Kurumsal / Kişisel Veri İşleme, Saklama ve İmha Prosedürü

Kişisel Veri İşleme, Saklama ve İmha Prosedürü

KİŞİSEL VERİ SAKLAMA, İŞLEME VE İMHA PROSEDÜRÜ

1. AMAÇ

Bu Prosedür, Ak Nişasta Anonim Şirketi (“Ak Nişasta”) tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler ile çalışanlarımızın görevlerini ifa ederken ellerine geçen ya da bilgileri dâhiline giren tüm Kişisel Verileri gizli tutmalarını ve yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara (Hepsi birlikte bu doküman içerisinde “Veri Koruma Mevzuatı” olarak anılacaktır.) uymalarını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.

HEDEF

Ak Nişasta A.Ş., KVK Politikası ile bünyesinde bulunan kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda Ak Nişasta A.Ş. KVK Politikası, KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır.

 

2.KAPSAM

Bu Prosedür, görevleri kapsamında Kişisel Verileri tamamen veya kısmen otomatik yol ve araçlarla işleyen ya da bir kayıt sisteminin bir parçasını oluşturan ya da bir kayıt sisteminin bir parçasını oluşturması amaçlanan Kişisel Verileri (otomatik yol ve araçlar dışında) başka yol ve araçlarla işleyen tüm çalışanlarımıza; Ak Nişasta A.Ş. çalışanları, çalışan adayları, tedarikçiler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin işlenmesi faaliyetlerine ilişkin olarak uygulanır.

 

3. REFERANS VE EKLER

1- Olay Prosedürü

2- Talep yönetim Prosedürü

3- Kişisel Verilerin Korunması Aydınlatma Metni (Genel)

4- Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan)

5- Kişisel Verilerin Korunması Aydınlatma Metni (Tedarikçi çalışanı)

6- Çalışan Veri Gizliliği Taahhütnamesi

7-Disiplin yönetmeliğinin KVKK ile ilgili hükümleri

 

4. TANIMLAR

 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

KVK Komitesi: Şirket Yönetim Kurulu tarafından Muhasebe, Bilgi İşlem ve İnsan Kaynakları departmanlardan üyelerin atanması ile kurulmuş olan komitedir.

Çalışan : Bir iş Sözleşmesine dayanarak Ak Nişasta A.Ş’de istihdam edilen kişiler.

Çalışan adayı : Ak Nişasta A.Ş’ye iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini  erişilebilir kılan gerçek kişiler.

Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler.

Müşteriler: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Ak Nişasta A.Ş. tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler.

Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Üçüncü Kişiler: Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, ziyaretçiler vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler.

VERBİS: Veri sorumluları (Ak Nişasta A.Ş.) veri sicil bilgi sistemi

Veri İrtibat Kişisi: Kişisel verileri koruma kurumu ile kurulacak iletişim için Ak Nişasta A.Ş. Yönetim Kurulu tarafından VERBİS’e kayıt esnasından bildirilen gerçek kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.

Veri Süjesi ya da İlgili Kişi: Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir gerçek kişi.

Ziyaretçiler: Ak Nişasta A.Ş.’nin fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

 

5. SORUMLULUKLAR:

Ak Nişasta A.Ş. dahilinde tüm iş birimleri ve çalışanları iş bu prosedür kapsamında belirtilmiş olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artması, takibi gibi sürekli denetimi ile kişisel verilerin hukuka uygun şekilde işlenmesini teminen tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlu birimlerle işbirliği içinde çalışır. Kişisel verilerin saklama ve imha süreçlerinde görev alanların görev yapmakta olduğu hususlar şu şekilde oluşmuştur;

a. Bu Prosedür ve bu Prosedürde yapılan tüm revizyon ve değişiklikleri incelemek ve onaylamak KVK Komitesi’nin sorumluluğundadır. KVK Komitesi aynı zamanda prosedürü geliştirmek ve gerekli eğitimleri vermek ile prosedürün yorumlanması konusunda çalışanlara kılavuzluk etmekle görevlidir. KVK Komitesi ayrıca bu prosedüre uyulup uyulmadığını denetler ve uyulması için gerekli desteği verir.

