Kişisel Verilerin Saklanması,
İşlenmesi ve İmhası Politikası
A.
Amaç ve Kapsam
Anayasal bir hak olarak düzenlenen kişisel
verilerin korunması ve hukuksal güvence altına alınması, Paktaş Platform
Kaldırma ve Taşıma Makinaları Ticaret ve Sanayi A.Ş (“Paktaş”)
için büyük hassasiyet arz etmekte olup Şirketimizin öncelikleri arasındadır. Bu
konuda Paktaş olarak sorumluluğumuzun farkındayız ve kişisel verilerinizin
güvenli bir şekilde işlenmesine önem veriyoruz.
İşbu Kişisel Verilerin Saklanması, İşlenmesi
ve İmhası Politikası’nın (“Politika”)
amacı Paktaş’ın kişisel verilerini 7 Nisan 2016 tarihli ve 29677 sayılı Resmi
Gazete’de yayımlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ve yürürlükteki ikincil
mevzuatlara uyumlu bir şekilde işlenmesini, aktarılmasını ve korunmasını
sağlamak için başta özel hayatın gizliliği olmak üzere gerçek kişilerin temel
hak ve özgürlüklerini korumak amacıyla izlenecek yöntem ve ilkeleri düzenlemek,
buna ek olarak İlgili Kişiler’in gerek KVKK gerek yürürlükteki ikincil
mevzuatlar çerçevesinde sahip oldukları hakları açıklamaktır.
İşbu Politika, Paktaş tarafından yönetilen,
tüm kişisel verilerin işlenmesi, aktarılması, saklanması, imhası ve korunmasına
yönelik yürütülen faaliyetlerde uygulanmaktadır.
Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel
verilerin korunması için Paktaş tarafından gereken idari ve teknik tedbirler
alınmaktadır. Bu kapsamda Paktaş, işbu Politika’da değişiklik yapma hakkını
saklı tutmaktadır.
B.
Tanımlar
İşbu KVK Politikası’nda kullanılan tanımlar ve terimler
için KVKK’da ve KVKK kapsamında çıkartılan ilgili ikincil mevzuatlarda
tanımlanan anlamlar haiz olacaktır. Bu bağlamda;
·
Açık
Rıza:Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve
özgür iradeyle açıklanan rızayı,
·
İlgili
Kişi: Kişisel verisi işlenen gerçek kişiyi,
·
Kişisel
Veri:Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin
her türlü bilgiyi,
·
Kişisel
Verilerin İşlenmesi:Kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
·
Kurul:
Kişisel Verileri Koruma Kurulu’nu
·
Kurum:
Kişisel Verileri Koruma Kurumu’nu,
·
Kişisel
Veri Envanteri: Veri sorumlularının iş süreçlerine bağlı
olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini;
kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan
alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve
kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
·
Kayıt
Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortamı,
·
KVKK:6698
sayılı Kişisel Verilerin Korunması Kanunu’nu,
·
İmha:
Kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesini,
·
Periyodik
İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha
politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek
silme, yok etme veya anonim hale getirme işlemini,
·
İmha
Politikası: Paktaş’ın Kişisel Verilerin Saklanması, İşlenmesi ve İmha
Politikasını,
·
Özel
Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verilerini,
·
Veri
Sorumlusu: Kişisel verilerin işlenme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek ve tüzel kişiyi,
·
VERBIS:
Veri Sorumluları Sicil Bilgi Sistemi’ni,
·
Veri
İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri işleyen gerçek veya tüzel kişiyi,
·
Yönetmelik:
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir.
C.
İlgili
Kişiler ve İşlenen Kişisel Veriler
Paktaş şu kişilerden kişisel veri toplayabilir veya işleyebilir;
(i)
müşteriler,
taşeronlar, tedarikçiler, iş bağlantıları ve potansiyel müşteriler (ve/veya
onlarla ilişkili gerçek kişiler) ve diğer iş ortakları;
(ii)
müşterilere
sağlanan profesyonel hizmetler çerçevesinde kişisel verileri elde edilen gerçek
kişiler (örnek olarak; müşterilerin çalışanları, müşterileri, tedarikçileri ve
onların referansları);
(iii)
Paktaş
çalışanları, çalışanların aile fertleri ve iş başvurusu yapanlar ile onların
referansları;
(iv)
web
sitesini ziyaret edenler ve sosyal medya takipçileri; ve
(v)
üçüncü
kişiler.
Paktaş tarafından toplanan kişisel veriler, ilgili kişinin Paktaş ile
arasındaki ticari ve hukuki ilişki uyarınca değişkenlik gösterebilmektedir.
Bununla beraber, kimlik bilgileri, iletişim bilgileri, finansal bilgiler, özel
nitelikli kişisel veriler, eğitim ve görsel veriler, aile yakınları verileri
gibi kişisel veriler, Paktaş tarafından işlenmelerini gerektiren amaç
çerçevesinde ve bu amaç ile bağlantılı, sınırlı, ölçülü ve gerektiğinde güncel
olacak şekilde ve KVKK’nın 5. ve 6. maddelerinde belirtilen şartlara uygun
olarak işlenir.
|
KİŞİSEL VERİ KATEGORİSİ
|
KİŞİSEL VERİ
KATEGORİZASYONU
AÇIKLAMA
|
İLGİLİ VERİ SAHİBİ
|
|
KİMLİK BİLGİSİ
|
TCKN,
pasaport bilgileri, kimlik seri no ad-soyad, fotoğraf, doğum yeri, doğum
tarihi, yaş, nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı örneği
|
Müşteriler, ziyaretçiler, taşeron,
tedarikçi gerçek kişiler ya da tüzel kişi taşeron, tedarikçinin gerçek kişi
temsilcisi, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve
çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler.
|
|
İLETİŞİM VERİSİ
|
E-mail adresi,
telefon numarası, cep telefonu numarası, adres v.b.
|
Müşteriler, taşeron, tedarikçi gerçek kişiler ya da tüzel kişi
taşeron, tedarikçinin gerçek kişi temsilcisi, iş
bağlantıları, potansiyel müşteriler (ve/veya onlarla ilişkili gerçek
kişiler), iş ortakları, Paktaş’ın işbirliği içinde olduğu
kurumların yetkili ve çalışanları, Paktaş çalışanları, çalışan adayları
ve üçüncü kişiler.
|
|
KONUM
VERİSİ
|
Şirket araçlarının
kullanımı sırasında edinilen lokasyon verileri
|
Yetkililer, Paktaş’ın işbirliği içinde olduğu
kurumların yetkili ve çalışanları, Paktaş çalışanları.
|
|
AİLE BİREYLERİ VE YAKIN VERİSİ
|
Kişisel veri
sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi
|
Kişisel veri sahibinin çocukları, eşleri
|
|
FİZİKSEL MEKAN GÜVENLİK BİLGİSİ
|
İşyeri giriş-çıkış
bilgileri, görüşme kayıtları, ziyaret bilgileri, kamera kayıtları vb.
