CRT Metal kurumsal KVKK politikamız hakkında detaylı bilgi aşağıda sizlerle paylaşılmıştır.
GİRİŞ
Biz CRT METAL SAN. VE TİC. Anonim Şirketi Sanayi olarak, kişisel verilerinizin korunmasına gösterdiğimiz önemden dolayı, kişisel verilerinizin toplanmasında ve sonrasında saklanmasında uygulanmak üzere işbu Kişisel Verileri Koruma Kurumsal Politikasını oluşturduk.
Kişisel Verilerin Toplanması
Kişisel verilerin toplanmasında,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
edilme.
Prensiplerine uygun davranmaktayız. Kişisel verileriniz bulunduğunuz veri grubuna göre değişiklik göstermek üzere bazen otomatik yollarla bazen otomatik olmayan yollarla topluyoruz. Topladığımız kişisel verileri yalnızca;
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
meşru menfaatleri için veri işlenmesinin zorunlu olması.
Durumlarında topluyor, bunlar dışında bir durumun olması halinde, topladığımız kişisel veriler sebebiyle şahsınızın açık rızasına başvuruyoruz.
Hukuki ve Teknik Terimler
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Sunucu(Server): Elektronik ortamda, içinde veri barındıran birden fazla bilgisayarın erişimine açık, depolama ve paylaşım aygıtı.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Amaç
Kişisel verilerinizin saklanmasına ve yok edilmesine ilişkin gösterdiğimiz özen ve 6698 Sayılı Kişisel Verileri Koruma Kanunu ve ilgili Yönetmeliklerle ve başkaca sair mevzuattan doğan sosyal ve hukuki yükümlülüklerin yerine getirilebilmesi; Kişisel verilerinizin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun şekilde saklanıp imha edilebilmesini sağlamak amacıyla bu politika tanzim edilmiştir.
Bu politika, CRT METAL SAN. VE TİC. Anonim Şirketi’nin işletmesinin her bölümünde ve işin her aşamasında uygulanmaktadır. Bu politika kapsamında, kişisel verilerinizi saklamada, imhada veya anonim hale getirmede hangi usul ve esasları izlediğimizi, hangi sürelerle aksiyon aldığımızı ve ilgili kişi olarak sizin sürece dahlinizi bilginize sunmuş bulunmaktayız.
Kapsam
Bu politika, CRT METAL SAN. VE TİC. Anonim Şirketi’nin çalışanlarının, çalışan adaylarının, stajyerlerinin, müşterilerinin, tedarikçilerinin, ziyaretçilerin; Tedarikçilerin, müşterilerin ve üçüncü kişilerin çalışanlarının tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
Yetki, Görev, Kişisel Verileri Koruma Takımı
Kişisel Verilerinizin Korunması ve Politikaların uygulanması amacıyla, kurumumuz bünyesinde, Kişisel Verileri Koruma Takımı oluşturulmuştur.(KVKT) Bu takım, İnsan Kaynakları Departman Müdürü ve Bilgi Teknolojileri Departmanı Sorumlusu Çalışanlarımızdan ibarettir. Bu kapsamda, Takımımız, İşbu kurumsal politikamızda temin ve taahhüt ettiğimiz tüm işlemlerin ve 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerektirdiği tüm yükümlülüklerin yerine getirilmesi için çalışmaktadır. Veri imhası, veri kayıt defteri tutulması, şirket içi ve dışı veri paylaşımlarının denetlenmesi, şirket personelinin veri güvenliği konusunda eğitimlerini güncel tutma ve yeni personelin konuyla ilgili eğitimini sağlama, şirketin KVKK uyumunu güncel tutma, aydınlatmanın gerçekleştirme yöntemlerini kontrol etme ve ilgili kişilerin işbu politika kapsamındaki taleplerini değerlendirmeye alma ve cevaplama işlemleri, VERBİS kaydını güncel tutarak değişiklikleri işlemek bu takımın görevlerinin bazılarındandır.
Kişisel Verilerinize İlişkin Kayıt Ortamları
Şirketimiz, kişisel verilerinize, fiziki olarak ya da elektronik ortamda erişebilmektedir. Elektronik ortamda eriştiğimiz kişisel verileriniz, işletmemiz içerisindeki işletmeye özgülenmiş bilgisayarlarda, işletmemizde bulunan sunucumuzda ve sunucusu Türkiye içerisinde bulunan kurumsal e-postalarımızda saklanmaktadır. Fiziksel olarak eriştiğimiz kişisel verileriniz, işletmemiz bünyesindeki, kilitli dolap ve kasalarda, iş sahasında veya işletmemiz idari odalarında kilitli ve güvenli şekilde saklanmaktadır.
