T TURKEY İÇ VE DIŞ TİCARET LİMİTED ŞİRKETİ (“GLOBTAN”)
KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
T TURKEY İÇ VE DIŞ TİCARET LİMİTED ŞİRKETİ (“GLOBTAN”) nezdinde bulunan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası bu politika ile belirlenmektedir.
Kullanıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup GLOBTAN’ ın sahip olduğu ya da GLOBTAN tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politika 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanmıştır.
Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
KV: Kişisel Veri
KV Envanteri: Kurumda işlenen (tutulan) Kişisel Verileri ve ilişkili bilgilerin tasnif edildiği liste
KVK: Kişisel Veri Koruma
KVK ihlali: İlgili kişilerin mağduriyeti olsun veya olmasın, GLOBTAN’ ın Veri Sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, GLOBTAN’ ın Kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya GLOBTAN Prosedürlerine aykırı hususlar.
KVKK: Kişisel Verilerin Korunması Kanunu
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri işleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre veri işleyen; “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder.
GLOBTAN Kayıt Ortamları: GLOBTAN, Kişisel Verileri fiziksel evrak, dijital evrak olarak kayıt altına alınmaktadır.
GLOBTAN tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda re ’sen veya ilgili kişinin başvurusu üzerine periyodik imha sürelerine uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. GLOBTAN tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı GLOBTAN tarafından seçilir.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
Kişisel Verileri Koruma Kanunu ve sair mevzuatta öngörülen saklama süreleri uyarınca saklanan kişisel verilerin imhası GLOBTAN tarafından re’sen silme, yok etme veya anonim hale getirme işlemi ile yerine getirilir.
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri GLOBTAN Kişisel Veri İşleme Envanterinde yer alır.
Verinin saklanmasının, Kanun’un Kişisel verilerin ve Özel Nitelikli Kişisel verilerin işlenme şartlarını bildirdiği 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise, bu süreye riayet edilir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
İlgili kişinin Hakları
İlgili kişi aşağıdaki haklara sahiptir.
öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir
GLOBTAN tarafından Alınan Teknik ve İdari Tedbirler;
TEKNİK TEDBİRLER Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
İDARİ TEDBİRLER Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. | Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
Saldırı tespit ve önleme sistemleri kullanılmaktadır. | Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. | Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
Şifreleme yapılmaktadır. | Kişisel veriler mümkün olduğunca azaltılmaktadır. |
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. | İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
Güvenlik duvarları kullanılmaktadır. | Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. | Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. | Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |