KİŞİSEL VERİLERİN İŞLENMESİNE DAİR
BİLGİLENDİRME
www.orderact.com adresinde faaliyet sürdüren PIA Giyim, 6698 sayılı Kişisel
Verilerin Korunması Kanunu (KVKK) kapsamında, üyelere ilişkin kişisel veriler
bakımından “veri sorumlusu” sıfatına sahiptir. KVKK uyarınca üyelerin “Pia
Giyim” tarafından gerçekleştirilen kişisel veri işleme faaliyetleri hakkında bilgilendirilmesi
amacıyla işbu metin hazırlanmıştır.
Üyelere ait; Kimlik Bilgisi ( ad-soyad, doğum yeri, doğum tarihi, yaş, cinsiyet,
T.C. Kimlik numarası, sosyal medya hesap bilgileri vb), İletişim Bilgisi
(e-mail adresi, telefon numarası, cep telefonu numarası, adres, fatura adresi,
fatura bilgileri), Üyeler İşlem Bilgileri (talep ve talimatlar, satın aldığı
ürün/ abonelik bilgileri vb), Şirketimiz ve ilgili tarafların teknik, idari,
hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler (örn.
kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve
kişinin o işlemi yapmaya yetkili olduğunu gösteren Internet sitesi giriş şifre
ve parola gibi bilgiler), Şirketimizin ticari, teknik ve idari risklerini
yönetebilmek için işlenen kişisel veriler (örn. IP adresi, Mac ID vb. kayıtlar)
ve ödemeye ilişkin finansal bilgiler kişisel veri kapsamında işlenmektedir.
Kişisel
Verilerin İşlenme Sebebi:
PIA Giyim tarafından yürütülen ticari
faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli
çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, PIA Giyim
tarafından sunulan ürünlerden ilgili kişileri faydalandırmak için gerekli
çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin
yürütülmesi, PIA Giyim’in ticari ve/veya iş stratejilerinin planlanması ve
icrası PIA Giyim’in ve Order Act ile iş ilişkisi içerisinde olan ilgili
kişilerin hukuki, teknik ve ticari iş güvenliğinin temini, finans ve muhasebe
işlerinin ve hukuk işlerinin takibi, insan kaynakları süreçlerini yürütülmesi,
Kurum ve üyeler güvenliğini sağlanması, istatistiksel çalışmalar, imzalanan
sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, Yasal
düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak, Kurum ile iş ilişkisinde bulunan
gerçek / tüzel kişilerle irtibat sağlamak, yasal raporlamalar yapmak, ileride
doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü de dahil
olmak üzere KVKK’un 5. ve 6. Maddeleri çerçevesinde işlenmektedir.
İşlenen Kişisel Verilerin
Aktarımı :
PIA
Giyim kişisel verileri işleme sebebiyle sınırlı olmak üzere ve amacı
gerçekleştirmeye yeterli bilgileri KVKK’un 8. ve 9. Maddeleri çerçevesinde Şirket
yetkilileri, iş ortaklarımız, tedarikçilerimiz, kanunen yetkili kamu kurum ve
kuruluşları ile özel kurumlar ile paylaşılabilecektir.
Yukarıda belirtilen hukuki sebeplerle işlenen/toplanan
kişisel veriler KVKK’un 5. ve 6. Maddeleri uyarınca, üyelere yönelik kampanyaların oluşturulması, Üyeler hareketlerinin takip
edilerek kullanıcı deneyimini arttırıcı faaliyetlerin yürütülmesi, PIA
Giyim’e ait internet sitesi ile mobil
uygulamanın işleyişinin geliştirilmesi ve Üyeler ihtiyaçlarına göre
kişiselleştirilmesi, doğrudan ve doğrudan olmayan pazarlama, kişiye özel
pazarlama ve yeniden pazarlama faaliyetlerinin yürütülmesi, kişiye özel
segmentasyon, hedefleme, analiz ve şirket içi raporlama faaliyetlerinin
yürütülmesi, pazar araştırmaları, üyeler memnuniyeti aktivitelerinin
planlanması ve icrası, PIA Giyim’in
sunduğu ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve
ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması
ile üyeler ilişkileri yönetimi süreçlerinin planlanması ve icrası amaçları da
dahil olmak üzere genel anlamda PIA Giyim’in ürün ve/veya hizmetlerinin satış ve pazarlama süreçlerinin planlanması
ve icrası, PIA Giyim’in sunduğu ürün
ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin
planlanması ve icrası kapsamında Üyelerin vereceği onayı doğrultusunda
işlenebilmekte ve aktarılabilmektedir.
Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi
Kişisel veriler, üyelerden elektronik
ortamda ve yukarıda sayılan sebeplerle toplanmaktadır. İlgili mevzuatın ilgili kişiden açık rıza alınmaksızın
işlenmesine (aktarımlar dahil) imkan verdiği haller dışındaki her türlü kişisel
veri işlemleri için izin alındığını ve izinsiz işlenme yapılmadığını belirtmek
isteriz.
