KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

AMACIMIZ:

ASLANLAR METAL ALM.P.V.C.PLS.İML.İTH.İHR.SAN. ve TİC.LTD.ŞTİ olarak;

Çalışanlarımıza, tedarikçilerimize, müşterilerimize ve kurumsal olarak ilişki içinde olduğumuz gerçek kişilere ait kişisel verilerin, 6698 sayılı “Kişisel Verileri Koruma Kanunu (KVKK)”na ve ilgili mevzuata uygun olarak işlenmesi önceliklerimiz arasındadır.

ASLANLAR METAL ALM.P.V.C.PLS.İML.İTH.İHR.SAN. ve TİC.LTD.ŞTİ bu konudaki prensiplerini; kuruluşun değerleri arasında yer alan ve ilişkide olduğu tüm taraflara olan “Dürüstlük ve Saygı” ilkesinden yola çıkarak, aşağıdaki şekilde politikalandırmıştır.

Sahip olduğumuz kişisel verilerin işlenmesi, korunması, aktarılması ve imhası için gereken tüm idari ve teknik tedbirler grubumuz tarafından alınmakta olup, detayları bu politika ile açıklanmaktadır. Tüzel kişilere ait verilere yönelik uygulamalar bu politikada yer almamaktadır.

ASLANLAR METAL ALM.P.V.C.PLS.İML.İTH.İHR.SAN. ve TİC.LTD.ŞTİ üst yönetimi tarafından oluşturulan bu politika ve süreçlerimiz belirli aralıklarla gözden geçirilir ve gereğinde güncellenir.

Şirket olarak kamuoyuna açık olan bu politikanın anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz.

TANIMLAR:

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye özel her türlü bilgi.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle alınan rıza.

Kişisel verileri anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Veri işleyen: Kişisel verileri amacı doğrultusunda kullanan, saklayan, verilerin yönetilmesinden sorumlu organizasyonel birim.

Periyodik imha: Kişisel verilerin işlenme şartlarının tamamen ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN ÜNVAN, GÖREV VE SORUMLULUKLARI:

Birim veya Yönetici Görev Sorumluluk

Hukuk Bölümü-Kişisel veri saklama ve imha politikası, hukuksal uyum sorumlusu, Süreçlerin mevzuata uygunluğunun sağlanması ve hukuki yönü ile değerlendirme

Kişisel Verileri Koruma Komitesi üyeliği- KVKK’ya uygun şirket politika ve kurallarının, prosedürlerinin oluşturulması

İnsan Kaynakları Yöneticileri İnsan Kaynakları Bölümü-Kişisel veri saklama ve imha sorumlusu, Görev dahilinde olan kişisel verilerin saklama sürelerine uygun saklanması ile imha sürecinin kurallara uygun yönetimi

Bilgi Teknolojileri Yönetimi Bilgi Teknolojileri Bölümü-Kişisel veri saklama ve imha sorumlusu, Görev dahilinde olan kişisel verilerin saklama sürelerine uygun saklanması ile imha sürecinin kurallara uygun yönetimi

Mali işler Bölümü Yönetimi Mali İşler Bölümü-Kişisel veri saklama ve imha sorumlusu, Görev dahilinde olan kişisel verilerin saklama sürelerine uygun saklanması ile imha sürecinin kurallara uygun yönetimi

Pazarlama ve Satış Yönetimi Pazarlama ve Satış Bölümü- Kişisel veri saklama ve imha sorumlusu, Görev dahilinde olan kişisel verilerin saklama sürelerine uygun saklanması ile imha sürecinin kurallara uygun yönetimi

İdari İşler Bölümü İdari İşler Bölümü-Kişisel veri saklama ve imha sorumlusu, Görev dahilinde olan kişisel verilerin saklama sürelerine uygun saklanması ile imha sürecinin kurallara uygun yönetimi

SAHİP OLDUĞUMUZ KİŞİSEL VERİLER:

  • ASLANLAR METAL ALM.P.V.C.PLS.İML.İTH.İHR.SAN. ve TİC.LTD.ŞTİ tarafından işlenen başlıca kişisel veriler aşağıdaki şekilde tanımlanabilir.
  • Kimlik bilgileri; Ad/Soyad, T.C. Kimlik no.,.,doğum yeri/tarihi, medeni hal, cinsiyet, sigorta no.,v.b.
  • İletişim bilgileri; Adres, Tel.no., E-Posta adresi,
  • Muhasebe bilgileri; Banka hesap no., IBAN no.,  mali durum bilgileri(maaş, vb.).
  • Sağlık bilgileri; Koruyucu hekimlik ve gereği tutulan veriler.
  • Müşteri şikayet bilgileri
  • Özgeçmiş kapsamında yer alan geçmiş iş/yaşam hayatına dönük bilgiler.
  • Kişisel birikim belgeleri; ehliyet, sertifika, eğitim kayıtları.
  • Sahip olduğumuz ve özeti yukarıda bulunan kişisel veriler bir envanter içeriğinde formatlanmıştır.