|
Müşteriler, ziyaretçiler, taşeron, tedarikçi gerçek
kişiler ya da tüzel kişi taşeron, tedarikçinin gerçek kişi temsilcisi, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler
|
|
FİNANSAL BİLGİ
|
Veri sahibinin
yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, banka hesap
bilgileri,
|
Paktaş çalışanları,
|
|
ÖZLÜK BİLGİSİ
|
Kanunen özlük
dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı,
SGK pirimleri, bordrolar v.b.)
|
Paktaş çalışanları, çalışan adayları vb.
|
|
ÖZEL NİTELİKLİ KİŞİSEL VERİ
|
Sağlık bilgisi, kan
grubu, imza, kılık kıyafet ve adli sicil kaydı verisi
|
Paktaş çalışanları
|
|
HUKUKİ İŞLEM VE UYUM BİLGİSİ
|
Mahkeme veya idari
merci kararları ile icra müdürlüğü belgelerinde yer alan veriler ve hukuki
yükümlülükler çerçevesinde saklanması gereken belge ve kayıtlar.
|
Paktaş çalışanları
|
|
BAŞVURU/
ŞİKAYET YÖNETİMİ BİLGİSİ
|
Paktaş’a yapılan
başvuru ve/veya şikayetlerle ilgili olarak Paktaş ile paylaşılan talepler ve
kişisel veriler. bunlarla ilgili kayıt ve raporlar
|
Tedarikçiler, iş bağlantıları, müşteriler ve/veya
onlarla ilişkili gerçek kişiler, potansiyel müşteriler, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler.
|
|
GÖRSEL VE İŞİTSEL VERİ
|
Fotoğraf, kamera
kayıtları.
|
Tedarikçiler, iş bağlantıları, müşteriler ve/veya
onlarla ilişkili gerçek kişiler, potansiyel müşteriler, ziyaretçiler, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler.
|
|
TAŞIT VERİSİ
|
Plaka Bilgisi.
|
Tedarikçiler, iş bağlantıları, müşteriler ve/veya
onlarla ilişkili gerçek kişiler, potansiyel müşteriler, ziyaretçiler, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler.
|
|
ELEKTRONİK VERİLER
|
Üyelik kayıtları,
internet şifre parola bilgileri, IP adresi, işlem güvenliği bilgileri, log
kayıtları vb.
|
Müşteriler, Paktaş’ın işbirliği içinde
olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları,
çalışan adayları, ziyaretçiler ve üçüncü kişiler (Web sitesi ziyaretçileri, Paktaş’ın internet erişimini kullanan kişiler vb.)
|
|
MESLEKİ VE EĞİTİM VERİLERİ
|
Kişinin çalıştığı
kurum bilgisi, meslek odası bilgisi, sicil numarası ve diploma notu, diploma
fotokopisi vb.
|
Tedarikçiler, iş kontakları, müşteriler ve/veya onlarla
ilişkili gerçek kişiler, potansiyel müşteriler, Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve çalışanları, Paktaş’ın çalışanları, çalışan adayları ve üçüncü kişiler.
|
|
SEYAHAT VERİSİ
|
Uçuş bilgisi, tur
rotası, konaklama bilgisi vb.
|
Paktaş’ın işbirliği içinde olduğu kurumların yetkili ve
çalışanları, Paktaş’ın çalışanları.
|
D.
Veri Sorumlusu
Veri sorumlusu sıfatıyla hareket eden Paktaş, KVKK’nın izin verdiği ölçüde
ve ticari veya iş ilişkilerimiz kapsamında, açık rızanın temininin gerektiği
hallerde ise İlgili Kişi’nin açık rızasına da başvurarak kişisel verilerinizi
işleyebilmekte, kaydedebilmekte, muhafaza edebilmekte, yeniden
düzenleyebilmekte, yurtiçi veya yurtdışına aktarım sağlayabilmektedir.
Paktaş, KVKK’nın 12. maddesine uygun olarak, veri sorumlusu
sıfatıyla işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin
muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli
teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya
yaptırmaktadır.
|
VERİ SORUMLUSUNUN KİMLİĞİ
|
|
Şirket
Unvanı:
|
Paktaş Platform Kaldırma ve Taşıma
Makinaları Ticaret ve Sanayi A.Ş.
|
|
Adresi:
|
Yazlık Mah. D-130 Karayolu
Cad. No:95 Gölcük Kocaeli
|
|
Mersis
Numarası:
|
0720054497100010
|
|
Ticari Sicil
Numarası:
|
GÖLCÜK/2326
|
|
Resmi Web
Adresi:
|
www.paktas.com
|
|
Elektronik
Posta Adresi:
|
info@paktas.com
|
|
Telefon
Numarası:
|
0262 433 2428
|
E.
Politika’nın ve İlgili Mevzuatın
Uygulanması
Kişisel verilerin işlenmesi ve korunması sürecinde
yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı
bulacaktır. Mevzuat hükümleri ile Politika’nın hükümleri arasında çelişki
bulunması halinde Paktaş, yürürlükteki güncel mevzuat hükümlerinin uygulama
alanı bulacağını kabul etmektedir.
Politika, Paktaş uygulamalarının ilgili mevzuat
tarafından ortaya konulan kurallara göre düzenlenmesinden oluşturulmuştur. Paktaş,
KVKK’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem
ve hazırlıklarını yürütmektedir.
F.
Kişisel Verilerin İşlenmesine
İlişkin Esaslar
Paktaş kişisel verileri, KVKK’da ve ilgili diğer
Kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir.
KVKK’nın 4. maddesi uyarınca, veri sorumlusu konumundaki Paktaş,
kişisel verilerin işlenmesinde aşağıda sayılan ilkelere uygun hareket
etmektedir:
(i)
Hukuka
Ve Dürüstlük Kurallarına Uygun Olarak İşleme: Kişisel
veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmektedir. Bu
doğrultuda veri sorumlusu olarak Paktaş, her türlü kişisel veri işleme
süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük
kurallarına uymaktadır.
(ii)
Kişisel Verilerin Doğru ve Gerektiğinde
Güncel Olmasını Sağlama:Veri
sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak
üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda Paktaş, ilgili kişilerin
verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına
doğru bir şekilde aktarımını temin için gerekli önemleri almaktadır.
(iii)
Belirli, Açık ve Meşru Amaçlarla İşleme:Veri sorumluları, KVKK
kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel
verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu
doğrultuda veri sorumlusu konumundaki Paktaş, veri işleme faaliyetlerini
belirli ve meşru amaçlarla sınırlı tutmak ve söz konusu amaçlara ilişkin olarak
veri sahiplerini aydınlatma metinleri kapsamında açık şekilde
bilgilendirmektedir.
