Tanımlar

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

POLİTİKANIN YÜRÜRLÜĞÜ

Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Yönetim Kurulu Kararı ile İnsan Kaynakları Birimi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.

POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

Kişisel Verileri Saklama ve İmha Politikası, Doğuş Tekstil Sanayi Ve Ticaret Limited Şirketi olarak gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket; Kişisel Verileri Koruma Kanunu ve ilgili mevzuat kapsamında belirlenen usul ve esaslar ve temel ilkeleri doğrultusunda; şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, ürün veya hizmet alan kişi, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi yetkilisi ve diğer üçüncü kişilere ait kişisel verilerin 6698 sayılı KVKK ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasıdır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, şirket tarafından bu doğrultuda hazırlanmış olan politikaya uygun olarak gerçekleştirilir.

SORUMLULUK VE GÖREV DAĞILIMLARI

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

KAYIT ORTAMLARI

Elektronik Ortamlar      :

1. Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
2. Yazılımlar (ofis yazılımları, portal, VERBİS.)
3. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
4. Kişisel bilgisayarlar (Masaüstü, dizüstü)
5. Mobil cihazlar (telefon, tablet vb.)
6. Optik diskler (CD, DVD vb.)
7. Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
8. Yazıcı, tarayıcı, fotokopi makinesi

Elektronik Olmayan Ortamlar :

1. Kâğıt
2. Anket formları
3. Yazılı, basılı, görsel ortamlar

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Kanunun 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Saklamaya Dair Hukukî Mevzuat Ve Hükümleri

Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

1. 6698 sayılı Kişisel Verilerin Korunması Kanunu,
2. 6098 sayılı Türk Borçlar Kanunu,
3. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
4. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
6. 4857 sayılı İş Kanunu,
7. İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
8. 6102 sayılı Türk Ticaret Kanunu
1. Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Saklama İşlemi Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. Bu amaçlar, İnsan kaynakları süreçlerini yürütmek, Şirketin ticari işleyişini sağlamak, Kurumsal iletişimi sağlamak, Şirket güvenliğini sağlamak, İstatistikler çalışmalar yapabilmek, İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak, Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak, İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünden oluşmaktadır.

İmhayı Gerektiren Sebepler

Kişisel veriler;

İDARİ VE TEKNİK TEDBİRLER

İdari Tedbirler

• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ilgili diğer mevzuat hakkında eğitimler verilmektedir.
• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

Teknik Tedbirler

KİŞİSEL VERİLERİ İMHA

Kişisel Verilerin Silinmesi

Tablo 2: Kişisel Verilerin Silinmesi

Kişisel Verilerin Yok Edilmesi

Tablo 3: Kişisel Verilerin Yok Edilmesi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

SAKLAMA VE İMHADA SÜRELER

Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta; Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Tablo 4: Süreç bazında saklama ve imha süreleri tablosu

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.