YÜKÜMLÜLÜKLERİMİZ:

Aydınlatma yükümlülüğümüz:

Veri sorumlusu olarak kişisel verileri toplarken; verilerin hangi amaçla işleneceği, işlenen verilerin aktarılacaksa kimlere ve hangi amaçla aktarılacağı, işlevini tamamlaması sonrasında silineceği veya imha edileceği hakkında, ilgili kişiyi aydınlatma yükümlülüğümüz vardır.  Çalışanlarımızı da kişisel verilerin hukuka ve şirket kurallarına uygun olarak işlenmesi, saklanması, korunması, sonrasında silinmesi, yok edilmesi ve aktarılması konularında eğitmekte ve bilgilendirmekteyiz.

 

Veri güvenliğini sağlama yükümlülüğümüz:

Daha öncede ifade ettiğimiz gibi; sahip olduğumuz verilerin güvenliğini sağlamak için gereken idari ve teknik tedbirler tarafımızca alınmaktadır. Buna göre Kişisel verilerin; hukuka ve şirket politika/kurallarına aykırı işlenmesini ve erişilmesini önlemek, uygun şartlarda saklanmasını ve muhafazasını sağlamak, verilerin imhası sürecini hukuka ve şirket politika/kurallarına uygun yürütmek yükümlülüklerimiz arasındadır. Kurallara aykırılık söz konusu olduğunda gereken yasal ve şirket içi disiplin kuralları tarafımızca uygulanır.

Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle işbirliği yapılması durumunda; kişisel verileri işleyen şirketler ile yapılan sözleşmelerde, gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer verilmektedir.

Kişisel verilere kurallara aykırı erişimi engellemek için; teknik uzmanlığı olan insan kaynaklarından yararlanılmaktadır.

Kişisel verilere fiziksel ve elektronik erişim yetkili personel ile sınırlandırılmıştır. Şirket içinde erişim için yetkilendirme prosedürü uygulanmaktadır. İç Denetim süreçlerinde, konu ile ilgili prosedürlere ve kurallara uyum kontrol edilmektedir.

Kişisel verilerin yetkisiz olarak ifşa edildiği tespit edilmesi durumunda ilgili kişiye ve KVK Kurulu’na bilgi vermek için gerekli sistem kurulmaktadır.

KİŞİSEL VERİLERİN İŞLENMESİ:

Kişisel verileri işleme amaçlarımız;

  • Kurumsal faaliyetlerimizi sürdürmek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizin yerine getirilmesini sağlamak,
  • Tedarik zinciri içinde müşteri, bayi ve tedarikçilerimizle olan ticari faaliyetlerimizi yürütmek,
  • İş başvurularını değerlendirmek,
  • Uyumluluk yönetimi sağlamak,
  • Çağrı merkezi faaliyetlerini yürütmek,
  • Kurumsal iletişimi sağlamak,
  • Kişiye özel, uygun iş ilanı ve istihdamı ile ilgili bilgileri sunmak,
  • Çalışanların haklarını korumak,
  • SMS ve E-posta ile bülten göndermek, ya da bildirimde bulunmak.

olarak tanımlanabilir.

Kişisel verileri yukarıda belirtilen amaçlar doğrultusunda işlemekte olup, gerek görülmeyen kişisel verileri işlememekteyiz.

Kişisel verilerin güncel olmasını sağlamak veri işleyenin sorumluluğundadır. İhtiyaca göre ilgili bölüm, veri sahibi ile temasa geçerek veri güncelliğini sağlar.

Veriler süreç gereği tanımlı süre sonunda silinmekte ve yok edilmektedir.

ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİ:

Özel nitelikli veriler açık rıza var ise veya mevzuatın zorunlu kıldığı hallerde işlenmekte olup, detayları Özel Nitelikli Kişisel Verilerin Güvenliği politikasında verilmektedir.

