KVKK & Gizlilik Politikası

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

AMAÇ

İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), ÇEVİKBAŞ AMBALAJ SANAYİ ANONİM ŞİRKETİ (“ŞİRKET”) tarafından işlenen ve saklanan kişisel verilerin saklanma ve sonrasında silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

KAPSAM

İşbu Politika, aşağıdaki kişilere ait edindiğimiz kişisel verilerin saklanması ve imhası faaliyetlerimizi kapsamaktadır:

1. Şirketimizin çalışanları, çalışan adayları, stajyerleri, eski çalışanları ve bu kişilerin aile yakınları,
2. Topluluk şirketimizin çalışanları, çalışan adayları, eski çalışanları, stajyerleri ve bu kişilerin aile yakınları,
3. Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,
4. İş ortaklarımızın çalışanı, temsilcisi ve vekili,
5. Müşterilerimiz ve potansiyel müşterilerimiz,
6. Kamu/özel kurum ve kuruluşu çalışanları,
7. Hukuken yetkili kişiler,
8. Ziyaretçilerimiz,
9. Diğer üçüncü kişiler.

Bu kişi grubu tanımlarına ilişkin açıklamalar, EK-1’de yer verilmektedir.

İşbu Politika elektronik, fiziki ve diğer ortamlar üzerinden edindiğimiz ve elektronik, fiziki veya benzeri ortamda sakladığımız tüm kişisel verileri kapsayacaktır.

YETKİ VE SORUMLULUKLAR

TANIMLAR VE KISALTMALAR

KİŞİSEL VERİLERİ SAKLAMAYI VE İMHAYI GEREKTİREN SEBEPLER VE SÜRELERİ

ŞİRKET olarak hizmetlerimizi sunarken işlediğimiz kişisel verileri KVK Kanunu, Yönetmelik ve ilgili mevzuata uygun olarak yasal ve makul süreler boyunca saklamakta ve bu sürelerin geçmesiyle beraber imha etmekteyiz.

5.1 Kişisel Verileri Saklamayı Gerektiren Sebepler

5.1.1 Saklamayı Gerektiren Hukuki Sebepler

ŞİRKET’in faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler aşağıda belirtilenlerle sınırlı olmamak üzere;

1. 6698 sayılı Kişisel Verilerin Korunması Kanunu,
2. 6098 sayılı Türk Borçlar Kanunu,
3. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
4. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
6. 4857 sayılı İş Kanunu,
7. 6102 sayılı Türk Ticaret Kanunu,
8. 213 sayılı Vergi Usul Kanunu,
9. İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
10. İş Sağlığı ve Güvenliği Eğitimlerinin Usul ve Esasları Hakkındaki Yönetmelik,
11. Toplu İnternet Hizmeti Kullanımı Sağlayıcıları Hakkındaki Yönetmelik,
12. Ticari Elektronik İletiler ve Ticari İletişim Hakkında Yönetmelik,
13. Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

ŞİRKET, KVK Kanunu’nun 5. ve 6. maddelerinde yer alan işleme şartları doğrultusunda, kişisel verilerin işlenmesini ve saklanmasını gerektiren sebeplerin bulunması halinde kişisel verileri saklamaktadır. ŞİRKET’in işleme şartları doğrultusunda yürüttüğü saklama faaliyetleri aşağıda örneklerle açıklanmaktadır:

Saklamayı Gerektiren İşleme Amaçları

ŞİRKET, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

1. İnsan kaynakları süreçlerini yürütmek.
2. Ticari faaliyetleri yürütmek.
3. Pazarlama faaliyetlerini yürütmek.
4. Kurumsal iletişimi sağlamak.
5. Kurum güvenliğini sağlamak.
6. Finans ve muhasebe işlerini yürütmek.
7. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
8. VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerektiği halde güncellemek.
9. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak.
10. ŞİRKET ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
11. İleride doğabilecek hukuki uyuşmazlıklarda delil bulundurmak.
12. Veri güvenliğinin sağlanması faaliyetlerini yürütmek.

Kişisel Verileri İmha Etmeyi Gerektiren Sebepler

ŞİRKET, aşağıdaki hallerde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü olacaktır. ŞİRKET bu imha faaliyetini bu sürelerin bitmesini takip eden ilk periyodik imha işleminde gerçekleştirebilecektir.

Aşağıdaki durumlarda, ŞİRKET tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir:

1. ŞİRKET’in kişisel verileri işlemek için meşru bir amacının bulunmaması,
2. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
3. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
5. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
6. ŞİRKET’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVK Kanunu’nda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Saklama ve İmha Süreleri

İşbu Bölümde belirlenen şartlar kapsamında, kişisel verileri saklama ve imha sürelerini içeren Saklama ve İmha Süreleri Tablosu (Ek-2) oluşturulmuştur. ŞİRKET, bu saklama ve imha sürelerine uygun olarak kişisel verileri saklayacak ve imha edecektir.

