Segü Kişisel Veri Saklama ve İmha Politikası


İşbu Kişisel Veri Saklama ve İmha Politikası, Segü Mühendislik Enerji ve Endüstriyel Tesisler Sanayi ve Ticaret Anonim Şirketi (“bundan Şirket olarak anılacaktır”) tarafından veri sorumlusu sıfatı ile Şirket bünyesinde bulundurulmakta olan kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca silinmesi, yok edilmesi veya anonim hale getirilmesi amaçları ile Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan imha politikası doğrultusunda hazırlanmıştır.

İlgili kişiler olarak, işbu politika haricinde Şirketimiz tarafından kişisel verilerinize yönelik hazırlanmış politikalarımıza www.segu.com.tr  adresinden kolayca ulaşabilirsiniz.

 

1.        TANIMLAR

a.       Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
b.      Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
c.       Çalışan: Şirket personeli.
d.      Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
e.       Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
f.        İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
g.       İlgili Kullanıcı    : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
h.      İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
i.        Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
j.        Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
k.       Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
l.        Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
m.    Kurul: Kişisel Verileri Koruma Kurulu
n.      Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
o.      Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
p.      Politika: Kişisel Verileri Saklama ve İmha Politikası
q.      Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
r.        VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
s.       Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

2.        KİŞİSEL VERİLERİN KAYIT ORTAMLARI

Kişisel verileriniz aşağıda belirtilmiş olan elektrik olan ve elektronik olmayan ortamlarda hukuka ve mevzuata uygun bir şekilde saklanmaktadır.

Elektronik Ortamlar

  • Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)
  • Yazılımlar (ofis yazılımları, portal, VERBİS)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)
  • Kişisel bilgisayarlar (masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
    • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
    • Yazıcı, tarayıcı, fotokopi makinesi

 

Elektronik Olmayan Ortamlar

  • Kâğıt
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defterleri vb.)
  • Yazılı, basılı ve görsel ortamlar

 

3.        KİŞİSEL VERİLERİN SAKLANMASI

Kanun’un 4. maddesinde yer alan kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi hükmü ile bağlantılı olarak kişisel verileriniz Şirketimiz bünyesinde işbu mevzuatta öngörülen işleme amaçlarımıza uygun süre kadar saklanmaktadır.

a)      Saklama Dayanakları:

Kişisel verileriniz Şirketimiz bünyesinde (i) 6698 sayılı Kişisel Verilerin Korunması Kanunu, (ii) 6098 sayılı Türk Borçlar Kanunu, (iii) 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, (iv) 4857 sayılı İş Kanunu, (v) 6102 sayılı Türk Ticaret Kanunu , (vi) 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, (vii) 213 Sayılı Vergi Usul Kanunu işbu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler kapsamında öngörülen süreler kadar muhafaza edilmektedir.

 

b)      Saklama Amaçları:

Kişisel verileriniz Şirketimiz bünyesinde aşağıdaki amaçlar doğrultusunda kanundaki sürelere uygun bir biçimde saklanmaktadır:

  • İnsan kaynakları süreçlerini yürütmek
  • Şirket içi iletişimi sağlamak
  • Şirket güvenliğini sağlamak
  • İstatistiksel çalışmalar yapabilmek
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
  • VERBİS’e işleyebilmek
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
  • Şirket ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak
  • Yasal raporlamalar yapmak
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirebilmek

4.        KİŞİSEL VERİLERİN İMHASI

Kişisel verileriniz aşağıdaki durumlarda ilgili kişinin talebi üzerine veya re’sen işbu politikanın ilerleyen bölümlerinde açıklanacağı şekillerde silinir, yok edilir veya anonim hale getirilir:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
  • İlgili kişinin açık rızasını geri alması
  • Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

5.        KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerinizin saklandığı ortamlara ilişkin olarak aşağıda belirtilen teknik tedbirleri almaktadır:

  • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
  • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
  • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
  • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
  • Şirketimiz bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
  • Dijital verilerin korunması için anti virüs yazılımı; firewall, uygunsuz erişimlerin kontrol altına alınması için erişim kısıtlaması yöntemleri; güçlü parolalar, güvenli kayıt altında tutma(loglama) sistemleri; yedekleme programları kullanılmaktadır.

 

Şirketimiz, kişisel verilerinizin saklandığı ortamlara ilişkin olarak aşağıda belirtilen idari tedbirleri almaktadır:

 

  • Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
  • Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
  • Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
  • Çalışanlara periyodik olarak Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca veri ve bilgi güvenliği eğitimleri verilmekte; görev ve pozisyonuna uygun gizlilik taahhüdü imzalatılmaktadır. Güvenlik prosedürlerine ve kişisel veri koruma politikasına aykırı hareket eden personeller aleyhinde mevzuat kapsamında yasal işlem (ihtar/fesih vb.) yapılmaktadır. Çalışanlar için görev tanımları oluşturulmakta, yetki ve erişim sınırları çizilmektedir.

6.        KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Şirketimiz tarafından kişisel veriler, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir:

 

a)      Silinme Yöntemleri

Erişim Yetkisinin Kaldırılması: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Aynı şekilde elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

Karartma: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süresi sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Şifreleme: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süresi sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

b)  İmha Yöntemleri

Fiziksel İmha: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Manyetik İmha: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

c)       Anonim Hale Getirme

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

7.        KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

Kişisel veriler, ilgili mevzuat ve işbu politikada belirtilen esaslar kapsamında, aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise anonim hale getirilecek veya imha edilecektir:

 

Süreç

Saklama Süresi

İmha Süresi

İş Kanunu kapsamında saklanılan veriler

 

İş ilişkisinin sona ermesini müteakip 5 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler

 

İş ilişkisinin sona ermesini müteakip 15 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

SGK mevzuatı kapsamında tutulan veriler

 

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dokümanlar

 

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sair ilgili mevzuat gereği toplanan veriler

 

İlgili mevzuatta öngörülen süre kadar

Saklama süresinin bitimini takiben 180 gün içerisinde

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması

Dava zamanaşımı müddetince

Saklama süresinin bitimini takiben 180 gün içerisinde

Elektronik iletişim günlük kayıtları

Kaydedildiği anı müteakip 90 gün

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirketin ilişkide olduğu tüzel kişilerin temsilcileri ve çalışanlarına dair veriler

 

Sözleşmenin ve hizmetin yürürlükte olduğu müddetçe

Saklama süresinin bitimini takiben 180 gün içerisinde