 

b.KVK Komitesi işbu prosedürde yer alan periyodik imha süreçlerinin kontrolünden, belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden

ve muhafaza süresi dolan verilerin imha edilmesinden sorumludur.

c. KVK Komitesi ’nin takibinden sorumlu olduğu Ak Nişasta A.Ş. periyodik imha süreci 6 ay olarak belirlenmiştir.

d. Ak Nişasta A.Ş. Yönetim Kurulu’nun görevi, Prosedürü ve prosedürde yapılan tüm değişiklikleri incelemek, onaylamak ve Veri Koruma Mevzuatıyla uyumlu hukuki tavsiyelerde bulunmaktır.

e. Yönetim Kurulu veya atadığı Yetkili Temsilcisi veri irtibat kişisinin Prosedürden sapma ve istisna taleplerini incelemek ve onaylamaktadır.

 

6.UYGULAMA

6.1 AK NİŞASTA A.Ş’NİN KİŞİSEL VERİ SAKLAMA VE İŞLEME FAALİYETLERİ

İş faaliyetleri sırasında çalışanlarımız, detayları şekilde Ak Nişasta A.Ş. Kişisel Verilerin Korunması ve İşlenmesi uygulamasında belirtilmiş olan Kişisel Verileri, işbu prosedürde ve uygulamasında öngörülmüş usullerle toplamakta, işlemekte, saklamakta ve imha etmektedir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

6.1.1 Saklamaya İlişkin Açıklamalar

KVKK’nın 3.(üçüncü) maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış 4.(dördüncü)maddesinde işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5 (beş) ve 6.(altıncı) maddelerde ise “kişisel verilerin işleme şartları” sayılmıştır. Buna göre, kişisel veriler, Ak Nişasta A.Ş. iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu prosedürün ilgili maddesinde belirtilmiş olan sürelerde saklanır.

6.1.2 Saklamayı Gerektiren Hukuki Sebepler

Ak Nişasta, iş faaliyetleri çerçevesinde işlenen kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder. Bu kapsamda kişisel veriler;

- 6098 Sayılı Türk Borçlar Kanunu

- 6361 Sayılı İş Sağlığı ve Güvenliği Kanunu

- 6102 Sayılı Ticaret Kanunu

- 4857 Sayılı İş Kanunu

- 6502 Sayılı Tüketicinin Korunması Hakkında Kanun

- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik

 

Bu kanunlar uyarınca, yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere;

Ak Nişasta’nın uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta ve işlenmektedir.

 

6.1.3 Saklamayı Gerektiren İşleme Amaçları

Kişisel veriler aşağıda sıralanmış amaçlarla saklanmaktadır:

- Satış ve pazarlama: Çalışanlar, müşteri şikâyetleri izleme sistemleri yoluyla ve aracılığıyla, müşteriler hakkında Kişisel Verileri işbu prosedürde anılmış şartlarla toplayabilir ve işleyebilir.

- İnsan kaynakları süreçlerini yürütmek: Çalışan adayları, Ak Nişasta A.Ş. çalışanlarının işe alınması, ücretleri, yan hakları ve bağlantılı konulara ilişkin Kişisel Verileri mevcut yasalar çerçevesinde toplayabilir, işleyebilir ve aktarabilirler. Çalışanlar, iş başvuruları hakkında da Kişisel Verileri yürürlükte bulunan mevcut yasalar çerçevesinde toplayabilir, işleyebilir ve aktarabilirler.

- İmzalanan satış sözleşmeleri kapsamında iş ve işlemlerin ifası amacıyla satış, pazarlama süreçlerin yürütülmesi, ödemelerin ve rücu takiplerinin yapılması,

- Tedarikçiler: Birlikte çalışılacak, hizmet alınacak herhangi bir şahıs şirketi olması durumunda yetkili gerçek kişinin verileri toplanabilir ve işlenebilir.

- Ak Nişasta A.Ş. ile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibat sağlamak,

- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü açısından kişisel verileri toplayabilir, işleyebilir ve aktarabilirler.

-Ziyaretçiler: Fiziksel mekân güvenliğinin temini ve ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla ziyaretçilerin kişisel verilerini işleyebilir.