İNSAN KAYNAKLARI VE İSTİHDAM AMAÇLARIYLA KİŞİSEL VERİ İŞLENMESİ:

Çalışan adayı olarak yapılacak başvurular sürecinde paylaşılan özgeçmiş vb. belgelerde yer alan kişisel veriler amaca uygun olarak, iş başvurusunun değerlendirilmesi amacıyla işlenmekte, saklanmakta ve şirket yönetimine aktarımı yapılmaktadır.

Çalışana ait kişisel veriler ise İnsan Kaynakları bölümü tarafından işlenmekte ve özlük bilgi dosyalarında kapalı ve korunaklı alanlarda muhafaza edilmektedir.

KABLOSUZ AĞ BAĞLANTI VERİLERİ:

Elektronik bir cihazın herhangi bir internet ağına bağlanmak için kullandığı ve/veya kullanmış olduğu bağlantıya; süre, konum, süreklilik, içerik indirme veya yüklemeye yönelik verilerdir. Internet vb. uygulamaların kullanılabilmesi için zorunlu olarak toplanmakta ve işlenmektedir. Ziyaretçi bu bilgiye izin vermezse internete çıkış yapamaz.

KİŞİSEL VERİLERİN İŞLENMESİNDE AÇIK RIZA ALINMASI ARANMADIĞI HALLER:

  • Kanunda açıkça ön görülmesi,
  • Fiili imkansızlık,
  • Sözleşme gereği,
  • Hukuki yükümlülüğün yerine getirilmesi,
  • Yasal olarak veri işlemenin zorunlu olması,
  • Alenileştirilmiş olması,
  • Temel hak ve özgürlüklere zarar vermemek kaydıyla, meşru menfaatlerimiz için veri

işlemenin zorunlu olduğu hallerde,

Açık rıza aranmaz.

KİŞİSEL VERİLERİN GÜVENLİ AKTARILMASI:

 

Kişisel veriler ilgili mevzuat kapsamında, grup şirketleri, yetki vermiş olduğumuz temsilciler(avukatlar, danışmanlık ve denetim hizmeti aldığımız kurumlar,vs.) ve yurt içi ve yurt dışındaki iş ortaklarımız ile paylaşılmak üzere aktarılır.

Yukarıda belirtilen haller dışında ilgili kişinin rızası alınmaksızın başka kişilere herhangi bir veri aktarımı yapılmaz.

Yurt dışına aktarım durumunda KVK Kurulu’nun tanımladığı ülkelerarası koruma durumları dikkate alınır.

Ayrıca bu süreçte verilerin korunması için gerekli olan teknik ve idari tedbirler tarafımızca alınacaktır.

Kişisel verilerin aktarılmasında E-posta yolu tercih edilir. Gönderilecek veriler şifreli dosyalarla (şifre ve dosya bilgileri ayrı e-postalarda olmak koşulu ile) aktarılır. Zorunlu haller dışında taşınabilir bellek ile veri aktarımı yapılmaz. Mecbur kalındığında, sorumlu kişilerin refakatinde bu aktarım yapılır. Şifreleme, bu veri dosyaları içinde geçerlidir. Kağıt ortamında aktarılacak verilerin güvenliği için ağzı kapalı zarflar kullanılır. Bu konuda gereken tedbiri almak veri işleyenin sorumluluğundadır.

KİŞİSEL VERİLERİN SAKLANMASI:

Yasa ve yönetmelikler, ilgili birçok kişisel veriyi belirli süre saklamak zorunda kılmaktadır. Bu nedenle, bu tip kişisel verileri mevzuata uygun şekilde ve gerekli süre saklamak kurumumuzun sorumluluğundadır. Bu saklama süreleri, hazırlanan envanter tablolarında veri bazında tanımlanmıştır.

Kişisel veriler mevzuatta öngörülen veya amacının gerektirdiği süre boyunca muhafaza edilir. Veriler fiziki (birim dolapları, arşivler) veya elektronik (sunucu, bulut, vs.) ortamda saklanır. Verilerin saklanması ve muhafazası için gereken güvenlik tedbirleri alınmış, ortam tarafımızca sağlanmıştır. Bu ortamda verilerin bütünselliğinin kaybolmamasına özen gösterilir. Saklama süresi sona eren kişisel veriler 6 aylık periyodlarda imha (silme, yok etme) edilir.

