KVKK Politikası
DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ ANONİM ŞİRKETİ
Kişisel Veri Saklama ve İmha Politikası
İÇİNDEKİLER
1.GİRİŞ....................3 2.KAPSAM....................3 3.TANIMLAR....................4 4.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN USUL VE
İLKELER....................4 5.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI....................5 6.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI....................6 7.KİŞİSEL VERİLERİN SAKLANMASI....................6 7.1.VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN
SEBEPLER....................6 7.1.1.Çalışan Adayı Verilerinin Saklanma
Sebepleri....................6 7.1.2.Çalışan Verilerinin Saklanma
Sebepleri....................6 7.1.3.Hissedar/Ortak Verilerinin Saklanma
Sebepleri....................7 7.1.4.Potansiyel Ürün veya Hizmet Alıcısı Verilerinin
Saklanma Sebepleri....................7 7.1.5.Sınav Adayı Verilerinin Saklanma
Sebepleri....................7 7.1.6.Stajyer Verilerinin Saklanma
Sebepleri....................7 7.1.7.Tedarikçi Verilerinin Saklanma
Sebepleri....................7 7.1.8.Ürün veya Hizmet Alan Kişi Verilerinin Saklanma
Sebepleri....................8 7.1.9.Veli/Vasi/Temsilci Verilerinin Saklanma
Sebepleri....................8 7.1.10. Ziyaretçi
Verilerinin Saklanma Sebepleri....................8 7.2.VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI....................8 8.KİŞİSEL VERİLERİN AKTARILMASI....................9 8.1.KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE
AKTARILMASI....................9 8.2.KİŞİSEL VERİLERİN YURTDIŞINA
AKTARILMASI....................10 9.KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE
ESASLAR....................10 9.1.KİŞİSEL VERİLERİN SAKLAMA VE İMHA
SÜRELERİ....................10 9.2.VERİ GRUPLARI AÇISINDAN SORUMLU ŞİRKET BİRİMLERİ VE
KULLANICI ŞİRKET BİRİMLERİ....................14 9.3.PERİYODİK VERİ İMHA SÜRECİ....................14 9.3.1.Periyodik İmha Süresi....................14 9.3.2.Periyodik İmha Sürecine İlişkin Yapılması Gereken
İşlemler....................15 9.4.BAŞVURUYA DAYALI VERİ İMHA SÜRECİ....................15 9.5.KİŞİSEL VERİLERİN İMHASI İŞLEMLERİ....................16 9.5.1.Fiziksel Ortamda Saklanan Kişisel Verilerin
İmhası....................16 9.5.2.Elektronik Ortamda Saklanan Kişisel Verilerin
İmhası....................17 9.5.3.Kişisel Verilerin Anonim Hale
Getirilmesi....................17 9.6.KİŞİSEL VERİLERİN İMHASINA İLİŞKİN KAYITLARIN
SAKLANMASI....................17 10.DÜNYA EKO’NUN AYDINLATMA
YÜKÜMLÜLÜĞÜ....................17 11.VERİ SAHİBİNİN HAKLARI....................18 12.VERİ GÜVENLİĞİ İÇİN ALINAN
TEDBİRLER....................20 12.1.TEKNİK TEDBİRLER....................20 12.2.İDARİ VE HUKUKİ TEDBİRLER....................20 13.VERİLERİN SAKLANMASI VE İMHASI SÜRECİNİN
DENETİMİ....................21 14.DİĞER HUSUSLAR....................21
DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
Türkiye Cumhuriyeti Anayasası’nın 20. maddesi uyarınca, herkes kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ ANONİM ŞİRKETİ ("DÜNYA EKO” ya da "Şirket”) olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ("KVKK” veya "Kanun”) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.
İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası ("Politika”), kişisel verilerin DÜNYA EKO tarafından toplanması, kullanılması, paylaşması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da, DÜNYA EKO tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygun olarak yer verilmiş olup, bu açıklamalar DÜNYA EKO çalışanlarını, aktif ve potansiyel müşterilerimizi, ziyaretçilerimizi ve DÜNYA EKO ile ilişki içinde bulunan diğer gerçek kişileri kapsamaktadır.
İşbu Politika; DÜNYA EKO’nun veri sorumlusu olarak İmha Yönetmeliği’nin 5 inci maddesi uyarınca hazırlamakla yükümlü olduğu "Kişisel Veri Saklama ve İmha Politikası” olup, DÜNYA EKO’nun merkez ve şube işletmeleri tarafından elde edilen her türlü kişisel veri hakkında uygulanır. DÜNYA EKO’nun tüm birimleri ve çalışanları, işbu Politikada öngörülen usul ve esaslara uygun hareket eder.
Şirket tarafından işlenen ve işbu Politika’ya tabi olan kişisel veri grupları aşağıda gösterilmiştir:
Veri Grupları |
|
1. |
Çalışan Adayı Verileri |
2. |
Çalışan Verileri |
3 |
Hissedar/Ortak Verileri |
4. |
Potansiyel Ürün veya Hizmet Alıcısı Verileri |
5. |
Sınav Adayı Verileri |
6. |
Stajyer Verileri |
7. |
Tedarikçi Verileri |
8. |
Ürün veya Hizmet Alan Kişi Verileri |
9. |
Veli / Vasi / Temsilci Verileri |
10. |
Ziyaretçi Verileri |
DÜNYA EKO tarafından işlenen ve saklanan kişisel veriler, daha detaylı olarak Veri Sorumluları Sicili Yönetmeliği uyarınca hazırlanmış olan Veri Envanterinde belirtilmektedir. İşlenen verilerin kapsamında bir değişiklik olması halinde, Veri Envanteri buna uygun olarak güncellenir.
