Bölüm 1
1. AMAÇ
İşbu Prosedür, Baymer Yatırım ve Turizm Anonim Şirketi (Bundan böyle “Baymer” olarak anılacaktır.) tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler ile çalışanlarımızın görevlerini ifa ederken ellerine geçen ya da bilgileri dahiline giren tüm Kişisel Verileri gizli tutmalarını ve Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara (Hepsi birlikte (Bundan böyle “KVK Mevzuatı” olarak anılacaktır.)) uymalarını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.
2. KAPSAM
İşbu Prosedür, görevleri kapsamında Kişisel Verileri tamamen veya kısmen otomatik yol ve araçlarla işleyen ya da bir kayıt sisteminin bir parçasını oluşturan ya da bir kayıt sisteminin bir parçasını oluşturması amaçlanan Kişisel Verileri başka yol ve araçlarla işleyen tüm çalışanlarımıza; Baymer çalışanları, çalışan adayları, taşeron çalışanları, hizmet sağlayıcıları kiracılar, ziyaretçiler ve bunlarla sınırlı olmamak üzere diğer üçüncü kişilere ait kişisel verilerin işlenmesi faaliyetlerine ilişkin olarak uygulanır.
3. İLGİLİ DÖKÜMANLAR
3.1. Kişisel Verilerin Korunması Başvuru Prosedürü
3.2. Kişisel Verilerin Korunması Aydınlatma Metni (Genel)
3.3. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan)
3.4. Üçüncü Kişiler İle Akdolunacak Gizlilik Sözleşmesi
3.5. Çalışan Veri Gizliliği Taahhütnamesi
3.6. Güncel İş Sözleşmesi
3.7. Kişisel Verilerin Korunması ve İşlenmesi Politikası
3.8. Temiz Masa – Temiz Ekran Prosedürü
4. TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Çalışan | İş Sözleşmesine dayanarak Baymer’de istihdam edilen kişileri ifade eder. |
Çalışan Adayı | Baymer’e iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Baymer ’e erişilebilir kılan gerçek kişileri ifade eder. |
Carocard | Baymer tarafından işletilmekte olan Carousel Alışveriş ve Yaşam Merkezi’nin sunmuş olduğu sadakat (bağlılık) kartını ifade eder. |
Carousel | Baymer tarafından işletilmekte olan Carousel Alışveriş ve Yaşam Merkezi’ni ifade eder. |
Hissedar/Ortak | Baymer’in hissedarı/ortağı olan gerçek kişileri ifade eder. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişileri ifade eder. |
Kiracı | Carousel’de mağaza/stand kiralayan gerçek kişileri ifade eder. |
Kişisel Veri | Gerçek kişilere ait her türlü veriyi ifade eder. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
Komite | Baymer tarafından kişisel veri güvenliğinin temini, denetimi ve başvuruların değerlendirilmesi amacıyla görevlendirilmiş kişilerden oluşan komiteyi ifade eder. |
Müşteri | Carousel’in sunmuş olduğu kampanya/çekiliş/etkinlik/Carocard vb. hizmetlerden yararlanan gerçek kişileri ifade eder. |
Özel Nitelikli Kişisel Veri | Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder. |
Taşeron Çalışanı | Baymer’in hizmet aldığı firma çalışanlarını ifade eder. |
Üçüncü Kişiler | Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişileri ifade eder. |
VERBİS | Veri sorumluları veri sicil bilgi sistemini ifade eder. |
Veri İrtibat Kişisi | Kişisel verileri koruma kurumu ile kurulacak iletişim için Baymer tarafından VERBİS’e kayıt esnasında bildirilen gerçek kişiyi ifade eder. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi ifade eder. |
Veri Sorumlusu | Baymer’i ifade eder. |
Ziyaretçi | Carousel’i veya internet sitelerini ziyaret eden gerçek kişileri ifade eder. |
BÖLÜM II – UYGULAMA
5. SORUMLULULAR
5.1. Baymer dahilinde tüm iş birimleri ve çalışanları işbu Prosedür ve Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında belirtilmiş olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artması, takibi gibi sürekli denetimi ile kişisel verilerin hukuka uygun şekilde işlenmesini teminen tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlu birimlerle işbirliği içinde çalışır.