Kişisel Verilerin Saklanma Süresi
KVKK kapsamında kişisel verilerin saklanması için herhangi
bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel
verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza edilmesi esastır. Şirketimiz, söz konusu ilkeye uygun bir
şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile
ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir
değerlendirme yapmaktadır. Bu doğrultuda Şirketimiz, asgari olarak yasal
yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı
süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimiz, bahsi geçen
sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında
ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel
verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok
etmektedir. Kanun kapsamında anonimleştirme “Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış
olup Şirketimiz anonimleştirme faaliyetleri yürürlükteki mevzuata uygun bir
şekilde gerçekleştirilmektedir.
Veri Sahibinin Hakları ve Hakların Kullanımı
KVKK 11. Madde uyarınca; veri
sahibi, veri sorumlusuna başvurarak kendisiyle ilgili; (a)
Kişisel veri işlenip işlenmediğini öğrenme, (b) Kişisel verileri işlenmişse buna
ilişkin bilgi talep etme, (c) Kişisel verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme, (e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin
silinmesini veya yok edilmesini isteme, (f) verilerde düzeltme veya silinme/yok
edilme halinde, kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini
isteme, (g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz
etme, (ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri sahibi, KVKK’un
uygulanmasıyla ilgili taleplerini yazılı olarak şahsen veya noter kanalıyla
veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen diğer yöntemlerle
Şirketimize iletmelidir. Şirketimiz başvuruda yer
alan talepleri, talebin ulaştığı tarihten itibaren ve talebin niteliğine göre
en kısa sürede, en geç otuz gün içinde sonuçlandırılacak ve yazılı olarak veya
elektronik ortamda Veri sahibine bildirilecektir. PIA Giyim’nın taleplere ilişkin
olarak Kişisel Verileri Koruma Kurulu tarafından belirlenen (varsa) ücret
tarifesi üzerinden ücret talep etme hakkı saklıdır.
Başvuru
Adresleri:
Merkez mah. Silahşör cad. Bomonti plaza no:38 kat:4
Şişli/İstanbul
e-posta:
info@orderact.com
İnternet
Adresi: www.orderact.com
PİA GİYİM SANAYİ VE DIŞ TİCARET ANONİM ŞİRKETİ
PİA GİYİM
KİŞİSEL VERİ SAKLAMA ve İMHA
PROSEDÜRÜ
A. AMAÇ, KAPSAM
PİA çalışanlar, çalışan
adayları, müşteri ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü
kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler ve
diğer üçüncü kişilere ait kişisel veriler işlenmektedir.
PİA tarafından yasaya uygun olarak işlenen
verilerin saklanması ve imhası süreçlerinin 6698 sayılı Kişisel Verilerin
Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uygun yapılabilmesi
amacıyla, rehber niteliğinde bu prosedür
hazırlanmıştır.
PİA Kişisel Veri Saklama ve İmha
Politikası (PİA KVK Politikası) ’na istinaden hazırlanan işbu prosedüre PİA’nın
tüm departmanları uymakla ve uyulmasını gözetmekle sorumludur.
PİA KVK Politikası’na uygun hazırlanan bu
prosedür, standart ve eğitim faaliyetlerinin PİA bünyesinde uygulanmasında, İnsan
Kaynakları tavsiye kaynağı ve rehber olacaktır. PİA GİYİM genelindeki tüm personel PİA prosedüre uymak ve risklerin /
tehlikenin önlenmesinde İnsan Kaynakları ile iş birliği yapmakla yükümlüdürler.
B.TANIMLAR
Mevzuatta, PİA
KVK Politikası’nda ve prosedürde kullanılan terimler aşağıda yer almaktadır.
Ø Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
Ø Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık,
cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler.
Ø Biyometrik Veri: Kişinin belirlenmesini veya doğrulanmasını sağlayan ve
kişiye ait parmak izi, avuç içi izi, yüz, iris, retina, kulak, ses, imza,
yürüyüş biçimi, el damarı, vücut kokusu veya DNA bilgisi şeklinde bir veya daha
fazla fiziksel veya davranış karakterleri.
Ø Kişisel Veri Sahibi /İlgili Kişi: Kişisel
verisi işlenen gerçek kişi. Örneğin; Müşteriler
Ø Açık Rıza : Belirli bir konuya ilişkin, önceden
yapılmış bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Ø Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya
da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Ø Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri işleyen gerçek veya tüzel kişiyi,
Ø İmha: Kişisel verilerin silinmesi, yok edilmesi veya
anonim hale getirilmesini,
Ø Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesi.
Ø Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Ø Kurul : Kişisel Verileri
Koruma Kurulu
C.KİŞİSEL VERİNİN KORUNMASINDA PİA MODA’NIN BENİMSEDİĞİ TEMEL İLKELER
PİA, hukuk düzeninin toplumsal hayatın temel
taşlarından biri olduğu gerçeği nedeniyle, kurulduğu tarihten bu yana genel
hukuk kurallarına uymakta ve kişilerin hak ve menfaatini gözetmek için azami
gayret göstermektedir.
PİA faaliyetleri kapsamında veri işleme, koruma
veya iletme faaliyetine dahil olsun yahut olmasın tüm çalışanlar aşağıda
sıralanan temel ilkeleri benimsenmeli, bu ilkelere uygun hareket etmelidir.
Kişisel Veriler insan hakları kapsamında üst düzeyde korunması gereken
bilgilerdir. Kişisel veri, kişiye ait ve kişinin
belirlenesini sağlayan her türlü bilgiyi içermektedir ve bu sebeple korunması
veri sahibi yönünden üstün yarar teşkil etmektedir. Bu sebeple veri toplama,
işleme, aktarma, saklama ve yok etme aşamalarında özen, dikkat ve gerek
eğitimlerde ve gerekse bu prosedürde verilen bilgilere azami uyulması
gereklidir.
D. PROSEDÜRÜN UYGULANMASI VE SORUMLULUKLAR
PİA’nın tüm birimleri ve
çalışanları, sorumlu birimlerce prosedürde belirtilen teknik ve idari
tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve
farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel
verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka
aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun
saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri
güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında
sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve
imha süreçlerinde görev alanların unvanları ve görev tanımları şu şekildedir:
·
Şirket Müdürü : Çalışanların politikaya ve
prosedüre uygun hareket etmesinden sorumludur.
·
Bilgi işlem uzmanı : Politika’nın ve prosedürün uygulanmasında ihtiyaç duyulan
teknik çözümlerin sunulmasından sorumludur.
·
Diğer birim personelleri: Görevlerine
uygun olarak Politikanın ve prosedürün yürütülmesinden sorumludur
E. SAKLAMA ORTAMLARI
Kişisel
veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde
saklanır:
a.
Elektronik olmayan ortamlar
1.
Kağıt
2.
Manuel veri kayıt sistemleri (anket formları, ziyaretçi
giriş defteri)
3.
Yazılı, basılı, görsel ortamlar
b.
Elektronik ortamlar
1.
Sunucular (Etki alanı,
yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
2.
Yazılımlar (ofis yazılımları, Nebim,
VCloud.)
3.
Bilgi güvenliği cihazları
(güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs
vb. )
4.
Kişisel bilgisayarlar
(Masaüstü, dizüstü)
5.
Mobil cihazlar (telefon, tablet
vb.)
6.
Optik diskler (CD, DVD vb.)
7.
Çıkartılabilir bellekler (USB,
Hafıza Kart vb.)
8.
Yazıcı, tarayıcı, fotokopi
makinesi
F.
KİŞİSEL VERİLERİN SAKLAMASINA İLİŞKİN ESASLAR
PİA tarafından; çalışanlar, çalışan
adayları, müşteriler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü
kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler
Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri
amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
a. Saklamayı Gerektiren İşleme
Amaçları: PİA, faaliyetleri çerçevesinde
işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda
saklamaktadır. Personel bu amaçlar için kullanılmayacak verileri işlemeyecek ve
saklamayacaktır.
1.
İnsan kaynakları süreçlerini
yürütmek.
2.
Kurumsal iletişimi sağlamak.
3.
Kurum güvenliğini sağlamak,
4.
İstatistiksel çalışmalar
yapabilmek.
5.
İmzalanan sözleşmeler ve
protokoller neticesinde iş ve işlemleri ifa edebilmek
6.
Yasal düzenlemelerin
gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine
getirilmesini sağlamak.
7.
Kurum ile iş ilişkisinde
bulunan gerçek / tüzel kişilerle irtibat sağlamak.
8.
Yasal raporlamalar yapmak.
9.
İleride doğabilecek hukuki
uyuşmazlıklarda delil olarak ispat yükümlülüğü.
b. Kişisel Verilerin Güvenliğinin
Sağlanması
PİA personeli, kişisel
verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere
hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek
güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine
göre gerekli her türlü tedbiri almalıdır. Bu kapsamda ;
1. İdari Tedbirler şunlardır:
· Kişisel veri işlemeye başlamadan önce personel tarafından,
ilgili kişileri aydınlatma yükümlülüğü yerine getirilmelidir.
· Personel Kişisel Veri İşleme, Koruma prosedürüne uygun veri
işleme ve aktarımı yapmalıdır.
· Personel tespit ettiği idari ve/veya teknik güvenlik
açıklarını ihlallerini derhal Şirket Müdür’e yahut İK’ya bildirmelidir.
2. Teknik Tedbirler: Personel aşağıda belirtilen güvenlik kurallarına
uygulayacaktır.
Posta Kullanma Kuralları
Şifre Kullanma
Kuralları
Antivirüs
Politikası
İnternet Kullanım Politikası
Genel Kullanım Politikası
c. Kişisel Verilerin Saklama
Süreleri
Kişisel verilerin süreç bazında saklama süreleri aşağıdaki
gibidir. Bu sürelerinin dolmasını müteakip ilk periyodik imha döneminde imha
edilirler.
