26.01.2024
FR.32 KVKK BAŞVURU FORMU
indir
(doc, 57 KB)
KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
1. AMAÇ
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Kişisel Verileri Koruma REHAU Polimeri Kimya San. A.Ş’ ince (“REHAU”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
REHAU; Stratejik Planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; REHAU çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
2. KAPSAM
REHAU çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup REHAU’ nun sahip olduğu ya da REHAU tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politikaya göre uygulanır.
3. TANIM VE KISALTMALAR
- Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
- Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
- Çalışan : REHAU personeli.
- EBYS : Elektronik Belge Yönetim Sistemi
- Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
- Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
- İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
- İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
- İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
- Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
- Kayıt Ortamı : Kişisel verilerin bulunduğu tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen her türlü ortam.
- Kişisel Veri : Gerçek kişiye ilişkin her türlü bilgi.
- Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
- İnsan Kaynakları Beyaz Liste : İnsan kaynakları aday görüşmelerinde olumlu bakılan, ancak herhangi bir sebepten dolayı pozisyona yerleştirilemeyen kişilerin ileride açılabilecek farklı pozisyonlarda değerlendirilebilmesi için verilerinin saklandığı listedir.
- İnsan Kaynakları Kara Liste : İnsan kaynakları aday seçme ve yerleştirme sürecinde olumsuz davranışlar sergileyen ve haber vermeksizin katılım sağlamayan kişilerin verilerinin saklandığı listedir.
- Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
- Politika : Kişisel Verileri Saklama ve İmha Politikası
- Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
- Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında yönetilmesinden sorumlu gerçek veya tüzel kişi.
- VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
- Yönetmelik :28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
4. SORUMLULUKLAR
REHAU’ nun tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların ünvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
UNVAN | BİRİM | GÖREV |
REHAU Ülke Müdürü | REHAU Üst Yönetim | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Veri Sorumlu ve BGYS Temsilcisi | Bilgi İşlem
| Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden ve Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
İnsan Kaynakları , Fabrika Güvenlik ve İstanbul resepsiyon | Diğer Birimler | Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
5. KVKK KAPSAMINDA BİLGİLERİN TAKİP EDİLDİĞİ DOKÜMANLAR
REHAU TR ve global tarafından işlenen ve takibi yapılan tüm bilgilerin ve sahiplerinin belirtildiği formlar Tablo 2 de verilmiştir. Bu formlar vasıtasıyla belgelerin saklanma süreleri ve çalışan beyan ve ziyaretçi kayıtlarının dokümantasyonu takip edilecektir.
Tablo-2 REHAU Departman formları
BİRİM | KONU | DOKUMAN ADI |
Genel | Yetkili Tanım ve isimleri | ZZ_Verfahrensübersicht Verantwortliche TR |
Yönetim – İnsan Kaynakları | Bordrolama | Z04 EB Zeiterfassung und Lohnabrechnung TR |
Yönetim | Finans- Kredi | A11 EB booking department TR |
Güvenlik ve Bilgi İşlem | Teknik ve Kurumsal Tedbirler | DECKBLATT_TR |
Bilgi İşlem | Parmak İzi ve Yüz Tanımı Kapı Sistemi | E10 EB electronic access controll TR |
Satın Alma | Tedarikçi Bilgileri | M07 EB Purchasing TR |
İnsan Kaynakları | Trafik Ceza Makbuzları | S17a Strafzettelbearbeitung_TR |
İnsan Kaynakları | İzin Formları | U05 EB Urlaubsbeantragung_TR |
Bilgi İşlem | Tuzla Depo Kamera kayıt sistemi bilgileri | Formblatt Videoüberwachung_TR Tuzla Depo |
Bilgi İşlem | Osmaneli Kamera kayıt sistemi bilgileri | Formblatt Videoüberwachung_TR Osmaneli |
Bilgi İşlem | Istanbul Kamera kayıt sistemi bilgileri | Formblatt Videoüberwachung_TR ISTAN |
6. VERİLERİN SAKLAMA ORTAMLARI
Kişisel veriler, REHAU tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar;
• Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
• Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
• Kişisel bilgisayarlar (Masaüstü, dizüstü)
• Mobil cihazlar (telefon, tablet vb.)
• Optik diskler (CD, DVD vb.)
• Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
• Yazıcı, tarayıcı, fotokopi makinesi
Elektronik Olmayan Ortamlar ;
• Kağıt
• Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
• Yazılı, basılı, görsel ortamlar
• İş başvuru formları
• CV’ ler
7. VERİLERİN SAKLANMASI VE İMHA EDİLMESİ
REHAU tarafından; çalışanlar, çalışan adayları, ziyaretçiler, tedarikçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, REHAU veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
7.1 Verilerin Saklanması
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, REHAU faaliyetleri çerçevesinde kişisel verilerin saklanmasıyla ilgili süreler REHAU tarafından VERBIS üzerinde belirtildiği sürelerdedir.
İlgili yazılı belgelerin ve elektronik ortamdaki kayıtların muhafaza edilmesi ve saklanmasına ilişkin açıklamalar Tablo 3’te verilmiştir.
