BÖLÜM I

AMAÇ, TANIMLAR, SORUMLULUK VE GÖREV DAĞILIMLARI, VERİLERİNSAKLANDIĞI KAYIT ORTAMLARI

1.      Amaç

İşbuPolitika'nın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7ve 12 nci maddeleri ile "Kişisel Verilerin Silinmesi,Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" ve "VeriSorumluları Sicili Hakkında Yönetmelik" uyarınca, işveren tarafından verisorumlusu olarak elde edilen ve işlenen kişisel verilerin fiziki veyaelektronik ortamlarda saklanmasına, güvenliğinin sağlanmasına ve imhasınailişkin Şirket içi usul ve esasların belirlenmesi, kişisel verilerinişlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerinKişisel Veri İşleme Envanteri'nde belirtilen bilgilerle uyumu ve azami süreninaşılıp aşılmadığının takibi amacıyla hazırlanmıştır.

2.      Tanımlar

AçıkRıza: Belirli bir konuya ilişkin, bilgilendirmeye dayananve özgür iradeyle açıklanan rızayı ifade eder.

AnonimHale Getirme: Kişisel verilerin, başka verilerleeşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir birgerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Çalışan:Bir sözleşme kapsamında çalışan işçiler, kursiyerler ve stajyerler ile yönetimkurulu üyeleri ve taşeron işçileri kapsar.

ÇalışanAdayı: Şirket'e herhangi bir yöntemle iş başvurusundabulunan veya işe alım platformları aracılığıyla özgeçmişleri elde edilenkişileri kapsar.

ElektronikOrtam: Kişisel verilerin elektronik aygıtlar ileoluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlarıifade eder.

ElektronikOlmayan Ortam: Elektronik ortamların dışında kalan tümyazılı, basılı, görsel vb. diğer ortamları ifade eder.

İlgili Kişi/ VeriSahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

İlgili Kullanıcı: Verilerinteknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi yada birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya verisorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyenkişileri ifade eder.

İmha:Kişiselverilerin silinmesini, yok edilmesi veya anonim hale getirilmesini ifade eder.

İmhaYönetmeliği: 28/10/2017 tarihli ve 30224 sayılı ResmiGazetede yayımlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi veyaAnonim Hale Getirilmesi Hakkında Yönetmelik"i ifade eder.

İşyeriHekimi: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.8 veİşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk veEğitimleri Hakkında Yönetmelik'te niteliği ve görevleri belirlenen işyerihekimini ifade eder.

Kayıtortamı: Tamamen veya kısmen otomatik olan ya da herhangi birveri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenenkişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişiselveri: Kimliği belirli veya belirlenebilir gerçek kişiyeilişkin her türlü bilgiyi ifade eder.

KişiselVeri İşleme Envanteri: Şirket tarafından İmha Yönetmeliğive Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanan ve Şirket'iniş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işlemefaaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcıgrubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu vedetaylandırdığı envanteri ifade eder.

Kişiselverilerin işlenmesi: Kişisel verilerin kaydedilmesi,depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerindegerçekleştirilen her türlü işlemi ifade eder.

Kurul:KişiselVerileri Koruma Kurulunu ifade eder

KVKKanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu'nuifade eder.

Müşteri:Şirket'inotelcilik konaklama ve organizasyon hizmetlerinden yararlanan gerçek kişilerile bu hizmetlerden yararlanan tüzel kişilerin ortak veya yöneticilerini ifadeeder.

Ortak: Şirket'ingerçek kişi ortakları ile gerçek veya tüzel kişi ortakları genel kurulda temsileden gerçek kişileri ifade eder.

Özelnitelikli kişisel veri: Kişilerin ırkı, etnik kökeni,siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık vekıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, cezamahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetikverileri ifade eder.

Periyodikİmha: KVK Kanunu'nda yer alan kişisel verilerin işlenme şartlarınıntamamının ortadan kalkması durumunda kişisel verileri saklama ve imhapolitikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirileceksilme, yok etme veya anonim hale getirme işlemini ifade eder.

Politika:KişiselVerileri Saklama ve İmha Politikası'nı ifade eder.

Şirket:Dvs Tarım Ürünleri Tekstil Sanayi Ve Ticaret AnonimŞirketi'ni ifade eder.

Tedarikçi/Hizmet Sağlayıcı: Şirket'in dışarıdan sairhizmetler/ürünler almakta olduğu ya da ileride hizmet/ürün alabileceği veya iş ortaklığınagiriştiği gerçek kişi tedarikçiler ile tüzel kişi tedarikçilerin ortak veyöneticilerini ifade eder.

TBK:6098sayılı Türk Borçlar Kanunu'nu ifade eder.

TTK:6102sayılı Türk Ticaret Kanunu'nu ifade eder.

Veriİşleyen: Veri sorumlusunun verdiği yetkiye dayanarak verisorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

VeriKayıt Sistemi: Kişisel verilerin belirli kriterleregöre yapılandırılarak işlendiği kayıt sistemini ifade eder.

VeriSorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarınıbelirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlugerçek veya tüzel kişiyi ifade eder.

VeriSorumluları Sicili Yönetmeliği: 30.12.2017 tarihli ve30286 sayılı Resmi Gazetede yayımlanan "Veri Sorumluları Sicili HakkındaYönetmelik"i ifade eder.

VERBİS:Veri Sorumluları Sicil Bilgi Sistemi'ni ifade eder.

Ziyaretçi:Şirket'in ofis veya diğer fiziksel ortamlarına giriş yapan, Şirket'in internetsitesini veya benzeri elektronik ortamlarını ziyaret eden veya Şirket'inkablosuz internet hizmetinden faydalanan kişileri ifade eder.

