Parlak Stok Sayım Ve İnsan Kaynakları Danışmanlık Hizmetleri Anonim Şirketi
KİŞİSEL VERİ SAKLAMA
ve
İMHA POLİTİKASI
İçindekiler
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Parlak Stok Sayım Ve İnsan Kaynakları Danışmanlık Hizmetleri Anonim Şirketi tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Ayrıca bu Politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış bulunan ve 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereğince; kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektir.
Şirket çalışanları, çalışan yakınları, çalışan adayları, eğitmen, müşterilerimiz, potansiyel müşterilerimiz, hizmet ve ürün sağlayıcıları, ziyaretçilere (“İlgili Kişi”) ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan bu politikaya uygun olarak gerçekleştirilir.
Şirket : Parlak Stok Sayım Ve İnsan Kaynakları Danışmanlık Hizmetleri Anonim Şirketi
Politika : Kişisel Verileri Saklama ve İmha Politikası
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kurul : Kişisel Verileri Koruma Kurulu.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
2. SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm çalışanları, Politika kapsamında kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu ekiplere destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Kişisel veri saklama ve imha süreçleri görev dağılımı
UNVAN | BİRİM | GÖREV |
Genel Müdür | Şirket yönetimi |
|
İnsan Kaynakları Müdürü | İnsan Kaynakları |
|
Muhasebe Müdürü | Bilgi Teknolojileri |
|
İnsan Kaynakları Ekibi, Hukuk İşleri Ekibi, Muhasebe Ekibi, | Diğer Birimler |
|
İlgili kişilere ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda KVKK hükümleri, ilgili mevzuatlar ve uluslararası veri güvenliği hususları dikkate alınarak güvenli bir şekilde saklanmaktadır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar | Fiziksel Ortamlar |
|
|
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; ilgili kişilere ait kişisel veriler kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda yer verilmiştir.
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış,
Kanunun 4 üncü maddesinde işlenen kişisel verinin;
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olması gerektiği belirtilmiştir.
Kanunun 5. ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.
Buna göre, Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, KVKK ve diğer ilgili mevzuat hükümlerine göre uygun süre kadar saklanır.
İlgili kişilere ait kişisel verileri saklamayı gerektiren sebepler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 sayılı Kamu Mali Yönetimi Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatlarda belirtilen sınırlar çerçevesinde saklama süreleri kadar saklanmaktadır.
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
İnsan Kaynakları Süreçlerinin Planlanması
Finans Ve Muhasebe İşlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Taşınır Mal ve Kaynakların Güvenliğinin Temini
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Bilgi Güvenliği Süreçlerinin Yürütülmesi.
Kişisel veriler;
Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunu, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından alınan idari tedbirler:
Gizlilik taahhütnameleri yapılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Şirket tarafından alınan teknik tedbirler:
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
Kişisel veriler ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.
Tablo 3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
|
Veri tabanlarında Yer Alan Kişisel Veriler |
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
|
Bulut Sisteminde Bulunan Kişisel Verileri |
|
Kişisel veriler, Şirket tarafından Tablo-4’te verilen yöntemlerle yok edilir.
Tablo 4: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
|
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
yer alır.
Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirketin nezdindeki önem derecesine göre belirlenir.
Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi Teknolojileri Müdürü tarafından yerine getirilir.
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI ve GÜNCELLENMESİ
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Basılı kâğıt nüshası da İnsan Kaynakları Müdürlüğü dosyasında tutulur.
Politika, ihtiyaç duyulduğunda veya en az yılda bir defa gözden geçirilir ve gerekli olan bölümler güncellenir.
Şirket tarafından hazırlanan işbu Politika 05.04.2024 tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
Güncelleme Tarihi | Değişikliklerin Kapsamı |
Parlak Stok Sayım ve İnsan Kaynakları Danışmanlık Hizmetleri A.Ş. Özel İstihdam Bürosü Ölarak 20.12.2021 – 19.12.2024 tarihleri arasında faaliyette bulunmak üzere, Türkiye İş Kurumu tarafından 15.12.2021 tarih ve 10339811 sayılı karar uyarınca 1316 nolu belge ile faaliyet göstermektedir. 4904 sayılı kanun uyarınca iş arayanlardan ücret alınması yasaktır. Şikayetleriniz için aşağıdaki telefon numaralarına başvurabilirsiniz. İstanbul Çalışma ve İş Kurumu İl Müdürlüğü : 0212 249 29 87 İstanbül Çalışma ve İş Kurumu İl Müdürlüğü Şişli Hizmet Merkezi: 02122910925
Parlak Stok Sayım ve İnsan Kaynakları Danışmanlık Hizmetleri A.Ş. Özel İstihdam Bürosü olarak 01.04.2024-31.04.2027 tarihleri arasında faaliyet göstermek üzere, Türkiye İş Kurumu tarafından 27.03.2024 tarihli 15734393 numaralı karar uyarınca 453 numaralı geçici iş ilişkisi yetki belgesi ile faaliyet göstermektedir. 4904 sayılı kanuna göre iş arayanlardan ücret alınması yasaktır. Şikayetleriniz için aşağıdaki telefon numaralarına başvurabilirsiniz: İstanbul Çalışma ve İş Kurumu İl Müdürlüğü: 0212 249 29 87, İstanbul Çalışma ve İş Kurumu İl Müdürlüğü Şişli Hizmet Merkezi: 0212 291 09 25.