(iv)
İşlendikleri Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olma: Paktaş
tarafından kişisel veriler, temin edildikleri sırada veri sahibine bildirilen
amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak
işlenmektedir.
(v)
İlgili Mevzuatta Öngörülen veya İşlendikleri
Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Paktaş kişisel
verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Paktaş öncelikle
ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun
davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için
gerekli olan süre kadar saklamaktadır. Meşru menfaatleri gereği daha uzun bir süre gerekli ise Paktaş daha uzun süre
işleme yapabilmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin
ortadan kalkması halinde kişisel veriler Paktaş tarafından silinmekte, yok
edilmekte veya anonim hale getirilmektedir.
KVKK’nın 5. maddesi uyarınca, kişisel veriler
ilgili kişinin açık rızası olmaksızın işlenemez; aynı maddenin ikinci fıkrası
uyarınca ise bazı hallerde ilgili kişinin açık rızasına tabi olmadan kişisel
verilerin işlenebileceği belirtilmiştir. Aşağıdaki hallerde Paktaş KVKK’nın 5.
maddesinin ikinci fıkrası uyarınca ilgili kişinin açık rızasına başvurmadan
veri işleme ve aktarım faaliyetlerini yürütebilir;
(i)
Kanunlarda açıkça öngörülmesi;
(ii)
fiili imkansızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması;
(iii)
bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması;
(iv)
veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması;
(v)
ilgili kişinin kendisi tarafından
alenileştirilmiş olması;
(vi)
bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması; ve
(vii)
ilgili kişinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması.
G.
Özel Nitelikli Kişisel Verilerin İşlenmesi
KVKK
ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem
atfedilmiştir. Bu özel nitelikli kişisel veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Paktaş
hukuka aykırı olarak işlenmesi halinde kişilerin mağduriyetine sebebiyet
verebilecek olan bu türden verilere oldukça hassas yaklaşmakta ve bu tür
kişisel verileri Kurul tarafından belirlenen yeterli önlemleri almak kaidesiyle
yine KVKK’nın 6. maddesinin üçüncü fıkrası uyarınca ilgilisinin açık rızası aranmaksızın
(veya gerekmesi halinde ilgili kişinin açık rızasını talep ederek)
işleyebilmektedir.
Bu kapsamda, Paktaş tarafından,
kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel
nitelikli kişisel veriler bakımından özenle uygulanmakta ve Paktaş bünyesinde
gerekli denetimler sağlanmaktadır.
H.
Kayıt
Ortamları
|
Elektronik
Ortamlar
|
Elektronik Olmayan
Ortamlar
|
|
Ø Sunucular (Etki alanı,
yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
Ø Yazılımlar (ofis yazılımları,
portal, Luca, Perkotek, VERBİS.)
Ø Bilgi güvenliği cihazları
(güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası,
antivirüs vb.)
Ø Kişisel bilgisayarlar
(Masaüstü, dizüstü)
Ø Mobil cihazlar (telefon, tablet
vb.)
Ø Optik diskler (CD, DVD vb.)
Ø Çıkartılabilir bellekler (USB,
Hafıza Kart vb.)
Ø Yazıcı, tarayıcı, fotokopi
makinesi
|
Ø
Kağıt
Ø
Manuel veri kayıt sistemleri (anket formları,
ziyaretçi giriş defteri)
Ø Yazılı,
basılı, görsel ortamlar
|
İ.
Kişisel
Veri Toplama Yöntemleri ve Hukuki Dayanağı
Paktaş kişisel verileri üçüncü kişiler Paktaş’a
sağladıkları için toplayabilir veya edinebilir: veya Paktaş’ın Wi-fi ağına
bağlanıldığı için, Paktaş’ın internet sitesi veya sosyal medya hesapları
kanalıyla ya da kamuya açık aleni bir veri olduğu için toplayabilir veya
edinebilir.
Paktaş uhdesinde bulunan kişisel verileri başta KVKK ve Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik (“Yönetmelik”) olmak
üzere, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Borçlar Kanunu, 4857 sayılı
İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651
sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6361 sayılı İş
Sağlığı ve Güvenliği Kanunu, 213 sayılı Vergi Usul Kanunu, 4982 sayılı Bilgi
Edinme Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik
Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik ve bu
Kanunlar uyarınca yürürlükte olan ikincil mevzuatlar çerçevesinde işlenmekte ve
öngörülen saklama süreleri kadar saklanmaktadır.
Yasal gerekliliklerin yerine getirilmesi, sözleşmeden
doğan yükümlülüklerin ifası, Paktaş’ın meşru menfaatleri ve aşağıda detaylı
olarak belirtilen diğer amaçlar ve sebepler nedeniyle, Paktaş tarafından ilgili
kişilerden talep edilen veya doğrudan ilgili kişiler tarafından Paktaş ile
paylaşılan kişisel verileri, Paktaş otomatik veya otomatik olmayan yöntemler ve
kaynaklar ile toplayabilir ve yine yasal olan süreler ile saklayabilir;
(i)
Paktaş’ın tüm hizmet birimleri ile ilgili kişiler
arasındaki görüşmeler;
(ii)
Paktaş’a sözlü, yazılı veya elektronik olarak yapılan başvurular;
(iii)
Paktaş’ın yakın ilişkisi bulunan bağlı ortaklık,
iştirakler, üçüncü kişi ve kuruluşlar;
(iv)
Toplantılar ve kongreler;
(v)
Kamu Kurumları;
(vi)
İnternet üzerinden yapılmış olan başvurular, SMS
kanalları, sosyal medya;
(vii)
Destek hizmeti alınan sair şirketler;
(viii)
Her türlü mevzuat veya sözleşme kapsamında Paktaş’ın
işlem yaptığı gerçek ve/veya tüzel kişiler ve
(ix)
Kamuya açık aleni veriler.
J.
Kişisel
Verilerin Saklanması ve İmhasına İlişkin Açıklamalar
Paktaş tarafından; çalışanlar, çalışan
adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü
kişilerin( tedarikçi, taşeron vb bu kişilerin temsilcileri) müşteri
pozisyonundaki kişilerin, kurumların veya kuruluşların çalışanlarına ait
kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya
ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir
1.
Saklamaya
İlişkin Açıklamalar
KVKK’nın
3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde
işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü
olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre
kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel
verilerin işleme şartları sayılmıştır.
Buna
göre, Paktaş’ın faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta
öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Paktaş, faaliyetleri çerçevesinde işlemekte
olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar;
(i)
İnsan
kaynakları süreçlerini yürütmek;
(ii)
Kurumsal
iletişimi sağlamak;
(iii)
Şirket’in
güvenliğini sağlamak;
(iv)
İstatistiksel
çalışmalar yapabilmek;
(v)
İmzalanan
ticari vb sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek;
(vi)
Yasal
düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak;
(vii)
Paktaş ile
iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak;
(viii)
Yasal
raporlamalar yapmak ve
(ix)
İleride
doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
2.