3.      SORUMLULUKVE GÖREV DAĞILIMLARI

Şirket'intüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmaktaolan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarınıneğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ilekişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerehukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygunsaklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda verigüvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularındasorumlu birimlere aktif olarak destek verir.

Kişiselverilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri vegörev tanımlarına ait dağılım Tablo 1'de verilmiştir.

Tablo1: Saklama ve imha süreçleri görev dağılımı

4.      Verilerin Saklandığı Kayıt Ortamları

Şirket tarafındanişlenen kişisel veriler; aşağıda listelenen ortamlar başta olmak üzere, tamamenveya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçasıolmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu elektronikolmayan veya elektronik ortamlarda, veri güvenliği prensipleri çerçevesinde,KVK Kanunu ve ilgili mevzuata uygun olacak şekilde saklanmaktadır.

Şirket tarafından işlenen kişiselverilerin saklandığı ortamlar aşağıdaki gibidir:

BÖLÜM II

KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN USUL VEESASLAR

      1.    SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Şirket faaliyetleri çerçevesinde işlenenkişisel veriler, Şirket bünyesinde, ilgili mevzuatta öngörülen süre kadarmuhafaza edilir. Bu kapsamda kişisel veriler; 

•          6698sayılı Kişisel Verilerin Korunması Kanunu, 

•          6098sayılı Türk Borçlar Kanunu,  

•          6102sayılı Türk Ticaret Kanunu

•          213sayılı Vergi Usul Kanunu 

•          5510sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 

•          5651sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu YayınlarYoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 

•          6361sayılı İş Sağlığı ve Güvenliği Kanunu, 

•          4857sayılı İş Kanunu,  

•          2828sayılı Sosyal Hizmetler Kanunu 

•                    1776 sayılı Kimlik Bildirme Kanunu,

•          Bukanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama sürelerikadar saklanmaktadır.  

     2.    SAKLAMAYI GEREKTİREN İŞLEMEAMAÇLARI

Şirket, faaliyetleri çerçevesindeişlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

•          İnsankaynakları süreçlerini yürütmek.

•          Kurumsaliletişimi sağlamak.

•          Şirketgüvenliğini sağlamak,

•          Şirketiş ve hizmetlerinin değerlendirilmesi ve geliştirilmesi amacıyla istatistikselçalışmalar yapabilmek.

•          İmzalanansözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

•          VERBİSkapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusutemsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilenhizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

•          Yasaldüzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukukiyükümlülüklerin yerine getirilmesini sağlamak.

•          Şirketile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

•          Yasalraporlamalar/bildirimler yapmak.

•          İleridedoğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

3.      İMHAYIGEREKTİREN HUKUKİ SEBEPLER

Kişisel veriler;

•                    İşlenmesine esas teşkil eden ilgilimevzuat hükümlerinin değiştirilmesi veya ilgası,

•                    İşlenmesini veya saklanmasını gerektirenamacın ortadan kalkması,

•                    Kişisel verileri işlemenin sadece açıkrıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasınıgeri alması,

•                    KVKK Kanunu'nun 11 inci maddesi gereğiilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yokedilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,

•                    Şirketin, ilgili kişi tarafından kişiselverilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ilekendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veyaKVK Kanunu'nda öngörülen süre içinde cevap vermemesi hallerinde; Kurulaşikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,

•                    Kişisel verilerin saklanmasınıgerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süresaklamayı haklı kılacak herhangi bir şartın mevcut olmaması,  durumlarında, ilgili kişinin talebi üzerinesilinir, yok edilir ya da re'sen silinir, yok edilir veya anonim hale getirilir.

BÖLÜM III

VERİLERİN SAKLANMASINA VE GÜVENLİĞİNİN SAĞLANMASINA YÖNELİKTEKNİK VE İDARİ TEDBİRLER

1.      Teknik Tedbirler

Şirket,elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması vedışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için,aşağıdaki teknik tedbirler uygulamaktadır:

·        Ağ yoluyla kişisel veri aktarımlarındakapalı sistem ağ kullanılmaktadır.

·        Güncel anti-virüs sistemlerikullanılmaktadır.

·        Güvenlik duvarları kullanılmaktadır.

·        Kişisel veri güvenliği politika veprosedürleri belirlenmiştir.

·        Kişisel veri güvenliği sorunları hızlıbir şekilde raporlanmaktadır.

·        Kişisel veri güvenliğinin takibiyapılmaktadır.

·        Kişisel veri içeren fiziksel ortamlaragiriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

·        Kişisel veri içeren fiziksel ortamlarındış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

·        Kişisel veri içeren ortamların güvenliğisağlanmaktadır.

·        Kişisel veriler mümkün olduğuncaazaltılmaktadır.

·        Kişisel veriler yedeklenmekte veyedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

·        Kurum içi periyodik ve/veya rastgeledenetimler yapılmakta ve yaptırılmaktadır.

·        Log kayıtları kullanıcı müdahalesiolmayacak şekilde tutulmaktadır.

·        Özel nitelikli kişisel verilerelektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veyakurumsal posta hesabı kullanılarak gönderilmektedir.

·        Şifreleme yapılmaktadır.

2.      İdari Tedbirler

Şirket,kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisizkişilerin erişimine karşı korunması için aşağıdaki idari tedbirleriuygulamaktadır:

·        Çalışanları ile yapılan sözleşmeleriniçerisinde veya ekinde, bu kişilerden, görevleri gereği eriştikleri kişiselverilerin gizliliğinin korunmasına yönelik taahhütname almaktadır.