Bertaraf Politikası
KİŞİSEL VERİLERİN İMHA POLİTİKASI
Şirketimiz bünyesinde verilerin imhası için yılın Ocak ve Temmuz ayı imha dönemleri olarak belirlenmiştir. Veri sahiplerinden elde edilen kişisel veriler, saklama süresinin bitiminden itibaren takip eden imha süresi içerisinde şirket bünyesinde veri korumadan sorumlu personel/personel tarafından silinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkin tutanaklar şirket bünyesinde veri korumadan sorumlu personel/personel tarafından bağımsız bir yerde 3 (üç) yıl süreyle saklanacaktır. Üç yıl sonra söz konusu tutanaklar imha edilir. İmha işlemi ile ilgili olarak 28 Ekim 2017 tarihli ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri esas alınacaktır.
imha nedenleri şunlardır:
- • İlgili mevzuatın işlemeye esas hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
- • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- • Kişisel verilerin işlenmesinin yalnızca açık rızaya dayalı olarak gerçekleştiği durumlarda ilgili kişinin açık rızasını geri alması,
- • Kanun'un 11. maddesi uyarınca ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin olarak Kurum tarafından yapılan başvuru,
- • İlgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebiyle yaptığı başvurunun Kurum tarafından reddedilmesi, cevabın yetersiz bulunması veya Kanun'da öngörülen süre içinde cevap verilmemesi halinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun görülmesi,
- • Kişisel verilerin azami saklama süresi geçmiş olup, kişisel verilerin daha uzun süre saklanmasını haklı gösterecek bir durum bulunmamaktadır.
Kanun'un 12. maddesi ve Kanun'un 6. maddesinin dördüncü fıkrası uyarınca, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesi ve bunların imhası için Kurul tarafından belirlenen ve ilan edilen yeterli tedbirlere uygun olarak kişisel veriler kanuna uygun olarak teknik ve idari tedbirler alınmaktadır.
Şirketin işlediği kişisel verilere ilişkin aldığı teknik tedbirler aşağıda sıralanmıştır:
- • Sızma testleri ile Kurumumuzun bilgi sistemlerine ilişkin varsa riskler, tehditler, güvenlik açıkları ve güvenlik açıkları ortaya çıkarılarak gerekli önlemler alınır.
- • Bilgi güvenliği olay yönetimi ile gerçek zamanlı analizler sonucunda bilgi sistemlerinin devamlılığını etkileyecek risk ve tehditler sürekli izlenir.
- • Bilgi sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ve kurumsal active directory üzerinden güvenlik politikaları ile yapılmaktadır.
- • Şirketin bilgi sistemleri ekipmanları, yazılımları ve verilerinin fiziki güvenliği için gerekli önlemler alınır.
- • Bilgi sistemlerinin çevresel tehditlere karşı güvenliğini sağlamak amacıyla donanım (sistem odasına sadece yetkili personelin girmesine izin veren geçiş kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan uç anahtarların fiziksel güvenliği) , yangın söndürme sistemi, klima sistemi vb.) ve yazılım. Önlemler alınır (güvenlik duvarları, saldırı önleme sistemleri, ağ erişim kontrolü, kötü amaçlı yazılımları önleyen sistemler vb.).
- • Kişisel verilerin hukuka aykırı olarak işlenmesini engelleyici riskler belirlenmekte, bu risklere karşı uygun teknik önlemler alınmakta ve alınan önlemlere yönelik teknik kontroller yapılmaktadır.
- • Şirket bünyesinde erişim prosedürleri oluşturulmuş, kişisel verilere erişime ilişkin raporlama ve analiz çalışmaları yürütülmektedir.
- • Kişisel verilerin saklandığı saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişim veya erişim girişimleri kontrol altında tutulmaktadır.
- • Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hale getirilmesi için gerekli tedbirleri almaktadır.
- • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde, Kurum tarafından ilgili kişiye ve Kurula bildirimde bulunulmasına yönelik sistem ve altyapı oluşturulmuştur.
- • Güvenlik açıkları takip edilerek uygun güvenlik yamaları kurulur ve bilgi sistemleri güncel tutulur.
- • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (log) sistemleri kullanılmaktadır.
- • Kişisel verilerin güvende tutulması için veri yedekleme programları kullanılmaktadır.
- • Elektronik veya elektronik olmayan ortamlarda saklanan kişisel verilere erişim, erişim ilkelerine göre sınırlandırılmıştır.
- • Kurumun web sayfasına erişim için güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritması ile şifrelenir.
- • Özel nitelikli kişisel verilerin güvenliği için ayrı bir politika belirlenmiştir.
