HMP İLETİŞİM İNŞAAT ENERJİ TAAHHÜT SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. AMAÇ ve KAPSAM
Kişisel verilerin korunması, HMP İLETİŞİM İNŞAAT ENERJİ TAAHHÜT SANAYİ VE TİCARET A.Ş. (“Şirket” veya “Şirketimiz”) için büyük hassasiyet arz etmekte olup Şirketimizin öncelikleri arasındadır. Şirketimiz, topladığı Kişisel Verilerin saklanması ve imhasına ilişkin olarak işlendikleri amaç için gerekli olan azami saklama süresini belirlemek, silme, yok etme ve anonim hale getirme süreçlerini Veri Sahipleri için bilinir kılmak ve bu işlemlere ilişkin benimsediği yöntemleri şeffaflıkla ortaya koymak için işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”)’nı hazırlamıştır ve yayınlamıştır.
Şirketimiz, kişisel verilerin işlenmesinde şeffaflığı sağlamaya en üst düzeyde önem vermektedir. İşbu Politika, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’a uygun olarak yayımlanmış ikincil mevzuata uygun olarak hazırlanmıştır. Özellikle 28.10.2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” (“Yönetmelik”) bu Politikamızın hazırlanmasında kaynak olarak esas alınmıştır.
2. TANIMLAR
Açık Rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun (KVKK); 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin Anonim Hale Getirilmesi; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Veri Envanteri; Şirketimiz bünyesinde toplanan Kişisel Verilerin hangi Veri Sahibi gruplarına ait olduğunu, süreç bazlı olarak gösteren envanter.
Kişisel Verilerin İşlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi.
Kişisel Verilerin Silinmesi; Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Periyodik İmha: Kanun’da yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda İşbu Politika’da belirtilen ve tekrar eden aralıklarla Şirketimiz tarafından kendiliğinden gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika; Şirketimizin Kişisel Veri Saklama ve İmha Politikası.
Şirket; HMP İletişim İnşaat Enerji Taahhüt Sanayi Ve Ticaret A.Ş.’yi
Şirket Politikaları; Şirketimizin işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası.
Veri Kayıt Sistemi; Kişisel Verilerin Şirketimiz bünyesinde yapılandırılarak işlenmesi için kullandığımız kayıt sistem(ler)i.
Veri Sahibi; Şirketimiz ve/veya Şirketimizin bağlı şirketleri/iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen / işlenebilecek olan gerçek kişi.
Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirketimizi.
Yönetmelik; 28.10.2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerini ifade eder.
3. TEMEL İLKELER
Şirketimiz tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan temel ilkeler benimsenmiştir. Buna göre:
-
Kanun’un 5. ve 6. maddelerinde yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması halinde, Kişisel Veriler Şirketimizce re’sen veya Veri Sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Veri Sahiplerince yöneltilecek talebin Şirketimize ulaşması üzerine, Şirketimiz:
-
Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa, Şirketimiz talebe konu Kişisel Verileri silmekte, yok etmekte veya anonim hale getirmektedir. Bu surette Veri Sahibinin talebi en geç otuz (30) gün içinde sonuçlandırılarak ve kendisine bilgi verilmektedir.
-
Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilmektedir. Böyle bir durumda red cevabımız Veri Sahibine en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilmektedir.
-
Kişisel Verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat Veri Sahibinin talebine konu olan Kişisel Veriler üçüncü kişilerle paylaşılmış ise, Şirketimize yöneltilen talep verilerin paylaşıldığı üçüncü kişiye bildirilmekte ve üçüncü kişi tarafından bu Politika ve mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilmekte ve hatta sağlanmaktadır.
-
Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Kanun’un 4. maddesinde sayılan ilkeler ve 12.maddesi kapsamında alınması gereken teknik ve idari tedbirler başta olmak üzere, ilgili mevzuat hükümleri, Kurul kararları ve işbu Politika ile uyumlu olarak icra edilmektedir. Bu kapsamda, Kanun’un 4.maddesi uyarınca:
-
Hukuka ve dürüstlük kurallarına uygunluk,
-
Doğruluk ve gerektiğinde güncellik,
-
Belirlilik, açıklık ve meşru amaçlar için işlenme,
-
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
-
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
ilkeleri Şirketimiz için önceliklidir.
Kanun’un 12.maddesine paralel olarak, Şirketimiz:
-
Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek,
-
Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek,
-
Kişisel Verilerin muhafazasını sağlamak,
amacıyla, uygun güvenlik düzeyini temin etmeye yönelik işbu Politika’da benimsenmiş olan teknik ve idari tedbirleri almaktadır.