Sözleşmeler |
Sözleşmenin sona
ermesini takiben 10 yıl |
Muhasebe ve Finansal İşlemlere İlişkin tüm
Kayıtlar |
10 yıl
|
Ticari Elektronik Mail Onay Kayıtları |
Onayın geri alındığı
tarihten itibaren 1 Yıl |
|
|
Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişki son erdikten sonra 10 Yıl |
SGK Mevzuatı kapsamında tutulan veriler (Örn:
İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına
İlişkin Veriler |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
İş Kanunu Kapsamında Saklanan Veriler (Örn.
Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine
aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin
gün sayısı vb.) |
İş İlişkisinin sona ermesinden itibaren 5 Yıl |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında
Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG
Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) |
İş İlişkisinin sona ermesinden itibaren 15 Yıl |
İş Kanunu Uyarınca: Çalışan ile ilgili
Mahkeme/icra bilgi taleplerinin cevaplanması |
İş İlişkisinin sona
ermesinden itibaren 10 Yıl
|
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul
Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş,
Cover Letter, Başvuru Formu vb.) |
3AY |
Çalışanların Kişisel Verilerinin Yer Aldığı
Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları |
İş İlişkisinin sona
ermesinden itibaren 10 Yıl
|
Vergisel Kayıtlara İlişkin Kişisel Veriler |
5 Yıl |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması
gereken Belgelerle işlenen Kişisel Veriler |
5 Yıl
|
Şirket Faaliyetleri Uyarınca, Saklanması
Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak
Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler |
10 Yıl |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak
İşlenen Kişisel Veriler (Kamera Kayıtları |
3ay |
Seminer/ Toplantı Katılımcıların Kaydı |
Etkinliğin Sona ermesinden İtibaren 2 Yıl
|
Kurum İletişim Faaliyetleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
İnsan Kaynakları Süreçleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
Kişisel Verileri Koruma Kurulu İşlemleri |
10 yıl |
G. KİŞİSEL VERİLERİN İMHASI
a. İmhayı Gerektiren Sebepler: Kişisel veriler aşağıdaki durumlarda PİA tarafından ilgili
kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir
veya anonim hale getirilir;
b. İmha Teknikleri: İlgili mevzuatta öngörülen süre ya da işlendikleri amaç
için gerekli olan saklama süresinin sonunda kişisel veriler, PİA tarafından
re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine
uygun olarak aşağıda belirtilen tekniklerle imha edilir
b.a. Kişisel Verilerin
Silinmesi
· Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan
kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem
yöneticisi (İK) tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak
silme işlemi yapılır.
· Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
veritabanı yöneticisi (İK) hariç diğer çalışanlar (ilgili kullanıcılar) için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
· Fiziksel Ortamda Yer Alan Kişisel Veriler: Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona
erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca,
üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır.
· Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı
saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre
sona erenler, sistem yöneticisi (İK) tarafından şifrelenerek ve erişim yetkisi
sadece sistem yöneticisine (İK) verilerek şifreleme anahtarlarıyla güvenli
ortamlarda saklanır.
b.b. Kişisel Verilerin Yok
Edilmesi
b.c. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel veriler,
veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya
verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet
alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.
c. İmha Süreci ve Süreleri
c.a. PİA’da
saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya
anonim hale getirme işlemi İnsan Kaynakları tarafından
yerine getirilir.
c.b. Kurul
tarafından aksine bir karar alınmadıkça, PİA’da saklama süreleri sona
eren kişisel verileri resen silme, yok etme veya
anonim hale getirme yöntemlerinden uygun olanını seçilir. İlgili kişinin talebi
ile kişisel verilerin imhası halinde, uygun yöntemi gerekçesini açıklanmak
suretiyle, uygun yöntem seçilir ve uygulanır.
c.c. Periyodik imha süresi: Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin
11 inci maddesi gereğince PİA’da her yıl Nisan ve Ekim aylarında periyodik imha
işlemi gerçekleştirilir.
Kişisel verileri silme, yok etme veya anonim
hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha
işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.
c.d. Kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve
söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl
süreyle saklanır.
c.e. Kişisel verileri ilgili
kişinin talep etmesi durumunda silme ve yok etme süreleri: İlgili kişi,
Kanunun 11 inci ve 13 üncü maddelerine istinaden PİA’ya
başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini
talep etmesi halinde;
§ Kişisel verileri işleme şartlarının tamamı ortadan
kalkmışsa; en geç otuz
gün içinde, talebe konu kişisel veriler silinir, yok edilir veya anonim hale
getirilir ve ilgili kişiye bilgi verilir.
§ Kişisel verileri işleme şartlarının tamamı ortadan
kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, ilgili kişinin talebi üçüncü kişiye
bildirilir; üçüncü kişi nezdinde Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği
kapsamında gerekli işlemlerin yapılmasını
temin edilir.
§ Kişisel verileri işleme şartlarının tamamı ortadan
kalkmamışsa; en geç otuz gün içinde, gerekçesi açıklanarak reddedilir ve cevabı ilgili kişiye yazılı
olarak veya elektronik ortamda bildirilir
F- DİSİPLİN HÜKÜMLERİ
İşbu prosedür hükümleri iş
sözleşmesinin eki mahiyetinde olup,
prosedür kurallarına uymayan personel hakkında, iş sözleşmesinin eki
olan ve personel tarafından imzalanarak teslim alınan “ İK YÖNERGESİ “ disiplin
uygulamaları ile sözleşmenin feshine ilişkin hükümleri uygulanır.
