KİŞİSEL VERİ SAKLAMA VE VERİ İMHA POLİTİKASI

TOTAŞ DOĞALGAZ KALORİFER ISI SİSTEMLERİ İNŞAAT OTOMOTİV TURİZM SAN. VE TİC. LTD. ŞTİ.

1*           AMAÇ:

                İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), TOTAŞ DOĞALGAZ KALORİFER ISI SİSTEMLERİ İNŞAAT OTOMOTİV TURİZM SAN. VE TİC. LTD. ŞTİ. ‘’TOTAŞ’’tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

                Kişisel verilerin silinmesi, yok edilmesi ve  imhasına ilişkin iş ve işlemler, TOTAŞ  tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2*           KAPSAM:

                TOTAŞ , çalışanlarına ,tedarikçilerine ve diğer üçüncü kişilere ait kişisel veriler, bu Politika kapsamında olup TOTAŞ’ ın  sahip olduğu ya da TOTAŞ  tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

3*           TANIMLAR:

                – Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

                – Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

                – Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

                – Çalışan : TOTAŞ  personeli.

                – Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

                – Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

                –  Tedarikçi: TOTAŞ’ a   belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.               – İlgili Kişi : Kişisel verisi işlenen gerçek kişi.

                -İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

-İmha : Kişisel verilerin silinmesi ,yok edilmesi veya anonim hale getirilmesi.

-Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

-Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

-Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

-Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

-Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

-Kurul : Kişisel Verileri Koruma Kurulu

-Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

-Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

-Politika : Kişisel Verileri Saklama ve İmha Politikası

-Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

-Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

-Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

-Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili

diğer işlemlerde kullanacakları, internet üzerinden erişilebilen,Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

-VERBİS : Veri Sorumluları Sicil Bilgi Sistemi

-Yönetmelik :  Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4*           SORUMLULUK VE GÖREV DAĞILIMI:

                TOTAŞ’ ın  tüm çalışanları , Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görevleri şu şekildedir:

-ŞİRKET MÜDÜRÜ           :Çalışanları politikaya uygun hareket etmesinden, politikanın geliştirilmesi, yürütülmesi, yayınlanması ve güncellenmesi, politikanın uygulanması için ihtiyaç duyulan teknik desteğin sağlanmasından sorumludur.

-VERİ GÜVENLİĞİ BİRİMİ:Kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimler i yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

-İNSAN KAYNAKLARI     :Çalışanların politikaya uygun olarak hareket etmesinden ve görevine uygun olarak politikanın yürütülmesinden sorumludur.

5*           KAYIT ORTAMLARI:

                Kişisel veriler, TOTAŞ tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır.

                -Elektronik Ortamlar: Masaüstü bilgisayarlar.

                -Elektronik Olmayan Ortamlar: Yazılı kağıt(Özlük dosyası, Fatura), görsel ortamlar.

6*           SAKLAMA POLİTİKAMIZ:

                Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, TOTAŞ  faaliyetleri çerçevesinde  işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

7*           SAKLAMANIN HUKUKİ DAYANAĞI:

                TOTAŞ’ ta , faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre

kadar muhafaza edilir. Bu kapsamda kişisel veriler; Kişisel Verilerin Korunması Kanunu, Türk Borçlar Kanunu,Türk Ticaret Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. Bu sebeplerden dolayı saklama faaliyeti;

                -Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

                -Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

– Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

                -Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

                – Kişisel verilerin , temel hak ve özgürlüklere zarar vermemek kaydı ile , Şirket’in meşru menfaatinin sağlanması amacı ile ,

                -Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi sebeplerine dayalı olarak gerçekleştirilmektedir.

8*           SAKLAMAYI GEREKTİREN NEDENLER:

                TOTAŞ, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri ;  ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası  ve ileride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü amaçları doğrultusunda ve temel hak ve özgürlüklere zarar vermemek kaydı ile , Şirket’in meşru menfaatinin sağlanması amacı ile   Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

9*           İMHAYI GEREKTİREN NEDENLER:

                Kişisel veriler; işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun TOTAŞ tarafından kabul edilmesi, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebinin Kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, TOTAŞ  tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

                Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan talepler, en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır ve talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

                Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

10*        TEKNİK VE İDARİ TEDBİRLER:

                TOTAŞ tarafından, kişisel verilerin  güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için gerekli  teknik ve idari tedbirler alınır.

