Kişisel verilerin korunması, Dekor Rulo Fırça Sanayi ve Ticaret Limited Şirketi’nin (“Şirket”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan başta 6698 sayılı Kişisel Verilerin Korunması Kanununu (“Kanun”) olmak üzere tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirket, kişisel veri işleme faaliyetleri bakımından benimsediği temel prensipleri açıklanmakta ve böylelikle kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Bu Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçek kişilerin Şirket tarafından işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politikanın EK 1 (“EK 1 - Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulama alanı bulacağı kabul edilir. İşbu Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
Şirket, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almaktadır. Bu kapsamda, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri alınmakta, denetimler yapılmakta veya yaptırılmaktadır.
Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, kişisel verilerin korunması için Şirket tarafından alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
Kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için Şirket bünyesinde gerekli eğitimlerin düzenlenmesi sağlanmaktadır.
Kişisel verilerin korunması konusunda Şirket çalışanlarında farkındalık oluşması için gerekli aksiyonlar alınmakta, ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirket, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
Şirket, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler Şirket iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
Şirket, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
Şirket, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup yalnızca belirlenen amaçlarla sınırlı olarak işlemektedir.
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise, kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Şirket, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler başta olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politikada belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politikanın EK 3 (“EK 3 - Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir.
Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politikanın EK 4’ünde (“EK 4 - Kişisel Veri İşleme Amaçları”) yer almaktadır.
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Kişisel verilerin saklanması ve imhasına yönelik olarak Şirket Kişisel Verileri Saklama ve İmha Politikası uygulanır.
Şirket, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, bölüm 6.1.’de yer alan haklara ilişkin talebini usulüne uygun olarak Şirketimize iletmesi durumunda, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talep ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir. Bu konuda Kanun hükümleri ile birlikte İlgili Kişinin Veri Sorumlusuna Başvurusuna ve Başvurunun Yanıtlanmasına İlişkin Prosedür uygulanır.
Şirket tarafından firma içinde ve çevresinde güvenliğin sağlanması amacıyla ve yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme ve kayıt altına alma faaliyetinde bulunulmaktadır. Benzer şekilde forklift ve Şirket araçlarında operasyonların güvenliğinin temini amacıyla dışardan erişimi bulunmayan, dahili hafızasına kayıt yapan kamera ile görüntü kaydı yapılmaktadır.
Kanun’un 10. maddesine uyarınca, kamera ile izleme ve kayıt altına alma faaliyeti hususunda kişisel veri sahipleri aydınlatılmaktadır. Şirket tarafından video kamera ile izleme ve kayıt altına alma faaliyetinin sürdürülmesindeki amaç, işbu Politikada sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme ve kayıt altına alma alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetine güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Çalışanların adli sicil kaydı ve sağlık bilgileri, özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel veriler hakkında işbu Politikada yer alan düzenlemelere ilave olarak Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (Ek 5 - Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler) hükümleri uygulanır.
Çalışan ile ilgili özel nitelikli kişisel veriler, Şirket olanakları elverdiği oranda, yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer kişisel verilerden ayrı olarak saklanmaktadır. Şirket, bu verileri mümkün olan en dar kapsamda işlemeye özen göstermektedir. Bu verilerin işlenmesi gereken durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.
Çalışan ile ilgili kişisel verilere erişim sadece gerekli olması durumunda bu konuda yetkilendirilmiş Şirket çalışan(lar)ı tarafından gerçekleştirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede sağlık verileri açıklanabilir.
Kanun’un 12. maddesinin 5. fıkrasına göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, diğer bir deyişle kişisel veri ihlali halinde Şirket, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmekle yükümlüdür.
Veri ihlali yaşanmaması için Şirket, Kanun, KVKK alt düzenlemeleri ve işbu politikada belirtilen tüm idari ve teknik tedbirleri dikkate alarak kişisel veri ihlali öncesi risk değerlendirmesi yaparak gerekli tüm tedbirleri alır. Kişisel veri ihlalinin gerçekleşmesi durumunda Şirket, ihlale ilişkin ön değerlendirme yaparak, risk değerlendirmesi neticesinde ihlalin etkilerinin azaltılabilmesi için engelleme ve kurtarma çalışmaları yürütür. Yürütülen çalışmalar çerçevesinde gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirimde bulunur.
Kişisel veri ihlali öncesi ve sonrasında Veri İhlali Bildirim Prosedürü uygulama alanı bulur.
İşbu Politika, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket nezdinde saklanır.
Şirket, Kanun’da yapılan değişiklikler, Kurul kararları, sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
İşbu Politika, Şirket kanuni temsilcisi tarafından onaylanır. Tüm çalışanlara duyurularak yürürlüğe girer ve yürürlüğü itibarıyla tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi, işverenin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kişisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, işveren tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
Kişisel Veri Sahibi Kategorisi | Açıklama |
Çalışan | Şirkette sözleşme ile çalışan gerçek kişi |
Çalışan Adayı | Şirkette sözleşme ile çalışacak aday gerçek kişi |
Hissedar | Şirket hisselerine sahip gerçek kişi |
Tedarikçi | Şirket ile yürüttüğü faaliyetler çerçevesinde her türlü mal ve hizmet tedariki sunan kurum ve kuruluşların hissedarı, yetkilisi ve çalışanı olan gerçek kişiler |
Ürün veya Hizmet Alan Kişi | Şirket ile herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın Şirketin sunduğu mal ve hizmetler kapsamında kişisel verileri elde edilen gerçek kişiler ile tüzel kişi müşterilerin çalışanları veya yetkilileri |
Potansiyel Ürün veya Hizmet Alıcısı | Şirketin sunduğu mal ve hizmetler kapsamında kendisine teklif vermek amacıyla kişisel verileri elde edilen gerçek kişiler ile tüzel kişi müşterilerin çalışanları veya yetkilileri |
Stajyer | Şirket nezdinde staj yapan gerçek kişi |
Ziyaretçi | Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan gerçek kişiler ile web sitesini ziyaret eden gerçek kişiler |
Diğer | Bankacı, Ciranta, Doktor vb. diğer 3. gerçek kişiler |
Şirket, Kanun’un 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini, gerçek kişiler veya özel hukuk tüzel kişilerine ve yetkili kamu kurum ve kuruluşlarına aşağıda belirtilen kapsam ve amaçlarla aktarabilir.
Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
Gerçek kişiler veya özel hukuk tüzel kişileri | Ticari faaliyetlerini yürütürken sözleşme temelli olarak Şirkete mal ve hizmet sunan taraflardır. | Dış kaynaklı olarak ve ticari faaliyetlerini yürütmek üzere mal ve hizmet sağlamak amacıyla sınırlı olarak |
Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarıdır. | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Kişisel Veri Sahibi Kategorisi | Açıklama |
Kimlik | Ad-soyad, T.C./vergi kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, medeni durum, işyeri bilgisi, SGK/Kurum sicil numarası vb. bilgiler ile ehliyet, nüfus cüzdanı ve pasaport gibi belgeler üzerindeki bilgiler. |
İletişim | Telefon numarası, adres, e-posta adresi, faks numarası vb. bilgiler. |
Fiziksel Mekân Güvenliği | Kamera kaydı. |
Müşteri İşlem | Fatura, senet, çek, dekont bilgileri. |
Finans | Banka hesap bilgileri, IBAN numarası, gelir bilgisi, banka hesap hareketleri, kredi kartı bilgileri vb. |
Görsel ve İşitsel Kayıtlar | Fotoğraf |
Özlük | İşe başlama tarihi, izin başlangıç-bitiş tarihi, ücret hesap pusulası, özlük dosyasına ilişkin tutanaklar vb. |
Hukuki İşlem | İmza, imza sirküleri, vekaletname bilgileri, mahkeme ve idari merci kararları vb. |