-
Kişisel Verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler, Şirketimiz tarafından kayıt altına alınmakta ve söz konusu kayıtlar, Şirketimizin uyum göstermesi gereken diğer hukuki yükümlülükleri hariç olmak üzere, en az üç (3) yıl süreyle saklanmaktadır.
-
Kurul tarafından aksine bir karar alınmadıkça, Şirketimizce, Kişisel Verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçilmektedir. Ayrıca, Veri Sahibinin talebi halinde, uygun yöntem gerekçesi açıklanarak seçilecek veya neden seçilemediğine ilişkin olarak Veri Sahibine gerekli geri bilgilendirme yapılacaktır.
4. KAYIT ORTAMLARIMIZ
Şirketimiz, Kişisel Verilerin mahremiyetiyle ilgili olarak mevzuatta düzenlenen genel kural ve ilkeler ve de uluslararası prensipler ışığında topladığı Kişisel Verileri aşağıda listelenen ortamlarda saklanmaktadır:
Elektronik Kayıt Ortamlarımız:
• CRM Server
• SQL veri tabanı
• MySQL (web sitesi veri tabanı)
Fiziki Kayıt Ortamlarımız:
-
Şirketimize ait personel dosyaları,
-
Şirketimiz içindeki muhasebe, pazarlama, satınalma, gibi ilgili birimlere ait dolaplar,
-
Arşiv.
5. SAKLAMAYI VE İMHAYI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER
Şirketimiz, personel işe girişlerinde (başvuru+özlük dosyası evrakı), satın alma departmanlarının iş ve işlemlerinde, işyeri kamera kayıtları vasıtasıyla, müşterilerin kendileri veya tüzel kişi müşterilerin yetkilileri, çalışanları veya doğrudan veri sahiplerince Şirketimize yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan Kişisel Veri toplayabilmektedir. Diğer yandan, Şirketimizin hukuki güvenliğinin temini için, her türlü sözleşme ilişkisi kurduğumuz gerçek kişilerin veya tüzel kişilerin gerçek kişi temsilcilerinin de kişisel verileri, sözleşme eki olarak saklanmaktadır.
Şirketimizin topladığı Kişisel Veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birine veya birkaçına dayalı olarak saklanmakta ve Kanun’un 7. maddesine uygun olarak işlenmektedir. Bu kapsamda, Kişisel Verilerin işlenmesi için belirtilen şartların geçerliliği süresince Kişisel Veriler saklanmakta, söz konusu işleme şartları sona erdiğinde veya Veri Sahibinin Şirketimize başvurusu üzerine (Şirketimizin riayet etmesi gereken diğer hukuki yükümlülükleri kontrol edildikten sonra) talep üzerine saklanmakta olan Kişisel Veriler silinmekte, imha edilmekte veya anonim hale getirilmektedir. Bu çerçevede:
• Mevzuatın değişmesi veya ilgası,
• İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,
• İşlenme amaçlarının ve şartlarının ortadan kalkması,
• Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,
• Veri Sahibinin silme/yok etme/anonim hale getirme başvurusunda bulunması ve bu başvurunun kabulü,
• Veri Sahibinin başvuruda bulunması ve bu başvurunun reddi neticesinde Kişisel Verileri Koruma Kurulu tarafından verilecek talebin karşılanması gerektiğine ilişkin karar,
• Saklama süresinin sona ermesi,
• Şirket bünyesinde gerçekleştirilen periyodik imha işlemleri,
neticesinde Şirketimiz, topladığı Kişisel Verileri silmekte, imha etmekte veya anonim hale getirmektedir.
6. TEKNİK ve İDARİ TEDBİRLER
Şirketimiz, sakladığı ve işlediği Kişisel Verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin veya erişilmesinin önlenmesi ve bu verilerin hukuka uygun olarak silinmesi ve/veya imha edilmesi amacıyla Kanun’un 12. Maddesindeki ilkeler ve Yönetmelik çerçevesinde gerekli olan teknik ve idari tedbirleri almıştır. Ayrıca Kişisel Verilerin saklanması ve işlenmesi için gerekli olan hukuki, teknik veya diğer sebeplerin ortadan kalkması halinde de, ilgili süreç titizlikle denetlenmekte ve buna bağlı olarak silme, imha veya anonim hale getirme işlemleri, aynı teknik ve idari tedbirler çerçevesinde gerçekleştirilmektedir.
Bu kapsamda, Şirketimiz tarafından korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre alınmış olan teknik ve idari tedbirler şu şekildedir:
6.1. İdari Tedbirler
-
Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri envanteri oluşturulmuş, Şirketimiz tarafından işlenen kişisel veri ve ilgili kişi kategorileri tespit edilmiştir.