 

6.1.4 İmhayı Gerektiren Sebepler

Kişisel veriler;

- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Ak Nişasta A.Ş. tarafından kabul edilmesi,

- Ak Nişasta’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması,

- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Ak Nişasta A.Ş. tarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim hale getirilir.

 

6.2 KAYIT ORTAMLARI

Kişisel veriler Ak Nişasta A.Ş. tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır.

Tablo 1: Kişisel veri saklama ortamları

Elektronik Ortamlar

Sunucular

(Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)

Yazılımlar

(Ofis yazılımları)

Bilgi Güvenliği Cihazları

(güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs)

Kişisel bilgisayarlar

(Masaüstü, dizüstü)

Mobil Cihazlar

(Telefon, Tablet)

Yazıcı, Tarayıcı, Fotokopi Makinesi

 

Elektronik Olmayan Ortamlar

(1) Manuel veri kayıt ortamları

(a)Formlar

(b)Belgeler

 

6.3 KİŞİSEL VERİ İŞLEME KOŞULLARI

Ak Nişasta A.Ş. Kişisel Verilerin Korunması ve İşlenmesi politika ve prosedürleri’ne uygun olarak kişisel verilerin işlenebilmesi ve kullanılabilmesi için, Veri Süjesine işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi ve ilgili kişinin açık rızasının alınması gerekir. Bu amaçla çalışanlarımız tarafından, Ak Nişasta A.Ş. Yönetim Kurulu tarafından onaylanan formlar ve aydınlatma metinleri kullanılmalıdır.

Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde Veri Süjesinden açık rıza alma şartı uygulanmamaktadır:

• Kişisel Verileri işlemenin, Veri Süjesinin de taraf olduğu bir sözleşmenin ifası ve uygulanması için ya da bir sözleşmeye girmeden önce Veri Süjesinin talebi üzerine gerekli adımları atmak için zorunlu olması halinde,

• Kişisel Verileri işlemenin bir kanuni yükümlülüğe uymak için zorunlu olması halinde,

• Kişisel Verileri işlemenin bir kamu otoritesinin ya da resmi makamın yetkileri dâhilindeki bir görevin ifası için gerekli olması halinde,

• Kamuya açık olan genel bilgilerin, yoruma dayanan bilgilerin ve/veya istatistik veri ve bilgilerinin işlenmesi halinde.

6.3.1 Veri Sorumlusu Olarak Ak Nişasta’nın Aydınlatma Yükümlülüğü

Veri Sorumlusu olarak iş bu prosedürün ilgili maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman Veri Süjesinden açık rıza alınması şartı bulunmasa dahi, Ak Nişasta’nın her zaman Veri Süjelerine aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır:

- Veri Sorumlusunun ve varsa temsilcisinin kimliği,

- Kişisel verilerin hangi amaçla işleneceği,

- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

- Kişisel veri toplamanın yöntemi ve hukuki sebebi,

- Kanunun 11. maddesinde sayılmış Veri Süjesinin diğer hakları.

Aydınlatma yükümlülüğü “Kişisel Verilerin Korunması Aydınlatma Metinlerini kullanmak suretiyle yapılabilir.

Ak Nişasta A.Ş. zaman zaman iş süreçlerinin yürütülmesi, iletişim sağlanması amaçlarıyla tedarikçilerinin yetkililerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda sözü edilen tedarikçi çalışanlarına karşı Ak Nişasta’nın aydınlatma yükümlülüğünün yerine getirilmesini teminen ilgili Ak Nişasta A.Ş. yetkililerinin Tedarikçilere ilişkin Ak Nişasta A.Ş. Aydınlatma metni göndermesi mümkündür.

6.3.2 Özel Nitelikli Kişisel Verilerin işlenmesinde Uyulacak Kurallar:

İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve Veri Koruma Mevzuatı başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilen durumlar haricinde, Özel Nitelikli Kişisel Veriler işlenmeden önce bu verileri işlemek için ilgili kişinin açık rızası mutlaka ve daima alınmaktadır.