G- GÜNCELLENME
PİA Kişisel Veri İşleme, Koruma ve
Gizlilik Politikası (PİA KVK Politikası) ’na istinaden hazırlanan ve Şirket Müdürü tarafından onaylandığı andan itibaren
yürürlüğe giren işbu prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan
bölümler güncellenir. Şirket Müdürü onayıyla işbu Prosedür içerisinde
değişiklik yapılabilecek ve yürürlüğe konabilecektir Başta KVK Kanunu olmak
üzere yürürlükteki mevzuat ile işbu Prosedürde yer verilen düzenlemelerin
çelişmesi halinde mevzuat hükümleri uygulanır.
PİA GİYİM
KİŞİSEL VERİ SAKLAMA -
İMHA
POLİTİKASI
İÇİNDEKİLER
Sayfa
numarası
A. AMAÇ VE KAPSAM..........................................................................................
3
B. TANIMLAR
........................................................................................................3
C. POLİTİKANIN UYGULANMASI VE SORUMLULUKLAR.......................................
4
D. SAKLAMA ORTAMLARI ....................................................................................
4
a.
Elektronik olmayan ortamlar……………………………………………………………..….4
b.
Elektronik ortamlar……………………………………………………………………………….4
E.KİŞİSEL VERİLERİN SAKLAMASINA
İLİŞKİN ESASLAR…………………………………………5
a. Saklamayı Gerekli Kılan Hukuki
sebepler………………..………………………………5
b. Saklamayı Gerektiren İşleme Amaçları…………………………………………………..5
c. Kişisel Verilerin Güvenliğinin
Sağlanması………………………………………………..5
1.
Alınan
İdari Tedbirler ………………………………………………………………………6
2.
Alınan
Teknik Tedbirler……………………………………………………………………6
d. Kişisel Verilerin Saklama Süreleri…………………………………………………………...8
F. KİŞİSEL VERİLERİN İMHASI…………………………………………………………………………..9
a.
İmhayı Gerektiren Sebepler…………………………………………………………………9
b.
İmha Teknikleri…………………………………………………………………………………….10
b.a. Kişisel Verilerin Silinmesi……………………………………………………………….10
b.b. Kişisel Verilerin Yok Edilmesi………………………………………………………….11
b.c. Kişisel Verilerin Anonim Hale
Getirilmesi………………………….…………….11
c. İmha Süreci ve Süreleri………………………………………………………………………….11
G- POLİTİKA’NIN YAYINLANMASI VE
SAKLANMASI ………………………………………….12
H- POLİTİKA’NIN GÜNCELLENME ………………………………………………………………….….12
A.
AMAÇ VE
KAPSAM
PİA GİYİM Kişisel Verilerin Saklama-İmha
Politikası (“PİA GİYİM KVK Politikası”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine
ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla
hazırlanmıştır.
PİA GİYİM, çalışanlar, çalışan adayları, müşteriler ve hizmet sağlayıcı
olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların
çalışanlarına ait kişisel veriler ve diğer üçüncü kişilere ait kişisel veriler
bu Politika kapsamında olup PİA GİYİM’insahip olduğu ya da PİA GİYİM’nce yönetilen kişisel verilerin
işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde
bu Politika uygulanır.
B.
TANIMLAR
Mevzuatta
ve aynı zamanda PİA GİYİM KVK Politikası’nda kullanılan terimler aşağıda yer
almaktadır.
I. Kişisel Veri :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
II. Özel Nitelikli Kişisel Veri : Irk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
veriler.
III. Kişisel Veri Sahibi/ İlgili Kişi :
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.
IV. Açık Rıza : Belirli bir konuya ilişkin, önceden yapılmış
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
V. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
VI. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişiyi,
VII. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesini,
VIII. Anonim Hale Getirme : Kişisel
verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
IX. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen kişisel verilerin bulunduğu her türlü ortamı,
X. Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin
aktarıldığı gerçek veya tüzel kişi kategorisini,
XI. KVK Kanunu : 7 Nisan 2016 tarihli
ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı
Kişisel Verilerin Korunması Kanunu.
XII. KVK Kurulu : Kişisel Verileri
Koruma Kurulu.
XIII. KVK Kurumu : Kişisel Verileri
Koruma Kurumu.
C.
POLİTİKANIN
UYGULANMASI VE SORUMLULUKLAR
PİA GİYİM’in
tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta
olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının
eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile
kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere
hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun
saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri
güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında
sorumlu birimlere aktif olarak destek verir.
Kişisel
verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev
tanımları şu şekildedir:
·
Şirket
Müdürü : Çalışanların politikaya uygun
hareket etmesinden sorumludur.
·
İK Sorumlusu :
Politika’nın
uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
·
Diğer birim personelleri: Görevlerine uygun olarak Politikanın
yürütülmesinden sorumludur.
D.
SAKLAMA
ORTAMLARI
Kişisel
veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde
saklanır:
a.
