KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1. Amaç

İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Sapro Temizlik Ürünleri Sanayi ve Ticaret Anonim Şirketi (“Sapro” veya “Şirket”) tarafından işlenen ve saklanan kişisel verilerin saklanma ve sonrasında silinmesi, yok edilmesi veya anonim hale getirilmesi şeklindeki imha işlemlerine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

İşbu Politika ile Şirket, kişisel verilerin işlenmesi faaliyetlerine konu veri öznelerinin (ilgili kişilerin) kişisel verilerinin saklanması ve imha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla yasal düzenlemelerle belirlenen yükümlülüklerin Şirket ve Şirket’in Veri İşleyenleri tarafından yerine getirilmesini hedeflemektedir.

İşbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.

Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

-6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK/KVK Kanunu”) 4. maddesindeki genel ilkeler ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.

-Şirket, işbu Politika’yı hazırlamış olmanın tek başına kişisel verilerin mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.

-Şirket, kişisel verilerin saklanması yahut imhasında, işbu Politika’ya ve mevzuata uygun hareket edeceğini kabul, beyan ve taahhüt etmektedir.

İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınacaktır.

2. Kapsam

İşbu Politika, aşağıdaki kişilere ait, edinilen kişisel verilerin saklanması ve imhası faaliyetlerini kapsamaktadır:

• Şirketimizin çalışanları, çalışan adayları, stajyerleri, eski çalışanları ve bu kişilerin aile yakınları,
• Topluluk şirketimizin çalışanları, çalışan adayları, eski çalışanları, stajyerleri ve bu kişilerin aile yakınları,
• Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,
• İş ortaklarımızın çalışanı, temsilcisi ve vekili,
• Müşterilerimiz ve potansiyel müşterilerimiz,
• Kamu/özel kurum ve kuruluş çalışanları,
• Hukuken yetkili kişiler,
• Ziyaretçilerimiz,
• Diğer üçüncü kişiler.

 

Bu kişi grubu tanımlarına ilişkin açıklamalara, EK-1’de yer verilmektedir.

İşbu Politika elektronik, fiziki ve diğer ortamlar üzerinden edindiğimiz ve elektronik, fiziki veya benzeri ortamda sakladığımız tüm kişisel verileri kapsayacaktır. 

3. Yetki ve Sorumluluklar

Bilgi Teknolojileri Şefi: Politika Uygulama Yöneticisi olarak kişisel verilerin saklanma süresine uygunluğunu ve periyodik imha işleminin koordinasyonunu sağlama ve yönetme

Bilgi Teknolojileri Uzmanları: Politika Uygulama Sorumlusu olarak elektronik ortamdaki kişisel verilerin imhasını yürütme

Genel Müdür: Politika Uygulama Sorumlusu olarak fiziki ortamdaki kişisel verilerin imhasını yürütme ve görevlerine uygun olarak işbu Politikanın yürütülmesinden sorumludur.

4. Tanımlar

Politika içerisinde yer verilen teknik terimlerin karşılıkları aşağıda gösterilmektedir.

Alıcı Grubu                             : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

İlgili Kullanıcı                        : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha                                        : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun                                     : 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kayıt Ortamı                           : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.

Kurul                                       : Kişisel Verileri Koruma Kurulu’dur.

Periyodik İmha                       : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Sicil                                         : Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.

Veri Kayıt Sistemi                  : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu                      : (Sapro Temizlik Ürünleri Sanayi ve Ticaret Anonim Şirketi) Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Anonim Hâle Getirme            : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Silme                                      : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok Etme                               : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Doğrudan Tanımlayıcılar       : Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.

Dolaylı Tanımlayıcılar           : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.

İmha                                        : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Karartma                                : Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.

Maskeleme                              : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir.

Elektronik Ortam                   : Kişisel verilerin elektronik aygıtlar aracılığıyla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.

Elektronik Olmayan Ortam   : Elektronik ortamlar dışında kalan, kişisel verilerin yazılı, basılı, görsel veya benzeri diğer ortamlarda bulunduğu her türlü kayıt ortamıdır.

