OREPA GIDA SAN. VE TİC. LTD. ŞTİ. (“KITCHEN EXPRESS”)
KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
- AMAÇ
OREPA GIDA SAN. VE TİC. LTD. ŞTİ. (“KITCHEN EXPRESS”) nezdinde bulunan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası bu politika ile belirlenmektedir.
- KAPSAM
Kullanıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup KITCHEN EXPRESS’in sahip olduğu ya da KITCHEN EXPRESS tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
- İLGİLİ MEVZUAT
Bu Politika 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanmıştır.
- HUKUKİ VE TEKNİK TERİMLER
Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
KV: Kişisel Veri
KV Envanteri: Kurumda işlenen (tutulan) Kişisel Verileri ve ilişkili bilgilerin tasnif edildiği liste
KVK: Kişisel Veri Koruma
KVK ihlali: İlgili kişilerin mağduriyeti olsun veya olmasın, KITCHEN EXPRESS’in Veri Sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, KITCHEN EXPRESS’ in Kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya KITCHEN EXPRESS Prosedürlerine aykırı hususlar.
KVKK: Kişisel Verilerin Korunması Kanunu
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri işleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre veri işleyen; “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder.
KITCHEN EXPRESS Kayıt Ortamları: KITCHEN EXPRESS, Kişisel Verileri fiziksel evrak, dijital evrak olarak kayıt altına alınmaktadır.
5. KİŞİSEL VERİLERİ İMHA SÜRECİ
KITCHEN EXPRESS tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda re ’sen veya ilgili kişinin başvurusu üzerine periyodik imha sürelerine uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. KITCHEN EXPRESS tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı KITCHEN EXPRESS tarafından seçilir.
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
- Kişisel Verilerin Silinmesi
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
- Kişisel Verilerin Yok Edilmesi
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
- İmhayı Gerektiren Hukuki, Teknik Sebepler
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Kişisel Verileri Koruma Kanunu ve sair mevzuatta öngörülen saklama süreleri uyarınca saklanan kişisel verilerin imhası KITCHEN EXPRESS tarafından re’sen silme, yok etme veya anonim hale getirme işlemi ile yerine getirilir.
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri KITCHEN EXPRESS Kişisel Veri İşleme Envanterinde yer alır.
• Kişisel verilerin saklama ve imha sürelerinin tespitinde, aşağıda belirtilen kriterlerden yararlanılarak işlem yapılır:
Verinin saklanmasının, Kanun’un Kişisel verilerin ve Özel Nitelikli Kişisel verilerin işlenme şartlarını bildirdiği 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise, bu süreye riayet edilir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
• KITCHEN EXPRESS kişisel verileri, KITCHEN EXPRESS’in amaç ve çıkarlarıyla, denetleyici/düzenleyici makamların talepleriyle ve/veya mevzuatla tutarlı bir zaman süresi boyunca işlemeye devam edecektir.
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde, Kanun’un “Genel ilkeler” başlıklı 4. maddesinde sayılan ilkeler ile, “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesi kapsamında alınması gereken tedbirlere, ilgili mevzuat hükümlerine, KITCHEN EXPRESS kararlarına ve işbu Politikaya uygun hareket edilir.
• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler KITCHEN EXPRESS tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanır.
• Yönetmeliğin 11 inci maddesi gereğince KITCHEN EXPRESS, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre KITCHEN EXPRESS her yıl periyodik aralıklarla imha işlemi gerçekleştirilir.
İlgili kişinin Hakları
İlgili kişi aşağıdaki haklara sahiptir.
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanunun 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir
6. Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler
KITCHEN EXPRESS tarafından Alınan Teknik ve İdari Tedbirler;
|
TEKNİK TEDBİRLER
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
|
İDARİ TEDBİRLER
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
|
|
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
|
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
|
|
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
|
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
|
|
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
|
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
|
|
Şifreleme yapılmaktadır.
|
Kişisel veriler mümkün olduğunca azaltılmaktadır.
|
|
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
|
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
|
|
Güvenlik duvarları kullanılmaktadır.
|
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
|
|
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
|
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
|
|
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
|
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
|
SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO
Saklama süreleri KV envanteri ile belirlenmiştir.