WEB SİTESİ: www.fishark.com.tr TEL: 0 (232) 853 86 66
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), FİSHARK SU ÜRÜNLERİ ÜRETİM SANAYİ VE TİCARET ANONİM ŞİRKETİ’nin (FİSHARK) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
FİSHARK; Stratejik Planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; Kurum çalışanları, çalışan adayları, tedarikçiler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, FİSHARK tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
FİSHARK çalışanları, çalışan adayları, tedarikçiler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup FİSHARK’ın sahip olduğu ya da FİSHARK’ca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
|
Alıcı Grubu |
: |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
|
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim Hale Getirme |
: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
Çalışan |
: |
FİSHARK personeli. |
|
Elektronik Ortam |
: |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
|
Elektronik Olmayan Ortam |
: |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
|
Hizmet Sağlayıcı |
: |
FİSHARK ile karşılıklı akdedilen bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
|
İlgili Kişi |
: |
Kişisel verisi işlenen gerçek kişi. |
|
İlgili Kullanıcı |
: |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
|
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
|
Kanun |
: |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
|
Kayıt Ortamı |
: |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
|
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
Kişisel Veri İşleme Envanteri |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
|
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Kurul |
: |
Kişisel Verileri Koruma Kurulu |
|
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
|
Periyodik İmha |
: |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
|
Politika |
: |
Kişisel Verileri Saklama ve İmha Politikası |
|
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
|
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
|
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
|
Veri Sorumluları Sicil Bilgi Sistemi |
: |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
|
VERBİS |
: |
Veri Sorumluları Sicil Bilgi Sistemi |
|
Yönetmelik |
: |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
|
Komisyon |
: |
Şirket içerisinde Yönetim Kurulunca kişisel verilerin kanun kapsamında yönetilmesi kapsamında görevlendirilen kişi veya kişiler. |
SORUMLULUK VE GÖREV DAĞILIMLARI
FİSHARK’ın tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
|
UNVAN |
BİRİM |
GÖREV |
|
Yönetim Kurulu Üyeleri |
Yönetim |
Çalışanların politikaya uygun hareket etmesinden sorumludur. |
|
Komisyon Üyeleri |
Komisyon |
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
|
………………………. |
………………………. |
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
|
………………………. |
………………………. |
Politika’nın uygulanmasında ihtiyaç duyulan hukuki ve idari çözümlerin sunulmasından sorumludur. |
|
Bütün departman yöneticileri |
Diğer birimler |
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
KAYIT ORTAMLARI
Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
|
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
|
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
Yazılımlar (ofis yazılımları, portal, ERP vb.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
Yazıcı, tarayıcı, fotokopi makinesi
PDKS araçları |
Kağıt
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
Yazılı, basılı, görsel ortamlar |
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
FİSHARK tarafından; çalışanlarımızın, müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerle ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
· 6698 sayılı Kişisel Verilerin Korunması Kanunu,
· 6098 sayılı Türk Borçlar Kanunu,
· 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
· 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
· 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
· 4982 Sayılı Bilgi Edinme Kanunu,
· 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
· 4857 sayılı İş Kanunu,
· 2828 sayılı Sosyal Hizmetler Kanunu
· İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
· 6102 sayılı Türk Ticaret Kanunu
· 213 sayılı Vergi Usul Kanunu
· Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
Saklamayı Gerektiren İşleme Amaçları
FİSHARK, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
· İnsan kaynakları süreçlerini yürütmek.
· Kurumsal iletişimi sağlamak.
· Kurum güvenliğini sağlamak,
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
· VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
· Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
· Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
· Yasal raporlamalar yapmak.
· Çağrı merkezi süreçlerini yönetmek.
· İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
Kişisel veriler;
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler ve mümkün olan imkanlar çerçevesinde Kurum tarafından teknik ve idari tedbirler alınır.
Şirket içerisinde kullanılan programlara ait yetkilendirilen çalışanlarımız için matris, kullanıcı hesap yönetimi ve yetki kontrol sistemi oluşturulmuş olup, çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılmıştır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Veri güvenliği kapsamında iş ortakları ve şirket personelleri ile gizlilik taahhütnameleri yapılmakta ve imzalanan sözleşmeler veri güvenliği hükümleri ile güvence istenilmektedir.
Şirketimiz içerisinde çalışan personelin görev değişikliği olması ya da işten ayrılması halinde kendisine veriler erişim yetkileri kaldırılmaktadır.
Şirketimizde kullanılan bilişim araçlarının ve bulunduğu depolama alanlarının ağ ve uygulama güvenliği için anti-virüs sistemleri ve güvenlik duvarları kullanılmakta, bu araçlara yönelik tedarik, geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
Veri işleyen hizmet sağlayıcılarının, şirketimiz ile birlikte iş yapan ortaklarımızın, grup şirketlerimizin ve çalışanlarımızın veri güvenliği konusunda belli aralıklarla denetimi ve veri güvenliği konusunda farkındalığı sağlanmaktadır.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmekte olup; tüm verilere ilişkin güvenlik politikası ve prosedürleri belirlenmiş, özel nitelikli kişisel veri güvenliğine yönelik daha verimli uygulamalar hayata geçirilmiştir.
Bu kapsamda FİSHARK tarafından alınan mevcut teknik ve idari tedbirler “FİSHARK Kişisel Verilerin Korunması ve İşlenmesi Politikası” metninde detaylı olarak belirtilmiştir.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Fiziksel Olarak Yok Etme:
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
Yazılımdan Güvenli Olarak Silme:
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Uzman Tarafından Güvenli Olarak Silme:
Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politikada düzenlenen haklar bu veriler için geçerli olmayacaktır.
Şirketimiz tarafından gerektiğinde kullanılabilecek olan anonimleştirme teknikleri şöyledir;
Maskeleme :
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Toplulaştırma :
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Veri Türetme :
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Veri Karma:
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
FİSHARK tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreç bazında ve süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kaydında yer alır. Bu kayıtlara ait güncel imha sürelerini Kurul’a ait VERBİS portalından inceleyebilirsiniz.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Yönetimce güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Yönetim tarafından usulüne uygun görevlendirilen kişiler tarafından Saklama süresinin bitimini takip eden ilk periyodik imha süresinde yerine getirilir.
Yönetmeliğin 11 inci maddesi gereğince FİSHARK, periyodik imha süresini ………. ay olarak belirlemiştir. Buna göre, Kurumda her yıl …………………… ve ……………………… aylarında periyodik imha işlemi gerçekleştirilir.
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Yönetim Kurulu dosyasında saklanır.
POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, imza tarihinde yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Yönetim Kurulu tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Yönetim Kurulu tarafından saklanır.