-
Kişisel veri işleme ve imha süreçlerine ilişkin kuralların ve yükümlülüklerin belirlendiği işbu Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve kamuoyuna duyurulmuş olup bu Politika uyarınca veri işleme faaliyetlerinin yürütümü sağlanmaktadır.
-
Çalışanlara, kişisel verilerin korunması hukuku, kişisel verilerin hukuka uygun olarak işlenmesi ve bu verilerin korunması ya da hukuka aykırı şekilde erişimin engellenmesi konusunda eğitimler verilmektedir.
-
Şirket faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek, departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve yetkilendirme süreci tasarlanmaktadır.
-
Şirket departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmüş olduğu faaliyet özelinde belirlenmektedir.
-
Şirketimiz tarafından toplanmış olan Kişisel Verilerin saklanmasında, iş tanımı gereği erişmesi gerekli olan personel ve erişim amacı ile sınırlı erişim esası benimsenmiştir. Bu çerçevede, erişimin sınırlandırılmasında saklanmakta olan Kişisel Verinin genel veya özel nitelikli olup olmadığı da ayrıca dikkate alınmaktadır.
-
Şirketimiz çalışanlarından, öğrendikleri kişisel verileri, Kanun ve ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmaktadır. Çalışanların taahhütleri iş ilişkisinin sona ermesinden sonra da devam edecektir.
-
Kişisel Verilerin paylaşılması ile ilgili olarak, çalışanlarımız, iş ortaklarımız, tedarikçilerimiz ve müşterilerimiz ile aramızdaki hukuki ilişkiyi yöneten sözleşmelere veya belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin “kişisel verilerin korunması ve veri güvenliği” hakkında ya ilave hükümler eklenmekte veya bu konuları içeren çerçeve sözleşmeler imzalanmakta, bu surette veri güvenliğini sağlamaktadır.
-
Şirketimiz, Kişisel Verilerin işlenmesi hakkında İK/Personel Departman sorumlusu başta olmak üzere ve Şirketin ilgili birimlerindeki erişim yetkisi tanımlanmış personeli gerekli hukuki ve teknik bilgi ile donatmakta, bu kapsamda personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri vermektedir.
-
Şirketimiz, tüzel kişiliği nezdinde Kanun hükümleri ve Şirketimizin veri güvenliğine ilişkin politikalarının uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta ve yaptırmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini en kısa süre içinde giderilmektedir.
6.2. Teknik Tedbirler
-
Şirket içinde veri güvenliği amacıyla kurulmuş olan sistemleri ve bu sistemler çerçevesinde gerçekleştirilen işleme, silme, imha etme veya anonim hale getirme işlemlerine ilişkin olarak gerekli iç kontroller düzenli olarak yapılmaktadır.
-
Kurulmuş olan sistemler kapsamında bilgi teknolojileri boyutundaki risk değerlendirmesi ve gerekli analizlerin gerçekleştirilmesi süreçleri yürütülmektedir.
-
Kişisel Verilerin Şirketimiz dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi ve ilgili teknik alt yapıların oluşturulması sağlanmaktadır.
-
Şirketimiz, işyerinde ve binalarında güvenliği tesis edebilmek amacıyla, güvenlik kamerasıyla izleme faaliyeti gerçekleştirmektedir. Bu kapsamda Şirketimiz, Kanun ve ilgili diğer mevzuata uygun olarak hareket etmektedir.
-
Söz konusu, güvenlik temini amacıyla alınan kamera kayıtları, aynı zamanda veri güvenliğinin sağlanması amacıyla muhtelif birimlerin personelinin denetlenmesini de sağlamaktadır. Bu çerçevede, kayıtlar periyodik olarak denetlenmekte ve tespit edilen ihlaller hakkında, ilgili mevzuat ve Şirket politikaları çerçevesinde takip edilmesi gereken usul işletilmektedir.
-
Saklanan ve işlenen Kişisel Verilerin, ilgili mevzuata ve Şirket politikalarına uyumlu olarak muhafaza edilip edilmediğinin tespiti amacıyla, periyodik olarak veya gerek görülmesi halinde sızma testi hizmeti alınmakta ve böylece sistem zafiyetlerinin olup olmadığının kontrolü sağlanmaktadır.
-
Şirketimiz içinde erişim yetkisi verilen birim personelinin ve bu kapsamda özellikle bilgi teknolojileri birimi personelinin kişisel verilere erişim yetkilerinin kontrol altında tutulması sağlanmaktadır.
