İÇİNDEKİLER
3..... GENEL KAPSAM VE YASAL DAYANAK
3.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler
3.4. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları
3.4.1. Kişisel Verileri Koruma Komitesi
4..... KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
1. AMAÇ VE KAPSAM |
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu Kanuna dayalı olarak çıkarılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği kişisel verilerin saklanması ve imhasına ilişkin Çelebi Hizmet Gıda Tur. San. ve Tic A.Ş’nin (Bundan sonra “Şirket” olarak anılacaktır) yükümlülüklerinin yerine getirilmesini teminen izlenecek sürecin temel esaslarının belirlenmesi amacıyla düzenlenmiştir.
Bu Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.
Kanunda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.
2. TANIMLAR |
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Kişisel Verileri Koruma Komitesi: Veri Sorumlusunun KVKK ve ilgili Yönetmelikler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair yasal düzenlemeler kapsamındaki yükümlülüklerini yerine getiren, Veri Sorumlusu adına gerekli işlemleri yürüten, Veri Sorumlusunun Veri Sorumluları Siciline kaydını gerçekleştiren, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler, mevzuatta meydana gelebilecek değişiklikler gibi durumları takip eden Şirket içinde oluşturulan Komite’yi,
İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile Veri Sorumlusu arasındaki iletişimin sağlanması ve yönetilmesi, süreçlerin takibi ve diğer işlemlerinin yürütülmesinden sorumlu personeli,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumlusu organizasyonu içerisinde kişisel verileri işleyen personeli,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri İşleme Envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesini,
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
ifade eder.
Bu Politikada, aksi belirtilmedikçe kişisel veri ve özel nitelikli kişisel veri “Kişisel Veri” olarak kullanılmaktadır.
3. GENEL KAPSAM VE YASAL DAYANAK |
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket “Veri Sorumlusu” sıfatıyla;
3.1.2. Şirket tarafından, müşterileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.
Toplanan kişisel veriler;
- Aydınlatma metninde belirtilen işleme amaçlarının gerçekleştirilmesi ve hizmetlerin müşterilere sunulabilmesi, müşterilere karşı olan yükümlülüklerin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, denetim ve sair yükümlülüklere uymak,
- Bilgi işlem gereksinimleri, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurmak,
- Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, hizmetler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerini almak, ürün ve hizmetlere, şikayet ve taleplere yönelik bilgi vermek,
- Ödeme işlemlerini gerçekleştirmek, 3. kişiler ile lojistik iş birliği sağlayarak bilgi yazılarının ulaşmasını sağlamak,
- Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme, denetim yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak Şirket’in tabi olduğu yasal yükümlülükleri ifa etmek,
- Şirket’in stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek
- Resmi makamlardan veya veri sahiplerinden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,
amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
Kişisel Verileri Koruma Komitesi aşağıda yer verilen görevleri yerine getirmekle sorumludur:
İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:
4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ |
Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak zorundadır.
Bununla birlikte, 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olmasındanolması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesini mümkün kılmak için kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.
Şirket personeline ait sağlık ve güvenlik kayıtları, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmüne göre 15 yıl boyunca saklanmak durumundadır. Bununla birlikte 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket personeline ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl boyunca saklanır.
Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusu olan Kurumsal Müşterinin / Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere sunulabilmesini mümkün kılmak için son işlem tarihinden itibaren 10 yıl süre ile saklanır.
Kişisel Verilerin Saklama ve İmha Süreleri Tablosu
İlgili Kişi | Açıklama | Saklama/İmha süresi |
Şirket işlemlerinin doğrudan ya da dolaylı tarafları | Kişisel Veri | 10 yıl |
Personel | Kişisel Veri | 10 yıl |
Personel | Sağlık ve Güvenlik Kayıtları | 15 yıl |
Destek hizmeti sunucusu/Tedarikçi | Kişisel Veri | 10 yıl |
Söz konusu sürelerin bitiminden itibaren 6 aylık periyodik imha zaman aralıklarında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesi’nin ve verileri saklamakla gürevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.
5. YÜRÜRLÜK |