İmha Politikası

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ( Kanun’un ikincil düzenlemesini oluşturan “Yönetmelik”), kişisel verilerinizin işlendiği amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile veri sahiplerinin kişisel verilerinin silinmesi ve yok edilmesinden korunmasını sağlamak üzere, kanunlaştırılmıştır. Veri sorumlusu Be One Mobile Online Satış Pazarlama Gıda Kozmetik Üretim Ticaret ve Sanayi A.Ş. ("Şirket") tarafından imha ve anonimleştirme süreçleri hakkında bilgilendirme yapmak amacıyla hazırlanmıştır.

Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgiye dayalı ve özgür iradeyle ifade edilen rızadır.

İlgili Kullanıcı: Verilerin teknik olarak saklanması, korunması ve yedeklenmesinden sorumlu kişi veya birim dışında, veri sorumlusu organizasyonu bünyesinde veya veri sorumlusundan aldığı yetki ve talimat uyarınca kişisel verileri işleyen kişidir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlendiği her türlü ortamı,

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem - Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik anlamına gelir.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; Kişisel verileri İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirmek.

Kişisel Verilerin İmhası : Kişisel verilerin hiçbir şekilde kimse tarafından erişilemez, kurtarılamaz ve kullanılamaz hale getirilmesi işlemidir.

Periyodik İmha: Kanunda belirtilen kişisel veri işleme şartlarının tamamının ortadan kalkması halinde, kişisel veri saklama ve imha politikasında belirtilen tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonimleştirme işlemidir.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.

Prensipler

Şirket, kişisel verilerin saklanması ve yok edilmesinde aşağıdaki ilkeler çerçevesinde hareket etmektedir:

  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin tüm işlemler Şirket tarafından kayıt altına alınmakta ve bu kayıtlar diğer yasal zorunluluklar hariç en az 3 (üç) yıl süreyle saklanmaktadır.
  • Kanun'un 5. ve 6. maddelerinde belirtilen kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. İlgili Kişinin bu konuda Şirkete başvurması halinde;
  • Taleplere en geç 30 (otuz) gün içinde cevap verilir,
  • Talebe konu olan verilerin üçüncü kişilere aktarılması halinde bu durum, verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemler yapılır.

Saklama ve İmha Sebeplerine İlişkin Açıklamalar

İlgili kişilere ait kişisel veriler, Şirket tarafından, ticari faaliyetlerin sürdürülmesi, hukuki yükümlülüklerin yerine getirilmesi, çalışan haklarının ve yan hakların planlanması ve ifası başta olmak üzere Kanun ve ilgili diğer mevzuatta belirtilen sınırlar dahilinde saklanmaktadır.

Saklamayı gerektiren nedenler şunlardır:

  • Kişisel verilerin sözleşmelerin kurulması ve ifasıyla doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Bir hakkın tesisi, kullanılması veya korunması amacıyla kişisel verilerin saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirketin her türlü hukuki yükümlülüğünü yerine getirebilmesi için saklanması,
  • Mevzuat kişisel verilerin saklanmasını açıkça öngörmektedir,
  • Veri sahiplerinin açık rızasını gerektiren depolama faaliyetleri açısından veri sahiplerinin açık rızası.

Yönetmelik uyarınca aşağıda belirtilen hallerde ilgili kişilere ait kişisel veriler Şirket tarafından resen veya talep edilmesi halinde silinir, yok edilir veya anonim hale getirilir:

Kişisel verilerin işlenmesine veya saklanmasına esas olan ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması sebebiyle gerekli olması, Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, Kanun’un 5. ve 6. maddelerinde kişisel veri işlenmesini gerektiren şartlar, Kişisel veri işlemenin yalnızca açık rızaya dayanılarak gerçekleştirilmesi halinde ilgili kişinin rızasını geri çekmesi,

Veri sahibinin Kanun'un 11. maddesi kapsamındaki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik yaptığı başvuru, kişisel verilerin saklanmasını gerektiren azami süreye rağmen veri sorumlusu tarafından kabul edilir. verinin geçerlilik süresi dolmuşsa, kişisel verilerin daha uzun süre saklanmasını haklı kılan bir durum bulunmamaktadır.

Depolama ve İmha Süreleri

Şirket tarafından elde edilen kişisel verilerinizin Kanun ve ilgili diğer mevzuat hükümleri uyarınca saklama ve imha sürelerinin belirlenmesinde sırasıyla aşağıda belirtilen kriterler kullanılmaktadır:

  • Söz konusu kişisel verilerin saklanmasına ilişkin mevzuatta bir süre öngörülmüşse bu süreye uyulacaktır. Söz konusu sürenin sona ermesinden sonra veriler aşağıdaki madde çerçevesinde işlenecektir.
  • Söz konusu kişisel verilerin saklanmasına ilişkin mevzuatta öngörülen sürenin dolması veya ilgili mevzuatta söz konusu verilerin saklanmasına ilişkin bir süre öngörülmemesi halinde;
  • Kişisel veriler, Kanunun 6 ncı maddesindeki tanıma göre kişisel veri ve özel nitelikli kişisel veri olarak sınıflandırılacaktır. Özel nitelikli olduğu tespit edilen tüm kişisel veriler imha edilecektir. Söz konusu verilerin yok edilmesinde uygulanacak yöntem, verinin niteliğine ve Şirket nezdinde saklanmasının önemine göre belirlenmektedir.
  • Verilerin saklanmasının Kanun'un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; Şirketin verileri saklamasında meşru bir amacın olup olmadığı sorgulanmaktadır. Kanunun 4. maddesinde belirtilen ilkelere aykırı olduğu tespit edilen veriler silinir, yok edilir veya anonim hale getirilir.
  • Verilerin saklanmasının Kanun'un 5. ve 6. maddelerinde belirtilen istisnalardan hangileri çerçevesinde değerlendirilebileceği belirlenir. Belirlenen istisnalar çerçevesinde veri saklamaya ilişkin makul süreler belirlenir. Bu sürelerin bitiminde veriler silinir, yok edilir veya anonim hale getirilir.

6 (altı) aylık periyotlarda bu Politikada belirtilen prosedürlere uygun olarak anonimleştirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin tüm işlemler kayıt altına alınmakta ve bu kayıtlar diğer yasal zorunluluklar hariç en az 3 (üç) yıl süreyle saklanmaktadır.

Kişisel Verilerin Saklanması ve İmhasına İlişkin Prosedürler, Teknik ve İdari Tedbirler

Toplanacak kişisel veriler Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi için kişisel verilerinizin işlenmesinin gerekli olması, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer fırsatlar ve/veya bunlara ilişkin ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları doğrultusunda kullanılabilmektedir. Ayrıca dijital kopya olarak saklanan tüm veriler Şirket sunucusuna kaydedilmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve hukuka uygun olarak verilerin yok edilmesi amacıyla Kanun’un 12. maddesinde yer alan esaslar çerçevesinde Şirket tarafından alınan tüm idari ve teknik tedbirler aşağıda sıralanmıştır:

İdari Önlemler:

Şirket idari tedbir altındadır;

  • Şirket, saklanan kişisel verilere şirket içi erişimi, görev tanımı gereği bu verilere erişmesi gereken personel ile sınırlandırmaktadır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • Kişisel verilerin paylaşımına ilişkin olarak, kişisel verilerin paylaşıldığı kişilerle kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar veya mevcut sözleşmeye eklenen hükümlerle veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi konusunda bilgili ve tecrübeli personel istihdam etmekte ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği çerçevesinde gerekli eğitimleri vermektedir.
  • Kanun hükümlerinin kendi tüzel kişiliği bünyesinde uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini ortadan kaldırır.
  • Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb.) alınmasını sağlar ve bu alanlara izinsiz giriş çıkışların önlenmesini sağlar.

Teknik Önlemler:

Firma teknik önlemler kapsamında;

  • Kurulan sistemler çerçevesinde gerekli iç kontrolleri gerçekleştirir.
  • Bilgi teknolojileri risk değerlendirmesi ve iş etki analizi süreçlerini kurulu sistemler çerçevesinde yürütür.
  • Verilerin kurum dışına sızmasını önlemeye veya izlemeye yönelik teknik altyapının sağlanmasını ve ilgili matrislerin oluşturulmasını sağlar.
  • Sızma testi hizmetlerini düzenli olarak ve ihtiyaç duyulduğunda alarak sistem açıklarının kontrolünü sağlar.
  • Bilgi teknolojileri birimlerinde görev yapan çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
  • Kişisel verilerin yeni verilere dönüştürülemeyecek ve denetim izi bırakmayacak şekilde imha edilmesini sağlar.
  • Kanun'un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gerekliliklerini sağlamak amacıyla şifreli veya kriptografik yöntemlerle korur.
  • Özel nitelikli kişisel verilere ilişkin tüm hareketlerin işlem kayıtlarının güvenli bir şekilde kayıt altına alınmasını sağlar.
  • Verilerin saklandığı ortamların güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yapılmasını sağlar.
  • Özel nitelikli kişisel verilere bir yazılım aracılığıyla erişildiği durumlarda, bu yazılıma kullanıcı yetkilendirmeleri yapılarak bu yazılımın güvenlik testlerinin düzenli olarak yapılmasını sağlar.
  • Hassas kişisel verilere uzaktan erişimin gerekli olduğu durumlarda en az iki aşamalı kimlik doğrulama sistemi sağlar.
  • Özel nitelikli kişisel verilerin aktarıldığı hallerde;
  • Bu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve tüm iş birimleri, danışmanlar, dış hizmet sağlayıcılar ve kişisel verileri işleyen herkes için bağlayıcı olacaktır.
  • Çalışanların politika gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı bir davranışın tespit edilmesi durumunda durum, ilgili çalışanın amiri tarafından derhal bir üst amirine bildirilir.
  • İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında politikayı ihlal eden çalışan hakkında gerekli idari işlem yapılacaktır.

Verilere ilişkin talep ve sorularınızı dpo@roseverplus.com adresine gönderebilirsiniz.