 

 

 

5. Kişisel Verilerin Kaydedildiği Ortamlar

Veri sahiplerine ait kişisel veriler KVKK ve ilgili mevzuata uygun olarak aşağıda belirtilen ortamlarda güvenli bir şekilde saklanmaktadır.

Elektronik Ortamlar    : Kişisel veriler aşağıdaki elektronik ortamda saklanabilecektir.

• Masaüstü ve dizüstü bilgisayarlar,
• Mobil cihazlar,
• E-posta sunucuları,
• Sosyal medya hesaplarının mesaj kutuları,
• Yazılımlar ve bağlı olduğu Veritabanları (Yedekleme Yazılımı, Active Directory, Eba, QDMS,  ERP, SQL DB, IFS, Tilcomp, Meditek İSG ),
• Sistem odaları,
• Taşınabilir medya (USB Bellek, CD ve DVD vb.),
• Ağ üzerinde veri saklanması için kullanılan disk sürücüleri.

Bu kapsamda fiziki ortamda, sözlü veya basılı kağıt, form veya belge olarak elde ettiğimiz ancak tamamen veya kısmen otomatik bir sisteme kaydettiğimiz tüm kişisel verilerin de elektronik ortamda saklandığı kabul edilmiştir.

 

Elektronik Olmayan Ortamlar            : Kişisel veriler kağıt, form, belge, sözleşme veya herhangi bir basılı varlık olarak elektronik olmayan ortamda saklanabilecektir. Aşağıda, basılı varlıkların saklandığı ortamlar belirtilmiştir.

• Sapro ofislerinde bulunan kilitli dolaplar,
• Sapro ofislerinde ve depolarında bulunan panolar,
• Sapro ofislerinde bulunan arşiv odası,
• Sapro ofislerinde bulunan çekmeceler ve klasörler.

Bu kapsamda elektronik ortamdan elde ettiğimiz ancak sonrasında çıktısını alarak veya kağıt, form veya belgede yazarak sakladığımız tüm kişisel verilerin de fiziki ortamda saklandığı kabul edilmiştir.

 

6. Kişisel Verilerin Saklanması ve İmhası Sürecini Yöneten ve Bu Süreçte Görev Yapan Kişiler

Aşağıda kişisel verilerin saklanması ve imhası süreçlerinde yer alan yetkili ve görevli kişilerin unvanları, birimleri ve görev tanımları belirtilmiştir.

.  İş Başvuru Formu, CV ve karakter analizi testlerinin muhafazası sürecinde        İnsan Kaynakları         İnsan Kaynakları Müdürü

.  Özlük dosyalarının saklanması sürecinde          İnsan Kaynakları       İnsan Kaynakları Müdürü

.  Performans karnelerinin saklanması sürecinde         İnsan Kaynakları         İnsan Kaynakları Müdürü

. İş sağlığı ve güvenliği mevzuatı kapsamında toplanan verilerin muhafazası sürecinde (sağlık raporları vs.)        İşyeri Hekimi

. İş kazası/meslek hastalığına ilişkin verilerin saklanması         İşyeri Hekimi

. Denetim raporlarının saklanması sürecinde       Kalite Güvence        Kalite Güvence Yöneticisi

. Tüketici şikayetlerinin saklanması sürecinde        Kalite Güvence        Kalite Güvence Yöneticisi

. Ziyaretçi defterinin tutulması sürecinde       İdari İşler        İdari İşler Uzmanı

. Tazminat /avans/icra ödemelerinin yapılması sürecinde       Finans       Finans Yöneticisi

. Cari hesap kartları ve faturaların saklanması sürecinde        Finans        Finans Yöneticisi

. Sözleşmelerin saklanması sürecinde      Muhasebe        Muhasebe Müdürü

. Laboratuvar cihaz bakım, laboratuvar sıcaklık ve pH formlarının saklanması        Ar-Ge        Ar-Ge  Müdürü

. Şirket içerisinde ve dışında gerçek zamanlı görüntü kayıt sistemi alınması ve saklanması süresince        Elektrik ve Teknik Projeler           Kıdemli Elektrik ve Teknik Projeler Yöneticisi

. İnternet sitesi giriş çıkış bilgilerinin saklanması süresince        Bilgi İşlem        Bilgi İşlem Şefi

