İNŞEL YAPI VE TEKNİK DONATIM SİSTEMLERİ LİMİTED ŞİRKETİ

KVKK KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1. Amaç

İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), İnşel Yapı ve Teknik Donatım Sistemleri Ltd. Şti. (“İnşel Yapı”) olarak veri sorumlusu sıfatıyla gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusundaki usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

İnşel Yapı, hukuki ve sosyal sorumluluğunun bir parçası olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (''Kanun'') kapsamında ulusal kişisel veri koruma, işleme, saklama ve imha düzenlemelerine uymayı taahhüt etmektedir.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, hizmet sağlayıcılarının, ziyaretçilerin ve herhangi bir nedenle İnşel Yapı nezdinde bulunan kişisel veriler, İnşel Yapı Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu politika çerçevesinde; T.C. Anayasası, uluslararası sözleşmeler, Kanun ve diğer ilgili mevzuata uygun olarak saklanmakta ve imha edilmektedir.

2. Veri Koruma Saklama ve İmha Politikasının Kapsamı

İşbu Politika, İnşel Yapı’da uygulanmaktadır.

İnşel Yapı çalışanları, çalışan adayları, müşterileri, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Şirketimizin sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde işbu Politika uygulanmaktadır.

Politika zaman zaman güncellenebilir. Bu nedenle, Politika’nın en güncel versiyonuna ulaşmak için, düzenli olarak www.inselltd.com adresini ziyaret etmenizi rica ederiz.

3. Tanımlar

4. Sorumluluk ve Kişisel Verileri Koruma Komitesi

İnşel Yapı kendi bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları yönetmek üzere İnşel Yapı Yönetim Kurulu kararı ile “Kişisel Verileri Koruma Komitesi” kurmuştur.

Kişisel Verileri Koruma Komitesi’nin görevleri

• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak.
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede İnşel Yapı içi görevlendirmede bulunmak ve koordinasyonu sağlamak.
• Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenler hakkında karar vermek; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
• Kişisel Verilerin Korunması ve İşlenmesi konusunda İnşel Yapı içinde ve İnşel Yapı işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
• İnşel Yapı’nın Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek.
• Kişisel Verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
• Kişisel Veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
• Kişisel Veri sahiplerinin; Kişisel Veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak.
• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda karar vermek.
• Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
• Her yılın Haziran ve Aralık aylarında olmak üzere periyodik imha süreçlerini yürütmek.
• Kişisel verilerin korunması mevzuatının veri sorumlusuna yüklemiş olduğu diğer görevleri yerine getirmek.
• Yönetim Kurulu’nun Kişisel Verilerin korunması konusunda vereceği diğer görevleri icra etmek.

Kişisel Verileri Koruma Komitesi, bir başkan ve iki üyeden oluşur ve salt çoğunluk ile karar alır. Kişisel Verilerin Korunması mevzuatı uyarınca Veri Sorumlusu olarak Şirkete ait bütün görev ve yetkilerin Türk Ticaret Kanunu’nun 367 uyarınca Kişisel Verileri Koruma Komitesi’ne devrine karar verilmiştir.

5. Kişisel Verilerin Saklandığı Kayıt Ortamları

İnşel Yapı bünyesinde yer alan kişisel verileriniz, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun olarak aşağıda listelenen kayıt ortamlarında hukuka uygun olarak güvenli bir şekilde saklanmaktadır.

6. Kayıt Ortamlarının Güvenliğinin Sağlanması

İnşel Yapı, kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerinizin hukuka uygun olarak imha edilmesi için gerekli tüm teknik ve idari tedbirleri almaktadır.

6.1. Teknik ve İdari Tedbirler

İnşel Yapı, kişisel verilerinizin saklandığı ortamlarda, ilgili verinin ve tutulduğu ortamın niteliklerine uygun düştüğü ölçüde aşağıdaki teknik tedbirleri almaktadır:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Veri kaybı önleme yazılımları kullanılmaktadır.

7. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

İnşel Yapı tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve tedarikçi/hizmet sağlayıcı olarak şirketimizle ilişkide bulunan üçüncü kişilere ait kişisel veriler; Kanuna, Yönetmenliğe, İnşel Yapı Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Politika'ya uygun olarak saklanmakta ve imha edilmektedir.

İnşel Yapı, kişisel verilerinizi ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde kişisel verileriniz iş bu Politika’ya göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili Şirketimiz tarafından yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

7.1. Saklamayı Gerektiren Sebepler

• Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
• Bir hakkın tesisi, kullanılması veya korunması amacıyla,
• Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla İnşel Yapı’nın meşru menfaatleri için saklanmasının zorunlu olması nedeniyle,
• İnşel Yapı’nın hukuki yükümlülüklerini yerine getirmesi amacıyla,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi sebebiyle;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 4982 Sayılı Bilgi Edinme Kanunu
• 4857 sayılı İş Kanunu
• 6102 sayılı Türk Ticaret Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması sebebiyle saklanmaktadır.

   

  7.2. İmhayı Gerektiren Sebepler

   

  Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler İnşel Yapı’nın tarafından re’sen veyahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11 inci maddesinin ikinci fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

8. Kişisel Verileri İmha Yöntemleri

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespiti ve verilerin tutulduğu sistemlere göre aşağıdaki yöntemlerden bir veya birkaçının kullanılmasıyla tek tek yok edilecektir.

8.1. De-manyetize Etme

Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

8.2. Fiziksel Yok Etme

Optik medya ve manyetik medyanın eritilmesi, yakılması, toz haline getirilmesi veya metal öğütücüden geçirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Katı hal diskler bakımından üzerine yazma veya de-manyetize edilemeyen cihazlar için fiziksel yok etme işlemleri uygulanacaktır.

8.3. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kere 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

8.4. Kâğıt ve Mikro fiş Ortamları

Kalıcı ve fiziksel ortam üzerine yazılı olan kişisel veriler; kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi yani ortamı kâğıt imha veya kırpma makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmesi suretiyle yok edilecektir.

8.5.  Bulut Ortamı

Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve mümkünse kişisel verilerin depolandığı her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerektiğinden, kişisel verilerin yok edilmesi için gerekli şifreleme anahtarlarının tüm kopyaları yok edilecektir.

• Yukarıda yer alan ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilecektir:

İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin  (8.1.)’de belirtilen uygun yöntemleri kullanarak yok edilecektir.

Yok etmenin mümkün olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilecektir.

Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınacaktır.

8.6. Kişisel Verilerin Anonimleştirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

İnşel Yapı içinde kişisel verilerin anonimleştirilmesi yöntemlerinden hiçbiri kullanılmamaktadır.

9. SAKLAMA VE İMHA SÜRELERİ

9.1. Saklama Süreleri

9.2. İmha Süreleri

İnşel Yapı, Kanun, ilgili mevzuat, İnşel Yapı Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünü; ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde (En geç saklama süresini takip eden 180 gün içinde) yerine getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden İnşel Yapı’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; İnşel Yapı talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler veya yok eder. İnşel Yapı yapılan işlemler konusunda ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep İnşel Yapı tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

10. Periyodik İmha

Yönetmeliğin 11 inci Maddesi 2. Fıkrası: ''Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. '' hükmünü amirdir.

Yönetmelik gereğince İnşel Yapı, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre İnşel Yapı tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

11. Politikanın Yürürlüğü, Yayımlanması ve Güncellenmesi

İşbu Politika 30.09.2020 tarihinde yürürlüğe girer.

İşbu Politika Şirket’in www.inselltd.com internet sitesinde yayımlanır. Kanun ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanır.

İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenir.