Sahrayıcedit mahallesi, İnönü Caddesi No: 15/1-2 Kadıköy, İstanbul adresinde bulunan ve İstanbul Ticaret Sicili Müdürlüğü nezdinde 365723 sicil numarası ile kayıtlı olan Panel Kırtasiyecilik ve İnşaat Ticaret Limited Şirketi (“Şirket”)’dir.  

 

MADDE 2- AMAÇ

Şirket olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya ‘‘Kanun’’) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’ da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz. Kanun’na uyum projesi kapsamında Şirket tarafından; T.C. Anayasası, Kanun ve ilgili mevzuata uygun olarak Şirket çalışanlarına, aday çalışanlara, müşterilere, aday müşterilere ve tedarikçilere yönelik kişisel verilerin işlenmesi ve ilgili kişilerin talep ettikleri haklarını kullanması birincil nitelikte önem arz etmektedir.
Bu sebeple; iş bu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silinmesi, yok edilmesi ve anonim hale getirilmesi hakkında veri sorumlusu sıfatıyla Şirket tarafından sizleri bilgilendirmek amacıyla hazırlanmıştır.

Kanun ile tanımlanan Şirket nezdinde tutulan kişisel veriler ve özel nitelikli kişisel veriler, tüm Şirket çalışanları, çalışan adayları, müşteriler, aday müşteriler ve tedarikçilere ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamındadır.
Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.

Şirketin tüm çalışanları ve yöneticileri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu kişilere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve yöneticiler, sorumlu kişilere destek olur.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıdaki tabloda gösterilmiştir.

Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde muhafaza edilir.

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Şöyle ki;

 

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketim meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin Şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Şirket tarafından faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 4857 sayılı İş Kanunu,
• İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 6502 Sayılı Tüketici Kanunu ve ilgili yönetmelikler
• 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Şirket aşağıdakiler dahil olmakla birlikte ancak bunlarla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir veya saklayabilir:

• İnsan kaynakları süreçlerini yürütülmesi ve planlanması
• Kurumsal iletişimi sağlamak
• Şirket güvenliğini sağlamak
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak
• Yasal raporlamalar düzenlemek
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek
• Şirket hukuk işlerinin icrası/takibini yapmak
• İş faaliyetlerinin yürütülmesi / denetimi
• Erişim yetkilerinin yürütülmesi
• Denetim / etik faaliyetlerinin yürütülmesi
• Fiziksel mekan güvenliği
• Acil durum yönetimi süreçlerinin yürütülmesi
• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
• Bilgi güvenliği süreçlerinin yürütülmesi
• Mal / hizmet satın alım süreçlerinin yürütülmesi
• Finans ve muhasebe işlerinin yürütülmesi

Çalışanlar, aday çalışanlar, müşteriler, aday müşteriler ve tedarikçiler olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklama ortamlarında muhafaza edilir ve imhayı gerektiren sebeplerden birinin gerçekleşmesi halinde silinerek, yok edilerek veya anonim hale getirilerek Şirket tarafından imha edilir.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması
• İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

• • • EXCHANGE SERVER
    • TIGER LOGO – BORDRO
    • FILE SERVER
    • CRYPTOLOG
    • CRM SERVER
    • DC DC 2

• • • Birim Dolapları
    • ARŞİV

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdadır:

• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar
• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür
• Verilerin şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar
• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur
• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar
• Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar
• Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar
• Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:

 

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli çalışan ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli çalışan istihdam eder ve çalışanlarına kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

Şirket tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel verileriniz; 6698 Sayılı Kanun madde 7/1’e göre işlenmesi gerektiren amaçların ortadan kalkması veya kullanım amacına yönelik saklama süresinin dolması halinde Şirket tarafından resen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak tarafımızca silinecek, yok edilecek veya anonimleştirilecektir.
Kişisel verilerin, Şirket tarafından resen ya da ilgili kişinin başvurusu üzerine imha edilmesinde Kanunun 4. maddesindeki genel ilkelere, 12. madde uyarınca alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun olarak hareket edilmesi zorunludur.

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirecektir. Şirket bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmektedir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.
Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa Şirket, Kişisel verileri aşağıda belirtilen yöntemlerle siler.

Yok etme işlemi, Şirketin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Bu işlemler sırasında Şirket çalışanları ve ilgili departmanlar KVKK Çalışma Grubu’na yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Şirket gerekli her türlü teknik ve idari tedbiri alacaktır.
Kişisel veriler aşağıda yer alan tabloda belirtilen yöntemlerle yok edilir.

Anonim hale getirme işlemi, kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonimleştirilmesi Şirket'in içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin yok edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı departmanlarından destek alabilir.

Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.
Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir. Örneğin, bir şirkette tek kıdemli müdür var ise bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.
Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.
Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.
Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.
Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.
Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır.
Örneğin, maaş bilgisi için; 10.000 TL altı ve üstü iki grup yapılır ise, 10.000 ve daha az maaş alan kişilerin maaşlarının toplamı kişi sayısına bölünür ve 10.000TL altında maaş alan herkesin maaş kümesine elde edilen bu değer yazılır.
Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.
KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.

Şirket tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Bunun haricinde; aşağıdaki tabloda yer alan saklama ve imha süresi tablosu esas alınır.

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Ayrıca kişisel veri sahipleri Şirket’e yazılı talep ile bildirim yaptığında, ilgili kişiye ait tüm veriler imha yöntemi prosedürüne göre silinir, yok edilir veya anonim haline getirilir.
Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 (altı) ay olarak belirlemiştir.

Politika, basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuoyuna ilan edilir. Basılı kağıt nüshası şirket bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.

Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın basılı kağıt eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 3 yıl süre ile şirket tarafından saklanır.