İşbu Politika’da yer verilen terim ve kısaltmalara ilişkin tanımlar aşağıdaki gibidir:
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kanunveya KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
DÜNYA EKO veya Şirket: Dünya Eko Basım Yayın ve Dağıtım Ticaret ve Sanayi Anonim Şirketi
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri sahibi: Kişisel verisi işlenen gerçek kişi.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
4.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN USUL VE İLKELER
· DÜNYA EKO kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, DÜNYA EKO tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.
·Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, DÜNYA EKO’nun veri işleme süreçleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdiği sınırlar içinde kalınarak yürütülmektedir.
·Doğru ve gerektiğinde güncel olma: DÜNYA EKO tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.
·Belirli, açık ve meşru amaçlar için işlenme: DÜNYA EKO yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, DÜNYA EKO yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.
·İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: DÜNYA EKO tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
·İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: DÜNYA EKO tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, DÜNYA EKO, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. DÜNYA EKO gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.
5.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, DÜNYA EKO tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.
Kanun'da sayılan istisnalar dışında, DÜNYA EKO ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:
· Kanunlarda açıkça öngörülmesi,
·Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
·Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
·Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
·Veri sahibinin kendisi tarafından alenileştirilmiş olması,
·Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
·Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise DÜNYA EKO tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızınişlenebilmektedir:
·Kamu sağlığının korunması,
·Koruyucu hekimlik,
·Tıbbî teşhis,
·Tedavi ve bakım hizmetlerinin yürütülmesi,
·Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
6.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
DÜNYA EKO tarafından elde edilen kişisel verileriniz, aşağıda açıklanan kapsamlar dahilinde işlenebilecektir:
·İK operasyonları,
·Şirket içi operasyonları,
·Grup içi operasyonlar,
·Ürün veya hizmet alıcına dokunan süreç ve operasyonlar,
·Sınav adayına dokunan süreç ve operasyonlar,
·Hukuksal, teknik ve idari sonucu olan faaliyetler,
·Strateji, planlama ve iş ortakları/tedarikçi yönetimi
·Kurumsal iletişim faaliyetlerinin, etkinliklerin planlanması ve icrası
Yukarıda belirtilen kategoriler sizleri bilgilendirme amaçlı olup, DÜNYA EKO’nun gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için tarafımızca başka kategoriler de eklenebilecektir. Bu gibi durumlarda DÜNYA EKO, sizi en hızlı şekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri sizler için ilgili metinlerde güncellemeye devam edecektir.
7.KİŞİSEL VERİLERİN SAKLANMASI
7.1.VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
7.1.1.Çalışan Adayı Verilerinin Saklanma Sebepleri
Çalışan adayı verileri; iş başvurusunun uygunluğunun değerlendirilmesi, sonuçlandırılması ve aday ile iletişime geçilmesi, Şirket’in insan kaynakları politikaları çerçevesinde çalışan ihtiyacının temin edilmesi ve işe alım süreçlerinin yürütülmesi sebepleriyle saklanmaktadır.
7.1.2. Çalışan Verilerinin Saklanma Sebepleri
·İş Kanunu m.75 uyarınca, Şirket, her bir çalışan için bir özlük dosyası oluşturmak ve bu dosyalarda çalışanın kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak zorundadır.
·Çalışan verileri; ayrıca çalışan ile yapılan sözleşmeden ve/veya Toplu İş Sözleşmesinden kaynaklanan hakların kullanılması ve borçların ifa edilmesi, sosyal güvenlik mevzuatı ile vergi mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi, Şirket’in iş ve operasyonel düzeninin sağlanması, çalışana tıbbi destek sunulması, çalışanın Şirket’in çalışanlarına sunmuş olduğu hizmetlerden ve hediye, çekiliş gibi ayrıcalıklardan yararlandırılması, Şirket’in insan kaynakları politikalarının yürütülmesi, sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amaçlarıyla çalışan ile sözleşme ilişkisi devam ettiği süre boyunca saklanmak zorundadır.
·İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/f.1-b uyarınca, işverenler, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdürler. Bu kapsamda, çalışanların kişisel sağlık dosyasında yer alan veriler ile bu verilerle bağlantılı olan kimlik bilgilerinin, 15 yıl süreyle Şirket tarafından saklanması gereklidir.
·Şirket ile çalışan arasında çıkabilecek uyuşmazlıklara ilişkin azami zamanaşımı süresi, TBK m. 146 hükmü uyarınca 10 yıldır. Bu nedenle, Şirket ile çalışan arasında ileride çıkabilecek uyuşmazlıklarda kullanılmaları gerekli olabileceği için, çalışanların tüm verilerinin sözleşme ilişkisi sona erdikten sonra en az 10 yıl süreyle saklanması zorunludur. Şirket aleyhine zamanaşımı süresinin son günü dava açılması halinde, bu davanın Şirket’e tebliğ edilmesi belirli bir süre alacağı için, çalışan verilerinin tedbiren 10 yıllık zamanaşımı süresine ilaveten 3 aylık ek süre boyunca saklanması gereklidir.
·Yukarıda belirtilen 10 yıl 3 aylık süre içerisinde Şirket ile çalışan arasında bir hukuki uyuşmazlık çıkması halinde, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar, çalışan verilerinin saklanması gereklidir.
·Şirket tarihçesinin ve kurum aidiyetinin oluşturulması için, çalışanların ad-soyadı, personel sicil numarası, çalıştığı Şirket birimi, çalıştığı tarihler ve unvan bilgilerinin süresiz olarak saklanması gereklidir.
7.1.3. Hissedar/Ortak Verilerinin Saklanma Sebepleri
Şirket ortaklarının verileri, şirketler hukuku ve diğer ortaklık işlemlerinin gerçekleştirilmesi, kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi hukuki uyuşmazlıkların çözümlenmesi için süresiz olarak saklanabilmektedir.