ŞİRKET, periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Bu kapsamda ŞİRKET 6 ayda bir saklanan kişisel verileri değerlendirmekte ve belirtilen saklama süresi sona eren kişisel verileri imha etmektedir. Bu sürenin sona ermesinden sonra saklama süresi dolan veriler bir sonraki ilk periyodik imha döneminde imha edilecektir.

Örnek: ŞİRKET, 12 Kasım 2019 tarihinde iş başvurusu yapan çalışan adayının kayıtlarını makul süre olarak belirlediği 1 yıl boyunca tutabilecektir. 12 Kasım 2020 tarihinde bu sürenin sona ermesiyle beraber, ŞİRKET gerçekleştireceği ilk periyodik imha işleminde bu bilgileri imha etmekle yükümlüdür. Bu kapsamda, son periyodik imha işlemi, 10 Ekim 2020’de gerçekleştirilmişse, bu bilgiler en geç altı ay sonra, 10 Nisan 2021’de imha edilecektir.

KİŞİSEL VERİLERİ SAKLAMA ORTAMI

6.1 Elektronik Olmayan Ortam

Kişisel veriler kağıt, form, belge, sözleşme veya herhangi bir basılı varlık olarak elektronik olmayan ortamda saklanabilecektir. Aşağıda, basılı varlıkların saklandığı ortamlar belirtilmiştir:

1. ŞİRKET ofislerinde bulunan kilitli dolaplar,
2. ŞİRKET ofislerinde ve depolarında bulunan panolar,
3. ŞİRKET ofislerinde bulunan arşiv odası,
4. ŞİRKET ofislerinde bulunan çekmeceler ve klasörler.

Bu kapsamda elektronik ortamdan elde edilen ancak sonrasında çıktısı alınarak veya kağıt, form veya belgede yazılarak saklanan tüm kişisel verilerin de fiziki ortamda saklandığı kabul edilmiştir.

6.2 Elektronik Ortam

Kişisel veriler aşağıdaki elektronik ortamda saklanabilecektir:

1. Masaüstü ve dizüstü bilgisayarlar,
2. Mobil cihazlar,
3. E-posta sunucuları,
4. Sosyal medya hesaplarının mesaj kutuları,
5. Yazılımlar ve bağlı olduğu Veritabanları (Yedekleme Yazılımı, Active Directory, SAP, Hybris, Jira, Eba, QDMS, Netsis, MII, ERP, SQL DB),
6. Sistem odaları,
7. Taşınabilir medya (USB Bellek, CD ve DVD vb.),
8. Ağ üzerinde veri saklanması için kullanılan disk sürücüleri.

Bu kapsamda fiziki ortamda, sözlü veya basılı kağıt, form veya belge olarak elde edilen ancak tamamen veya kısmen otomatik bir sisteme kaydedilen tüm kişisel verilerin de elektronik ortamda saklandığı kabul edilmiştir.

KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN TEDBİRLER

ŞİRKET, kişisel verilerin güvenli bir şekilde saklanmasını, hukuka aykırı olarak işlenmesini önlemek ve kişisel verilere hukuka aykırı olarak erişilmesini önlemekle yükümlüdür. Bu yükümlülük çerçevesinde ŞİRKET tarafından alınan idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler

1. İmzalanan sözleşmeler veri güvenliği hükümlerini içermektedir.
2. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
3. Çalışanlara, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
4. ŞİRKET tarafından yürütülen faaliyetlere ilişkin çalışanlardan gizlilik taahhüdü alınmakta ve spesifik faaliyetlere ilişkin gizlilik sözleşmeleri imzalatılmaktadır.
5. Kişisel veri güvenliğine ilişkin şirket içi prosedürlere/ politikalara/ talimatlara uymayan çalışanlara karşı disiplin prosedürü uygulanmaktadır.
6. Kişisel veri işlemeye başlamadan önce, ŞİRKET tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
7. Kişisel veri işleme envanteri hazırlanmaktadır.
8. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmakta ve uygulanmaktadır.
9. Kişisel veri güvenliği politika ve prosedürleri belirlenmekte ve uyum takibi yapılmaktadır.
10. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
11. Kişisel verilerin kullanımı iş amaçları doğrultusunda mümkün olduğunca azaltılmaktadır.
12. Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin işlenmesi, korunması ve güvenliğine ilişkin sözleşmeler imzalanmakta veya mevcut sözleşmeye hükümler eklenmektedir.
13. Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
14. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

