KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
Giriş
Bu kişisel verileri saklama ve imha politikası (“Politika”), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") gereği, Süt Kardeşler Süt ve Süt Ürünleri Tarım Hayvancılık Gıda Nakliyat İthalat İhracat Sanayi ve Ticaret A.Ş. (“Süt Kardeşler”) olarak hasanbey.com URL adresinde bulunan internet satış platformu aracılığıyla veya Whatsapp satış kanalımız aracılığıyla Gizlilik Politikası kapsamında toplanan kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Süt Kardeşler; Türkiye Cumhuriyeti Anayasası, Uluslararası düzenlemeler, KVKK, Kişisel Verileri Koruma Kurumu kararları ve yürürlükteki mevzuata uygun davranmayı kendisine misyon olarak benimsemektedir. Bu anlamda, site üyeleri, misafirler ve müşterilerin haklarının korunmasını öncelikli kılmıştır.
Kapsam
Bu politika, çalışanlarımız, çalışan adaylarımız, Eski Çalışanlarımız, tedarikçilerimiz ve yetkilileri, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler başlıkları altında ilgi grupları olarak nitelendirdiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir.
Tanım ve Kısaltmalar
KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamlar.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grupları ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.
Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı.
İmha: Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla kendiliğinden gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaç ve yöntemlerini belirleyen, ilgili kanuna uygun olarak veriyi işleyen ve muhafaza eden gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik: 28.10.2017 tarihinde 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Sorumlular ve Politika Nezdindeki Görevleri
Bu politikanın uygulanması için Süt Kardeşler nezdinde belirli görevlerdeki kişiler yetkili ve sorumlu tutulmuştur. Aşağıda sorumluların görevlerine ve unvanlarına yer verilmiştir.
Kişisel Verilerin Kaydedildiği Ortamlar
Süt Kardeşlerin Gizlilik Politikasına uygun topladığı veriler aşağıda listelenen ortamlarda saklanmaktadır.
Kişisel Verilerin Güvenliği İçin Alınan Tedbirler
Kişisel verilerinizi güvende tutmak için çeşitli idari ve teknik tedbirler almaktayız.
Teknik olarak;
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. • Bilgileriniz 128-bit SSL kullanılarak şifrelenmektedir. • Anahtar yönetimi uygulanmaktadır. • Erişim logları düzenli olarak tutulmaktadır. • Güncel anti-virüs sistemi kullanılmaktadır. • Güvenlik duvarı kullanılmaktadır. • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Sızma testi uygulanmaktadır. • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. • Bilgi güvenliği için mevcut risk ve tehditler belirlenmiştir. • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. • DLP (Veri Sızıntı / Kayıp Önleyici Program) kullanılmaktadır.
İdari olarak;
• Saklanan kişisel verilere şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırılmıştır. Erişimin sınırlandırılmasında verinin önem derecesi de dikkate alınmaktadır. • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmemesi için gerekli tedbirler alınır, ilgili kişisel verilerin elde edilmesi hâlinde ise, bu durumu 72 saat içinde veya ihlalin tespitini takiben mümkün olan en kısa sürede ilgilisine ve Kurul’a bildirilir. • İşlenen kişisel verilerin güncelliği düzenli aralıklarla kontrol edilir, ihtiyaç duyulmayan kişisel veriler bu politikaya göre imha edilir. • Çalışanlar için veri güvenliği hükümleri içeren gizlilik sözleşmesi ve taahhütnamesi mevcuttur. • Çalışanlar için yetki matrisi oluşturulmuştur. • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. • Kişisel veri içeren ortamların güvenliği sağlanmaktadır. • Kişisel veriler mümkün olduğunca azaltılmaktadır. • Şirket içi periyodik denetim yaptırılmaktadır. • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Kişisel Verilerin Saklanması ve İmhası
Kişisel Verilerin Saklanması
Kişisel verilerinizden hangilerinin ne amaçla işlendiği Gizlilik Politikamızda açıklanmıştır. Bu amaçlarla topladığımız kişisel verilerinizi dayanak hukuki sebebe göre saklamaktayız. Buna göre, kişisel verileriniz mevzuatında öngörülen veya işleme amacımıza uygun süre boyunca saklanmaktadır.
