Çiğdem Bisküvi

Kişisel Veri Saklama Ve İmha Politikası

ÇİĞDEM BİSKÜVİ VE GIDA SANAYİ TİCARET A.Ş.  

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI                                                     

 

  1. AMAÇ

T.C. Anayasası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuat hükümleri uyarınca kişisel verilerin işlenmesine ilişkin her türlü işlemin şirketimiz tarafından yapılması konusundaki usul ve esasları belirlemek amacıyla işbu Kişisel Verileri Saklama ve İmha Politikası hazırlanmıştır.

 

  1. KAPSAM

Şirket çalışanları, çalışan adayları, tedarikçiler, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketçe kişisel verilerin işlenmesinde bu Politika uygulanacaktır.

 

  1. TANIMLAR

Açık Rıza                             : Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme  : Kişisel Verilerin başka verilerle eşleştirerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendiremeyecek hale getirilmesi.

Çalışan                                : Şirket Personeli

Elektronik Ortam            :Kişisel Verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan

Ortam                                  : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

İlgili Kişi                              : Kişisel verisi işlenen gerçek kişi

İmha                                     : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun                                  : 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı                      : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri                        : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme

Envanteri                            : Veri Sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin

İşlenmesi                           : Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul                                    : Kişisel Verileri Koruma Kurulu

Özel Nitelikli

Kişisel Veri                        : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık  ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha                : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politika                                               : Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen                      : Veri Sorumlusunun verdiği yetkiye dayanarak Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi           : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu                               : Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

VERBİS                                 : Veri Sorumluları Sicil Bilgi Sistemi

 

  1. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından, şirket çalışanları, çalışan adayları, tedarikçiler, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler 6698 sayılı Kişisel Verilerin Korunması Kanununa  ve ilgili diğer mevzuat hükümlerine uygun olarak saklanmakta ve imha edilmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanununun 3-e maddesi ile Kişisel Verilerin İşlenmesi tanımlanmış olup, Kişisel Verilerin İşlenmesinin , Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olduğu belirtilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanununun 4. maddesi ile ;

‘’(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.’’ hükmü ,

6698 sayılı Kişisel Verilerin Korunması Kanununun Kişisel verilerin işlenme şartları başlıklı 5. Maddesi ile  ;   

‘’(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. ‘’ hükmü ,

6698 sayılı Kişisel Verilerin Korunması Kanununun Özel nitelikli kişisel verilerin işlenme şartları başlıklı 6. Maddesi ile ; 

‘’(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 12303

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” Hükmü ,

6698 sayılı Kişisel Verilerin Korunması Kanununun Veri sorumlusunun aydınlatma yükümlülüğü  başlıklı 10. Maddesi ile ; 

“Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. b) Kişisel verilerin hangi amaçla işleneceği,
  3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

  1. d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” Hükmü düzenlenmiştir.

Şirketimiz tarafından kişisel veriler ilgili mevzuat hükümlerine göre saklanır.

 

  1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Şirketimiz tarafından kişisel veriler ilgili mevzuat hükümlerine göre saklanır. Bu kapsamda kişisel veriler;

- 6698 Sayılı Kişisel Verilerin Korunması Kanunu,

- 6098 sayılı Türk Borçlar Kanunu

- 6102 sayılı Türk Ticaret Kanunu

- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

- 4982 sayılı Bilgi Edinme Kanunu

- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

- 4857 sayılı İş Kanunu,

-  5434 sayılı Emekli Sağlığı Kanunu,

- 2828 sayılı Sosyal Hizmetler Kanunu,

- 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun

- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

- Arşiv Hizmetleri Hakkındaki Yönetmelik,

 - Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

  1. İMHAYI GEREKTİREN SEBEPLER
  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 5. ve 6. maddelerinde yer alan Kişisel Verilerin İşlenme Şartlarının tamamının ortadan kalkması, işlenme ve saklanma amaçlarının ortadan kalkması ,
  • Kişisel verilerin işlenmesine dayanak teşkil eden ilgili mevzuat hükmünün değişmesi veya ilgası,
  • Açık rıza şartına istinaden işlenen kişisel verilere ilişkin kişinin açık rızasını geri alması,
  • Kanunun 11. Maddesi gereği ilgili kişinin kişisel verilerini silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kişisel Verileri Koruma Kurumu tarafından kabul edilmesi,
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, Hallerinde ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

 

  1. İDARİ VE TEKNİK TEDBİRLER

6698 sayılı Kişisel Verilerin Korunması Kanununun Veri güvenliğine ilişkin yükümlülükler başlıklı 12. Maddesi ile ; 

“(1) Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü ,

6698 sayılı Kişisel Verilerin Korunması Kanununun Özel nitelikli kişisel verilerin işlenme şartları başlıklı 6/4  Maddesi ile ; 

“ Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” Hükmü düzenlenmiştir.