İmhaya
İlişkin Açıklamalar
Kişisel
veriler;
(i)
İşlenmesine esas teşkil eden ilgili mevzuat
hükümlerinin değiştirilmesi veya mülgası;
(ii)
İşlenmesini veya saklanmasını gerektiren
amacın ortadan kalkması;
(iii)
Kişisel verileri işlemenin sadece açık rıza
şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri
alması;
(iv)
KVKK’nın 11. maddesi gereği ilgili kişinin
hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin
yaptığı başvurunun Kurum tarafından kabul edilmesi;
(v)
Paktaş’ın, ilgili kişi tarafından kişisel
verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile
kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da
öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması
ve bu talebin Kurul tarafından uygun bulunması ve
(vi)
Kişisel verilerin saklanmasını gerektiren
azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı
kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Paktaş tarafından ilgili kişinin talebi
üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale
getirilir.
K.
Kişisel
Verilerin Korunmasına Dair Alınan Tedbirler
Kişisel verilerin güvenli bir şekilde
saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile
kişisel verilerin hukuka uygun olarak imha edilmesi için Şirket tarafından
teknik ve idari tedbirler alınır.
1.
Teknik Tedbirler
Hakkında
Paktaş işlediği kişisel verileri ve veri
işleme faaliyetlerini bünyesinde kurduğu teknik sistemle düzenli olarak
denetlemektedir. Teknik meselelerde ilgili uzman kurumlardan destek
alınmaktadır. Yeni teknolojik gelişmeler takip edilmekte ve bilhassa siber
güvenlik alanlarındaki sistemler üzerinde teknik gelişmeler takip edilmekte ve
bu yönde sistemler güncellenmektedir. Erişim ve yetkilendirme konularına
hassasiyet gösterilerek mevcut çalışanların yetkileri gözden geçirilerek
düzenlenmekte; eski çalışanlara erişim kısıtlaması uygulanarak hesapları
kapatılmaktadır. Antivirüs sistemleri ve güvenlik duvarları içeren yazılımlar
kullanılmaktadır. Gerçekleştirilen denetim faaliyetleri uyarınca tespit edilen
olası eksikliklerin giderilmesi sağlanmaktadır.
2.
İdari Tedbirler
Hakkında
Paktaş hazırlamış olduğu işbu Politika
ve [kişisel veri envanteri] dahil tüm kişisel veri dökümantasyonu ile KVKK ve
ikincil mevzuatların gerekliliklerini yerine getirmektedir. Bu bağlamda Paktaş kurumsal
prosedürler oluşturmakta, sözleşmelerini veri sorumlusu sıfatına haiz olmasına
göre veri güvenliği hükümlerini sağlayarak oluşturmakta, gizlilik
taahhütnamelerini alarak veri güvenliğini arttırmaktadır. Kişisel veri işlemeye
başlamadan önce Paktaş tarafından, ilgili kişileri aydınlatma yükümlülüğü
yerine getirilmektedir. Kurum içi periyodik ve kimi zaman rastgele denetimler
gerçekleştirmekte, risk analizlerini tespit etmektedir. Kişisel verilerin
korunmasına yönelik bir iç disiplin oluşturmakta ve kişisel verilere erişebilen
yönetici kadrosundan bütün çalışanlara bilgi güvenliği eğitimi vermekte ve
farkındalık faaliyetleri gerçekleştirmektedir. Ayrıca, güvenlik
politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin
prosedürü hazırlanmıştır.
3.
Özel Nitelikli
Verilere İlişkin Tedbirler Hakkında
Paktaş KVKK’nın 6. maddesinin ilk
fıkrasında ifade edilen özel nitelikli kişisel verilerin korunması noktasında
da konuya hassasiyetle yaklaşmaktadır. Bu bağlamda, Paktaş kişisel verilerin
korunması adına almış olduğu teknik ve idari tedbirleri Kurul’un özel nitelikli
kişisel veriler konusunda belirlediği asgari önlemleri dikkate alarak
uygulamaktadır.
L.
Paktaş Tarafından
Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi
Türk
Ceza Kanunu’nun 138. maddesi ve KVKK’nın 7. maddesi düzenlemesi doğrultusunda
kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Paktaş’ın kendi
kararına istinaden veya kişisel veri sahibinin bu yönde bir talebi olması
halinde silinir, imha edilir veya anonim hâle getirilir. Bu kapsamda işbu Politika
hazırlanmıştır.
Paktaş’ın
ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya
yükümlülüğü olan durumlarda veri sahibinin talebini yerine getirmeme hakkı
saklıdır.
Kişisel
veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla da işlendiğinde, veriler silinirken/yok edilirken kişisel
verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi
uygulanmaktadır. Paktaş kendisi adına kişisel verileri işlemesi için bir kişi
veya kuruluş ile anlaştığında, kişisel veriler bu kişi veya kuruluşlar
tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir.
Paktaş
hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler
ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
Paktaş
tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır:
|
Değişkenleri çıkarma
|
:
|
İlgili kişiye ait kişisel
verilerin içerisinde yer alan ve ilgili kişiyi herhangibir şekilde tespit etmeye
yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
Bu yöntem kişisel verinin
anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri
işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi
amacıyla da kullanılabilir.
|
|
Bölgesel
gizleme
|
:
|
Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde
istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin
silinmesi işlemidir.
|
|
Genelleştirme
|
:
|
Birçok kişiye ait kişisel verinin biraraya getirilip, ayırt edici bilgileri
kaldırılarak istatistiki veri haline getirilmesi işlemidir.
|
|
Veri karma ve bozma
|
:
|
Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle
karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı
niteliklerini kaybetmeleri sağlanır.
|
M.
Saklama
ve İmha Süreleri
Paktaş’ın işlemekte olduğu ve işleyeceği kişisel verileri
hangi süreyle saklamakla yükümlü olduğu ve hangi sürede imha edeceği aşağıdaki
tabloda belirtilmiştir;
|
VERİ SAHİBİ
|
VERİ KATEGORİSİ
|
VERİ SAKLAMA SÜRESİ
|
|
Çalışan
|
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine
ve ücrete dair bildirimlere esas özlük verileri ve özlük verileri dışında kalan
diğer özlük verileri
|
Hizmet akdinin devamında ve hitamından itibaren de 10(on) yıl müddetle muhafaza
edilir.
|
|
Çalışan
|
İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler
|
Hizmet akdinin devamında ve hitamından itibaren 10(on) yıl müddetle muhafaza
edilir.
