KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
VERİ GİZLİLİĞİ TAAHHÜDÜ
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ (‘’Müdürlük’’) Kocakmas Mah.Eski Kandıra Cad.No:30/1 Kandıra/KOCAELİ “Veri Sorumlusu” olarak bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
POLİTİKANIN AMACI
İşbu politikanın amacı, Müdürlük aktivitelerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) kapsamında, kişisel verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
POLİTİKANIN KAPSAMI
Müdürlüğün temel faaliyet alanı, televizyon, tiyatro ve sinema gibi görsel sanatlar sektörüne ait ürün ve hizmet sağlanmasıdır. İş bu Politika, Müdürlüğün faaliyetlerinin devamı amacıyla her tür işleme faaliyetini gerçekleştirdiği Kişisel Verilere yönelik tüm aktiviteleri kapsar ve söz konusu aktivitelere uygulanır.
İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Müdürlüğün Veri Sorumlusu Temsilcisi yahut yönetimin gerekli gördüğü hallerde, kanuni yükümlülükleri gözetmek koşuluyla zaman zaman değiştirilebilir.
TANIMLAR
Açık Rıza : Kişisel Veri Sahiplerinin verilerinin islenmesine dair bilgilendirilmeye dayalı olarak ve herhangi bir koşula bağlı olmaksızın, özgür iradeleriyle açıkladıkları rızayı
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri Sahibi : Kişisel verisi işlenen gerçek kişiyi,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kanun : 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Yönetmelik : 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini
Kurul : Kişisel Verileri Koruma Kurulunu
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Verilerin İşlenmesi ve Korunması Politikası : İş bu yazılı metin ve KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ’nün ayrıca oluşturduğu idari ve teknik tedbirler, iç yönerge ve yönetim kurulu kararları ve yasal mevzuat kapsamında şekillendirilen ve kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder.
KİŞİSEL VERİ İŞLENMESİ İLKELERİ
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Kişisel Veriler, Müdürlük tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir. Ölçülülük esası ile kast edilen, Müdürlük faaliyetleri için gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.
5.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması
Müdürlük, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri “alır ve Veri Sahibinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin işlenmesinden önce müdürlük tarafından Kişisel Verilerin hangi amaçla isleneceği belirlenir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Müdürlük, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında açık rıza gerekmeyen hallerde ve/veya açık rıza alınması gerekli olan hallerde Veri Sahibinden alınan Açık Rıza kapsamındaki amaç̧ doğrultusunda ve ölçülülük esasına uygun olarak işler.
5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi
Müdürlük, Kişisel Verileri işlenme amacına uygun olarak müdürlük aktiviteleri için gerektiği kadar muhafaza eder. Müdürlüğün, KVK Düzenlemelerinde öngörülen veya Kişisel Veri işleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Müdürlük KVK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.
Kişisel Veri işleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İş bu halde, Müdürlüğün Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi tarafından oluşturulur.
KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir.
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ her halde veri sorumlusu sıfatıyla hareket etmekte ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.
a) Matbu ortamlar : Verilerin kâğıt ya da film üzerine basılarak tutulduğu ortamlardır.
b) Yerel dijital ortamlar : KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
c) Bulut ortamlar : KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ’nün kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
6.1. Ortamların Güvenliğinin Sağlanması
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
6.1.1. Teknik Tedbirler
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır;
⦁ Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
⦁ Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
⦁ Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
⦁ Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
⦁ KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere hizmet almaktadır.
6.1.2. İdari Tedbirler
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
• Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
⦁ Kanunun 13. Maddesi kapsamında Veri Sahipleri tarafından Müdürlük’e yönelik yapılan tüm başvuru, talep ve şikayetlere karşılık Kişisel Veriler Komitesi tarafından inceleme yapılır ve en geç 30 gün içerisinde kabul ya da ret gerekçesini açıklayarak yazılı olarak ya da elektronik ortamda Veri Sahibine dönüş sağlanmaktadır.
6.1.3. Müdürlük İçi Denetim
⦁ KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin kurum içi denetimler yapmaktadır.
⦁ Müdürlük içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
⦁ Denetim sırasında ya da sair bir şekilde KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, MÜDÜRLÜK bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
KİŞİSEL VERİLERİN İMHASI
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde veya ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ tarafından kullanılan bazı teknikler aşağıda sıralanmaktadır:
Karartma : Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Dijital ortamdan silme : Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Gerektiğinde de-manyetize ve üzerine yazma yöntemi kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
Fiziksel yok etme : Matbu ortamda tutulan belgeler evrak imha makinesi, manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak tekrar bir araya getirilemeyecek şekilde yok edilir.
Anonimleştirme : İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak ayırt edici nitelikte tanımlayıcıların çıkarılmasıdır.
Veri Sahibi, KVK Kanunun 13’ncü maddesine istinaden KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
⦁ Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.
⦁ KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ’nün talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Müdürlük, her halde yapılan işlemle ilgili kişiye bilgi verir.
⦁ Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Müdürlük tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Periyodik imha süreçleri her 6 (altı) ayda bir tekrar eder.
SAKLAMA VE İMHA SÜRELERİ
| VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
|---|---|---|
| Çalışan | Özlük dosyasında yer alan tüm bilgiler | Hizmet akdinin takip eden takvim yıl yılbaşından itibaren de 10 (on) yıl |
| İş Ortağı /Çözüm Ortağı /Danışman /Müşteri/Yatırımcı Yatırımcı Yetkilileri/ | İş Ortağı/Çözüm Ortağı/Danışman/Müşteri/Yatırımcı/ Yatırımcı yetkilileri gibi KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ ile ticari ilişkinin yürütümüne dair veriler | İş/ticari ilişkisi süresince ve sona ermesinden itibaren Kanunen daha fazla bir süre belirtilmemiş ise 10 (on) yıl |
| Ziyaretçi | KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ ‘ne ait fiziki mekana girişte alınan Ziyaretçi'ye ait Adı, Soyadı, kamera kayıtları, | Kanunen daha fazla bir süre belirtilmemiş ise 6 (altı) ay süre ile saklanır. |
| İnternet Sitesi | İnternet Sitesi kullanıcılarına bilgileri | Kanunen daha fazla bir süre belirtilmemiş ise üyeliğin iptalinden itibaren 2 (iki) yıl |
| Çalışan Adayı | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | Kanunen daha fazla bir süre belirtilmemiş ise 6 (altı) ay süre |
* Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
KİŞİSEL VERİ KOMİTESİ
Müdürlük bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi bir yönetici, bir VERBIS Temsilcisi ve ilgili departmanlardan birer üye olmak üzere 5 kişiden oluşur. Kişisel Veri Komitesinde görevli Müdürlük çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
UNVAN GÖREV TANIMI
Kişisel Veri Komitesi Yöneticisi : Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamak
VERBİS Temsilcisi : Kişisel Veri Komitesi tarafından gerçekleştirilen uygulamaların gerektiğinde VERBIS’e aktarılması. Kişisel Verilere ilişkin veri sahiplerinden gelen taleplerin değerlendirilerek cevapların verilmesi süreçlerinin yürütülmesi
ÜYELER : Kişisel Veri Komitesi tarafından uygulanan, değerlendirilen ve karara bağlanan işlemlerin çalışanlarca yerine getirilmesi; işleme, saklama ve imha süreçlerinin denetimi ve bu denetimlerin gerektiğinde raporlanması
GÜNCELLEME VE UYUM
KANDIRA GIDA İHTİSAS ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal revizyon tarihi ile metne işlenir.