5.2. Kişisel verilerin saklama ve imha süreçlerinde görev alanların görev yapmakta olduğu hususlar şu şekilde oluşmuştur;
5.2.1. Bu Prosedür ve bu Prosedürde yapılan tüm revizyon ve değişiklikleri incelemek ve onaylamak Komite’nin sorumluluğundadır. Komite aynı zamanda prosedürü geliştirmek ve gerekli eğitimleri vermek ile prosedürün yorumlanması konusunda çalışanlara yol göstermek ile görevlidir. Komite, bu prosedüre uyulup uyulmadığını denetler ve uyulması için gerekli desteği verir.
5.2.2. Komite işbu prosedürün 6.8. maddesinde yer alan periyodik imha süreçlerinin kontrolünden, belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden ve muhafaza süresi dolan verilerin imha edilmesinden sorumludur.
5.2.3. Komite’nin takibinden sorumlu olduğu Baymer periyodik imha süreci 6 ay olarak belirlenmiştir.
5.2.4. İcra Kurulu veri irtibat kişisinin Prosedürden sapma ve istisna taleplerini incelemek ve onaylamak ile yükümlüdür.
6. UYGULAMA
6.1. Kişisel Veri Saklama Ve İşleme Faaliyetleri
İş faaliyetleri sırasında çalışanlarımız, detayları Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilmiş olan Kişisel Verileri işbu prosedürde ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmek ile yükümlüdür.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
6.1.1 Saklamaya İlişkin Açıklamalar
Kişisel veriler, Baymer iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu prosedürün 6.8 maddesinde belirtilmiş olan sürelerde saklanır.
6.1.2 Saklamayı Gerektiren Hukuki Sebepler
Baymer, iş faaliyetleri çerçevesinde işlenen kişisel verileri aşağıda belirtilen ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder.
- 6098 Sayılı Türk Borçlar Kanunu
- 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
- 6102 Sayılı Türk Ticaret Kanunu
- 4857 Sayılı İş Kanunu
- 6502 Sayılı Tüketicinin Korunması Hakkında Kanun
- Alışveriş Merkezleri Hakkında Yönetmelik
6.1.3 Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler, Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda detaylandırılmış bulunan ve aşağıda sıralanmış amaçlarla saklanmaktadır:
- İletişim faaliyetlerinin gerçekleştirilmesinin temini,
- Kurum ve fiziksel mekan güvenliğinin sağlanması,
- İstatiksel çalışmalar yapabilmek,
- Reklam, çekiliş, kampanya, vb. süreçlerinin yürütülmesi,
- Müşteri/ziyaretçi şikayetlerinin/taleplerinin karşılanması, ziyaretçi kayıtlarının oluşturulması ve takibi, Carocard kapsamında müşteri/ziyaretçilere çeşitli ayrıcalıklar sunulması, Carousel tarafından müşterilere/ziyaretçilere sunulan kampanya/çekiliş/etkinlikler hakkında bilgilendirme yapılması,
- Çalışanlar, çalışanlarının işe alınması, ücretlerinin, yan haklarının ve bağlantılı konuların temini. çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, insan kaynakları süreçlerinin planlanması, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
- İmzalanan kira sözleşmeleri kapsamında iş ve işlemlere ilişkin süreçlerin yürütülmesi, kira bedellerinin hesaplanması, kira bedellerinin tahsilatına ilişkin işlemlerin gerçekleştirilmesi
- Kiralama başvurusu ve kira sözleşmeleri kapsamında ilgili süreçlerin yürütülmesi,
- Baymer ile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibat sağlamak,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
- Mevzuatta öngörülmesi,
- Acil durum yönetimi süreçlerinin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
- Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
- Denetim/etik faaliyetlerinin yürütülmesi,
- Eğitim faaliyetlerinin yürütülmesi,
- Erişim yetkilerinin yürütülmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
- Görevlendirme süreçlerinin yürütülmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
- İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
- Mal/hizmet satın alım süreçlerinin yürütülmesi, mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi, mal/hizmet satış süreçlerinin yürütülmesi,
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, organiazsyon ve etkinlik yönetimi,
- Pazarlama analiz çalışmalarının yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi,
- Risk yönetimi süreçlerinin yürütülmesi, taşınır mal ve kaynakların güvenliğinin temini, veri sorumlusu operasyonlarının güvenliğinin temini,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Yönetim faaliyetlerinin yürütülmesi,
6.1.4 İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- KVKK’nun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi, ve yok edilmesine ilişkin yaptığı başvurunun Baymer tarafından kabul edilmesi,
- İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
durumlarında, Baymer tarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim hale getirilir.