İşlem Güvenliği | IP adresi, web ziyaretçi çerez bilgileri |
Mesleki Deneyim | Öğrenim ve meslek bilgileri. |
Özel Nitelikli Kişisel Veriler | Din bilgisi, sağlık bilgisi, biyometrik fotoğraf, ceza mahkumiyeti ve güvenlik tedbirleri bilgisi. |
Diğer Bilgiler | İmza |
Kişisel Veri İşleme Amaçları |
Acil durum yönetimi süreçlerinin yürütülmesi |
Çalışan adaylarının başvuru süreçlerinin yürütülmesi |
Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi |
Eğitim faaliyetlerinin yürütülmesi |
Faaliyetlerin Mevzuata Uygun Yürütülmesi |
Finans ve Muhasebe İşlerinin Yürütülmesi |
Fiziksel Mekân Güvenliğinin Temini |
Görevlendirme süreçlerinin yürütülmesi |
Hukuk İşlerinin Takibi ve Yürütülmesi |
İletişim faaliyetlerinin yürütülmesi |
İş Faaliyetlerinin Yürütülmesi/Denetimi |
İş sağlığı/güvenliği faaliyetlerinin yürütülmesi |
Lojistik Faaliyetlerinin Yürütülmesi |
Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi |
Mal/Hizmet Satış Süreçlerinin Yürütülmesi |
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi |
Sözleşme Süreçlerinin Yürütülmesi |
Veri sorumlusu operasyonlarının güvenliğinin temini |
Yetkili Kişi/kurum ve Kuruluşlara Bilgi Verilmesi |
Ziyaretçi kayıtlarının oluşturulması ve takibi |
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.
Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Dekor Rulo Fırça Sanayi ve Ticaret Limited Şirketi’nin (“Şirket”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat uyarınca saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Şirket tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Şirket nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik: 8.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Şirket tarafından belirlenen irtibat kişisi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Verileri Saklama ve İmha Politikasına uygun olarak işlenmesi, saklanması ve imha edilmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Bu bağlamda görev tanımı aşağıdaki gibidir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
Unvan | Görev Tanımı |
İrtibat Kişisi | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Verileri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek, ilgili kişilerin başvurularının incelenmesi ve değerlendirilmesi, saklama ve imha süreçlerinin yürütülmesi ve denetiminin yapılması ve tüm iş ve işlemlerin gerektiğinde Şirket yönetimine raporlanmasından sorumludur. |
Ayrıca İrtibat Kişisi, alınmakta olan teknik ve idari tedbirlerin Şirket çalışanları tarafından gereği gibi uygulanması, bölüm çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında aktif rol üstlenir.
Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar |
Sunucular (Etki alanı, yedekleme, e-posta, Veri tabanı, web, dosya paylaşım, vb.) |
Yazılımlar (ofis yazılımları, portal vb.) |
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.) |
Kişisel bilgisayarlar (Masaüstü, dizüstü) |
Mobil cihazlar (telefon, tablet vb.) |
Optik diskler (CD, DVD vb.) |
Çıkartılabilir bellekler (USB, Hafıza Kartı, Hard Disk vb.) |
Yazıcı, tarayıcı, fotokopi makinesi |
Elektronik Olmayan Ortamlar |
Kâğıt |
Manuel veri kayıt sistemleri (iş formları vb.) |
Yazılı, basılı, görsel ortamlar |
Şirket tarafından; çalışanlar, çalışan adayları, müşteriler, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunanlar gibi üçüncü kişilerin, şirket ve kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir.
İlgili kişilere ait kişisel veriler, Şirket tarafından özellikle (i) Şirket faaliyetlerinin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
Şirket bünyesinde tutulan kişisel veriler, Kanun ve Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikası (İlgili politikaya web sitesinden ulaşılabilir.) uyarınca, burada belirtilen amaç ve nedenlerle ilgili mevzuatta öngörülen süre kadar saklanmaktadır.