Gereken altyapı ve buna özgü mekanizmalar kurulmuştur.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ:

• Kişisel verilerin işlenmesine esas teşkil eden mevzuat hükümlerinde bir değişiklik olması,

• Kişisel verilerin işlenmesini ve saklanmasını gerektiren şartların ortadan kalkması,

• İlgili kişinin rıza vermemesi veya rızasını geri alması ve bu kararın veri sorumlusu tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin dolması,

• KVK Kuruluna yapılan başvuru sonucu verilerin imhası talebinin kurulca uygun bulunması,

durumlarında kişisel veriler için silme, yok etme ve/veya anonimleştirme işlemi uygulanır.

KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİNDE KULLANILAN YÖNTEMLER:

• Doküman olarak, fiziksel ortamda(dolap ve/veya arşivlerde) muhafaza edilen verilerin güvenli olarak silinmesi ve yok edilmesi sorumluluğu o verileri işleyen birim yöneticilerindedir. Bu tip dokümanlar, geri dönüştürülemeyecek veya okunamayacak şekilde kesilerek, yakılarak, kırpıntı makinaları ile doğranarak veya benzeri yöntemlerle imha edilir. Bu verilerin tanımlanan şekli ile imhası için uzman bir kuruluştan da destek alınabilir.

• Elektronik ortamda, güvenilir olarak silme ve yok edilmesi işlemi Bilgi Teknolojileri grubunun sorumluluğundadır. Digital ortamda muhafaza edilen veriler, ilgililerin erişemeyeceği şekilde silinir ve tekrar kullanılabilir hale getirilemeyecek şekilde yok etme işlemine tabi tutulur. Bulut sisteminde, ilgili verilerin silinmesi işlemi yine aynı grup tarafından yürütülür.

• Fiziksel veya Elektronik, her iki ortamda saklanan ve imha edilen verilere uygulanan işlemler özel hazırlanan tutanaklara, veri işleyen ve Bilgi Teknolojileri grubu tarafından kayıt edilir. 6 aylık periyodlarla yapılan silme ve yok etme işlemine ait kayıtlar yine aynı gruplar tarafından aksi belirtilmedikçe 3 yıl muhafaza edilir.

KİŞİSEL VERİLERİN ANONİMLEŞTİRİLMESİ:

ASLANLAR METAL ALM.P.V.C.PLS.İML.İTH.İHR.SAN. ve TİC.LTD.ŞTİ faaliyetleri içinde anonimleştirme uygulaması yapılmaz.

Ancak; bir takım istatistiksel analiz ve değerlendirme amaçlı, şirket dışından yapılan taleplere cevaben, bazı kişisel verilerin kullanılması söz konusu olduğunda, bu veriler ait olduğu kişiler ile eşleştirilemeyecek şekilde (kimlik, pozisyon v.b. bilgiler dışarı alınarak) anonim hale getirilir ve kuruluş dışına aktarılarak kullanılabilir.

Bu durumda sorumluluk veri işleyen bölümde olup, kurallara uygunluk iç denetimlerde incelenir.

VERİ SAHİBİNİN HAKLARI:

Veri sahibi;

  • Kişisel verilerin işlenip işlenmediğini öğrenme, işlenmiş ise buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya dışında verilerin aktarıldığı kişileri öğrenme,
  • Kişisel verilerin işlenmesini gerektiren sebepleri ortadan kalkması halinde kişisel verilerin silinmesini ve yok edilmesini isteme,
  • Kişisel verilerin eksik, yanlış veya güncel olmaması durumunda bunların düzeltilmesini veya güncellenmesini isteme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebi ile zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

İLETİŞİM VE HAKLARIN KULLANILMASI:

Yukarıdaki maddeler kapsamında taleplerin olması durumunda, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz(30) gün içinde, ücretsiz olarak, veya KVK Kurulu’nun belirleyeceği ücret tarifesindeki koşullara göre sonuçlandıracaktır.

Bu konudaki talepler, Hacı Sabancı Organize Sanayi Bölgesi Mevlana Cad. No:2 Sarıçam/ADANA adresine iadeli taahhütlü mektup yoluyla; veya aslanlarmetal@aslanlarmetal.com  mail adresine; veya 0322 3944513 numaralı faksa yazılı olarak iletilebilir.

Başvuru; haklı bir nedene dayanmaması, ilgili mevzuata aykırı bir istem içermesi, başvuru usulüne uyulmaması hallerinde gerekçelendirilerek reddedilir.