Elektronik olmayan ortamlar
1.
Kağıt
2.
Manuel veri kayıt sistemleri (anket formları)
3.
Yazılı, basılı, görsel ortamlar
b.
Elektronik ortamlar
1.
Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
2.
Yazılımlar
(ofis yazılımları, Nebim, VCloud.)
3.
Bilgi
güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt
dosyası, antivirüs vb. )
4.
Kişisel
bilgisayarlar (Masaüstü, dizüstü)
5.
Mobil
cihazlar (telefon, tablet vb.)
6.
Optik
diskler (CD, DVD vb.)
7.
Çıkartılabilir
bellekler (USB, Hafıza Kart vb.)
8. Yazıcı, tarayıcı, fotokopi makinesi
E. KİŞİSEL VERİLERİN SAKLAMASINA İLİŞKİN ESASLAR
PİA GİYİ tarafından; çalışanlar, çalışan
adayları, müşteri ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü
kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler
Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri
amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
a. Saklamayı Gerekli Kılan Hukuki sebepler: PİA GİYİM tarafından kişisel veriler;
1.
6102
sayılı Türk Ticaret Kanunu
2.
6098
sayılı Türk Borçlar Kanunu,
3.
5510
sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
4.
6331
sayılı İş Sağlığı ve Güvenliği Kanunu,
5.
4857
sayılı İş Kanunu,
6.
6698
sayılı Kişisel Verilerin Korunması Kanunu,
7.
Vergi
mevzuatı ile bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
b. Saklamayı Gerektiren İşleme
Amaçları: PİA
GİYİM, faaliyetleri
çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda
saklamaktadır.
1.
İnsan
kaynakları süreçlerini yürütmek.
2.
Kurumsal
iletişimi sağlamak.
3.
Kurum
güvenliğini sağlamak,
4.
İstatistiksel
çalışmalar yapabilmek.
5.
İmzalanan
sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
6.
Yasal
düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak.
7.
Kurum
ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
8.
Yasal
raporlamalar yapmak.
9.
İleride
doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
c. Kişisel Verilerin Güvenliğinin Sağlanması
PİA GİYİM,
kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel
verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana
gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak
verinin niteliğine göre gerekli her türlü tedbiri almaktadır. Bu kapsamda ;
1. Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve
Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler
şunlardır:
· Kişisel verilerin korunmasına ilişkin
olarak çalışanlarını eğitmekte ve bilinçlendirmektedir.
· Kurum tarafından yürütülen
faaliyetlere ilişkin çalışanların sözleşmelerine gizlilik şartı eklenmiştir.
· Güvenlik politika ve prosedürlerine
uymayan çalışanlara yönelik uygulanacak disiplin prosedürü İK yönetmeliğinde
hazırlanmış ve personele sözleşmelerinin ekinde olarak teslim edilmiştir.
· Kişisel veri işlemeye başlamadan önce
Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine
getirilmektedir.
· Kişisel veri işleme envanteri
hazırlanmıştır.
· Kişisel verilerin aktarıma konu
olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş
sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya
yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmiştir. Bu
kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her
türlü tedbiri alacağı ve kendi kuruluşlarında bu tedbirlerin uygulanmasını
temin edeceği taahhüt altına alınmaktadır.
· Kişisel
veri içeren fiziksel ortamların güvenliği sağlanmaktadır.
· Kurum içi denetim yapılmaktadır.
2.
Kişisel Verilerin Hukuka Uygun
İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı
Erişilmesini Önlemek için Alınan Teknik Tedbirler şunlardır:
· Kişisel
verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik
önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenmekte
ve iyileştirilmektedir.
· Teknik
konularda, uzman personel istihdam edilmektedir.
· Personeller
tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme
amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmaktadır.
·
Sunucu bilgisayar ve veri depolama
sistemlerinin teknik yönetim faaliyetlerinin yerine getirilmesini sağlamak, bu
kapsamda;
a.
PİA GİYİM’nın teknik altyapısı dahilinde kullanılan
sunucu sistem donanımlarının ve bunların üstünde servis veren MS Windows
işletim sistemlerinin, kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum,
konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon,
yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon
fonksiyonlarının yerine getirilmesi,
b.
Sunucu kullanıcı aktivasyon/de-aktivasyon, konfigürasyon ve
yetkilendirme çalışmalarının yerine getirilmesi,
c.
Sunucular üstünde sanallaştırma ve sanallaştırma performans
optimizasyonu çalışmalarının yerine getirilmesi,
d.
Sunuculara entegre olarak çalışan veya SAN/NAS yapısında olan
depolama sistemlerinin günlük monitör edilme işlemlerinin yerine getirilmesi,
doluluk/kapasite planlarının yapılması, yedekleme/yedekten geri dönme
işlemlerinin yerine getirilmesi,
e.
Sunucu ve depolama sistemlerinin yazılım ve donanımlarının
sistem entegrasyonu, test, kalite kontrolü̈ çalışmalarının yerine getirilmesi,
devreye alınan donanım, işletim sistemi veya uygulama modüllerinin sağlıklı
olarak hizmet verdiğinin sürekli kontrol edilmesi,
düzeltme/geliştirme/iyileştirme/verimlilik artırma gibi bakım ve işletim
faaliyetlerinin yerine getirilmesi,
f.