7.1.4. Potansiyel Ürün veya Hizmet Alıcısı Verilerinin Saklanma Sebepleri
DÜNYA EKO, faaliyet konusu gereği kitap, dergi, gazete gibi yayınların ithalatı, basım, yayın, pazarlama ve satışını gerçekleştirmektedir. Potansiyel ürün veya hizmet alıcılarının verileri, pazarlama faaliyetlerinin yürütülebilmesi amacıyla saklanmaktadır.
7.1.5. Sınav Adayı Verilerinin Saklanma Sebepleri
DÜNYA EKO, Cambridge English Language Assessment sınavlarını gerçekleştirmektedir. Bu kapsamda sınavların yapılması, sonuç belgeleri ile sertifikaların hazırlanması amacıyla veri sorumlusu Cambridge’in kontrolünde sınav adayına ait kişisel verilerin saklanması söz konusudur.
7.1.6. Stajyer Verilerinin Saklanma Sebepleri
Stajyer verileri, DÜNYA EKO’da staj yapan stajyerlerin özlük dosyalarının oluşturulması, karşılıklı hak ve yükümlülüklerin yerine getirilmesi, Şirket’in iş ve operasyonel düzeninin sağlanması için işlenmektedir.
7.1.7. Tedarikçi Verilerinin Saklanma Sebepleri
Tedarikçi verileri, Şirket’in mal veya hizmet tedariki ihtiyacının giderilmesi, tedarikçi ile yapılan sözleşmenin kurulması ve ifa edilmesi, TTK, vergi ve ihale mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi, sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amaçlarıyla saklanır.
Tedarikçi verileri, tedarikçi tarafından verilerinin imhası talep edilmedikçe, süresiz olarak saklanır. Tedarikçi tarafından verilerinin imhasının talep edilmesi halinde ise:
·Tedarikçi ile yapılan sözleşmeden kaynaklanacak uyuşmazlıklara ilişkin azami zamanaşımı süresinin dolmasından itibaren 3 aylık süre geçmemişse, bu sürenin sona erdiği tarihe kadar; eğer söz konusu süre içerisinde bir hukuki uyuşmazlık çıkmışsa, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar tedarikçi verilerinin saklanması gereklidir,
·Tedarikçi ile herhangi bir sözleşme yapılmamışsa veya yapılan sözleşmeye ilişkin azami zamanaşımı süresinin dolmasını takip eden 3 aylık süre içerisinde taraflar arasında herhangi bir hukuki uyuşmazlık çıkmamışsa, tedarikçi verisi talep üzerine işbu Politika’ya uygun olarak imha edilir.
7.1.8.Ürün veya Hizmet Alan Kişi Verilerinin Saklanma Sebepleri
Ürün veya hizmet alan kişi ile kurulan sözleşmenin gereklerinin yerine getirilmesi ve 213 sayılı Vergi Usul Kanunu’nun 229 vd. ile ilgili tebliğler hükümleri gereğince fatura düzenlenebilmesi için verileri işlenir ve saklanır. Bu kapsamda düzenlenen faturaların VUK m. 253 uyarınca 5 yıl saklama yükümlülüğü bulunmaktadır.
7.1.9. Veli/Vasi/Temsilci Verilerinin Saklanma Sebepleri
DÜNYA EKO olarak anlaşmalı bulunduğumuz okulların öğrencilerine uygulayacağımız sınavlar için öğrenci velilerinin ödeme gerçekleştirmesi gerekmekte olup, online sistemler üzerinden gerçekleştirilen bu ödeme için öğrenci velilerinin verilerini işlemekteyiz.
7.1.10.Ziyaretçi Verilerinin Saklanma Sebepleri
Şirket çalışanlarının ve diğer üçüncü kişilerin ve Şirket’in fiziki ve elektronik ortamlarının güvenliğinin ve denetiminin sağlanması ve sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amacıyla, Şirket’e ait bina, ofis ve diğer ortamlara giren ziyaretçilerin bilgisayar ortamında ad ve soyadı bilgilerinden oluşan kaydının alınabilmesi mümkündür.
Şirket’e ait ofisler veya diğer ortamlarda Şirket tarafından sunulan kablosuz ağ bağlantısını kullanan kişilerin verileri, İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik m.4 uyarınca 2 yıl süreyle saklanmak zorundadır. Dolayısıyla, bu kişilerin kablosuz ağ kullanımlarına ilişkin log kayıtları, herhangi bir adli veya idari sürece konu olmadıkları sürece 2 yıl süreyle saklanır. Log kayıtlarının herhangi bir adli veya idari bir sürece konu olması halinde ise, bu kayıtlar, söz konusu sürecin gerektirdiği süre boyunca ve ölçüde saklanır.[SA1]
7.2. VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
DÜNYA EKO’nun merkez ve şube işletmeleri tarafından işlenen kişisel verilerin saklandığı ortamlar aşağıdaki gibidir:
VERİ GRUBU |
FİZİKİ KAYIT ORTAMLARI |
ELEKTRONİK ORTAMLAR |
Çalışan Adayı Verileri |
· Fiziki İş Başvuru Formları · CV Dosyaları |
· Elektronik İş Başvuruları (Bilgisayar Ortamı) · E-posta |
Çalışan Verileri |
· Özlük Dosyaları · İç Yazışma Dosyaları · Kişisel Sağlık Dosyaları · Bordrolar · İcra ve Dava Dosyaları · SGK ve Vergi Dosyaları |
· İK Programı · Muhasebe Programı · Bilgisayar Ortamı · Bordro Zarfları (Ofis Dosyası) · E-posta |
Hissedar/Ortak Verileri |
· Hazirun Cetveli · Genel Kurul Toplantı Tutanakları · Vekaletnameler · Dava Dosyaları · Denetim Raporları |
· Bilgisayar Ortamı |
Potansiyel Ürün veya Hizmet Alıcısı Verileri |
· Bilgi formları · Kartvizitler |
· Bilgisayar Ortamı · E-ticaret Sitesi Yazılımı · Office 365 |
Sınav Adayı Verileri |
· Dosyalar |
· Bilgisayar Ortamı · E-posta |
Stajyer Verileri |
· Özlük Dosyaları |
· Bilgisayar Ortamı · E-posta |
Tedarikçi Verileri |
· Sözleşme ve Eklerinin fiziki kopyaları |
· Bilgisayar Ortamı · E-posta |
Ürün veya Hizmet Alan Kişi Verileri |
· Abonelik Başvuru Formu · Muhasebe Dosyaları |
· Bilgisayar Ortamı · E-Ticaret Sitesi Yazılımı · E-posta |
Veli/Vasi/Temsilci Verileri |
|
· Kapalı Devre Yazılım |
Ziyaretçi |
|
· Bilgisayar Ortamı · E-posta
|
8.KİŞİSEL VERİLERİN AKTARILMASI
8.1. KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE AKTARILMASI
DÜNYA EKO, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, DÜNYA EKO tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler DÜNYA EKO tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:
·Kanunlarda açıkça öngörülmesi,
·Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
·Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
·Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
·Veri sahibinin kendisi tarafından alenileştirilmiş olması,
·Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
·Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
·Kamu sağlığının korunması,
·Koruyucu hekimlik,
·Tıbbî teşhis,
·Tedavi ve bakım hizmetlerinin yürütülmesi,
·Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.
Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
8.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Bu kapsamda DÜNYA EKO tarafından yurtdışına veri aktarımının söz konusu olduğu hallerde ilgili kişilerin kanuna uygun açık rızaları alınmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da DÜNYA EKO tarafından kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, DÜNYA EKO ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.
9.KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE ESASLAR
9.1. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, aşağıdaki tabloda belirtilen sürelerle saklanır.
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
Çalışanların özlük dosyasının tutulması |
İş hukuku mevzuatı uyarınca istihdam ilişkisi süresince ve TBK m. 72 uyarınca istihdam ilişkisinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha [SA2]süresinde |
Çalışanların sağlık dosyasının tutulması (İşe giriş muayenesi, periyodik sağlık kontrolleri, sağlık raporları) |
İstihdam ilişkisi süresince ve istihdam ilişkisinin bitiminden itibaren İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m. 7/1-b uyarınca 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
DÜNYA EKO’nun taraf olduğu sözleşme süreçlerini yürütülmesi ve sözleşme sürecine ilişkin taraflara ait gerekli belgelerin tutulması |
Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket iç süreçlerine yönelik teyit ve denetim süreçlerinin yürütülmesi |
Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket faturalama işlemlerinin gerçekleştirilmesi |
Faturanın oluşturulmasından itibaren TTK m. 82 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Muhasebe süreçlerinin yürütülmesi |
Muhasebe kayıtlarının tutulmasından itibaren TTK m. 82 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hizmet veya ürün alım satımına ilişkin talep, şikayet ve sipariş süreçlerinin yürütülmesi |
Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İstihdam ilişkisi süresince ve istihdam ilişkisinin bitiminden itibaren İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m. 7/1-b uyarınca 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Çalışan bordrolarına ilişkin süreçler |
İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların masraf süreçlerinin yürütülmesi |
İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların iş seyahati süreçlerinin yürütülmesi |
İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların talep ve şikayet süreçlerinin yürütülmesi |
Talep ve şikayetlerin elde edilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA4] |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki süreç takiplerinin gerçekleştirilmesi |
Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnternet trafik kayıtlarının tutulması |
5651 sayılı Kanun uyarınca ilk kaydın elde edilme anından itibaren 2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Zimmet kayıtlarının tutulması |
İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket binası içerisinde ziyaretçi giriş-çıkış kayıtlarının tutulması |
İlk kaydın oluşturulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA5] |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çağrı merkezi kayıtlarının tutulması |
İlk kaydın oluşturulma anından itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İstihdam ilişkisi kurulmayan çalışan adayına ait iş başvuru sürecine ilişkin belgelerin elde edilmesi (Özgeçmiş, iş başvuru formu.) |
Belgelerin elde edilme veya doldurulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca[SA6] |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Olumsuz sonuçlanan stajyer adayına ait staj başvuru sürecine ilişkin belgelerin elde edilmesi (Staj belgeleri, özgeçmiş vs.) |
Belgelerin elde edilme veya doldurulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca[SA7] |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bilgi Teknolojileri süreçlerine ilişkin bilgi güvenliği kayıtlarının (log kayıtları) tutulması |
Kayıtların elde edilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA8] |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket esas sözleşmelerinin akdedilmesi |
Esas sözleşmenin akdedilmesinden itibaren TTK m. 336 uyarınca 5 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Genel Kurul ve Yönetim Kurulu karar süreçlerinin yürütülmesi |
Kararın alınmasından itibaren TTK m. 82 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket faaliyetleri kapsamında gerçekleştirilen sınav uygulamaları |
Sınav adayının sınava girmek üzere başvuruda bulunmasından itibaren veri sorumlusu Cambridge’in belirleyeceği idari süre boyunca |
Veri sorumlusu Cambridge’in belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket iç denetim süreçlerinin gerçekleştirilmesi |
Denetimin gerçekleştirilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket’in hukuki yükümlülüğü gereği dış denetimlerin yerine getirilmesi |
Denetim raporlarının oluşturulma anından itibaren TTK m. 82 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket bünyesinde gerçekleşen organizasyon ve etkinlik süreçleri |
Faaliyetin gerçekleştiği andan itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca |
DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket müşterilerine yönelik kampanya ve reklam süreçlerinin yürütülmesi |
Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
·Çalışanın işten ayrılmasından sonra 15 yıl geçtikten sonra, çalışanın talep etmesi halinde, veri imha edilir.
·Şirket ile veri sahibi arasında 10 yıl 3 aylık süre içerisinde bir hukuki uyuşmazlık çıkması halinde, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar veriler saklanır.