Teknik Tedbirler

1. Periyodik olarak sızma testleri ile bilgi sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
2. Bilgi teknolojilerine dair riskler, etkin risk değerlendirme ve cevap verme süreçleri ile yönetilmektedir.
3. Görev değişikliği olan ya da işten ayrılan çalışanların erişim yetkileri ivedilikle kaldırılmaktadır.
4. Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
5. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
6. Bilgi sistemleri üzerinde güvenli olduğu kabul edilen protokoller kullanılmaktadır.
7. Çalışanların fiziki ve elektronik sistemlere erişmelerine yönelik yetki matrisleri oluşturulmaktadır.
8. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
9. Kişisel verilerin işlendiği sistemlerin bulunduğu alanların fiziki güvenliği sağlanmış ve yetkisiz erişim, yangın, sel, deprem, nem, vb. risklere karşı korunmaktadır.
10. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağlar kullanım amaçlarına göre sanal ağlara ayrılmaktadır.
11. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
12. Kablosuz ağlar şifrelenmekte ve yetkisiz erişimlere izin verilmemektedir.
13. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
14. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
15. ŞİRKET internet sayfasına erişimde güvenli protokol (HTTPS) kullanılmaktadır.
16. Sistemlere uygun güvenlik yamaları zamanında yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
17. Güçlü parolalar kullanılmaktadır.
18. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
19. Tüm sunucu ve istemcilerde güncel anti-virüs sistemleri kullanılmaktadır.
20. Güvenlik duvarları kullanılmakta ve yönetilmektedir.
21. Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri belirlenmektedir.
22. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
23. Üçüncü tarafların Şirket ağına erişimi ve kişisel verilerin üçüncü kişiler ile paylaşılması sürecinde VPN ve loglama önlemleri uygulanmaktadır.
24. Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa ancak ve ancak şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
25. Teknik güvenlikle ilgili olarak uzman dış kaynaklardan danışmanlıklar alınmaktadır.

KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN TEDBİRLER

8.1 İmha İşlemleri

8.1.1 Kişisel Verilerin Silinmesi

Silme, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. ŞİRKET, bunun için kullanıcı seviyesinde erişim yetki ve kontrol matrisi oluşturur.

8.1.2 Kişisel Verilerin Yok Edilmesi

Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

8.1.3 Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

8.2 Kullanılacak İmha Teknikleri

ŞİRKET, kişisel verileri Kurumun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne uygun olarak imha edecektir. Uygulanacak imha tekniklerinden bazıları aşağıdadır:

8.2.1 Silme Teknikleri

1. Silme Komutu ile Silme: Elektronik veri ortamında bulunan silme komutuyla kişisel verilerin silinmesi. Silinen veriler hiçbir şekilde erişilemez ve tekrar kullanamaz hale gelecektir.
2. Yazılım Aracılığıyla Silme: Güvenli bir silme işleminin sağlanması için kişisel verilerin uygun bir yazılım ile silinmesidir.

8.2.2 Yok Etme Teknikleri

1. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
2. Fiziksel Yok Etme: Optik medya ve manyetik medyanın fiziksel olarak yok edilmesi işlemidir.
3. Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir (özel yazılımlar kullanılır).

8.2.3 Anonim Hale Getirme Teknikleri

1. Maskeleme: Kişisel verilerin kapatılması, üzerinin çizilmesi, yıldızlanması, elektronik olarak çıkartılması ve buna benzer yöntemlerdir. Örneğin Ahmet Yıldırım yerine A** Y** veya ismin üzerini yıldızlanabilecektir.*
2. Genelleştirme: İlgili kişisel veriyi, özel bir değerden daha genel bir değere çevirme işlemidir.

REFERANSLAR VE DAYANAK

1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik

İLGİLİ DOKÜMANLAR

1. Kişisel Verilerin İşlenmesi ve Korunması Politikası
2. Çalışanların Kişisel Verilerine İlişkin Aydınlatma Metni
3. Çalışanlara Yönelik Kişisel Verilerin İşlenmesi ve Korunması Politikası

EK-1 KİŞİ GRUPLARI

EK-2 SAKLAMA VE İMHA SÜRELERİ TABLOSU

Aşağıda yer alan tablodaki süreçlere ilişkin saklama süreleri, işbu Politika’nın yürürlüğe girdiği tarihteki mevzuat esas alınarak belirlenmiştir. Söz konusu süreler, ilgili kişi tarafından dava açılması halinde kesintiye uğrayacak ve davaya konu kişisel veriler en az dava kesinleşene kadar bir hakkın korunması hukuki sebebine dayanarak saklanacaktır.