KVKK

• Amaç ve Kapsam

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Termosan Isıl İşlem Sanayi ve Ticaret Anonim Şirketi (“Şirket”) tarafından hazırlanmıştır.

Bu Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak çalışanlar, çalışan adayları, işbirliğinde bulunulan üçüncü kişiler, müşteriler, şirket ortağı ve yönetim kurulu üyeleri ve ziyaretçiler bulunmaktadır. Politika, Şirketimizce yönetilen kişisel verilerin işlenmesi ve korunmasına yönelik faaliyetlerin tamamında uygulanmaktadır.

• Tanımlar

• Kişisel Verilerin İşlenmesine İlişkin İlkeler

Şirket tarafından toplanan kişisel veriler Kanun’un ilgili maddeleri doğrultusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve Şirketçe işbu Politika’da belirlenen süreler kadar muhafaza edilmektedir.

Şirket tarafından işlenen kişisel verilere ilişkin Veri Sahibi’nden açık rıza alınmaktadır. Ancak Kanun’un 5. Maddesi kapsamında aşağıda sayılan hallerde Veri Sahibi’nin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür. Bu haller şöyle sayılmaktadır:

• Kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.

Şirket, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemleri kayıt altına almakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Veri Sahibi tarafından bu hususa ilişkin Şirket’e başvurulması halinde iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve veri sahibine bilgi verilmektedir. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmektedir.

• Kayıt Ortamları 

Şirket tarafından işlenen Kişisel Veriler, aşağıda yer alan kayıt ortamlarında saklanmaktadır.

• Kişisel Veri’yi Saklama Amaçları

Şirket tarafından işlenen kişisel veriler, aşağıda sayılan amaçlar ile saklanmaktadır.

• Şirketin, 4857 Sayılı İş Kanunu, 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve ilgili sair mevzuat ve içtihat hükümleri uyarınca haiz olduğu yükümlülükleri yerine getirmesi,
• Şirketin iş sağlığı ve güvenliğine ilişkin gerekli ve yeterli önlemleri alabilmesi,
• Şirket faaliyetlerinin hukuka ve faaliyet konusuna ilişkin mevzuat ve içtihat hükümlerine uygun olarak yürütülmesi,
• Şirketin taraf olduğu sözleşmelerin mevcut hukuk kuralları çerçevesinde, amacına uygun, eksiksiz ve doğru olarak akdedilmesi,
• Verileri kaydedilen kişiler ile doğru iletişimin sağlanabilmesi,
• Şirketin finans, muhasebe ve hukuk işlerinin ve denetimlerinin yürütülmesi,
• Gerekli hallerde, kanun tarafından yetkili kılınmış makam, mercii ve kurumlar tarafından talep edilen bilgilerin paylaşılması ve/veya kanun hükümleri uyarınca Şirketin bildirim yapma yükümlülüğünün bulunduğu hallerde doğru bilgilendirmenin yapılabilmesi,
• Şirketin insan kaynakları süreçlerinin ve yönetim faaliyetlerinin yürütülmesi,
• Şirketin ticari faaliyetlerinden ve Şirket içi personel, ortak, yönetim kurulu üyeleri arasında doğabilecek her türlü uyuşmazlığa ilişkin delil olarak kullanılabilmesi
• Aydınlatma Metninde düzenlenen meşru ve hukuka uygun diğer amaçlar.

• Kişisel Veri’yi Yok Etme Sebepleri

Şirket, aşağıdaki hallerin varlığı halinde işlediği kişisel verileri yok etmektedir. Bu haller şöyle sıralanabilir.

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
• Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurum’a şikâyette bulunması ve bu talebin Kurum tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

• Teknik ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde, Şirket tarafından aşağıda sayılan teknik ve idari tedbirler alınmaktadır.