Tablo-3 Belgelerin Saklanması ve İmha Süreleri
| KAYIT | BİRİM | SAKLANMA BILGILERI | SAKLAMA SURESİ | IMHA SURESİ |
| Kamera Kayıtları | Bilgi İşlem | Kayıt cihazında muhafaza edilir. | Formblatt Videoüberwachung_TR ISTAN_Osmaneli_Tuzla Depo Formlarında takip edilir. | Formblatt Videoüberwachung_TR ISTAN_Osmaneli_Tuzla Depo Formlarında takip edilir |
| Ziyaretçi Kayıtları | IK, Güvenlik | Resepsiyon ve güvenlikteki dolapta muhafaza edilir. | KVKK-1 KVKK Aydınlatma Metni formunda takip edilir. | KVKK-1 KVKK Aydınlatma Metni formunda takip edilir. |
| Tedarikçi Sözleşme, Fatura ve Bilgileri | Satınalma ve Muhasebe | Departman içindeki kilitli dolaplarda saklanır. | M07 EB Purchasing TR dokümanında takip edilir. | M07 EB Purchasing TR dokümanında takip edilir. |
| Çalışan Özlük Dosyaları | IK | Departman içindeki kilitli dolapta saklanır. | Çalışanın iş akdi sonundan 10 Yıl | Saklama Süresi bitiminde |
| Aday Başvuru Formları | IK | Kağıt ortamındaki başvurular Departman içindeki dolapta , online başvurular ise bilgisayar ortamında saklanır | 3 Yıl | Saklama süresi bitiminde. |
a. Verilerin Saklanmasını Gerektiren Hukuki Sebepler
REHAU’ da, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 2828 sayılı Sosyal Hizmetler Kanunu
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- 213 sayılı VERGİ USUL KANUNU (253 ve 254’üncü maddesi)
- 6102 Sayılı TÜRK TİCARET KANUNU (82’inci maddesi)
- 3308 Sayılı Meslek Eğitim Kanunu
- 193 Sayılı gelir Vergisi
- Arşiv Hizmetleri Hakkında Yönetmelik
- Bilim, Sanayi ve Teknoloji Bakanlığı’na, 5746 sayılı kanun AR-GE merkezi başvurusunda
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
b. Verilerin Saklanması Gerektiren Sebepler
REHAU, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- İnsan kaynakları süreçlerini yürütmek.
- Firma iletişimini sağlamak.
- REHAU güvenliğini sağlamak,
- İstatistiksel çalışmalar yapabilmek.
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
- VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- REHAU ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Çağrı merkezi süreçlerini yönetmek.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
c. Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kaldırılması,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun REHAU tarafından kabul edilmesi,
- REHAU’ nun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, REHAU tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
8. VERİLERİN KORUNMASINA İLİŞKİN TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde REHAU tarafından teknik ve idari tedbirler alınır.
8.1 Teknik Tedbirler
REHAU tarafından uygulanan teknik ve kurumsal tedbirleri “DECKBLATT_TR” dokümanında belirtilmiştir, ayrıca işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler :
• Yurt dışı merkez tarafından yapılan Sızma (Penetrasyon) testleri ile REHAU bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi BGYS kapsamında belirtildiği üzere kontrolü sağlanır ve aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• REHAU’ nun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve merkez tarafından sağlanan yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler bilgi ve veri sahibi tarafından belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik veri sahibi kontrollerini yapılmaktadır.
• REHAU içerisinde kişisel verilere erişimler sadece veri sahibi tarafından verilen yetkilendirmelerle yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına veri sahibinin izin verdiği çerçevede erişim sağlanmaktadır.
• REHAU, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Merkez tarafından güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda loglama kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• REHAU internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarla ilgili tüm işleyiş “KVKK-5 ÖZEL NİTELİKLİ KİŞİSEL VERİ POLİTİKASI” ‘ında belirlenmiştir.
8.2 Yönetimsel ve İdari Tedbirler
REHAU tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri eğitimleri işe girişte ve 3 yılda bir verilmektedir.
• REHAU tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
• Kişisel veri işlemeye başlamadan önce REHAU tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• REHAU içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
9 KİŞİSEL VERİLERİN İMHASI
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, REHAU tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
9.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıda verilen yöntemler izlenerek silinir.
a. Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.“FR.KVKK-1.2 KVKK DOKÜMAN İMHA KAYIT FORMU ile kayıt altına alınır.
b. Elektronik Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. “FR.KVKK-1.2 KVKK DOKÜMAN İMHA KAYIT FORMU ile kayıt altına alınır.
c. Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında REHAU içerisinde herhangi bir kişisel veri tutulmaz.