·Veri sahibinin talep etmesi halinde, Şirket ile bu kişi arasında devam eden herhangi bir hukuki süreç bulunmaması şartıyla veriler imha edilir. Şirket ile veri sahibi arasında devam eden hukuki bir sürecin söz konu olması halinde ise, veriler bu sürecin gerektirdiği süre boyunca ve ölçüde saklanır.
·Tedarikçi tarafından verilerin silinmesinin talep edilmesi halinde, tedarikçi ile yapılan sözleşmeden kaynaklanacak uyuşmazlıklara ilişkin azami zamanaşımı süresinin dolmasından itibaren 3 aylık süre geçmemişse, tedarikçi verileri söz konusu sürenin dolduğu tarihe kadar; eğer bu söz konusu sürenin içerisinde taraflar arasında bir hukuki uyuşmazlık çıkmışsa, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar veriler saklanır. Tedarikçi ile herhangi bir sözleşme yapılmamışsa veya yapılan sözleşmeye ilişkin azami zamanaşımı süresi dolmasını takip eden 3 aylık süre geçmişse, tedarikçi verisi talep üzerine silinir.
·Görüntü veya log kayıtlarında yer alan verilerin adli veya idari bir sürece tabi olması halinde, bu süreç sona erene kadar log kayıtları saklanır.
9.2. VERİ GRUPLARI AÇISINDAN SORUMLU ŞİRKET BİRİMLERİ VE KULLANICI ŞİRKET BİRİMLERİ
Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu birim olan Bilgi İşlem Müdürlüğü yanında, her bir Veri Grubuna ilişkin sorumlu Şirket birimleri ile kullanıcı Şirket birimleri, kişisel verilerin imha sürecinde işbu bölümde belirtilen görevlerini yerine getirirler.
Her bir Veri Grubu açısından sorumlu Şirket birimi ve kullanıcı Şirket birimleri aşağıdaki tabloda gösterilmiştir. Şirket’in faaliyetleri veya idari ve operasyonel düzeni gereği verilerin aşağıdaki tabloda yer almayan Şirket birimleri ile paylaşılmasının gerekmesi halinde, bu birimler de ilgili Veri Grubu açısından kullanıcı Şirket birimi kabul edilir ve bu Politika’da öngörülen kullanıcı Şirket birimlerinin yükümlülüklerine tabi olur.
VERİ GRUPLARI |
SORUMLU ŞİRKET BİRİMİ |
|
1. |
Çalışan Adayı Verileri |
İnsan Kaynakları Birimi |
2. |
Çalışan Verileri |
İnsan Kaynakları Birimi, Mali İşler Birimi |
3 |
Hissedar/Ortak Verileri |
Mali İşler Birimi |
4. |
Potansiyel Ürün veya Hizmet Alıcısı Verileri |
Süreli Yayınlar Birimi, Yabancı Yayın ve Abone Birimi, AjansD, Dünya Store |
5. |
Sınav Adayı Verileri |
Sınav Merkezi Birimi |
6. |
Stajyer Verileri |
İnsan Kaynakları Birimi |
7. |
Tedarikçi Verileri |
İdari İşler Birimi, Mali İşler Birimi |
8. |
Ürün veya Hizmet Alan Kişi Verileri |
Süreli Yayınlar Birimi, Yabancı Yayın ve Abone Birimi, AjansD, Dünya Store, Dünya Education, Mali İşler Birimi |
9. |
Veli / Vasi / Temsilci Verileri |
Sınav Merkezi, Mali İşler Birimi |
10. |
Ziyaretçi Verileri |
İdari İşler Birimi |
9.3. PERİYODİK VERİ İMHA SÜRECİ
DÜNYA EKO olarak, hukuken daha uzun bir sürenin gerekli kılındığı veya daha uzun bir süreye izin verildiği durumlar hariç olmak üzere, kişisel verileri yalnızca işbu Politika’da belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca muhafaza etmekteyiz. Saklama süresi sona eren kişisel veriler, KVKK’nın 7’inci maddesi çerçevesinde her yılın Şubat ve Ağustos aylarında [SA9]tarafımızca silinir, yok edilir veya anonim hale getirilir.
9.3.2.Periyodik İmha Sürecine İlişkin Yapılması Gereken İşlemler
9.3.2.1.Veri saklama süresinin başlangıcının tespiti ve bildirilmesi
Verilerin, çalışanın işten ayrılması gibi belirli bir olaydan itibaren işleyecek bir sürenin sonunda imha edilecek olması halinde, sorumlu Şirket birimleri:
·Sürenin başlangıcını tespit eder ve bunu, gerekliyse Bilgi İşlem Müdürlüğü’nden de destek alarak, verilerin imhası konusunda tutmuş olduğu kendi kayıtlarına işler,
·Sürenin başlamasına bağlı veri güvenliğine ilişkin tedbirleri alır ve
·Sürenin başladığı veri sahiplerini, kullanıcı Şirket birimlerine bildirir.
Her bir kullanıcı Şirket birimi, sorumlu Şirket biriminden söz konusu bildirimi aldıktan sonra:
·Bildirime konu veri sahiplerinin verilerini saklamalarını gerektiren bir nedenin bulunmaması halinde, bu verileri işbu Politika’ya göre imha eder,
·Söz konusu veri sahiplerinin verilerinin saklanmasını gerektiren bir nedenin bulunması halinde ise, varsa sürenin başlamasına ilişkin veri güvenliğine ilişkin tedbirleri alır.
Sorumlu Şirket birimleri ile kullanıcı şirket birimlerinin her biri:
·Bildirim konusu veri sahiplerinin verilerini, kamu kurum ve kuruluşları veya mevzuat uyarınca veri aktarımı zorunlu olan özel kişiler dışında, bir üçüncü kişiye aktarmışsa,
·Bu üçüncü kişi, veri sorumlusu olarak verilerin işlenmesi konusunda kendisi söz konusu veri sahibinden ayrıca rıza almamışsa ve KVK Kanunu m.5 ve 6’da belirlenen istisnai haller söz konusu değilse ve
·Üçüncü kişinin artık ilgili veri sahibinin verilerini saklaması gerekli değil ise söz konusu veri sahiplerinin verilerinin bu üçüncü kişi tarafından imha edilmesini sağlar.
Bilgi İşlem Müdürlüğü, bu kısımda belirtilen sürece ilişkin sorunlu Şirket birimleri ile kullanıcı Şirket birimlerine gerekli teknik desteği sağlar.
9.3.2.2.Periyodik imha işlemi
Periyodik imha işlemi sürecinde, her bir sorumlu Şirket birimi, saklama süresi dolmuş olan veri sahiplerinin listesini Şirket’in Genel Müdürlüğü ve/veya şubeleri nezdinde oluşturulan Veri İmha Komitesi’ne ve kullanıcı Şirket birimlerine gönderir.
Sorumlu Şirket birimleri ile kullanıcı şirket birimleri ve Bilgi İşlem Müdürlüğü, Veri İmha Komitesi’nin koordinasyonu dahilinde:
·Verilerin saklanmasını gerektiren herhangi bir hukuki sürecin olup olmadığını teyit eder,
·Bir önceki periyodik imha işleminden sonra saklama süreleri dolmuş olan verileri, bu Politika’da belirtilen esaslara göre imha eder,
·Verileri imha etmesi gereken üçüncü kişileri bilgilendirerek verilerin bu kişiler tarafından da imha edilmesini sağlar.
9.4. BAŞVURUYA DAYALI VERİ İMHA SÜRECİ
Bir veri sahibi tarafından verilerinin imhasının talep edilmesi halinde, bildirimi alan Şirket birimi, bu bildirimi Bilgi İşlem Müdürlüğüne iletir.
Bilgi İşlem Müdürlüğü imha başvurusunun usulüne uygun yapıldığını ve hukuki uyuşmazlığın olup olmadığını teyit ettikten sonra, bu başvuruyu söz konusu veriye ilişkin sorumlu Şirket birimine gönderir.
Sorumlu Şirket birimi:
·İşbu Politika uyarınca imhası istenen verilerin saklanmasını gerekli kılan bir sebebin bulunup bulunmadığını denetler,
·Verilerin saklanmasını gerektiren bir sebebin varlığı halinde, başvuruyu kendi kayıtlarına işler ve söz konusu sebep ortadan kalktıktan sonra verileri imha eder,
·Verilerin saklanmasını gerektiren başka bir sebep bulunmaması halinde, veri sahibinin talebi üzerine birim nezdindeki verileri imha eder,
·Elektronik ortamda tutulan verilerin imhası için Bilgi İşlem Müdürlüğü’nü bilgilendirir,
·Kullanıcı Şirket birimlerini, başvuru hakkında bilgilendirir.
Her bir kullanıcı Şirket birimi, başvuruya konu verilerin, gerekliyse Bilgi İşlem Müdürlüğü’nün sağlamış olduğu teknik destek ile birlikte işbu Politika’da belirtilen esaslara göre imha edilmesini sağlar.
Sorumlu Şirket birimleri ile kullanıcı Şirket birimleri:
·İmhası talebinde bulunan veri sahibini, kamu kurum ve kuruluşları veya mevzuat uyarınca veri aktarımının zorunlu olduğu özel kişiler dışında verileri aktarmış oldukları üçüncü kişilere bildirir ve
·Bu üçüncü kişiler tarafından veri sorumlusu olarak verilerin işlenmesi konusunda söz konusu veri sahibinden ayrıca rıza alınmamışsa, verilerin bu üçüncü kişiler tarafından imha edilmesini sağlar.
Bilgi İşlem Müdürlüğü, başvuruda bulunan veri sahibinin elektronik ortamda saklanan verilerinin işbu Politika’da belirtilen esaslara göre imha edilmesi için gerekli tedbirleri alır ve sorumlu Şirket birimleri ile kullanıcı Şirket birimlerine gerekli olan diğer teknik desteği sunar.
Veri sahibi tarafından sadece bir kısım verilerin imhasının talep edilmesi halinde, sadece bu veriler imha edilir.
Veri sahibinin talebi üzerine yapılan imha işlemi, talep tarihinden itibaren en geç bir ay içerisinde gerçekleştirilir ve bu süre içerisinde veri sahibine bildirim yapılır. Veri sahibinin imha talebinin reddinin gerekmesi halinde, bu durum da yine talep tarihinden itibaren en geç 30 gün içerisinde ret gerekçeleriyle birlikte veri sahibine bildirilir.
9.5. KİŞİSEL VERİLERİN İMHASI İŞLEMLERİ
9.5.1. Fiziksel Ortamda Saklanan Kişisel Verilerin İmhası
Fiziki belge ortamında bulunan kişisel veriler, kural olarak ilgili Şirket birimi tarafından karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili belge üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. Karartma işlemi, Şirket birimlerinin belgenin karartılmayan kısımlarını başka verilerle eşleştirerek veri sahibinin kimliğini belirlemelerini engelleyecek şekilde ve ölçüde yapılır.
Kişisel verilerin yer aldığı belgeler; karartma yöntemi dışında, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak geri birleştirilemeyecek şekilde küçük parçalara bölünerek veya yakılarak da imha edilebilir.
Toplu şekilde imha edilecek veriler, uygun ortam veya yerlerde yakılmak suretiyle, imha edilebilir.