6.2 Kayıt Ortamları
Kişisel veriler Baymer tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır.
Tablo 1: Kişisel veri saklama ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
(1) Yazılımlar | (1) Manuel Veri Kayıt Ortamları |
(a) Web , e-posta | (a) Formlar |
(b) CRM Portal | (b) Tutanaklar |
(c) Microsoft Office,WindowsServer,SQL Server (d) LOGO |
(c) Belgeler |
(2) Güvenlik Duvarı | (2) Görsel – Yazılı Diğer Ortamlar |
(a) Sonicwall (b) Cyberoan (c) Juniper |
|
(3) Saldırı Tespit Ve Engelleme Sistemi | (b)Klasörler |
(a) Sophos | (c)Birim dolapları |
(4) Antivirüs | |
(a) Sophos | |
(5) Loglama | |
(a) Sophos (b) Sonicwall |
|
(6) Kurum/Kişisel Bilgisayarlar | |
(7) Cep Telefonları/Tabletler | |
(8) Ortak Folder Sistemi | |
(9) Optik Diskler, Yedekleme Cihazı,USBbellek | |
(10) Kamera Kayıt Sistemleri, | |
(11) Ses Kayıt Sistemleri | |
(12) Yazıcı, Fotokopi, Tarayıcı Makinaları |
6.3 Kişisel Veri İşleme Koşulları
Kişisel verilerin bu prosedüre ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’na uygun olarak işlenebilmesi ve kullanılabilmesi için, ilgili kişiye işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi ve ilgili kişinin açık rızasının alınması gerekir. Bu amaçla çalışanlarımız tarafından, kurumumuz tarafından onaylı form ve aydınlatma metinlerinin kullanılması gerekmektedir.
Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde ilgili kişiden açık rıza alma şartı uygulanmamalıdır:
- Kişisel Verileri işlemenin, ilgili kişinin de taraf olduğu bir sözleşmenin ifası ve uygulanması için zorunlu olması halinde,
- Kişisel Verileri işlemenin bir kanuni yükümlülüğe uymak için zorunlu olması halinde,
- Kişisel Verileri işlemenin bir kamu otoritesinin ya da resmi makamın yetkileri dahilindeki bir görevin ifası için gerekli olması halinde,
- Kamuya açık olan genel bilgilerin, yoruma dayanan bilgilerin ve/veya istatistik veri ve bilgilerinin işlenmesi halinde.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde.
6.3.1 Veri Sorumlusu’nun Aydınlatma Yükümlülüğü
Veri Sorumlusu olarak işbu prosedürün 6.5 maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman ilgili kişinin açık rıza alınması şartı bulunmasa dahi, Baymer’in her zaman ilgili kişilere aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır:
- Veri Sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İşbu prosedürün 6.5. maddesinde sayılmış ilgili kişinin diğer hakları.