                 Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri,  mevzuat hakkında eğitimler verilmektedir. TOTAŞ tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmakta olup, politikaya aykırı davranan çalışan hakkında İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır. Kişisel veri işlemeye başlamadan önce TOTAŞ  tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. Kişisel veri işleme envanteri hazırlanmıştır. TOTAŞ  Veri Güvenliği Birimi tarafından  periyodik ve rastgele denetimler yapılmaktadır. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.              

Kişisel verilerinizin güvenliği için gerekli tüm tedbirler alınmaktadır.

11*        KİŞİSEL VERİLERİN SİLİNMESİ:

                -Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

                -Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

                -Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez tekrar kullanılamaz hale getirilir.

12*        KİŞİSEL VERİLERİN YOK EDİLMESİ:

                -Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

                -Dijital Ortamda Yer Alan Kişisel Veriler: Bu şekilde saklanan verilerinizin saklanmasını gerektiren süre sona erdiği taktirde , sistemimizden geri döndürülemeyecek şekilde silinmektedir.

13*        KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ:

                Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

                Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

14*        SAKLAMA VE İMHA SÜRELERİ:

TOTAŞ  tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

– Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

– Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

– Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Güvenliği Birimi tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim halegetirme işlemi Genel Müdür ve İnsan Kaynakları departman yetkilisi tarafından yerine getirilir.

                Süreç bazında saklama ve imha  süreleri aşağıdaki şekildedir:

                ÇALIŞANLARIMIZA İLİŞKİN VERİLER;

-İş Kanunu kapsamında saklanılan veriler :Sözleşmelerin ifası ve kanuni yükümlülüklerin yerine getirilmesi için toplanan verilerdir. Saklama süresi; sözleşmenin sona ermesini takiben 10 yıl olup, imha süresi;saklama süresinin bitimini takiben 180 gündür.

-İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.). Saklama süresi; sözleşmenin sona ermesini takiben 10 yıl olup, imha süresi;saklama süresinin bitimini takiben 180 gündür.

-SGK mevzuatı kapsamında tutulan veriler. Saklama süresi; sözleşmenin sona ermesini takiben 10 yıl olup, imha süresi;saklama süresinin bitimini takiben 180 gündür.

-Sair ilgili mevzuat gereği toplanan veriler. Saklama süresi; ilgili mevzuatta öngörülen süre kadar olup, imha süresi ; saklama süresinin bitimini takiben 180 gündür.

–              İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması.Saklamasüresi;dava zaman aşımı müddetince olup, imha süresi;saklama süresinin bitimini takiben 180 gündür.

                MÜŞTERİLERİMİZE AİT VERİLER;

                -Sözleşmenin ifası ve kanuni yükümlülüklerimizin yerine getirilmesi için alınan kişisel verilerdir.Saklama süresi TBK ve TTK uyarınca 10 yıl olup, imha süresi; saklama süresinin bitimini takiben 180 gündür.

TEDARİKÇİLERİMİZE AİT VERİLER;

                Sözleşmenin ifası ve kanuni yükümlülüklerimizin yerine getirilmesi için alınan kişisel verilerdir.Saklama süresi TBK ve TTK uyarınca 10 yıl olup, imha süresi; saklama süresinin bitimini takiben 180 gündür.

15*        PERİYODİK İMHA SÜRESİ:

                TOTAŞ, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, TOTAŞ’ ta her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

16*        POLİTİKANIN YAYINLANMASI VE SAKLANMASI:

                Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Veri Güvenliği Birimi’nde  KVKK kapsamında hazırlanan dosyada saklanır.

17*        POLİTİKANIN GÜNCELLENME PERİYODU:

                Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

18*        POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, TOTAŞ’ ın  internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Kurul Kararı ile Genel Müdür tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Genel Müdürlük tarafından saklanır.

TOTAŞ DOĞALGAZ KALORİFER ISI SİSTEMLERİ İNŞAAT OTOMOTİV TURİZM SAN. VE TİC. LTD. ŞTİ.

ADRES: ZİYAPAŞA CAD. NO:77/A ODUNPAZARI/ESKİŞEHİR

E-Mail   :info@totas.com.tr