9.5.2.Elektronik Ortamda Saklanan Kişisel Verilerin İmhası
9.5.2.1.Merkez sunucularda yer alan kişisel verilerin imhası
Merkez sunucularında yer alan dosyaların silinmesi işlemi, işletim sistemindeki silme komutu ve ilgili programlar üzerindeki parametreler ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde Bilgi İşlem Müdürlüğü tarafından, Sorumlu Şirket Birimleri ile Kullanıcı Şirket Birimlerinin erişim haklarının kaldırılması yöntemiyle gerçekleştirilir.[SA10]
9.5.2.2.Veri tabanı ve belge yönetim programlarında yer alan veriler
Veri tabanında yer alan veriler, veri tabanı komutları ile (delete vb.) silinir. Bu silme işleminden sonra, Sorumlu veya Kullanıcı Şirket Birimleri, silinmiş verileri geri getirme yetkisine sahip olmamalıdır.
9.5.2.3.Hard disk veya taşınabilir medyada saklanan veriler
Bilgisayar hard diskinde veya flash bellek ve optik diskler (CD, DVD gibi) gibi taşınabilir medyada saklanan verilerin imha işlemi, bu ortamlara uygun yazılımlar veya komutlar kullanılarak verilerin silinmesi, hard diskin ya da taşınabilir medya cihazının yok edilmesi veya bu hard diskin veya medya cihazlarının şifresi Bilgi İşlem Müdürlüğünde olacak şekilde, şifreli olarak saklanması yoluyla gerçekleştirilir.[SA11]
9.5.3.Kişisel Verilerin Anonim Hale Getirilmesi
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.
Bilgi İşlem Müdürlüğü ile Sorumlu veya Kullanıcı Şirket Birimleri, kişisel verilerin bu Politika uyarınca imhasında, yukarıda belirtilen silme veya yok edilme yöntemleri yerine, bu verilerin anonim hale getirilmesini sağlayıcı uygun yöntemler kullanabilir.
9.6. KİŞİSEL VERİLERİN İMHASINA İLİŞKİN KAYITLARIN SAKLANMASI
Bilgi İşlem Müdürlüğü, sorumlu Şirket birimleri ve kullanıcı Şirket birimleri, gerçekleştirmiş oldukları periyodik imha işlemleri ile veri sahibinin başvurusuna dayalı imha işlemlerini yazılı olarak kayıt altına alır. Bilgi İşlem Müdürlüğü, ayrıca elektronik ortamda gerçekleştirmiş oldukları imha işlemlerine ilişkin log kayıtlarını tutar.
İmha Yönetmeliği’nin 7’nci maddesinin üçüncü fıkrası uyarınca, Şirket birimleri tarafından yapılan bütün imha işlemlerine ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
10.DÜNYA EKO’NUN AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
·Veri sorumlusunun ve varsa temsilcisinin kimliği,
·Kişisel verilerin hangi amaçla işleneceği,
·İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
·Kişisel veri toplamanın yöntemi ve hukuki sebebi,
·KVKK’nın 11. maddesinde sayılan diğer haklar.
DÜNYA EKO, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, DÜNYA EKO’nun ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin DÜNYA EKO tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.
Öte yandan, KVKK’nın 28(1). maddesi çerçevesinde, aşağıda sayılan durumlarda DÜNYA EKO’nun aydınlatma yükümlülüğü bulunmamaktadır:
·Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
·Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
·Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bununla beraber, KVKK’nın 28’nci maddesinin 2’inci fıkrası çerçevesinde, DÜNYA EKO’nun aydınlatma yükümlülüğü aşağıdaki hallerde uygulama alanı bulmayacaktır:
·Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
·Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
·Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
·Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
DÜNYA EKO tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri sahipleri, yukarıda sayılan haklarını, işbu Politika’nın 1 no’lu ekinde bulunan veri sahibi başvuru formunun ıslak imzalı bir nüshasını, DÜNYA EKO iletişim adreslerine, posta, e- posta yahut iadeli taahhütlü mektup vasıtasıyla ileterek kullanabilirler. Formun doldurulması yahut DÜNYA EKO’ya gönderilmesi hakkında detaylı bilgiler, 1 no’lu ekte bulunan başvuru formunda yer almaktadır. DÜNYA EKO, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır.
DÜNYA EKO, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, DÜNYA EKO tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, DÜNYA EKO tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.
Öte yandan, KVKK’nın 28(1). maddesi çerçevesinde, veri sahipleri, aşağıda sayılan hallerde KVKK’nın 11. maddesinde sayılan yukarıdaki hakları kullanamaz:
·Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
·Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
·Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bununla beraber, KVKK’nın 28(2). maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, KVKK’nın 11. maddesinde sayılan yukarıdaki haklar aşağıdaki durumlarda uygulama alanı bulmayacaktır:
·Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
·Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
·Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
·Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
12.VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
DÜNYA EKO, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12’nci maddesinin 1’inci fıkrasında öngörülen tedbirler şunlardır:
·Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
·Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
·Kişisel verilerin muhafazasını sağlamak.
DÜNYA EKO’nun bu kapsamda aldığı önlemler aşağıda sayılmıştır:
Şirket, elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için, aşağıdaki teknik tedbirleri uygulamaktadır:
·Bilgi İşlem Müdürlüğü bünyesinde, teknik bilgi ve donanıma sahip personel çalıştırılmaktadır.
·Ağ güvenliği sağlanmaktadır.
·Erişim logları düzenli olarak tutulmaktadır.
·Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
·Güncel anti-virüs sistemleri kullanılmaktadır.
·Güvenlik duvarları kullanılmaktadır.
·Datacenter giriş ve çıkışlarında şifreleme kullanılmaktadır.
·Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
·Kullanıcı hesap yönetimi düzenli aralıklarla kontrol edilmektedir.
·Saldırı önleme sistemi bulunmaktadır.
·Şifreleme kullanılmaktadır.
