirilir.

c.b. Kurul tarafından aksine bir karar alınmadıkça, PİA GİYİM’nde saklama süreleri sona eren kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçilir. İlgili kişinin talebi ile kişisel verilerin imhası halinde  halinde, uygun yöntemi gerekçesini açıklanmak suretiyle, uygun yöntem seçilir ve uygulanır.

c.c. Periyodik imha süresi: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesi gereğince PİA GİYİM’nde  her yıl Nisan ve Ekim aylarında periyodik imha işlemi gerçekleştirilir.

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

c.d. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

c.e. Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri: İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden PİA GİYİM’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; en geç otuz gün içinde, talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, ilgili kişinin talebi üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği kapsamında gerekli işlemlerin yapılması temin edilir.

§  Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa;  en geç otuz gün içinde, gerekçesi açıklanarak reddedilir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir

 

G- POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika dokümanı, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da VERİ SORUMLUSU İRTİBAT KİŞİSİ TARAFINDAN dosyasında saklanır.

 

H- POLİTİKA’NIN GÜNCELLENME

Şirket Müdürü tarafından onaylandığı andan itibaren yürürlüğe girer. Bu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Şirket Müdürü onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir. İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları ilgili yönetmeliklere eklenmek şeklinde düzenlenecektir. PİA GİYİM KVK Politikası internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.