|
|
İşOrtağı/ÇözümOrtağı/Danışman
|
İşOrtağı/ÇözümOrtağı/Danışman ile Paktaş arasındaki ticari ilişkinin yürütümüne dair kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, İşOrtağı/ÇözümOrtağı/Danışman çalışanı
verileri
|
İşOrtağı/ÇözümOrtağı/Danışmanın, Paktaş ile olan iş/ticari ilişkisi süresince
ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu
md.82 uyarınca 10 yıl süre ile saklanır.
|
|
Ziyaretçi
|
Paktaş’a ait fiziki mekâna girişte alınan Ziyaretçi ‘ye ait ad, soyad,
T.C. Kimlik Numarası, araç plakası ile kamera kayıtları,
|
2 yıl süre ile saklanır .
|
|
Aday Personel
|
Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler
|
Başvuru tarihinden itibaren 1 yıldır.
|
|
Stajyer(öğrenci)
|
Stajyere ait staj dosyasında yer alan bilgiler
|
Staj ilişkisinin devamında ve hitamından itibaren 1 yıl müddetle muhafaza
edilir.
|
|
Müşteri
|
Müşteri'yeait ad, soyad, T.C.Kimlik Numarası, iletişim bilgileri, banka bilgileri,
e-mail, adres, vergi numarası, vergi dairesi, ürün/hizmet tercihleri, işlem geçmişi,
özel gün bilgileri vb. bilgiler.
|
Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren
Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre
ile saklanır.
|
|
Müşteri
|
Kamera görüntüleri, araç plaka bilgisi
|
1 yıl süre ile saklanır. Kamera 15 gün
|
|
PAKTAŞ’ın İşbirliği İçinde Olduğu Taşeron/ Tedarikçi vb. Kişilerin gerçek
kişi olması halinde veya tüzel kişi olmaları halinde temsilcilerine ait kişisel
bilgiler.
|
Paktaş’ın İşbirliği İçinde
Olduğu Taşeron/ Tedarikçi vb. ile PAKTAŞ arasındaki ticari ilişkinin yürütümüne
dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon numarası
vb. Kişisel verileri.
|
Paktaş’nın İşbirliği
İçinde Olduğu Taşeron/ Tedarikçi vb olan iş/ticari ilişkisi süresince ve sona
ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82
uyarınca 10 yıl süre ile saklanır.
|
Periyodik İmha Süresi,
Yönetmelik’in 11. maddesi gereğince 6 ay olarak belirlenmiştir. Bu çerçevede Paktaş
kişisel verileri Kişisel Veri Envanteri’nde belirlenen saklama süresinin
bitiminden itibaren 6 ay içerisinde imha eder.
N. Kişisel Verileri Saklama Ve İmha
Süreçlerinde Yer Alan Kişiler ve Görevleri
Paktaş’ın kişisel veri saklama ve imha süreçlerinde yer
alan personel ve bunların görev ve sorumlulukları aşağıdaki gibidir;
|
Unvan
|
|
GörevTanımı
|
|
Kişisel Veri Yöneticisi:
Hayrettin Görgen Gen. Md. Yrd
|
:
|
Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama,
analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması
Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken
süreçleri yönetmek ve ilgili kişilerden gelen talepleri karara bağlamakla yükümlüdür.
|
|
Kişisel Ver iUzmanı:
Özge İspir
İnsan Kaynakları Yöneticisi
|
:
|
İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel
Veri Kurulu Yöneticisine raporlanmasından; Kişisel Veri Kurulu Yöneticisi tarafından
değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin
Kişisel Veri Kurulu Yöneticisinin kararı uyarınca yerine getirilmesinden;
saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel
Veri Kurulu Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden
sorumludur.
|
O.
Kişisel
Veri Aktarımı
1.
Yurtiçinde
Kişisel Veri Aktarımı
Paktaş
kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından
alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek
sorumluluğu altındadır.
Paktaş
tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin
açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu
kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda; KVKK’nın 5.
Maddesinin 2. Fıkrası ve 6. Maddesinin 3. Fıkrası altında belirtilen koşullar
mevcut olduğu takdirde açık rızası olmadan da veriler mevzuatta öngörülen
şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya
kuruluşa aktarılabilir.
Ayrıca, Şirket, KVKK ve diğer ilgili mevzuata uygun
olması koşuluyla, yönetmeliklerde belirtilen güvenlik önlemlerini alarak,
kanunda veya ilgili mevzuatta veya varsa Veri Sorumlusu ile imzalanan
sözleşmede aksine bir hüküm olmadığı sürece, gerektiği hallerde ise ilgili
kişinin rızasına da başvurarak Türkiye'deki üçüncü kişilere ve Grup şirketlerine
kişisel verileri aktarabilir.
2.
Yurtdışında
Kişisel Veri Aktarımı
Paktaş kişisel verileri Türkiye’de üçüncü kişilere
aktarabileceği gibi, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza
edilmek üzere, dış kaynak kullanımı dâhil yukarıda da yer verildiği gibi KVKK’da
ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta
belirtilen tüm güvenlik önlemlerini alarak şayet veri sahibi kişi ile imzalı
mevcut bir sözleşme var ise, söz konusu sözleşmede ve KVKK veya ilgili diğer
mevzuatta aksi düzenlenmediği sürece yurt dışına da aktarabilir.
KVKK kapsamındaki kişisel verilerin aktarıldığı ülkede
Kişisel Verilerin Korunması Kurulu kararınca yeterli koruma bulunması durumunda
aktarılabilecektir. Yeterli korumanın bulunmadığı hallerde aktarımın yapıldığı
ülkelerde Şirketimizin ilgili yabancı ülkedeki Veri Sorumlusu ile birlikte
yeterli korumayı sağlamayı yazılı olarak taahhüt etmesi ve Kurul’un bu konudaki
iznin alınması kaydıyla gerçekleştirilebilecektir
3.
Aktarım
Yapılan Kurum ve Kuruluşlar
Kamu tüzel kişileri ile ilgili mevzuatları kapsamında
talep ettikleri bilgiler KVKK’nın 8. maddesi uyarınca paylaşılır.
P.
Veri
Güvenliği
Paktaş KVKK’nın 12. maddesi uyarınca, kişisel verilerin
kaybolmasını, yanlış kullanılmasını, sehven tahribattını ve kişisel verilerde
değişiklik yapılmasını engellemek için uygun teknolojik ve organizasyonel
kontrollerin yapılmasını sağlamaktadır.
Paktaş’ın kişisel verilere erişimi olan personeli, bu
bilgilerin gizliliğini korumak amacıyla gerekli eğitimleri almıştır. Kişisel
verilere erişim izni olan personelin bu verilere erişmelerine ancak görevlerini
uygun bir şekilde yerine getirmeleri için bu bilgilere ihtiyaç duydukları
ölçüde izin verilmektedir. Kişisel verilere erişebilecek kişiler aynı zamanda
sıkı profesyonel gizlilik kurallarına tabidir.
En yeni tehditlere karşı etkili olmasını sağlamak adına,
güvenlik savunma önlemlerimiz düzenli olarak izlenir ve test edilir.