6.3.3 Çalışanların ve Çalışan Adaylarının Kişisel Verilerinin İşlenmesinde Uyulacak Kurallar

Çalışanlara ait Özel Nitelikli Kişisel Veriler de dâhil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Ak Nişasta A.Ş. tarafından belirlenen başka amaçlarla işlenebilmesi için, hâlihazırda Ak Nişasta A.Ş. çalışanı bulunan kişilere Çalışan Veri Gizliliği Taahhütnamesinin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir. Hâlihazırda Ak Nişasta A.Ş. çalışanı durumunda bulunmayan, işe alım süreci olumlu şekilde tamamlanacak olan kişilere ilişkin kişisel verilerin işlenebilmesinin için, ilgili kişiye imzalatılacak olan İş Sözleşmesine Kişisel Veri Koruma Maddesinin eklenmesi ve iş sözleşmesinin bu haliyle imzalanması suretiyle aydınlatma yükümlülüğünün yerine getirilmesi mümkündür.

6.3.4 Müşterilere Ait Kişisel Verilerin Pazarlama Amaçlarıyla İşlenmesi ve Kullanılmasında Uyulacak Esaslar

Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce Veri Süjesi müşterinin aydınlatma yükümlülüğü çerçevesinde bilgilendirilmektedir.

6.3.5 Görevi Gereği Kişisel Veri İşleyen Çalışanların Özel Olarak Dikkat Etmesi Beklenen Hususlar

Görevlerinin bir gereği olarak ve görevleri esnasında, Ak Nişasta A.Ş. adına Kişisel Verileri işlerken, çalışanlarımızın işbu prosedürde yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:

- Kişisel Verilerin Veri Koruma Mevzuatına uygun bir şekilde, meşru yollarla ve adil bir biçimde işlenmesi gerekir.

- Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesi gerekir.

- Veri Süjesine açıklamayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve

saklanmaması gereklidir.

- Kişisel Verilerin işlenme amacı için yeterli olması, bu amaçla ilişkili ve bağlantılı olması ve işlenme amacına kıyasla aşırı miktarda veya sayıda olmaması gerekir.

- Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesi gerekir.

- Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmaması gerekir.

6.3.6 Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar

Görevlerinin bir gereği olarak ve görevleri esnasında Ak Nişasta A.Ş. adında Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu prosedürün diğer maddeleri ve sözü edilen hususları gözetmelerinin yanı sıra Veri Koruma Mevzuatı uyarınca Çalışan Veri Gizliliği Taahhütnamesini imzalamaları gerekmektedir.

6.3.7 Kişisel Verilerin Transferi ve Devri Gerçekleştirirken Uyulması Gereken Kurallar

• Çalışanlarımız, Veri Koruma Mevzuatı’nın uyarınca belirlenen koşullar haricinde herhangi bir üçüncü kişiye veri transfer etmeyeceklerdir.

• Çalışanlarımız, Kişisel Verileri, İlgili Kişi’nin açık rızası bulunmadıkça, Kişisel Verileri Koruma Kurulu tarafından belirlenecek ve ilan edilecek olan ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışında bir ülkeye transfer etmeyeceklerdir.

6.4 TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu’nu uyarınca ve Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde olmak üzere Ak Nişasta A.Ş.  tarafından teknik ve idari tedbirler alınmaktadır.

6.4.1 Teknik Tedbirler

Ak Nişasta A.Ş. tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır:

- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

- Anahtar yönetimi uygulanmaktadır.

- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.

- Erişim log’ları düzenli olarak tutulmaktadır.

- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

- Güncel antivirüs sistemleri kullanılmaktadır.

- Güvenlik duvarları kullanılmaktadır.

- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

- Mevcut risk ve tehditler belirlenmiştir.

- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

- Özel nitelikli kişisel veriler için güncel şifreleme/kriptografik anahtarlar kullanılmakta ve farklı

birimlerce yönetilmektedir.

- Saldırı tespit ve önleme sistemleri kullanılmaktadır.

- Sızma testi uygulanmaktadır.

- Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.

- Şifreleme yapılmaktadır.

- Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.

- Veri kaybı önleme yazılımları kullanılmaktadır.

 

6.4.2 İdari Tedbirler

Ak Nişasta A.Ş. tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:

- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları

yapılmaktadır.

- Çalışanlar için yetki matrisi oluşturulmuştur.

- Gizlilik taahhütnameleri yapılmaktadır.

- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

- Kâğıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

- Kişisel veri güvenliğinin takibi yapılmaktadır.

- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

- Kişisel veriler mümkün olduğunca azaltılmaktadır.

- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

- Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

- Mevcut risk ve tehditler belirlenmiştir.

- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.

6.5 VERİ SÜJELERİNİN HAKLARI

Ak Nişasta A.Ş. tarafından kişisel verileri işlenmekte olan veri süjeleri Ak Nişasta’ya başvurarak kendisi ile ilgili;

a. Kişisel veri işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f. Veri Koruma Mevzuatı’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

g. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme, haklarına sahiptir.

Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, Veri Süjesi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir.

İlgili kişilerin bu başvurularının, değerlendirilmesinin ve yanıtlanmasının Ak Nişasta A.Ş. Başvuru Yanıtlama Prosedürü içinde anıldığı şekilde gerçekleşmesi gerekmektedir.

 

6.6 GÜVENLİK KOŞULLARI

Ak Nişasta A.Ş. çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar;

- Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan

çalışanlarla sınırlı tutmak.

- Uygunsa, şifre korumalı elektronik dosyaları kullanmak.

- Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.

- Kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlarda haberdar olduğunda bunları derhal âmirine bildirmek.

- Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili Veri Süjesinden Veri Koruma Mevzuatı uyarınca açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirmek.

Kişisel Verileri korumak için alınan güvenlik tedbirleri periyodik olarak KVK Komitesi tarafından incelenmekte ve değerlendirilmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir.

Herhangi bir Güvenlik Olayı’nın oluşması halinde Ak Nişasta A.Ş. ve çalışanları tarafından izlenmesi gereken adımlar Ak Nişasta A.Ş. Güvenlik Olaylarına Müdahale Prosedüründe gösterilmiştir.

6.7 KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Ak Nişasta A.Ş. tarafından re ‘sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.7.1 Kişisel Verilerin Silinmesi

Kişisel veriler iş bu metinde verilen yöntemlerle silinir.

Veri Kayıt Ortamı Açıklama

Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını

gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden

saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme

anahtarlarıyla güvenli ortamlarda saklanır.

AKSİGORTA KİŞİSEL VERİ SAKLAMA, İŞLEME VE İMHA PROSEDÜRÜ

6.7.2 Kişisel Verilerin Yok Edilmesi

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

6.7.3 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6.8 VERİ TÜRLERİNE GÖRE SAKLANMA VE İMHA SÜRELERİ

Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, KVK Komitesi sorumludur. KVK Komitesi’nin takibinden sorumlu olduğu Ak Nişasta A.Ş. periyodik imha süresi 6 ay olarak belirlenmiştir.

KVK Komitesi bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir.

VERİ TÜRÜ MUHAFAZA SÜRESİ İMHA SÜRESİ

E-postalar ve şirket içi yazışmalar 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Sözleşmeler Sözleşmenin sona ermesini takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Müşteri Kayıtları Müşteri ile girilen son etkileşimi takip eden 10 yıl boyunca  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Eski Çalışan Kayıtları İşten ayrılmalarını takip eden 10 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Çalışan Adaylarına İlişkin Kayıtlar Başvuruyu takip eden 6 ay boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Muhasebe ve Finans Kayıtları 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha

Süresinde,

Şirket İçi Şikayetler ve İlgili Belgeler 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Hukuk Kayıtları 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Resmi Yazışmalar Süresiz Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Görsel ve İşitsel Kayıtlar işlemin 90 gün saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

IP Bilgisi, İnternet Giriş Çıkış Bilgisi işlemin 1 yıllık saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

Ses Kayıtları işlemin 6 aylık saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Vergi Kayıtları 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde prosedürde belirtilen yöntemlerle imha edilmektedir.

Biz ve ortaklarımızın, sizi hatırlayabilmesi ve siz ve diğer ziyaretçilerimizin sitemizi nasıl kullandığınızı anlayabilmesi için, sitemiz çerez(cookies) ve diğer teknolojileri kullanır. Bu teknolojilerin tam listesini görmek ve bize bunların cihazınızda kullanılıp kullanılamayacağını bildirmek için burayı okuyabilirsiniz. Sitemizi daha iyi bir şekilde kullanmanız için çerez politikamızı kabul ediyor musunuz?