Kişisel veriler;
durumlarında, Şirket tarafından re’sen yahut ilgili kişinin talebi üzerine, açık rızanın geri alınması halinde ilgili kişinin talebinin kabulü tarihinden itibaren silinir, yok edilir veya anonim hale getirilir.
Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır.
Şirket tarafından tespit edilen saklama ve imha süreleri aşağıdaki tabloda yer almaktadır.
Tablo 3: Saklama ve imha süreleri
Süreç | Saklama Süresi | İmha Süresi |
İş Kanunu kapsamında saklanılan veriler | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Türk Ticaret Kanunu kapsamında saklanılan veriler | İlgili evrak tarihinin bir sonraki yılından itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
SGK mevzuatı kapsamında tutulan veriler | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sair ilgili mevzuat gereği toplanan veriler | İlgili mevzuatta öngörülen süre kadar | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması | Dava zaman aşımı müddetince | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirketin ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket nezdinde her yıl Ocak ve Temmuz aylarının son gününe kadar periyodik imha işlemi gerçekleştirilir.
Saklama süresi dolan kişisel veriler, yukarıdaki tabloda yer alan imha süreleri çerçevesinde, belirlenen periyodlarla işbu Politikada yer verilen usullere uygun olarak silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
İlgili kişi, Şirketimize başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Talep edildiğinde ilgili kişinin;
Her durumda talebin kabulü, kısmen kabulü veya ret kararlarına ilişkin cevaplar en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda ilgili kişiye bildirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.
Şirket, idari tedbirler kapsamında;
Şirket teknik tedbirler kapsamında;
Şirket tarafından kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıdaki tabloda yer almaktadır:
Tablo 4: Silme Yöntemleri
Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | |
Karartma | Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. |
Bulut veya Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | |
Yazılımdan güvenli olarak silme | Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
Tablo 5: Yok Etme Yöntemleri
Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | |
Fiziksel yok etme | Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. |
Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | |
Fiziksel yok etme | Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
De-manyetize etme (degauss) | Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. |
Üzerine yazma | Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir. |
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | |
Yazılımdan güvenli olarak silme | Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
Tablo 6: Anonimleştirme Yöntemleri
Değişkenleri çıkarma | İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
Bölgesel gizleme | Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. |
Genelleştirme | Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır kodlama / Global kodlama | Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. |
Mikro birleştirilme | Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
Veri karma ve bozma | Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
İşbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, www.dekor.com internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket nezdinde saklanır.
Şirket, Kanun’da yapılan değişiklikler, Kurul kararları, sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
İşbu Politika, Şirket kanuni temsilcisi tarafından onaylanır.
İşbu Politika, Şirket kanuni temsilcisi tarafından onaylanır. Tüm çalışanlara duyurularak yürürlüğe girer ve yürürlüğü itibarıyla tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi, işverenin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kişisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, işveren tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde sayılan ve internet sitemizde yer alan Aydınlatma Metninden ulaşabileceğiniz haklarınız kapsamındaki taleplerinizi yine internet sitemizde yer alan Başvuru Formunu eksiksiz doldurarak aşağıda açıklanan yöntemlerden biriyle firmamıza iletebilirsiniz.
BAŞVURU YÖNTEMİ | ADRES | AÇIKLAMA |
Şahsen Başvuru (Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ile başvurması) veya Noter Aracılığıyla Tebligat |
Yanyol Cad. No:42 Kaynarca – Pendik / İSTANBUL |
Zarfın/Tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Elektronik Posta yoluyla başvuru | info@dekor.com | E-postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Tarafımıza iletilmiş olan başvurularınız Kanun’un 13. maddesinin 2. fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren en kısa sürede ve en geç 30 (otuz) gün içinde yanıtlandırılacaktır. Yanıtlarımız ilgili Kanun’un 13. maddesi hükmü gereğince yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır.