1. AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası; veri sorumlusu sıfatıyla, Ar Filtre İş Makinaları Otomotiv Oto Yedek Parça San. Tic. Ltd. Şti. tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili ikincil düzenlemeler uyarınca yükümlülüklerin yerine getirilmesi ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli azami saklama esaslarının belirlenmesi ile silme, yok etme ve anonim hale getirilmesine ilişkin usul ve süreçlerin yürütülmesi amacıyla oluşturulmuştur.

2. TANIMLAR VE KISALTMALAR

 

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
İlgili kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri;
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
Kişisel veri sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişiyi;
Kişisel verinin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Kurul	Kişisel Verileri Koruma Kurulu
Özel nitelikli kişisel veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik imha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi
Veri kayıt sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Bu Politikada yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.

3. KİŞİSEL VERİLERİN SAKLANDIĞI VE İMHA EDİLECEĞİ KAYIT ORTAMI

Şirket tarafından edinilmiş ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı olarak kabul edilmektedir. Şirket bünyesindeki tüm kişisel veriler aşağıdaki sistemlerinde azami güvenli bir biçimde bulundurulmakta ve saklanmaktadır.

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:

• Exchange Server
• Canias IAS
• SAP
• Ms Office 365
• Dosya sunucuları
• Diğer

Fiziksel ortamlar:

• Birim Dolapları
• Arşiv

 

4. KİŞİSEL VERİLERİN SAKLAMASI VE İMHASINA İLİŞKİN TEMEL İLKELER

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Yönetim kararlarına ve işbu Politikaya belirlenen prosedür ve süreçlere uygun hareket edilmektedir.
2. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 1 yıl süreyle saklanmaktadır.

• Şirket tarafından kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı belirlenecek ve uygun yöntem gerekçesi ile birlikte kayıt altına alınacaktır.

5. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya İlgili Kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
   • İletilen talepler, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
   • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

 

5. KİŞİSEL VERİLEN SAKLAMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

Kişisel veriler, Kanun, ilgili mevzuat ve Şirket Politikası http://arfiltre.com.tr’de yer alan kişisel veri işleme amaçları ile sınırlı olarak işlenmek suretiyle saklanmaktadır.

 

5.1. Kişisel Verileri Saklama Sebepleri

1. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
2. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

1. Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
2. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
3. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

 

5.2. Kişisel Verileri İmha Sebepleri
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

1. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişinin rızasını geri alması,
2. İlgili Kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
3. Şirketin İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Yönetim’e şikâyette bulunulması ve bu talebin Yönetim tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

 

6. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından tespit edilen saklama, imha ve periyodik imha süreleri aşağıdaki tabloda yer aldığı şekildedir. Belirlenen saklama süresi sona eren kişisel veriler, saklama süresinin sona ermesini müteakip, 6 aylık periyodlarla (“Periyodik İmha Süresi”) veya saklama süresinin sona erdiği ay içinde işbu Politika ’da yer verilen usullere uygun olarak silmek, yok etmek veya anonim hale getirme yöntemlerinden seçilen yöntemle imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 1 yıl süreyle saklanır.

 

Ana Başlıklar Kapsamında Kişisel Veri Kategorisi	Saklama Süresi
Üçüncü kişiler, firmalar ile sözleşmeden kaynaklı ilişkiler kapsamında saklanan veriler	Sözleşmenin sona ermesini müteakip 10 yıl
Vergisel kayıtlar kapsamında saklanan veriler	Verinin kayıt tarihini müteakip 5 yıl
İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.)	İş ilişkisinin sona ermesini müteakip 5 yıl
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)	İş ilişkisinin sona ermesine müteakip 15 yıl
SGK mevzuatı kapsamında tutulan veriler	İş ilişkisinin sona ermesine müteakip 10 yıl
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar	İş ilişkisinin sona ermesine müteakip 10 yıl
Çalışan adayları kapsamında tutulan veriler	Kayıt altına alınmasını müteakip 12 ay
Ziyaretçi verileri	Kayıt altına alınmasını müteakip_12 ay

 

Belirlenen kişisel verileri saklama ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır:

1. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye uygun hareket edilmektedir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
2. Mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
   1. Kişisel veriler, kişisel veri ve özel nitelikli kişisel veriler olarak sınıflandırılacak olup, özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilecektir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
   2. Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

• Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

 

7. KİŞİSEL VERİLERİN İMHA İŞLEMİ İLE İLGİLİ UYGULANACAK YÖNTEMLER

Şirket bünyesinde bulunan kişisel verileri aşağıda düzenlenen yöntemleri kullanmak suretiyle silecek, yok edecek ve/veya anonim hale getirecektir.

 

1. Kâğıt Ortamında Bulunan Kişisel Veriler

Şirket, kâğıt ortamında bulunan kişisel verileri karartma yöntemi kullanarak silecektir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

1. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Şirket anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edecektir.

1. Taşınabilir Medyada Bulunan Kişisel Veriler

Şirket, taşınabilir medya ortamlarındaki kişisel verileri, şifreli olarak saklamakta ve bu ortamlara uygun yazılımlar kullanarak silmektedir.

1. Veri Tabanları

Şirket, kişisel verilerin bulunduğu ilgili satırları veri tabanı komutları ile (DELETE vb.) silecektir.

 

8. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

 

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:

8.1. İdari Tedbirler:

Şirket idari tedbirler kapsamında;

1. İşlenen kişisel verilere Şirket içi erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Yönetime ’e bildirir.

• Kişisel verilerin aktarılması ile ilgili olarak, kişisel verilerin aktarıldığı üçüncü kişilerle veya firmalar ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

1. Kişisel verilerin işlenmesi ile ilgili çalışanlarına Kanun ve ilgili mevzuatı ve veri güvenliği kapsamında gerekli bilgilendirmeler yapar ve eğitimler verir.
2. Şirket bünyesinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
3. Kişisel verilerin işlendiği, saklandığı kayıt ortamına göre yeterli güvenlik önlemlerinin alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

 

8.2. Teknik Tedbirler:

Şirket teknik tedbirler kapsamında;

1. Şirketin mevcut veya yeni kurulan sistemler kapsamında gerekli iç kontrolleri sağlar ve bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
2. Kişisel verilerin Şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

1. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
2. Kişisel verilerin yok edilmesi halinde geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
3. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.

• Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
• Kişisel verilerin işlendiği, saklandığı kayıt ortamlarına ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

1. Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
2. Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.
3. Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
4. Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
5. Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
6. Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
7. Verilerin kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

 

9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE ŞİRKET ADINA YER ALAN SORUMLULARIN UNVANLARI, BİRİMLERİ, GÖREV TANIMLARI

 

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanları, birimleri ve görev tanımları dokumante edilmiştir. İlgili kişiler işbu Politikada düzenlenen kişisel verilerin saklanması ve imha süreçlerinde tüm yükümlülüklerini eksiksiz ifa edecektir.

 

10. YÜRÜRLÜK

Bu Politika, yayınlandığı tarih itibariyle yürürlüğe girer.