• Teknik Tedbirler

• Mevcut sistemler kapsamında gerekli iç kontroller yapılır.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi yaptırarak sistem zafiyetlerinin kontrolünü sağlar varsa bilişim sistemlerine yönelik risk, tehdit, zafiyet ve açıklıkları ortaya çıkararak gerekli önlemleri alır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenir.
• Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenir, bu risklere uygun teknik tedbirlerin alınması sağlanır ve alınan tedbirlere yönelik teknik kontroller yapılır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulur.
• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınır.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

• İdari Tedbirler

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Bu personel ile Şirket arasında verilerin güvenliğine ilişkin gerekli sözleşme ve protokoller düzenlenir.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilir ve personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir.
• Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimler yapılır veya yaptırılır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilir.

• Özel Nitelikli Kişisel Veriler

Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Özel Nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel Nitelikli Kişisel Veriler, otomatik ya da otomatik olmayan yöntemler ile sözlü, yazılı ya da elektronik olarak toplanabilmektedir.  Bu veriler, elektronik ve/veya fiziksel ortamlarda saklanmaktadır.

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca, Özel nitelikli kişisel verilerin güvenliğine yönelik uygulamalar aşağıdaki şekildedir:

• Özel nitelikli kişisel veri işleyen personele, veri güvenliğine ilişkin gerekli eğitim verilmiş, bilgilendirme yapılmıştır.
• Özel nitelikli kişisel veri işleyen personel ve bu verilerin paylaşıldığı kişiler ile gizlilik hükümleri imzalanmıştır.
• Özel nitelikli kişisel verilere erişimi olan kullanıcıların yetki kapsamları ve süreleri kendilerine bildirilmiştir.
• Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda, verilerin kriptografik yöntemler kullanılarak muhafaza edilmektedir. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır. Veriler üzerinde gerçekleştirilen tüm hareketler güvenli olarak loglanmaktadır. Gerekli program güncellemeleri düzenli aralıklarla kontrol edilmektedir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda verilerin bulunduğu ortamda yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmektedir.
• Özel nitelikli kişisel veriler, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır. Veriler, taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığında kriptografik yöntemlerle şifrelendirilmektedir.
• Özel nitelikli kişisel veriler kâğıt ortamı yoluyla aktarıldığında, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmaktadır ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

• Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi 

1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin kayıt ortamlarına göre silme yöntemleri aşağıda belirtilmiştir:

• Bulut sisteminde yer alan kişisel veriler, geri getirme yetkisi olmaksızın silme komutu verilerek silinir.
• Kâğıt ortamında bulunan kişisel veriler ise karartma yöntemi kullanılarak silinir. Kâğıt üzerinde yer alan kişisel veriler üzeri okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır.
• Merkezi sunucuda yer alan ofis dosyalarında yer alan kişisel veriler, işletim sistemindeki silme komutu ile ya da dosyanın bulunduğu dizin üzerinde erişim haklarının kaldırılması suretiyle silinir.
• Taşınabilir medyada bulunan kişisel veriler şifreli olarak saklanır ve uygun yazılımlar kullanılarak silinir. Kişisel verilerin veri tabanlarında bulunması halinde ilgili satırlar veri tabanı komutları ile silinir.

1. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılmaz hale getirilmesi işlemidir. Kişisel verilerin kayıt ortamlarına göre yok etme yöntemleri aşağıda belirtilmiştir:

• Yerel sistemler üzerinde yer kişisel veriler de-manyetize etme, üzerine yazma ya da fiziksel yok etme yöntemlerinden biri ile yok edilir.
• Ağ cihazları (içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Flash tabanlı ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Manyetik disk gibi ünitelerde, yer alan veriler çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
• Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmadığından, De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Optik diskler, yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
• Kâğıt ortamında bulunan kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
• Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
• Bulut Ortamında yer alan kişisel veriler, kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilir.

1. Kişisel Verilerin Anonimleştirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

• Saklama ve İmha Süreleri 

Şirket tarafından işlenen kişisel veriler aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir.

*İşbu Kişisel Veri Saklama ve İmha Politikası içerisinde mevzuat değişiklikleri, güncel içtihat hükümleri ile yargı kararlarındaki yenilikler ve sair sebeplerden dolayı değişiklik yapılabilecektir.