 

Şirketimiz Kişisel Verilerin Korunması Kanunu 12. Maddesi kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

7.1. İDARİ TEDBİRLER

*Kişisel verilerin korunması hususunda gerekli güvenlik önlemleri alınmaktadır.

* İşten ayrılma halinde çalışanların bu alandaki yetkileri kaldırılmaktadır.

* Kişisel Veri İşlemeye Başlamadan Önce İşletme tarafından, İlgili Kişilere Aydınlatma Yükümlülüğü Yerine Getirilmekte Ve Çalışanlara Yönelik Bilgi Güvenliği Eğitimleri Verilmektedir.

* Kişisel Veri İşleme Envanteri hazırlanmıştır.

 

7.2. TEKNİK TEDBİRLER

İşletmenin Bilişim Sistemleri Teçhizatı, Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemler Alınmaktadır.

  1. İMHA TEKNİKLERİ

Kişisel verilerin işlenmesini gerektiren sebeplerin son bulması veya ilgili mevzuatta öngörülen sürelerin sona ermesi halinde şirket tarafından kişisel veriler re’sen veya ilgili kişinin başvurusu üzerine mevzuat hükümleri doğrultusunda imha edilir.

8.1. KİŞİSEL VERİLERİN SİLİNMESİ

* ELEKTRONİK ORTAMDA YER ALAN KİŞİSEL VERİLERİN SİLİNMESİ

- Elektronik ortamda yer alan kişisel verilerin  işlenmesini gerektiren sebeplerin son bulması veya ilgili mevzuatta öngörülen sürelerin sona ermesi halinde şirket tarafından kişisel veriler silinir. 

- Elektronik ortamda yer alan kişisel verilerden saklanma süresi sona erenler, veritabanı yöneticisi hariç hiçkimse tarafından erişilemez ve tekrar kullanılamaz hale getirilir.

- Flash ortamında saklanan kişisel verilerden saklanma süresi sona erenler, sistem yöneticisi hariç hiçkimse tarafından erişilemez ve tekrar kullanılamaz hale getirilir.

- Sunucularda yer alan kişisel verilerden saklanma süresi sona erenler, sistem yöneticisi tarafından silinir. 

* ELEKTRONİK OLMAYAN ORTAMDA YER ALAN KİŞİSEL VERİLERİN SİLİNMESİ

Elektronik olmayan ortamda tutulan kişisel verilerden saklanma  süresi sona erenler sorumlu birim yöneticisi hariç hiç kimse tarafından erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

8.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

* ELEKTRONİK OLMAYAN ORTAMDA YER ALAN KİŞİSEL VERİLERİN YOK EDİLMESİ

Kağıt üzerinde yer alan kişisel verilerden saklanma süresi sona erenler kağıt kırpma makinelerinde geri döndüremeyecek şekilde yok edilir.

*OPTİK – MANYETİK MEDYADA YER ALAN KİŞİSEL VERİLERİN YOK EDİLMESİ

Optik – Manyetik medyada yer alan kişisel verilerden saklanma süresi sona erenler eritilerek veya yakılarak veya toz haline getirilerek yok etme işlemi gerçekleştirilir.

 

8.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendiremeyecek hale getirilmesidir.

 

  1. SAKLANMA VE İMHA SÜRELERİ

Şirketimiz tarafından kişisel veriler ilgili mevzuatta belirtilen veya işlendikleri maksat için gereken süre kadar saklanmaktadır.

Şirketimiz tarafından işlenen kişisel veriler saklanma sürelerinin bitimini takip eden ilk periyodik imha süresinde imha edilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmeliğin Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri başlıklı 11. Maddesiyle;

(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.” Hükmü düzenlenmiştir.

 

Şirketimiz tarafından periyodik imha süresi 6 ay olarak belirlenmiştir. Belirtilen nedenlerle şirketimizde her yıl Haziran ve Aralık aylarında periyodik imha işlemi yapılmaktadır.

.

  1. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ YAYIMLANMASI VE SAKLANMASI

Politika, ıslak imzalı kağıt ortamında ve elektronik ortamda olmak üzere 2 farklı ortamda yayımlanır. Şirketimiz internet sayfasında kamuya açıklanır. Islak imzalı kağıt nüsha da şirketimiz dosyasında saklanır.

 

11-) KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ GÜNCELLENME PERİYODU

Kişisel veri saklama ve imha politikası, ihtiyaç dahilince gözden geçirilerek gerekli görüldüğü takdirde ilgili bölümler güncellenmektedir.

 

12-) KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Kişisel veri saklama ve imha politikası yayınlanmasının ardından yürürlüğe girmiş kabul edilir.