Saklama ve İmha Politikası

1.    AMAÇ VE KAPSAM

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Şirketimizce gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirketimizce kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2.    KAYIT ORTAMLARI

Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar:

·         Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

·         Yazılımlar (ofis yazılımları, vb.)

·         Bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb. )

·         Kişisel bilgisayarlar (Masaüstü, dizüstü)

·         Mobil cihazlar (telefon, tablet vb.)

·         Optik diskler (CD, DVD vb.)

·         Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

·         Yazıcı, tarayıcı, fotokopi makinesi

Elektronik Olmayan Ortamlar:

·         Kağıt,

·         Manuel veri kayıt sistemleri,

·         Yazılı, basılı, görsel ortamlar

3.    SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından; müşterilerin, potansiyel müşterilerin,  çalışanların, çalışan adaylarının, şirket hissedarları ile şirket yetkililerinin, işbirliği içinde olunan kurum çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verileri Kanuna uygun olarak, mevzuatta öngörülen süre kadar, mevzuatta bir süre öngörülmemiş ise işlendikleri amaç sona erene kadar saklanır ve yine mevzuatta öngörülen şekillerde imha edilir.

3.1.  Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi

Hukuk İşlerinin Takibi Ve Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İnsan Kaynakları Süreçlerinin Planlanması

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Talep / Şikayetlerin Takibi

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Yönetim Faaliyetlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Acil durum yönetimi süreçlerinin yürütülmesi

Ürün, hizmetlerin pazarlama süreçlerinin yürütülmesi

Ücret politikasının yürütülmesi

Erişim yetkilerinin yürütülmesi gibi amaçlar.

3.2.   İmhayı Gerektiren Sebepler

Kişisel veriler;

·         İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

·         İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

·         Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

·         Kişisel Verilerin Korunması Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,

·         Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

·         Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

4.    TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanununun 12. maddesiyle  6. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

4.1.   Teknik Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

 -Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

-Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

-Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

-Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

-Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

-Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

-Çalışanlar için yetki matrisi oluşturulmuştur.

-Erişim logları düzenli olarak tutulmaktadır.

-Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

-Gizlilik taahhütnameleri yapılmaktadır.

-Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

-Güncel anti-virüs sistemleri kullanılmaktadır.

-Güvenlik duvarları kullanılmaktadır.

-İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

-Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

-Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

-Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

-Kişisel veri güvenliğinin takibi yapılmaktadır.

-Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

-Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

-Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

-Kişisel veriler mümkün olduğunca azaltılmaktadır.

-Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

-Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

-Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

-Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

-Mevcut risk ve tehditler belirlenmiştir.

-Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

-Sızma testi uygulanmaktadır.

-Şifreleme yapılmaktadır.

4.2.  İdari Tedbirler

-Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri envanteri oluşturulmuş, işlenen kişisel veri ve ilgili kişi kategorileri tespit edilmiştir.

-Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

-Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

-Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

-Gizlilik taahhütnameleri yapılmaktadır.

-Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

-İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

-Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

-Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

-Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

-Kişisel veri güvenliğinin takibi yapılmaktadır.

-Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

-Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

-Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

-Kişisel veriler mümkün olduğunca azaltılmaktadır.

-Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

-Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

-Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

-Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

-Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.

-Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmaktadır.

-Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

5.    KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

5.1.  Kişisel Verilerin Silinmesi

Kişisel veriler aşağıdaki yöntemlerle silinir;

·         Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

5.2.  Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Şirket tarafından aşağıdaki yöntemlerle yok edilir.

·         Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

5.3.  Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6.    SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, Veri kategorileri bazında saklama süreleri VERBİS’te ve aşağıda yer almaktadır:

Saklama süresi dolan kişisel veriler, imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politikada yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

7.    PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

8.    POLİTİKA’NIN YAYINLANMASI, SAKLANMASI VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, elektronik ortamda yayımlanır, şirketin internet sitesinde (www.igllojistik.com) kamuya açıklanır ve talep üzerine kişisel veri sahiplerinin erişimine sunulur. İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde yayınlanmak suretiyle yürürlüğe girer.

İşbu politikanın yürürlükten kaldırılmasına karar verilmesi halinde Yönetim Kurulu kararı ile politikanın eski nüshaları iptal edilerek, iptal kaşesi vurularak veya iptal yazılarak en az 5 YIL süreyle saklanır.