Sunucu sistemlerinin ve bu sistemler üzerinde çalışan tüm
servislerin günlük monitör edilme işlemlerinin yerine getirilmesi, tüm sunucu
donanım ve servislerinin çalışır durumda olduğunun kontrolü̈, normal-dışı
kapanan sunucu veya servisler için koruyucu ve düzeltici önlemlerin alınması,
sistem log'larının konfigürasyon ve kontrol çalışmalarının yerine getirilmesi,
g.
Sunucu donanımları, işletim sistemleri, depolama sistemleri ve
uygulama yazılımlarıyla ilgili, temel seviyedeki son kullanıcı kullanım
kılavuzlarının hazırlanması ve güncellenmesi, son kullanıcı eğitimlerinin
verilmesi,
h.
Sunucu sistemlerinin en yetkili erişim şifrelerinin yönetilmesi
ve güvenliğinin sağlanması,
i.
Sunucu donanımları ve işletim sistemleri alanındaki yeni
teknolojilerin takip edilmesi ve kurumun altyapısına uyarlanması işlemlerini
yürütülmektedir.
·
E-posta sistemleri, Web Sunucuları,
SMTP, POP, IMAP, LDAP, FTP, SNMP, DNS, gibi temel uygulama ve protokollerin
teknik yönetim faaliyetlerinin yerine getirmek, bu kapsamda;
a.
PİA GİYİM’in teknik altyapısı dahilinde kullanılan
e-posta sunucu sisteminin kullanıcı aktivasyon/de-aktivasyon/yönlendirme,
konfigürasyon, patching, kapasite planlama, performans ayarlamaları, yedekleme,
yedeklerden geri dönme, vb. gibi teknik yönetim, operasyon ve dokümantasyon
fonksiyonlarının yerine getirilmesi,
b. E-posta sistemlerinin
altyapısında hizmet veren SMTP, POP, IMAP protokollerinin yönetim/konfigürasyon
ve dokümantasyon fonksiyonlarının yerine getirilmesi,
c. Sistem kullanıcılarının
yönetimi ve LDAP protokolünün konfigürasyonu/yönetimi/
yedeklenmesi/yetkilendirilmesi çalışmalarının yerine getirilmesi,
d. FTP alanı açma, DNS
domain/sub-domain tanımlama, vb. gibi operasyonel çalışmaların yerine
getirilmesi,
e. E-posta, LDAP, FTP, DNS,
vb. tanımlaması gerektiren son-kullanıcı taleplerinin, PİA GİYİM’in ilgili
prosedür/politika ve standartlara uygun olarak yerine getirilmesinin
sağlanması; standart dışı, LDAP, E-mail, sub-domain tanımlamalarının ve veri
kirliliğinin önüne geçilmesi için gerekli tedbirlerin alınması ve uygulanması,
f. Uygulama sistemlerinin
en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması,
g. E-posta sunucuları ve
uygulamaları alanındaki yeni teknolojilerin takip edilmesi ve kurumun
altyapısına uyarlanması işlerini yürütülmektedir.
·
Veritabanı yönetim sistemlerinin,
teknik yönetim faaliyetlerini yerine getirmek, bu kapsamda;
a.
PİA GİYİM’in teknik altyapısı
dahilinde kullanılan Oracle/MS-SQL/MYSQL, vb. tüm veritabanı yönetim
sistemlerinin kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum,
konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon,
yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon
fonksiyonlarının yerine getirilmesi,
b. Veritabanı SQL scripting
çalışmalarının yerine getirilmesi,
c. Veritabanı kullanıcı
aktivasyon/de-aktivasyon, konfigürasyon ve yetkilendirme çalışmalarının yerine
getirilmesi,
d.
PİA GİYİM dahilindeki tüm sistemlerin veri
yapılarının birbirleriyle entegrasyonu, test, kalite kontrolü̈ çalışmalarının
yerine getirilmesi, veri bütünlüğünün sağlanması. Veri duplikasyonunun
önüne geçecek önlemlerin alınması, veri altyapısının sağlıklı olarak hizmet
verdiğinin sürekli kontrol edilmesi, düzeltme/geliştirme/iyileştirme/verimlilik
artırma gibi bakım ve işletim faaliyetlerinin yerine getirilmesi,
e. Veritabanı yönetim
sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin
sağlanması işlemlerini yürütülmektedir.