9.2 Kişisel Verilerin İmha Edilmesi
Kişisel veriler, REHAU tarafından aşağıda belirtilen yollarla yok edilir.
a. Fiziksel ortamda bulunan kişisel veriler:
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. İmha edilen dokümanlar “FR.KVKK-1.2 KVKK DOKÜMAN İMHA KAYIT FORMU“ ‘ unda bilginin türü ve tarih aralığı belirtilerek kayıt altına alınır.
b. Optik / Manyetik Medyada Yer Alan Kişisel Veriler:
REHAU bünyesinde kişisel veriler CD ve USB ortamında tutulmaz. Fakat ileride tutulması muhtemel durumlarda, optik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin yakılması veya cd kırıcı özelliği olan kağıt öğütme makinalarında parçalanarak fiziksel olarak yok edilmesi işlemi uygulanır.Ayrıca, manyetik medya (USB) bilgisayar ortamında REHAU’ nun önerdiği biçimlendirme yöntemiyle veriler ulaşılamaz hale gelir.
c. Kapı Kontrol Sistemindeki Biyometrik Veriler:
Kapı kontrol sistemindeki biyometrik veriler kişilerin işten ayrılmasını takip eden 30 gün içinde sistemden silinerek ulaşılamaz hale getirilir. Kanıt olarak silme işlemi videoya kaydedilir.
9.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
10. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER ve AKTARILMA AMAÇLARI
REHAU kişisel verileri mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktaramaz. Fakat KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde gerçek kişiler veya özel hukuk tüzel kişileri , hissedarlar ,iş ortakları ,yetkili kamu kurum ve kuruluşları ,iştirakler ve bağlı ortaklıklar, tedarikçiler, topluluk şirketleri ne aşağıda belirtilen amaçlar için aktarım yapabilmektedir.
Kişisel Verilerin Aktarılma Amaçları aşağıdaki şekildedir:
- Faaliyetlerin yürütülmesi,
- Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlanması,
- Müşterilerin tercih ve ihtiyaçlarının tespit edilmesi ve verilen hizmetin bu kapsamda şekillendirilmesi, güncellenmesi,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi,
- Pazar araştırmaları ve istatistiksel çalışmaların yapılabilmesi,
- İş başvurularının değerlendirilmesi,
- Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
- Pazarlama süreçlerinin yönetimi,
- Satıcı / tedarikçi ilişkilerinin yönetimi,
- Yasal raporlama ve faturalandırma işlemlerinin tamamlanması
10.1 Kişisel Verilerin Yurt İçine Aktarımı
REHAU tarafından kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket edilmektedir.
Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere REHAU tarafından aktarılmaz.
KVKK ve sair mevzuatın öngördüğü istisnai hallerde İlgili Kişinin açık rızasına gerek kalmaksızın kişisel veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari/adli kurum veya kuruluşlar ile özel hukuk kişilerine aktarılabilir.
10.2 Kişisel Verilerin Yurt Dışına Aktarımı
Kişisel verileri kural olarak İlgili Kişi’nin açık rızası olmadan yurt dışına aktarılmaz. Ancak istisnai hallerden birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması şartı aranmaktadır.
Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.
Kişisel veriler yukarıda belirtilen ilke ve esaslara uygun olarak aşağıda belirtilen kamu kurum ve kuruluş veya üçüncü kişilere aktarılabilecektir.
- Arabuluculuk Daire Başkanlığına,
- Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri’ne,
- Hissedarlara,
- Hizmet Alınan Özel Hukuk Kişilerine,
- Hukuken Yetkili Kamu Kurum ve Kuruluşlarına,
- İş Ortaklarına,
- İştirakler ve Bağlı Ortaklıklara,
- Sosyal Güvenlik Kurumu’na ve
- Tedarikçilere,
11. VERİLERİN SAKLANMASI VE İMHA SÜRELERİ
REHAU tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi veri sahibi tarafından yerine getirilir. İmha ve saklama süreleriyle ilişkin tüm detaylandırmalar VERBIS üzerinde açıklandığı gibi aşağıda da belirtilmiştir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Sözleşmeler | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitiminde |
REHAU İletişim Faaliyetlerinin İcrası | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitiminde |
İnsan Kaynakları Süreçlerinin Yürütülmesi | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitiminde |
İnsan Kaynakları Beyaz Liste | 3 Yıl | Saklama süresinin bitiminde |
İnsan Kaynakları Kara Liste | 3 Yıl | Saklama süresinin bitiminde |
Log Kayıt Takip Sistemleri | 10 yıl | Saklama süresinin bitiminde |
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi | 2 Yıl | Saklama süresinin bitiminde |
Ziyaretçi Kayıtları | 2 Yıl | Saklama süresinin bitiminde |
Eğitim Katılımcılarının Kaydı | 2 Yıl | Saklama süresinin bitiminde |
Kamera Kayıtları | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
12. REHAU KVKK KAPSAMINDA BİLGİ SAHİPLERİ YETKİLİLERİ
REHAU bünyesindeki bilgi sahibi ve tüm yetkililer “ ZZ_Verfahrensübersicht Verantwortliche TR.xls” dokümanında takip edilir ve gerekli hallerde burada güncellenir.
13. KVKK POLİTİKASININ GÜNCELLENMESİ
KVKK politikası ihtiyaç halinde gözden geçirilerek gerekli olan bölümlerde güncellemeler yapılır.
14. KVKK POLİTİKASI SAKLANMASI
KVKK politikası REHAU sunucularında KVKK dokümanlarının bulunduğu ortamda saklanır.