12.2.İDARİ VE HUKUKİ TEDBİRLER
Şirket, kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için aşağıdaki idari ve hukuki tedbirleri uygulamaktadır:
·Çalışanları ile yapılan sözleşmelerin içerisinde veya ekinde, bu kişilerden, görevleri gereği eriştikleri kişisel verilerin gizliliğinin korunmasına yönelik taahhütname almaktadır.
·Kişisel verilerin gizliliğinin korunması ve KVKK ve ikincil mevzuata uygun hareket edilmesi konusunda çalışanlarının farkındalığının ve sorumluluğunun artırılması için çalışanlara gerekli eğitimler verilmektedir.
·Kişisel verilerin aktarıldığı üçüncü kişilerle gizlilik taahhütnameleri imzalanmaktadır.
·Şirket, kişisel verilere ilişkin veri tabanı oluşturulmasında üçüncü kişilere ait yazılım programlarını ve bulutları kullanabilmekte ve diğer kişisel veri işleme amaçlarının elde edilebilmesi için verileri iş ortakları, tedarikçileri ve benzeri üçüncü kişilerle paylaşabilmekte veya kişisel verilerin elde edilmesinde veri işleyen konumundaki üçüncü kişilerden destek alabilmektedir. Bu hallerde, söz konusu üçüncü kişilere veri aktarımının amacı dikkate alınarak gerekli olduğu ölçüde verilere erişim yetkisi sağlanır [SA12]ve bu kişilerle yapılan sözleşmelerin içerisinde veya ekinde bu kişilere kişisel verilerin güvenliğinin sağlanması ve gizliliğinin korunmasına yönelik yükümlülükler getirilmektedir.
·Kişisel verilerin yer aldığı fiziki belgeler, kilitli ortamlarda saklanmakta ve çalışanların bu belgelere erişimi Şirketin idari, operasyonel ve çalışma düzeninin izin verdiği ölçüde sınırlandırılmaktadır.
·Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
·Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
13.VERİLERİN SAKLANMASI VE İMHASI SÜRECİNİN DENETİMİ
Şirket, kişisel verilerin saklanması ve imhası işlemlerini işbu Politika’ya uygun olarak yürütülüp yürütmediğini denetler. Gerçekleştirilen denetimler sonucunda, işbu Politika’ya aykırı bir durum tespit edilmesi halinde, bu aykırılıkların giderilmesi ve ilgililer hakkında gerekli işlemlerin yapılması için uygun teknik, hukuki ve idari adımların atılması sağlanır ve bu husus Şirket içerisinde yetkili birimlere raporlanır. Şirket’in kişisel veri saklama ve imhası süreçlerinin işbu Politika’ya uygunluğunun sağlanması konusunda yapılan denetimler ve bunların sonuçları denetim raporlarına eklenir.
Şirket’in tüm çalışanları, Şirket tarafından işlenen kişisel verilerin hukuki olmayan yollarla başkaları tarafından elde edildiği konusunda bilgisi veya şüphesi olması halinde, bu durumu vakit kaybetmeksizin yöneticisine bildirir. Verilerin hukuka aykırı olarak işlendiğinin Şirket tarafından tespiti halinde, bu durum KVKK m.12/5 uyarınca vakit kaybetmeksizin ilgili veri sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirilir ve söz konusu aykırılığın olumsuz etkilerinin önlenmesi ve giderilmesi için gerekli tüm adımlar atılır.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
DÜNYA EKO tarafından hazırlanan işbu Politika __.__.__ tarihinde yürürlüğe girecektir. Politikada değişiklik olması durumunda, Politikanın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ ANONİM ŞİRKETİ
[SA1]IT departmanı teyit etmelidir.
[SA2]Veri Sorumlusu şirket, kendi içerisinde alacağı bir idari karar ile periyodik imha süresini belirleyecektir. Periyodik imha süresi 6 aydan uzun bir süre olarak belirlenmemelidir.
[SA3]Süreç, iş kazası tutanakları, sigara cezası tutanakları gibi süreçlerde işlenen kişisel verilere yönelik olarak oluşturulmuştur.
[SA4]Eğer ilgili sürece ait belgeler (rapor, değerlendirme vb.) çalışan özlük dosyasında saklanmakta ise, saklama süresi; İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl İmha süresi; Saklama süresinin bitimini takip eden ilk periyodik imha süresinde olarak değiştirilecektir.
[SA5]Şirket binasının güvenliğinin sağlanması amacına yönelik tutulan ve ziyaretçi kayıt defteri vb. kayıt ortamlarında bulunan veriler güncelliklerini hızla yitirebilirler. Bu sebeple tavsiyemiz, idari saklama süresinin 1 yıl veya daha az olarak belirlenmesi yönündedir.
[SA6]Şirket özelinde belirlenecek olan idari saklama süresinin, işleme amacıyla ortak düşünülerek belirlenmesini tavsiye ederiz. Özgeçmişler içerisinde bulunan bilgiler, güncellik ve doğruluklarını kısa sürede kaybetmeye müsait olduklarından, bu sürenin 2 yılı geçmemesini tavsiye ederiz.
[SA7]Şirket özelinde belirlenecek olan idari saklama süresinin, işleme amacıyla ortak düşünülerek belirlenmesini tavsiye ederiz. Özgeçmişler içerisinde bulunan bilgiler, güncellik ve doğruluklarını kısa sürede kaybetmeye müsait olduklarından, bu sürenin 2 yılı geçmemesini tavsiye ederiz.
[SA8]Kameraların şirket içerisindeki pozisyonlarına göre saklama süresi belirlenebilecektir. İlgili süre 1 ay, 3 ay veya 6 ay olarak kararlaştırılabilir.
[SA9]Şirket, alacağı bir idari karar ile periyodik imha süresini belirlemelidir. İlgili süre 6 ayı geçmemek üzere belirlenmelidir.
[SA10]Bilgi işlem birimi teyit etmelidir.
[SA11]Bilgi işlem birimi teyit etmelidir.
[SA12]Bilgi İşlem birimi teyit etmelidir.