-
Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
-
Kişisel Verilerin saklandığı her türlü elektronik ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korunmaktadır.
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ USULLERİ
Şirketimiz, topladığı Kişisel Verileri, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendiliğinden veya Veri Sahibinin talebi üzerine silmekte, yok etmekte veya anonim hale getirmektedir. Kanun’un 28. maddesine uyarınca ise, anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Periyodik imha yılda iki kez 6 ayda bir yapılacaktır. Anonimleştirme sonrasında gerçekleştirilen bu tür işlemeler Kanun kapsamı dışında olup, bu durumda kişisel Veri Sahibinin açık rızası aranmamaktadır.
Bu çerçevede, Şirketimiz tarafından, aşağıda belirtilen silme, imha etme veya anonim hale getirme usullerinden biri veya birkaçı seçilerek, amaca en uygun yöntem izlenmektedir:
7.1. Yazılımdan Güvenli Olarak Silme:
Şirketimiz bünyesindeki dijital ortamlarda muhafaza edilen Kişisel Veriler, İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde ilgili yazılımdan silinmektedir.
Kullandığımız Ticari Paket Programlar, İnsan Kaynakları Programları, SQL veri tabanları gibi elektronik kayıt ortamlarına silme komutu verilerek verilerin silinmesi, merkezi sunucumuzda yer alan dosyalara veya dosyaların bulunduğu dizin üzerinde İlgili Kullanıcıların erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada (USB, HDD, vb.) bulunan Kişisel Verilerin uygun yazılımlar kullanılarak silinmesi suretiyle veriler silinebilmektedir.
Ancak, bazı Kişisel Verilerin silinmesi sebebiyle diğer bir kısım verilere de sistemde erişimin mümkün olmadığı hallerde, silmeye konu Kişisel Veriler ilgili Veri Sahibi ile ilişkilendirilemeyecek duruma getirilerek arşivlenebilmektedir; bu durumda da ilgili Kişisel Veriler silinmiş sayılmaktadır. Böyle durumlarda Şirketimiz, Kişisel Verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbiri almaktadır.
7.2. Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması:
Şirketimizin ticari faaliyetlerinin devamı için topladığı fiziki başvuru formları, sözleşmeler, özlük dosyaları gibi kağıt ortamında toplanan Kişisel Veriler, bulundukları kağıt ortamında okunamayacak hale getirilerek de silinebilmektedir. Özellikle kötü niyetli, amaca yönelik olmayan kullanımı önlemek veya silinmesi talep edilen Kişisel Verileri silmek için, ilgili veya talebe konu tüm kişisel veriler fiziksel olarak belgenin bir kısmında kesilmekte veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmektedir.
7.3. Fiziksel Yok Etme:
Şirketimizce toplanan ve veri kayıt sistemlerimizin parçası olmakla birlikte otomatik olmayan yollarla işlediğimiz Kişisel Veriler, bulundukları ortamın (kağıt, mikrofiş) üzerindeki Kişisel Verinin sonradan kullanılmasına imkan vermeyecek biçimde fiziksel olarak yok edilmesi suretiyle de yok edilebilmektedir.
7.4. Üzerine Yazma:
Şirketimizde kullanılan manyetik medya ve yeniden yazılabilir optik medya, özel yazılımlar aracılığı ile rastgele sayısal veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesi imkanını ortadan kaldıran bir veri yok etme yöntemidir. Üzerinde Kişisel Veri bulunan herhangi bir yeniden kullanılabilir manyetik medya, üzerine yazma yöntemi kullanılarak, içindeki veri geri dönüştürülemez şekilde temizlenmektedir.
7.5. Maskeleme:
Maskeleme yöntemi ile, Kişisel Verilerin belli alanları üstleri çizilerek, boyanarak ve/veya yıldızlama yöntemi ile Veri Sahibi olan gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, Şirketimiz bünyesinde yer alan müşteriye ait bir kimlik verisi, veri tabanımızdan çıkartılarak, Veri Sahibinin tanımlanması imkânsız hale getirilmektedir.
7.6. Genelleştirme:
Kişisel Verilerin genelleştirilmesi yöntemi, Şirketimizde, veri tabanında mevcut birçok verinin toplulaştırılarak herhangi bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi ve böylece Şirketimizin Veri Sahiplerine bağlı ama bir takım sonuçları herhangi bir Kişisel Veri saklamaksızın takip edebilmesini sağlamak amacıyla kullanılmaktadır.
8. SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişileri atayacaktır.
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
Kişisel verilerin korunması ve işlenmesine ilişkin süreçlere ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu ile olan ilişki ve yazışmaların takibi.
9. SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise silinecek, anonim hale getirilecek veya yok edilecektir:
Veri Kategorisi
|
Saklama Süresi
|
İmha Süresi
|
İş Kanunu kapsamında saklanılan veriler
(Çalışana ait kimlik, iletişim, özlük, finansal, mesleki deneyim, görsel işitsel, özel nitelikli kişisel veriler vb.)
|
İş ilişkisinin sona ermesine müteakip 10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)
|
İş ilişkisinin sona ermesine müteakip 15 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
SGK mevzuatı kapsamında tutulan veriler
|
İş ilişkisinin sona ermesine müteakip 10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar
|
İş ilişkisinin sona ermesine müteakip 15 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sair ilgili mevzuat gereği toplanan veriler
|
İlgili mevzuatta öngörülen süre kadar
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması
|
10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sözleşmesel ilişki nedeniyle elde edilen veriler
|
Kayıt altına alınmasına müteakip 10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Biyometrik Veriler
|
İşçinin işten ayrılışını müteakip 1 ay
|
Saklama süresinin bitimini takiben 30 gün içerisinde
|
Fiziksel Mekan Güvenliği Verileri
|
10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Çalışan Adayı/Stajyer/Stajyer Adayına ait Veriler
|
10 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
İşlem Güvenliği Verileri
|
2 yıl
|
Saklama süresinin bitimini takiben 180 gün içerisinde
|
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
10. YÜRÜRLÜK ve UYGULAMA
Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer. İşbu Politika HMP İletişim İnşaat Enerji Taahhüt Sanayi Ve Ticaret A.Ş. tarafından yürütülür.
İşbu Politika ile Kanun veya ilgili mevzuat arasında çelişki olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Saygılarımızla,
HMP İletişim İnşaat Enerji Taahhüt Sanayi Ve Ticaret A.Ş.
HMP İLETİŞİM İNŞAAT ENERJİ TAAHHÜT SANAYİ VE TİCARET A.Ş.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN POLİTİKA
-
KAPSAM
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KANUN”) 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ÖZEL NİTELİKLİ KİŞİSEL VERİ” olarak belirlenmiştir.
Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.
-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Veri Sahibi/İlgili Kişi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan Özel Nitelikli Kişisel Veriler’in işlenmesinde, Şİrketimiz tarafından özel hassasiyet gösterilmektedir.
Özel Nitelikli Kişisel Veriler, Şirket tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
-
Veri Sahibi/İlgili Kişi’nin açık rızası var ise veya
-
Veri Sahibi/İlgili Kişi’nin açık rızası yok ise;
Veri Sahibi/İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi/İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Şirket, Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
-
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.
-
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan’lara yönelik,
-
Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında eğitim verilmektedir,
-
Gizlilik sözleşmelerinin yapılmaktadır,
-
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları net olarak tanımlanmaktadır,
-
Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
-
Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Çalışan’a tahsis edilen envanter derhal iade alınmaktadır.
-
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
-
Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
-
Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
-
Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri yapılmakta/yaptırılmaktadır,
-
Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri yapılmakta/yaptırılmaktadır,
-
Kişisel Veriler’e uzaktan erişim gerekiyorsa kimlik doğrulama sisteminin sağlanmaktadır.
-
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
-
Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını vb. durumlara karşı) alınmaktadır,
-
Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
-
Özel Nitelikli Kişisel Veriler aktarılacaksa
-
Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
-
Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
-
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
-
Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizli ” formatta gönderilmektedir.
-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Şirket, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi/İlgili Kişi’nin Özel Nitelikli Kişisel Verileri’ni üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Şirket, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
-
Veri Sahibi/İlgili Kişi’nin açık rızası var ise,
-
Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
-
Veri Sahibi/İlgili Kişi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi/İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
-
Şirket, hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
-
Özel Nitelikli Kişisel Veriler, Veri Sahibi/İlgili Kişi tarafından alenileştirilmiş ise,
-
Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
-
Veri Sahibi/İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Veri Sahibi/İlgili Kişi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
-
Kişisel veri sahibinin açık rızası var ise veya
-
Kişisel veri sahibinin açık rızası yok ise;
-
Veri Sahibi/İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
-
Veri Sahibi/İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
BU POLİTİKA HMP İLETİŞİM İNŞAAT ENERJİ TAAHHÜT SANAYİ VE TİCARET A.Ş. TARAFINDAN YÜRÜTÜLÜR.
Saygılarımızla.
HMP İLETİŞİM İNŞAAT ENERJİ TAAHHÜT SANAYİ VE TİCARET A.Ş.