. Kullanılan program dataları ve e-maillerin yedeklenmesi süresince        Bilgi İşlem       Bilgi İşlem Şefi

. İşyerine giriş çıkışların kaydı ve saklanması süresince         Bilgi İşlem          Bilgi İşlem Şefi

7. Kişisel Verilerin Muhafazası ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak İçin Alınan Teknik ve İdari Tedbirler

 

Kişisel Verilerinizin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan Teknik Tedbirler

 

• Kişisel veri saklama, işleme ve erişilme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
• Alınan teknik önlemler ilgilisine raporlanmaktadır.
• Bilgi sistemlerine yönelik risk ve açıklıkları tespit etmek amacıyla periyodik olarak sızma testleri gerçekleştirilmekte ve gerekli güvenlik önlemleri alınmaktadır.
• Bilgi teknolojilerine ilişkin riskler, etkin risk değerlendirme ve yanıt mekanizmalarıyla yönetilmektedir.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Kişisel verilerin bulunduğu fiziksel ortamların güvenliği sağlanmakta; bu alanlara yetkisiz erişimi önlemeye yönelik gerekli önlemler alınmaktadır.
• Özel nitelikli kişisel verilerin işlendiği sistemlerde, bu verilere yalnızca yetkili kişiler tarafından erişilmesini sağlamak amacıyla sıkı erişim kontrolleri uygulanmakta; işlem kayıtları mevzuata uygun şekilde tutulmakta ve veriler güvenli ortamlarda saklanmaktadır.
• Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
• Sistemlere uygun güvenlik yamaları zamanında yüklenmekte, bilgi sistemleri güncel tutulmakta, erişim güvenliğini sağlamak amacıyla güçlü parola politikaları uygulanmakta ve internet üzerinden erişimlerde güvenli protokol (HTTPS) kullanılmaktadır.

 

Kişisel Verilerin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan İdari Tedbirler

 

• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak saklanması, işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde görev alan çalışanlara gerekli eğitimler verilmekte; bu verilere erişim yetkisi yalnızca ilgili kişilerle sınırlandırılmakta ve çalışanlardan gizlilik taahhüdü alınmaktadır.
• Kişisel Veri İşleme envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek personel belirlenmiştir.
• Kağıt ortamı üzerinden gerçekleştirilen veri aktarımlarında, fiziksel güvenlik önlemleri alınmakta; belgeler gizlilik derecelendirmesi yapılarak ilgili kişi ya da birimlere iletilmektedir.
• Yürütülen tüm faaliyetler detaylı olarak tüm bölümler özelinde analiz edilmekte, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari ve idari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
• Bölümler bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili bölümler özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
• Çalışanlar, öğrendikleri kişisel verileri 6698 sayılı Kişisel Verilerin Koruması Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere Sapro Temizlik Ürünleri Sanayi ve Ticaret Anonim Şirketi’nin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.
• Şirket içinde kişisel veri güvenliğine ilişkin uygulamaların sürdürülebilirliğini sağlamak amacıyla belirli aralıklarla periyodik denetimler gerçekleştirilmekte ve alınan önlemler raporlanmaktadır.

 

8. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan Teknik ve İdari Tedbirler

 

• Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
• Bulut Sisteminde İlgili Verilerin Silme Komutu Verilerek Silinmesi: Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

• Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
• Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

 

• Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için Sapro bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.
• Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
• De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
• Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmektedir.
• Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılmasıdır.
• Loglama ve Denetim: Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçlerinde gerçekleştirilen işlemlerin kayıt altına alınması sağlanmaktadır. Bu log kayıtları yalnızca yetkili kişiler tarafından erişilebilecek şekilde korunmakta; işlem geçmişi, denetim amacıyla gerektiğinde incelenebilmekte ve kayıtların bütünlüğü güvence altına alınmaktadır.
• Periyodik İmha Zamanlaması: Kişisel verilerin işlenme şartlarının ortadan kalktığı durumlarda, ilgili veriler belirli periyotlarla silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu periyodik imha işlemleri, kişisel veri saklama ve imha politikasında tanımlanan süreler esas alınarak gerçekleştirilmekte; işlemler otomatik veya manuel olarak yürütülebilmektedir.
• Otomatik Silme/İmha Sistemleri: Kişisel verilerin silinmesi veya yok edilmesi işlemleri, sistem üzerinde belirlenen saklama süresinin sona ermesiyle birlikte otomatik olarak gerçekleştirilebilmektedir. Bu kapsamda, yazılım sistemleri aracılığıyla süre bazlı tetikleyiciler tanımlanmakta ve belirli periyotlarda otomatik imha süreçleri devreye alınmaktadır.
• Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri: Değer düzensizliği sağlamayan anonim hale getirme yöntemleri ile saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılmasıdır.
• Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanların çıkartılması ile mevcut veri setinin anonim hale getirilmesidir.
• Kayıtları Çıkartma: Veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkartılarak saklanan veriler anonim hale getirilmektedir.
• Bölgesel Gizleme: Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi ile anonimleştirme sağlanmaktadır.
• Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesidir.
• Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
• Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
• Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri: Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılmaktadır.
• Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.
• Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmaktadır.
• Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilmektedir.

Yukarıda sayılan durumların gerçekleşmesi sırasında KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlanmakta ve gerekli tüm idari ve teknik tedbirler alınmaktadır.

 

9. Kişisel Verilerin Periyodik İmha Süresi

Sapro’nun uhdesinde bulunan kişisel veriler belirli periyodik aralıklarla kontrol edilecek ve bu verilerden işleme şartları tamamen ortadan kalkmış olanlar silinecek, yok edilecek ya da anonim hale getirilecektir.

Periyodik İmha, tüm kişisel veriler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır. Şirket, ilgili mevzuat kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.

Kişisel verilere uygulanacak bu periyodik inceleme ve imha işlemleri Sapro tarafından oluşturulan ve VERBİS sistemine sunulan/sunulacak Kişisel Veri İşleme Envanteri’nde yer almaktadır.

İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket’in diğer hukuki yükümlülüklerden kaynaklanan Kişisel Veri saklama hakları saklıdır.

 

10. Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. Bu süre herhalde altı ayı aşamayacaktır.

Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul bu maddede belirlenen süreyi kısaltabilecektir.

 

11. Veri Sahibinin Kişisel Verilerinin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Talebi Üzerine Uygulanacak Süreler

Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Sapro’ya iletir. Sapro, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda en geç otuz gün içinde bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde gereği yerine getirilecektir.

Talebe konu kişisel verilerin işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel veriler silinir, yok edilir ya da anonim hale getirilir. Başvuruda yer alan talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir. Sapro’nun hatasından kaynaklanması hâlinde alınan ücret veri sahibine iade edilir.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Sapro tarafından seçilecektir. İlgili kişinin talebi halinde Sapro uygun yöntemi gerekçesini açıklayarak seçer.

Talebe konu kişisel veriler üçüncü kişilere aktarılmışsa bu durum üçüncü kişiye bildirilecek; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılması temin edilecektir.

Kişisel verilerinizin işlenmesi ile ilgili hususlarda Şirketin internet adresinde bulunan formu doldurarak ya da aşağıda belirtilen adrese yazılı olarak* başvuruda bulunabilirsiniz.

Sapro Temizlik Ürünleri Sanayi ve Ticaret Anonim Şirketi İletişim Bilgileri

İrtibat Mail Adresi: kvkk@sapro.com.tr

Merkez Ofis Adresi: Ortaköy Mah. İlter Bulvarı No: 27 34592 Silivri, İstanbul / Türkiye

Merkez Ofis Telefon Numarası: +90 0212 734 38 08

İletişim için internet sitesi adresi: http://www.sapro.com.tr/

 

*Lütfen yazılı başvuru halinde konuyu zarfın üzerinde “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” şeklinde belirtiniz.

 

12.  Referanslar ve Dayanak

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik

13.    Politikanın Yürürlük Tarihi

İşbu Politika’nın ilk versiyonu 02 / 01/2020 tarihi itibariyle Şirket’in tüm kişisel veri saklama ve imha faaliyetlerine uygulanmak üzere Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.

İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin esas alınacaktır.

EK-1 KİŞİ GRUPLARI

KİŞİ GRUPLARI	AÇIKLAMALAR
Müşteri	Sapro’dan halihazırda ürün/hizmet alan veya alma taahhüdünde bulunan kişiler.
Potansiyel Müşteri	Sapro’dan halihazırda ilgili ürünü/hizmeti almayan ancak alması muhtemel kişiler.
Şirket Temsilcisi veya Vekili	Sapro'yu temsil veya vekil eden kişiler (Sapro’nun danışmanlık aldığı avukatlar, Sapro’nun temsil ve ilzama yetkili yönetim kurulu üyesi).
Hissedar	Sapro’da pay sahibi olan gerçek kişiler.
Tedarikçi	Sapro’nun hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili.
İş Ortağı	Sapro’nun faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili.
Çalışan	Sapro’nun işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler.
Çalışan Adayı	Sapro’nun herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Sapro’nun incelemesine açmış olan gerçek kişiler.
Stajyer	Sapro’da stajyerliğini yapan gerçek kişiler.
Ziyaretçi	Sapro şirket yerleşkelerini ve internet sitelerini ziyaret eden kişiler.
Hukuken Yetkili Kişi	Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler.
Üçüncü Kişi	Burada belirtilmeyen diğer gerçek kişiler (Örn. Kefil, eski çalışan vs.)

 

EK-2 SAKLAMA VE İMHA SÜRELERİ TABLOSU

Aşağıda yer alan tablodaki süreçlere ilişkin saklama süreleri, işbu Politika’nın yürürlüğe girdiği tarihteki mevzuat esas alınarak belirlenmiştir. Söz konusu süreler, ilgili kişi tarafından dava açılması halinde kesintiye uğrayacak ve davaya konu kişisel veriler en az dava kesinleşene kadar bir hakkın korunması hukuki sebebine dayanarak saklanacaktır.

 

KİŞİSEL VERİ KATEGORİSİ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Sözleşme ilişkilerinde (TBK genel zamanaşımı süresi)	Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Müşterilere mal/hizmet verilmesi ilişkilerinde Ödeme işlemleri	Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası	Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Çalışan adaylarının iş başvuruları	İş başvurusu tarihinden itibaren 1 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
İnsan kaynakları süreçlerinin planlanması	İş ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
İş sağlığı ve güvenliği faaliyetleri	İş ilişkisinin sona ermesinden itibaren 10 yıl, sağlık dosyaları iş ilişkisinin sona ermesinden itibaren en az 15 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Çalışanların izin ve tazminat süreçlerinin yürütülmesi	Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl[1]	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Çalışanların ücrete ilişkin haklarına dair kişisel veriler	5 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Erişim / Log Kayıtları	2 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Genel Kurul İşlemleri	10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler	10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Ticari defterler ve TTK m. 82/1’de sayılan diğer belgeler	Belgelerinin oluştuğu, yapıldığı veya hazırlandığı takvim yılını izleyen yıl başından başlamak üzere 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Sistem odalarına ziyaretçi kayıtları	Sözleşme süresince	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Ticari Elektronik İleti işlemleri	Ticari elektronik iletinin veya ticari elektronik iletişimin reddedildiği tarihten itibaren 3 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Kamera Kayıtları	İdari bina , üretim sahası , dış saha  90 gün	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Olay Tespiti Bilgisi	İş ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Aile Üyeleri Bilgisi	İş ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde
Müşteri Talep Ve Şikayet Bilgisi	Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl	Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde

 

[1] Söz konusu süre, 12.10.2017 tarihinden sonra sona eren iş sözleşmelerinden kaynaklanan yıllık izin ücreti ve tazminatlar hakkında uygulanır. Bu tarihten önceki istemlere ilişkin olarak 10 yıllık zamanaşımı uygulanacaktır. Ancak bu durumda, zamanaşımı süresinin henüz dolan kısmı 5 yıldan az ise; kalan süre 5 yılla tamamlanınca zamanaşımı süresi dolmuş olur. Zamanaşımı süresi dolduğunda kişisel veriler imha edilmektedir.