d. Kişisel Verilerin Saklama Süreleri
Kişisel
verilerin süreç bazında saklama süreleri aşağıdaki gibidir:
Sözleşmeler |
Sözleşmenin sona ermesini takiben 10 yıl |
Muhasebe ve Finansal
İşlemlere İlişkin tüm Kayıtlar |
10 yıl
|
Ticari Elektronik Mail
Onay Kayıtları |
Onayın geri alındığı
tarihten itibaren 1 Yıl |
|
|
|
|
Tedarikçilere İlişkin
Kişisel Veriler |
Hukuki ilişki son erdikten sonra 10 Yıl |
SGK Mevzuatı kapsamında
tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
İş Kanunu Kapsamında
Saklanan Özlük Dosyasına İlişkin Veriler |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
İş Kanunu Kapsamında
Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı,
eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro
kayıtları, yıllık izin gün sayısı vb.) |
İş İlişkisinin sona ermesinden itibaren 5 Yıl |
İş Sağlığı ve Güvenliği
Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık
raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin
kayıtlar vb.) |
İş İlişkisinin sona ermesinden itibaren 15 Yıl |
İş Kanunu Uyarınca: Çalışan ile ilgili
Mahkeme/icra bilgi taleplerinin cevaplanması |
İş İlişkisinin sona
ermesinden itibaren 10 Yıl
|
İş Başvurusu/Staj
Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin
Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) |
3 ay |
Çalışanların Kişisel Verilerinin Yer Aldığı
Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları |
İş İlişkisinin sona
ermesinden itibaren 10 Yıl
|
Vergisel Kayıtlara İlişkin
Kişisel Veriler |
5 Yıl |
Fatura/Gider
Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle
işlenen Kişisel Veriler |
5 Yıl
|
Şirket Faaliyetleri
Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan
Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel
Veriler |
10 Yıl |
CCTV Kameraları Uyarınca
Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları |
3 Ay |
Seminer/ Toplantı
Katılımcıların Kaydı |
Etkinliğin Sona ermesinden İtibaren 2 Yıl
|
Kurum İletişim
Faaliyetleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
İnsan Kaynakları Süreçleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
Kişisel Verileri Koruma
Kurulu İşlemleri |
10 yıl |
F. KİŞİSEL VERİLERİN İMHASI
a.
İmhayı Gerektiren Sebepler: Kişisel veriler aşağıdaki durumlarda PİA GİYİM tarafından ilgili kişinin talebi
üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale
getirilir;
b. İmha Teknikleri: İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli
olan saklama süresinin sonunda kişisel veriler, PİA GİYİM tarafından re’sen veya ilgili
kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda
belirtilen tekniklerle imha edilir
b.a. Kişisel Verilerin Silinmesi
· Sunucularda Yer Alan Kişisel Veriler;
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi
kaldırılarak silme işlemi yapılır.
· Elektronik Ortamda Yer Alan Kişisel
Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili
kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilir.
· Fiziksel Ortamda Yer Alan Kişisel
Veriler: Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek
karartma işlemi de uygulanır.
· Taşınabilir Medyada Bulunan Kişisel
Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından
şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme
anahtarlarıyla güvenli ortamlarda saklanır.
b.b. Kişisel Verilerin Yok Edilmesi
·
Fiziksel
Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri
döndürülemeyecek şekilde yok edilir.
·
Optik
/ Manyetik Medyada Yer Alan Kişisel Veriler: Yer Alan Kişisel Veriler Optik
medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir
cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle
üzerindeki veriler okunamaz hale getirilir.
b.c. Kişisel Verilerin Anonim Hale
Getirilmesi
Kişisel
veriler, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi
ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili
faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale
getirilir.
c.
İmha Süreci ve Süreleri
c.c. Periyodik imha süresi: Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesi
gereğince PİA GİYİM’nde her yıl Nisan ve Ekim aylarında periyodik
imha işlemi gerçekleştirilir.
Kişisel verileri silme,
yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip
eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya
anonim hale getirilir.
c.e. Kişisel verileri ilgili kişinin talep
etmesi durumunda silme ve yok etme süreleri: İlgili kişi,
Kanunun 11 inci ve 13 üncü maddelerine istinaden PİA
GİYİM’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok
edilmesini talep etmesi halinde;
§ Kişisel verileri işleme şartlarının tamamı
ortadan kalkmışsa; en geç otuz gün içinde, talebe konu kişisel veriler silinir, yok edilir
veya anonim hale getirilir ve ilgili kişiye bilgi verilir.
§ Kişisel verileri işleme şartlarının tamamı
ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere
aktarılmışsa, ilgili kişinin talebi üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmeliği kapsamında gerekli işlemlerin yapılması
temin edilir.
§ Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa; en geç otuz gün içinde, gerekçesi açıklanarak reddedilir ve cevabı
ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir
G- POLİTİKA’NIN YAYINLANMASI VE
SAKLANMASI
Politika dokümanı,
ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı
ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası
da VERİ SORUMLUSU İRTİBAT KİŞİSİ TARAFINDAN dosyasında saklanır.
H- POLİTİKA’NIN GÜNCELLENME
Şirket
Müdürü tarafından onaylandığı andan itibaren yürürlüğe girer. Bu Politika,
ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Şirket
Müdürü onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe
konabilecektir. İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın
içerisinde belirtilen hususların belli konular özelinde ne şekilde icra
edileceğini belirtecek uygulama kuralları ilgili yönetmeliklere eklenmek
şeklinde düzenlenecektir. PİA GİYİM KVK Politikası internet sitesinde yayımlanarak kamuoyuna
sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu
Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri
uygulanır.