Q.
İlgili
Kişi’nin Hakları
Kişisel
verileri Paktaş tarafından işlenen tüm gerçek kişiler Paktaş’a info@paktas.com adresinden
başvurarak kendisiyle ilgili;
(i)
kişisel veri işlenip işlenmediğini öğrenme;
(ii)
kişisel verileri işlenmişse buna ilişkin
bilgi talep etme;
(iii)
kişisel verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme;
(iv)
yurt içinde veya yurt dışında kişisel
verilerin aktarıldığı üçüncü kişileri bilme;
(v)
kişisel verilerin eksik veya yanlış işlenmiş
olması hâlinde bunların düzeltilmesini isteme;
(vi)
KVKK’nın 7. maddesine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme;
(vii)
kişisel verinin düzeltilmesi, silinmesi, yok
edilmesi veya anonim hale getirilmesi hallerinde düzeltme, silme, yok etme veya
anonim hale getirme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme;
(viii)
kişisel verilerin münhasıran otomatik
sistemler vasıtasıyla analiz ve işlenmesi sonucunda aleyhe oluşan bir sonuca
itiraz etme; ve
(ix)
kişisel verilerin mevzuata aykırı olarak
işlenmesi sebebiyle zarara uğranmış olunması halinde zararın giderilmesini
talep etme, hakkına sahiptir.
6698 Sayılı Kişisel
Verilerin Korunması Kanunu’nun “İstisnalar” başlıklı 28 inci maddesi gereği bu
kanun hükümleri şu hallerde uygulanmaz ve dolayısıyla ilgili kişiler aşağıdaki
hallere dayanarak haklarını ileri süremezler:
(i)
kişisel verilerin üçüncü kişilere verilmemek
ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler
tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili
faaliyetler kapsamında işlenmesi;
(ii)
kişisel verilerin resmi istatistik ile anonim
hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla
işlenmesi;
(iii)
kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın
gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek
kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi;
(iv)
kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya
yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları
tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında
işlenmesi;
(v)
kişisel verilerin soruşturma, kovuşturma,
yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi.
Yine
KVKK’nın 28. Maddesinin ikinci fıkrası uyarınca, aşağıdaki hallerde ilgili
kişiler zararın giderilmesini talep etme hakkı hariç, KVKK’nın 11. maddesinde
sayılan haklarını ileri süremezler;
(i)
kişisel veri işlemenin suç işlenmesinin
önlenmesi veya suç soruşturması için gerekli olması;
(ii)
kişisel veri sahibi tarafından kendisi
tarafından alenileştirilmiş kişisel verilerin işlenmesi;
(iii)
kişisel veri işlemenin kanunun verdiği
yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu
kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması; ve
(iv)
kişisel veri işlemenin bütçe, vergi ve mali
konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için
gerekli olması.
KVKK veya ilgili yan
mevzuat hükümleri uyarınca, kişisel veri sahipleri yukarıda sıralanan haklarına
ilişkin tüm taleplerini info@paktas.com
adresine“Kişisel Veri Başvuru Dilekçesi” başlığıyla
gönderebilirler. Bu başvuruyu yaparken kişisel veri sahipleri, Paktaş’a daha
önce bildirmiş oldukları ve halihazırda Paktaş sisteminde kayıtlı bulunan
e-posta adresinlerini kullanabilir ya da 5070 sayılı Elektronik İmza Kanunu
uyarınca tanımlanmış elektronik veya mobil imza kullanabilirler.
|
Şirket Adı
|
Mersis No.
|
Mail adresi
|
|
Paktaş Platform Kaldırma ve
Taşıma Makinaları Ticaret ve Sanayi A.Ş.
|
0720054497100010
|
info@paktas.com
|
Kişisel veri
sahipleri, dilerlerse ıslak imzalı başvuru dilekçelerini Yazlık Mah. D-130
Karayolu Cad. No: 95 Gölcük Kocaeli veya Sepetlipınar Mah. Demokratlar Cad.
No:21 Başiskele/Kocaeli adresine veya elektronik imzalı olarak info@paktas.com adresine
iletebilirler.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru
talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi
adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
R.
DEĞİŞİKLİK,
GÜNCELLEME VE YÜRÜRLÜKTEN KALDIRMA
Şirketimiz;
Kişisel Verilerin Korunması ve İşlenmesi Politikasını değişiklik yapma hakkını
saklı tutar.
İşbu Politika'nın, yürürlüğe yeni giren yasal gereklilikleri
yerine getirmek adına, ancak bunlarla sınırlı kalmamak kaydıyla değiştirilmesi
durumunda, ilgili metnin en güncel versiyonu web sitemizde ilan edilecektir.
PAKTAŞ PLATFORM KALDIRMA VE TAŞIMA
MAKİNALARI TİCARET VE SANAYİ A.Ş.
KVKK Kişisel Veri Saklama ve İmha Politikası
1. BÖLÜM: İMHA POLİTİKASI'NIN NİTELİĞİ
VE AMACI
1.1. GİRİŞ
İşbu imha
politikası Paktaş Platform Kaldırma ve Taşıma
Makinaları Ticaret ve Sanayi A.Ş. kısaca (“PAKTAŞ”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz
kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair
mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin PAKTAŞ tarafından uygulanacak usul ve
esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, adaylarımızın, stajyerlerimizin, gerçek kişi
müşterilerimizin, tüzel kişi müşterilerimizin gerçek kişi çalışanlarının,
gerçek kişi tedarikçilerimizin, tüzel kişi tedarikçilerimizin gerçek kişi
çalışanlarının, gerçek kişi çözüm ortaklarımızın, tüzel kişi çözüm
ortaklarımızın gerçek kişi çalışanlarının ve herhangi bir nedenle PAKTAŞ nezdinde
kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu Kişisel Veri
Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
1.2. TANIMLAR
|
Doğrudan tanımlayıcılar
|
:
|
Tek başlarına, ilişki içinde oldukları
kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan
tanımlayıcıları,
|
|
Dolaylı tanımlayıcılar
|
:
|
Diğer tanımlayıcılar ile bir araya
gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt
edilebilir kılan tanımlayıcıları,
|
|
İlgili kişi
|
:
|
Kişisel verisi işlenen gerçek kişiyi,
|
|
İmha
|
:
|
Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesini,
|
|
Kanun
|
:
|
07.04.2016 tarih ve 29677 sayılı Resmi
Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
|
|
Yönetmelik
|
:
|
28.10.2017 tarihli ve 30224 sayılı
Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya
Anonim Hale Getirilmesi Hakkında Yönetmeliğini
|
|
Kurul
|
:
|
Kişisel Verileri Koruma Kurulunu
|
|
Kayıt ortamı
|
:
|
Tamamen veya kısmen otomatik olan ya
da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
|
|
Kişisel Verilerin İşlenmesi ve Korunması Politikası
|
:
|
“www.paktas.com” adresinden
ulaşılabilecek, PAKTAŞ elinde bulunan kişisel verilerin yönetilmesine ilişkin
usul ve esasları belirleyen politikayı,
|
|
Veri kayıt sistemi
|
:
|
Kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemini,
|
2. BÖLÜM: ORTAMLAR VE GÜVENLİK
TEDBİRLERİ
2.1. KİŞİSEL VERİLERİN SAKLANDIĞI
ORTAMLAR
PAKTAŞ nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve
hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel veriler
elektronik ve fiziksel kayıt ortamı olarak iki ortamda muhafaza edilmektedir.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel
itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel
nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen
ortamlardan farklı bir ortamda tutulabilir. PAKTAŞ her halde veri sorumlusu
sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin
İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha
Politikası’na uygun olarak işlemek ve korumaktadır.