Aydınlatma yükümlülüğü “Kişisel Verilerin Korunması Aydınlatma Metinleri”ni kullanmak suretiyle yapılabilir.
6.3.2 Özel Nitelikli Kişisel Verilerin işlenmesinde Uyulacak Kurallar:
İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve KVK Mevzuatı başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilen durumlar haricinde, Özel Nitelikli Kişisel Veriler işlenmeden önce bu verileri işlemek için ilgili kişinin açık izin ve rızasını mutlaka ve daima almak gerekir.
6.3.3 Çalışanların ve Çalışan Adaylarının Kişisel Verilerinin İşlenmesinde Uyulacak Kurallar
Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Baymer tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Baymer çalışanı bulunan kişilere “Çalışan Veri Gizliliği Taahhütnamesi”nin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir.
Halihazırda Baymer çalışanı durumunda bulunmayan, işe alım süreci olumlu şekilde tamamlanacak olan kişilere ilişkin kişisel verilerin işlenebilmesinin için, ilgili kişiye “Güncel İş Sözleşmesi”nin imzalatılması ve aydınlatma yükümlülüğünün yerine getirilmesi mümkündür.
6.3.4.Müşterilere Ait Kişisel Verilerin Pazarlama Amaçlarıyla İşlenmesi ve Kullanılmasında Uyulacak Esaslar
Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce ilgili kişi müşterinin açık rızasının alınmış olması gerekir.
6.3.5 Görevi Gereği Kişisel Veri İşleyen Çalışanların Özel Olarak Dikkat Etmesi Beklenen Hususlar
Görevlerinin bir gereği olarak ve görevleri esnasında, Baymer adına Kişisel Verileri işlerken, çalışanlarımızın işbu prosedürde ve “Temiz Ekran – Temiz Masa Prosedürü”nde yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:
- Kişisel Verilerin KVK Mevzuatı’na uygun bir şekilde ve meşru yollarla işlenmesi gerekir.
- Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesi gerekir.
- İlgili kişiye açıklanmayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve saklanmaması gereklidir.
- Kişisel Verilerin işlenme amacı için yeterli olması, bu amaçla ilişkili ve bağlantılı olması ve işlenme amacına kıyasla aşırı miktarda veya sayıda olmaması gerekir.
- Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesi gerekir.
- Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmaması gerekir.
6.3.6 Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar
Görevlerinin bir gereği olarak ve görevleri esnasında Baymer adına Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu prosedürün diğer maddeleri ve 6.3.5. maddede sözü edilen hususları gözetmelerinin yanı sıra KVK Mevzuatı uyarınca Çalışan Veri Gizliliği Taahhütnamesi’ni imzalamaları gerekmektedir.
6.3.7 Kişisel Verilerin Transferi ve Devri Gerçekleştirirken Uyulması Gereken Kurallar
- Çalışanlarımız, KVK Mevzuatı uyarınca Baymer tarafından belirlenen koşullar haricinde herhangi bir üçüncü kişiye veri transfer etmeyeceklerdir.
- Çalışanlarımız, Kişisel Verileri, İlgili Kişi’nin açık rızası bulunmadıkça, Kişisel Verileri Koruma Kurulu tarafından belirlenecek ve ilan edilecek olan ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışında bir ülkeye transfer etmeyeceklerdir.
- Kişisel Veriler, bahsi geçen ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışındaki bir ülkeye, ancak ve sadece ilgili kişi tarafından bu transfere açık izin ve rızası verildiği takdirde transfer edilebilecektir.
6.4 Teknik Ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu uyarınca ve Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde olmak üzere Baymer tarafından teknik ve idari tedbirler alınmaktadır.
6.4.1 Teknik Tedbirler
Baymer tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Güncel antivirüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güncel şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
6.4.2 İdari Tedbirler
Baymer tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
6.5 İlgili Kişinin Hakları
Baymer tarafından kişisel verileri işlenmekte olan İlgili Kişi Baymer ’e başvurarak kendisi ile ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Veri Koruma Mevzuatı’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, ilgili kişi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir.
İlgili kişilerin bu başvurularının, değerlendirilmesinin ve yanıtlanmasının Kişisel Verilerin Korunması Başvuru Prosedürü içinde anıldığı şekilde gerçekleşmesi gerekmektedir.
6.6 Güvenlik Koşulları
Baymer çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar;
- Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutmak.
- Uygunsa, şifre korumalı elektronik dosyaları kullanmak.
- Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.
- Kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunları derhal âmirine bildirmek.
- Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili kişiden KVK Mevzuatı uyarınca açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirmek.
Kişisel Verileri korumak için alınan güvenlik tedbirleri periyodik olarak Komite tarafından incelenmekte ve değerlendirilmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir.
6.7 Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Baymer tarafından re ‘sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
AKSİGORTA KİŞİSEL VERİ SAKLAMA, İŞLEME VE İMHA PROSEDÜRÜ
6.7.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-2’de verilen yöntemlerle silinir.
Tablo 2: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.7.2 Kişisel Verilerin Yok Edilmesi
Tablo 3 : Kişisel Verilerin Yok edilmesi
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
6.7.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
6.8 Veri Türlerine Göre Saklanma Ve İmha Süreleri
Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, Komite sorumludur.
Komite’nin takibinden sorumlu olduğu Baymer periyodik imha süresi 6 ay olarak belirlenmiştir. Komite bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir.
Tablo 4: Kişisel veri saklama ve imha süreleri
VERİ TÜRÜ | MUHAFAZA SÜRESİ | İMHA SÜRESİ |
E-posta, Şirket içi yazışmalar | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmeler | Sözleşmenin Sona Ermesini Takip Eden 10 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Müşteri/Ziyaretçi Kayıtları | Müşteri/Ziyaretçi İle Girilen Son Etkileşimi Takip Eden 3 Yıl Boyunca, Temin Edilen Eşyanın İade Edildiği Tarih | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Kayıtları | İş Akdinin Sonlanmasından İtibaren 10 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Adaylarına İlişkin Kayıtlar | İlgili Pozisyona Yönelik İşe Alım İhtiyacının Ortadan Kalmasından İtibaren 1 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Muhasebe ve Finans Kayıtları | Süresiz | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket İçi Şikayetler ve İlgili Belgeler | 3 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hissedar/Ortak Kayıtları | Süresiz | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki Kayıtlar | 20 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Resmi Yazışmalar | Süresiz | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kiracı Kayıtları | Kira İlişkisinin Sona Ermesinden İtibaren 10 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Vergi Kayıtları | Süresiz | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Protokol Kişisi/Basın Çalışanı Kayıtları | İlgili Kişinin Pozisyonundan Ayrılmasından İtibaren 1 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Otopark/Kamera Kayıtları | 1 Ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ses Kayıtları/İşitsel Kayıtlar | 6 Ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnternet (5651 S.K. Gereği) Kayıtları, Web Sitesi Giriş Kayıtları | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tadilat/Tamirat İşlemine Yönelik Kayıtlar | Tadilat/Tamirat İşleminin Sona Ermesinden İtibaren 6 Ay Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Taşeron/Tedarikçi Çalışan Kayıtları | İlgili Firmadan Ayrılmasından İtibaren 10 Yıl Boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
6.9. Periyodik İmha Süreleri
Baymer, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Baymer’de her yıl Mayıs ve Kasım aylarında periyodik imha işlemi gerçekleştirilir.
BÖLÜM III – YÜRÜRLÜK
7. GÜNCELLEME PERİYODU
Prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
8. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Prosedür, Baymer’e ait www.carousel.com.tr uzantılı internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları İcra Kurulu tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Komite tarafından saklanır.