Elektronik Ortamlar | Fiziksel Ortamlar |
• Sunucular • Etki alanı, • Yedekleme sistemi, • E-posta sistemi, • Veri tabanı, • Web uygulaması, • Dosya paylaşım • Yazılımlar • SAP sistemleri, • Muhasebe yazılımları, • CRM Yazılımı • ERP Yazılımı • Office yazılımları • Bilgi güvenliği Sistemleri • Güvenlik duvarı, • Saldırı tespit ve engelleme, • Günlük kayıt dosyası, • Anti virüs • Kişisel bilgisayarlar • Masaüstü, • Dizüstü, • Mobil cihazlar • Telefon, • Tablet, • Optik diskler • CD, DVD • Çıkartılabilir bellekler • USB bellek, • Hafıza Kart • Harici Disk • Yazıcı, tarayıcı, fotokopi makinesi | • Birim Dolapları • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) • Yazılı, basılı, görsel ortamlar • Arşiv
|
Veri Paylaşımına İlişkin Kayıt
Şirketimiz bünyesinde işlenen verilerin şirket dışı paylaşımlarıyla ilgili “Kişisel Veri Paylaşımı Kayıt Defteri” tutulmaktadır. Bu defterde, paylaşılan kişisel verilerin kategorisi ve cinsi, kişisel verilerin sahibini belirten anonimleştirilmiş kod, verinin kimle paylaşıldığı, verinin ne kadar sürede silineceği, verinin hangi kanuni sebeple paylaşıldığı, verinin paylaşımında hangi yolun kullanıldığı bilgileri yer almaktadır.
Saklama ve İmhayı Gerektiren Sebepler
Kişisel verileriniz, temel bazı süreçler kapsamında genel olarak ürün veya hizmet alım ve satım süreçlerinin yürütülmesi, ticari ilişkilerin kurulup devam ettirilebilmesi, çalışan işe giriş ve işten çıkış süreçlerinin yürütülebilmesi, çalışan hak, menfaat ve yasal kazanımlarının yerine getirilebilmesi ve başkaca mevzuattan kaynaklanan yükümlülüklerin gibi amaçlarla ancak bunlarla sınırlı olmamak üzere toplanmakta ve saklanmaktadır.
Kişisel verileriniz;
Amaç ve sebepleriyle saklanmaktadır.
Kişisel verileriniz;
Silinmekte, anonim hale getirilmekte veya imha edilmektedir.
KİŞİSEL VERİLERİNİZİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALMIŞ OLDUĞUMUZ İDARİ VE TEKNİK TEDBİRLER
İdari Tedbirler
Şirket tarafından alınan idari tedbirler:
Teknik Tedbirler
Şirket tarafından alınan teknik tedbirler:
KİŞİSEL VERİLERİNİZİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALMIŞ OLDUĞUMUZ İDARİ VE TEKNİK TEDBİRLER
İmha edilecek verilerin listesi tutulmaktadır.
İmha edilecek verilerin listesinde kişisel veriler anonimleştirilmiş şekilde saklanmaktadır.
İmha edilecek veriler, veri paylaşım defterlerinden bulunarak, paylaşılan her yere de imha edilmesi gerekliliği bildirilmektedir.
Bilgisayar ortamında tutulup, imha edilecek veriler, geri getirilmesini engelleyen, getirilse bile anlam arz etmeyecek şekilde geri getirilecek hale getiren yazılımlarla imha edilmektedir.
Kağıt/evrak ortamında tutulan kişisel veriler, Shredder(Doküman öğütücü) ile imha edilip, geri birleştirilmesi mümkün olmayacak şekilde geri dönüşüme yollanmaktadır.
Veri imha edileceğinde, yedekler de kontrol edilerek, imha edilmektedir.
Yapılan imhalar, Şirketimiz Bünyesindeki KVK Takımı tarafından anonimleştirilmiş şekilde tutanak altına alınmaktadır.
Anonimleştirilmiş listeler, ancak gerçek bilgi ile kıyaslandığında anlam ifade edip, gerçek bilgi bilinmedikçe anlamlı hale gelmemektedir.
Kişisel Verilerinizin saklama ve imha süreçlerinde yer alanlar;
BİRİM | ÜNVAN | GÖREV TANIMI |
İnsan Kaynakları | Müdür | İnsan Kaynakları süreçlerinin yönetilmesi, insan kaynakları biriminin diğer birimlerle ilişkisinin ve iletişiminin sağlanması |
İnsan Kaynakları | Personel | İnsan Kaynakları süreçlerinde müdürün emir ve talimatları kapsamında çalışma/ yer alma. |
Kişisel Verileri Koruma Departmanı | Departman Müdürü | Şirketin KVKK uyumunu takip etmek, gerekli uyum çalışmalarını yürütüp, Kişisel verilerle ilgili şirketin sorumluluklarını yerine getirmek. |
Kişisel Verileri Koruma Departmanı | Müdür Yardımcısı | Müdürün, KVKK görev tanımı kapsamındaki, emir ve talimatlarıyla müdüre yardımcı olmak. |
Kişisel Verileri Koruma Departmanı | Personel | Müdürün, KVKK görev tanımı kapsamındaki, emir ve talimatlarıyla işin gereklerini yerine getirmek. |
Şirket Yönetimi | Yönetim Kurulu Üyesi | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Bilgi İşlem | Tedarikçi | Bigisayar ortamındaki verilerin, geri getirilmeyecek şekilde silinmesini sağlamak. |
Şirket bünyesinde işbu politika ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilişkili diğer politikaları, prosedürleri ve formlarını yönetmek üzere, şirket üst yönetiminin kararı gereğince “Bilgi Güvenliği Komitesi” oluşturulmuştur. Bu komitenin görevleri ISO 27001 Bilgi Güvenliği Yönetim Sistemi içerisinde tanımlanmıştır.
Kişisel Verilerin İmha Teknikleri
Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | • Sunucularda yer alan kişisel veriler saklanmasını gerektiren süre sona erenler için; • Sistem yöneticisi tarafından dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Veri tabanlarında Yer Alan Kişisel Veriler | • Veri tabanlarında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. • Veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi sağlanır. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | • Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için; Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. Dökümanlar, doküman öğütücüye atılarak, geri birleştirilemeyecek hale getirildikten sonra geri dönüşüme yollanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | • Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, Sistem yöneticisi tarafından flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi sağlanır. |
Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | • Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, kâğıt öğütücü cihazlarda geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | • Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler erişilemez hale getirilir. |
SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak, saklama ve imha süreleri;
➢ Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri, Kişisel Veri İşleme Envanterinde;
➢ Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta, yer alır.
Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
o Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirketin nezdindeki önem derecesine göre belirlenir.
o Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu konusunda verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
o Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
PERİYODİK İMHA SÜREMİZ
Kişisel verilerinizin, yukarıda açıklanan sebep veya amaçlarla, silinmekte, anonim hale getirilmekte veya imha edilmektedir. Bu işlemler, kurumsal imha süremiz olan her 6 aylık sürenin sonunda bir, yılda toplamda 2 kere olmak üzere gerçekleştirilmektedir.
KİŞİSEL VERİ İMHA VE SAKLAMA POLİTİKAMIZDAKİ DEĞİŞİKLİKLER
Güncelleme Tarihi | Değişikliklerin Kapsamı |
|
|
|
|
|
|
|
|
İLGİLİ KİŞİNİN HAKLARI VE ERİŞİM YÖNTEMLERİ
Herkes,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Bu haklarınızı kullanmak adına, aşağıda belirtili kep adresimize, şahsınıza ait kep adresinden ileti yollayabilir; aşağıda belirtili adresimize, kimliğinizi teşhis edebileceğimiz şekilde başvuru yapabilir ya da noter aracılığıyla talebinizi ihtar edebilirsiniz. Usulüne uygun şekilde yapmış olduğunuz taleplerinize en geç 30 gün içinde geri dönüş sağlanacaktır.
VERİ SORUMLUSUNUN KİMLİĞİ
CRT METAL SAN. VE TİC. Anonim Şirketi
Adres: Mustafa Kemal Mah. İbrahim Karaoğlanoğlu Cad. No:66 Atay İş Merkezi
K:7 D:44/45 İskenderun/HATAY Telefon No: 0326 502 60 67
E-Posta: kvkk@crtmetal.com KEP Adresimiz: crtmetal@hs01.kep.tr
AYDINLATMA YÖNTEMLERİ VE METİNLER
Kurumumuz nezdinde, aydınlatma yöntemi olarak, tabelalar, katmanlı aydınlatma şeklinde kullanılan görsel işaretler, telefon santraline yerleştirilmiş işitsel aydınlatma, şirketimiz Web sitesinde yayınlanmış aydınlatma metinleri ve yazılı olarak tarafınıza sunulan dökümanlar, telefonla iletişim, elektronik posta yoluyla aydınlatma yöntemleri kullanılmaktadır. Kurumumuzda kişisel verileri işlenen veri grupları aşağıdaki gibidir.
Çalışan Adayı |
Çalışan |
Hissedar/Ortak |
Potansiyel Ürün veya Hizmet Alıcısı |
Stajyer |
Tedarikçi Çalışanı |
Tedarikçi Yetkilisi |
Ürün veya Hizmet Alan Kişi |
Veli/Vasi/Temsilci |
Ziyaretçi |
Referans Kişi |
Resmi veya Özel Evraklarda Bilgileri Bulunan Özel/Kamu Çalışan ve Yetkilileri |
Çalışan Yakınları |
Bu veri gruplarının her biri için ayrı ayrı olarak hazırlanmış aydınlatma metinleri hazırlanmış ve aydınlatma işlemi bu metinler üzerinden gerçekleştirilmektedir.