Hukuki Sebepler
Gizlilik Politikasında bahsettiğimiz amaçlarla işlenen kişisel verilerinizi ilgili mevzuatındaki süresi kadar saklamaktayız. Bu dahilde; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 4857 sayılı İş Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik ve bu mevzuat ile sair mevzuat uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Kişisel Verilerin İmhası
Kişisel verileriniz Yönetmelik ve Kişisel Verileri Koruma Kurumunun rehber ve kararlarına uygun olarak imha edilecektir. Bu kapsamda verileriniz; silinebilir, yok edilebilir veya anonimleştirilebilir. Bu veriler saklama süresinin sonunda, kendiliğinden belirli aralıklarla veya başvurunuz üzerine imha edilecektir.
Kişisel Verilerin Silinmesi
Kişisel verileriniz, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirildiğinden silinmiş olur.
Bu kapsamda;
Sunuculardaki kişisel verileriniz sistem yöneticisi tarafından erişim yetkisi bulunan kullanıcıların erişim yetkisini kaldırarak ilgili veriyi siler.
Elektronik cihazlardaki ve taşınabilir ortamlardaki (CD, USB, vb.) kişisel verileriniz sistem yöneticisi tarafından erişim yetkisi bulunan kullanıcıların erişim yetkisini kaldırarak ilgili verilerin başkaları tarafından erişimini kaldırır.
Fiziksel ortamlardaki kişisel verileriniz evrak sorumlusu tarafından ilgili kişisel verinin kimse tarafından erişilemez ve kullanılmaz hale getirilir. Bu dahilde, kişisel verilerinize; çizilme, üzerinin boyanması, elle silinmesi gibi işlemler uygulanır.
Kişisel Verilerin Yok Edilmesi
Kişisel verileriniz, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirildiğinde yok edilmiş olur.
Bu kapsamda;
Optik veya manyetik alanlı medyada bulunan kişisel verileriniz sorumlu tarafından, cihazın yakılması, eritilmesi veya toz haline getirilmesi gibi işlemler uygulanır.
Fiziksel ortamlardaki kişisel verilerinize evrak sorumlusu tarafından kağıdın kağıt kırpıcı makinelerde geri dönüştürülmesi mümkün olmayacak şekilde kırpılması, parçalanması gibi işlemler uygulanır.
Kişisel Verilerin Anonimleştirilmesi
Kişisel verileriniz, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirildiğinde anonimleştirilmiş olur.
Bu kapsamda Süt Kardeşler; Değişken veya Kayıt Çıkarma, Alt ve Üst Sınır Kodlama, Bölgesel Gizleme, Örnekleme, Mikro Birleştirme, Veri Değiş Tokuşu, Gürültü Ekleme gibi kabul göre anonimleştirme yöntemlerini uygulayarak verilerinizin sizinle eşleştirilmesi imkanını ortadan kaldırabilir.
Kişisel Verilerin Saklanma ve İmha Süreleri
Kişisel verileriniz sözleşmenin ifası süresince ve meşru menfaat sürdüğü sürece saklanır. Ancak bu süreler aşağıdaki şekilde sürece göre sınırlandırılmıştır. Şöyle ki;
Kişisel veriler her yılın Mart ve Eylül aylarında periyodik imhaya tabi tutulur.
Kişisel Verileri Koruma Kurumu
Bu gizlilik politikası Kişisel Verileri Koruma Kurulunun karar ve tebliğleri ile KVKK ve ilgili yönetmeliği uyarınca düzenlenmiştir. Haklarınızla ve saklama ve imha süreçleri ile ilgili herhangi bir şekilde danışmak isterseniz Kişisel Verileri Koruma Kurumuna başvurunuz.
Adres: Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Çankaya/ ANKARA
Telefon: ALO 198 - 0312 216 50 00
Güncellemeler
Politika'nın içeriği düzenli olarak gözden geçirilerek düzeltmeler ve değişiklikler yapılacaktır. Yürürlükteki mevzuat uyarınca haklarınız ve Kişisel Verileriniz üzerinde etkili olacak önemli değişiklikler yaptığımızda, bu değişiklikleri önceden duyurmamız ve sizin bu değişikliklerden haberdar olduğunuzdan emin olmamız gerekmektedir, bu durum size bir e-posta duyurusu göndermemizi gerektirebilmektedir.