|
a) Fiziksel ortamlar
|
:
|
Verilerin kâğıt üzerine basılarak tutulduğu ortamlardır.
|
|
b) Dijital ortamlar
|
:
|
PAKTAŞ bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik
diskler gibi sair dijital ortamlardır.
|
|
c) Elektronik ortamlar
|
:
|
PAKTAŞ bünyesinde yer alan elektronik
kayıt ortamıdır.
|
2.2. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
PAKTAŞ, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak
işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu
ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri
almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve
tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik
tedbirleri kapsar.
2.2.1. Teknik Tedbirler
PAKTAŞ, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve
verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri
almaktadır;
- Kişisel
verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun
güncel ve güvenli sistemler kullanılmaktadır.
- Kişisel
verilerin tutulduğu ortamlara yönelik güvenlik sistemleri
kullanılmaktadır.
- Bilişim
sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik
testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların
sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar
giderilmektedir.
- Kişisel
verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili
kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere
erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- PAKTAŞ bünyesinde
kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli
teknik personel bulundurmaktadır.
2.2.2. İdari Tedbirler
PAKTAŞ, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve
verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri
almaktadır:
- Kişisel
verilere erişimi olan tüm PAKTAŞ çalışanlarının bilgi güvenliği, kişisel
veriler ve özel hayatın gizliliği konularında farkındalıklarının
artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır. Bu amaçlı
anlaşmalı hukuk birimi kurum içi periyodik eğitimler vermektedir.
- Bilgi
güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması
alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere
hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Kişisel
verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere
aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması
amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu
protokollerdeki yükümlülüklerine uyması için gerekli tüm özen
gösterilmektedir.
2.2.3. Şirket İçi Denetim
PAKTAŞ, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel
Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması
Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin
eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar
derhal giderilir.
Denetim sırasında ya da sair bir şekilde PAKTAŞ sorumluluğunda bulunan
kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin
anlaşılması hâlinde, PAKTAŞ bu durumu en kısa sürede ilgilisine ve Kurula
bildirir.
3. BÖLÜM: KİŞİSEL VERİLERİN İMHASI
3.1. SAKLAMA VE İMHA NEDENLERİ
3.1.1. Saklama Nedenleri
PAKTAŞ kişisel verileri sözleşmesel ve yasal yükümlülükleri yerine getirmek
üzere yasalarda belirtilen sürelerden uzun olmamak kaydı ile meşru menfaatlerin
gerektirdiği süre kadar KVKK madde 5 ve 6 hukuki nedene dayandırılarak
saklanmaktadır.
3.1.2. İmha Nedenleri
PAKTAŞ bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya
da Kanun’un 5’nci maddesinde sayılan nedenlerin ortadan kalkması halinde re’sen
işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci maddesinde sayılan nedenler aşağıdakilerden ibarettir:
- Kanunlarda
açıkça öngörülmesi.
- Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin
gerekli olması.
- Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması.
- İlgili
kişinin kendisi tarafından alenileştirilmiş olması.
- Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması.
- İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
3.2. İMHA YÖNTEMLERİ
PAKTAŞ, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve
Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin
talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında
belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
PAKTAŞ tarafından en çok kullanılan silme, yok etme ve anonim hale getirme
teknikleri aşağıda sıralanmaktadır:
3.2.1.1 Silme Yöntemleri
|
Fiziki Ortamda
Tutulan Kişisel Veriler İçin Silme Yöntemleri
|
|
Silme
|
:
|
Fiziksel ortamda
bulunan kişisel verilerin silinmesi yöntemi yerine aşağıdaki tabloda yer alan
yok etme yöntemi kullanılmaktadır.
|
|
Dijital Ortamda
Tutulan Kişisel Veriler İçin Silme Yöntemleri
|
|
Yazılımdan güvenli
olarak silme
|
:
|
Dijital ortamlarda
tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla
silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.
|
3.2.1.2 Yok Etme Yöntemleri
|
Fiziksel Ortamda
Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
|
|
Fiziksel yok etme
|
:
|
Fiziksel ortamda
bulunan kişisel veriler öğütme ya da yakma yöntemi kullanılarak yok edilir. Öğütme
veya yakma işlemi, ilgili evrak üzerindeki kişisel verilerin makinede
öğütülerek veya ateşle yakılmak sureti ile geri döndürülemeyecek ve
teknolojik çözümlerle okunamayacak şekilde yok edilmesi şeklinde yapılır.
|
|
Dijital Ortamda
Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
|
|
Fiziksel yok etme
|
:
|
Kişisel veri
barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline
getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik
medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden
geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
|
|
|
Yazılımdan güvenli
olarak silme
|
:
|
Kişisel veriler bir
daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen
verilere tekrar ulaşılamaz.
|
3.2.1.3. Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hâle getirilmesidir.
|
Değişkenleri çıkarma
|
:
|
İlgili kişiye ait
kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde
tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
Bu yöntem kişisel
verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri
içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu
bilgilerin silinmesi amacıyla da kullanılabilir.
|
|
Bölgesel gizleme
|
:
|
Kişisel verilerin
toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda
olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi
işlemidir.
|
|
Genelleştirme
|
:
|
Birçok kişiye ait
kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak
istatistiki veri haline getirilmesi işlemidir.
|
|
Veri karma ve bozma
|
:
|
Kişisel veri
içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle
karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve
tanımlayıcı niteliklerini kaybetmeleri sağlanır.
|
PAKTAŞ, kişisel verilerin anonim hale getirilmesi için ilgili verinin
niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da birkaçını
kullanır.
3.3. SAKLAMA VE İMHA SÜRELERİ
3.3.1. Saklama Süreleri
|
VERİ SAHİBİ
|
VERİ KATEGORİSİ
|
VERİ SAKLAMA SÜRESİ
|
|
Çalışan
|
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet
süresine ve ücrete dair bildirimlere esas özlük verileri ve özlük verileri
dışında kalan diğer özlük verileri
|
Hizmet akdinin devamında ve hitamından itibaren de 10 (on) yıl müddetle
muhafaza edilir.
|
|
Çalışan
|
İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler
|
Hizmet akdinin devamında ve hitamından itibaren 10 (on) yıl müddetle
muhafaza edilir.
|
|
İş Ortağı/Çözüm Ortağı/Danışman
|
İş Ortağı/Çözüm Ortağı/Danışman ile PAKTAŞ arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş
Ortağı/Çözüm Ortağı/Danışman çalışanı verileri
|
İş Ortağı/Çözüm Ortağı/Danışmanın, PAKTAŞ’la olan iş/ticari ilişkisi
süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk
Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
|
|
Ziyaretçi
|
PAKTAŞ’a ait fiziki mekâna girişte alınan Ziyaretçi‘ye ait ad, soyad,
araç plakası vb.
|
2 yıl süre ile saklanır.
|
|
Aday Personel
|
Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler
|
Başvuru tarihinden itibaren 1 yıldır.
|
|
Stajyer(öğrenci)
|
Stajyere ait staj dosyasında yer alan bilgiler
|
Staj ilişkisinin devamında ve hitamından itibaren 1 yıl müddetle muhafaza
edilir.
|
|
Müşteri
|
Müşteri'ye ait ad, soyad, T.C.Kimlik Numarası, iletişim bilgileri, banka
bilgileri, e-mail, adres, vergi numarası, vergi dairesi, ürün/hizmet
tercihleri, işlem geçmişi, özel gün bilgileri vb. bilgiler.
|
Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından
itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10
yıl süre ile saklanır.
|
|
Ziyaretci, Tedarikçi ve Müşteri gibi işyerine gelen tüm gerçek kişiler.
|
Kamera görüntüleri, araç plaka bilgisi
|
1 yıl süre ile saklanır. Kamera kayıtları 15 gün.
|
|
PAKTAŞ’ın İşbirliği İçinde olduğu Taşeron/ Tedarikçi vb. kişilerin gerçek
kişi olması halinde veya tüzel kişi olmaları halinde temsilcilerine ait
kişisel bilgiler.
|
PAKTAŞ’ın İşbirliği
İçinde olduğu Taşeron/ Tedarikçi vb. ile PAKTAŞ arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon
numarası vb. kişisel verileri.
|
PAKTAŞ’ın İşbirliği
İçinde olduğu Taşeron/ Tedarikçi vb olan iş/ticari ilişkisi süresince ve sona
ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82
uyarınca 10 yıl süre ile saklanır.
|
Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat
uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir
süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama
süresi olarak kabul edilir.
3.3.2. İmha Süreleri
PAKTAŞ, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması
Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu
olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün
ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri
siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden PAKTAŞ’a başvurarak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; PAKTAŞ
talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün
içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya
anonim hale getirir. PAKTAŞ’ın talebi almış sayılması için ilgili
kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına
uygun olarak yapmış olması gerekir. PAKTAŞ, her halde yapılan işlemle
ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu
talep PAKTAŞ tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca
gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç
otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
3.4. PERİYODİK İMHA
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda; PAKTAŞ işleme şartları ortadan kalkmış olan kişisel
verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve
tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder
veya anonim hale getirir.
Periyodik imha süreçleri ilk kez 01.01.2021 tarihinde başlar ve periyodik imha edilecek veri için
belirlenen sürenin bitiminden itibaren 6 ay içinde yerine getirilir.
3.5. İMHA İŞLEMİNİN
HUKUKA UYGUNLUĞUNUN DENETİMİ
PAKTAŞ, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen
gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin
İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha
Politikasına uygun olarak yapar.
PAKTAŞ, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin
etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
3.5.1. Teknik Tedbirler
- PAKTAŞ, işbu politikada yer alan her bir imha yöntemine uygun teknik
araç ve ekipman bulundurur.
- PAKTAŞ, imha işlemlerinin yapıldığı yerin
güvenliğini sağlar.
- PAKTAŞ, imha işlemini yapan kişilerin erişim
kayıtlarını tutar.
- PAKTAŞ, imha işlemini yapacak yetkin ve tecrübeli
elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet
alır.
3.5.2. İdari Tedbirler
- PAKTAŞ, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel
veriler ve özel hayatın gizliliği konularında farkındalıklarının
artırılması ve bilinçlendirilmesi için çalışmalar yapar.
- PAKTAŞ, bilgi güvenliği, özel hayatın gizliliği,
kişisel verilerin korunması ve güvenli imha teknikleri alanındaki
gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve
teknik danışmanlık hizmeti alır.
- PAKTAŞ, teknik ya da hukuki gereklilikler
nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili
üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar,
ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için
gerekli tüm özeni gösterir.
- PAKTAŞ, imha işlemlerinin hukuka ve işbu Kişisel
Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun
olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları
alır.
- PAKTAŞ, kişisel verilerin silinmesi, yok edilmesi
ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına
alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere
en az üç yıl süreyle saklar.
4. BÖLÜM: KİŞİSEL VERİ
KURULU
PAKTAŞ bünyesinde bir Kişisel Veri Kurulu kurar. Kişisel Veri Kurulu,
ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması
Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak
saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri
denetlemekle yetkili ve görevlidir.
Kişisel Veri Kurulu, bir yönetici, İdari/Teknik bir uzman olmak üzere iki
kişiden oluşur. Kişisel Veri Kurulunda görevli PAKTAŞ çalışanlarının unvanları
ve görev tanımları aşağıda belirtilmiştir:
|
Unvan
|
|
Görev Tanımı
|
|
Kişisel Veri Yöneticisi:
Hayrettin Görgen Gen. Md.
Yrd.
|
:
|
Kanuna uyumluluk
sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme
çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması
Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi
gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara
bağlamakla yükümlüdür.
|
|
Kişisel Veri Uzmanı:
Özge İspir
İnsan Kaynakları
Yöneticisi
|
:
|
İlgili kişilerin
taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Kurul
Yöneticisine raporlanmasından; Kişisel Veri Kurul Yöneticisi tarafından
değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin
Kişisel Veri Kurulu Yöneticisinin kararı uyarınca yerine getirilmesinden;
saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin
Kişisel Veri Kurulu Yöneticisine raporlanmasından; saklama ve imha
süreçlerinin yürütülmesinden sorumludur.
|
5. BÖLÜM: GÜNCELLEME VE UYUM
PAKTAŞ, Kanunda yapılan değişiklikler nedeniyle, Kurum
kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler
doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu
Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı
tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal
metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda
açıklanır.
5.1 DEĞİŞİKLİK NOTLARI
|
28.02.2020
|
:
|
Kişisel Veri Saklama
ve İmha Politikası yayınlanmıştır.
|
*
eski tarihli bir değişiklik bulunmamaktadır.*