- • Özel nitelikli kişisel veri işleyen çalışanlara özel nitelikli kişisel veri güvenliği eğitimleri verilmiştir,
- • Gizlilik sözleşmeleri yapılmış, verilere erişimi olan kullanıcıların yetkileri tanımlanmıştır.
- • Özel nitelikli kişisel verilerin işlendiği, saklandığı ve/veya erişildiği elektronik ortamlar kriptografik yöntemlerle korunur, kriptografik anahtarlar güvenli ortamlarda tutulur, tüm işlem kayıtları loglanır, ortamların güvenlik güncellemeleri sürekli izlenir, gerekli güvenlik testleri düzenli olarak yapılır. /Test sonuçlarını kayıt altına almak, altına almak,
- • Özel nitelikli kişisel verilerin işlendiği, saklandığı ve/veya erişildiği fiziki ortamlar için yeterli güvenlik önlemleri alınır ve fiziki güvenlik sağlanarak yetkisiz giriş çıkışlar engellenir.
- • Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa kurumsal e-posta adresi veya KEP hesabı kullanılarak şifreli olarak aktarılır. Taşınabilir bellek, CD, DVD gibi ortamlar üzerinden aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı bir ortamda tutulur. Farklı fiziksel ortamlardaki sunucular arasında aktarım yapılıyorsa, sunucular arasında VPN kurularak veya sFTP yöntemi kullanılarak veri aktarımı gerçekleştirilir. Kağıt ortamında iletilmesi gerekiyorsa, belgenin çalınması, kaybolması veya yetkisiz kişilerce görüntülenmesi gibi risklere karşı gerekli önlemler alınır ve belge "gizli" bir biçimde gönderilir.
- • Firma bu kalemlerden hangisini yapabileceğini belirleyecektir.
Şirket tarafından işlenen kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sıralanmıştır:
- • Çalışan kalitesinin artırılması amacıyla kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin korunması, iletişim teknikleri, teknik bilgi ve beceriler, İş Kanunu ve ilgili diğer mevzuat konularında eğitimler verilmektedir.
- • Şirket tarafından yürütülen faaliyetlerle ilgili olarak çalışanlar tarafından gizlilik sözleşmeleri imzalanır.
- • Güvenlik politika ve prosedürlerine uymayan çalışanlar için disiplin prosedürü hazırlanmıştır.
- • Kurum, kişisel verileri işlemeye başlamadan önce ilgili kişileri bilgilendirme yükümlülüğünü yerine getirmektedir.
- • Kişisel veri işleme envanteri oluşturulmuştur.
- • Şirket içinde periyodik ve rastgele denetimler gerçekleştirilir.
- • Çalışanlara bilgi güvenliği eğitimleri verilmektedir.
Kişisel veriler, yasal sürenin bitiminde ilgili kişinin talebi üzerine veya resen şirket tarafından aşağıdaki şekillerde imha edilmektedir.
| VERİ KAYIT ORTAMI | AÇIKLAMA |
| Sunuculardaki Kişisel Veriler | Sistem yöneticisi, ilgili kullanıcıların erişim yetkilerini |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamdaki kişisel verilerden, süresi erişilemez ve tekrar kullanılamaz. |
| Fiziksel Ortamdaki Kişisel Veriler | Fiziki ortamda tutulan kişisel veriler, süresi dolanlar tekrar kullanılamaz hale getirilir. Ayrıca okunamayan |
| Taşınabilir Ortamdaki Kişisel Veriler | Flash tabanlı depolama ortamlarında tutulan sistem yöneticisine ve şifreleme anahtarları |
| Fiziksel Ortamdaki Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden, dönülemeyecek şekilde yok edilmektedir. |
| Optik/Manyetik Ortamda Yer Alan Kişisel Veriler | Kişisel verilerin optik ortamlarda ve manyetik Ayrıca manyetik ortam özel bir d içinden geçirilir. |
| KİŞİSEL VERİ | DEPOLAMAK |
| Sosyal Güvenlik Kurumuna yapılacak işe alım belgeleri ile; | Kıdem ve ücret bildirimlerine esas personel verileri |
| Sosyal Güvenlik Kurumuna yapılacak işe alım belgeleri ile; | Esas alınan personel verileri dışındaki personel verileri |
Çalışanlardan elde edilecek kişisel veriler, niteliklerine göre farklı sürelerde saklanmakta ve imha edilmektedir. Söz konusu verilerin saklanma süreleri aşağıdaki gibidir. Saklama süresi dolan bu veriler en yakın imha süresi içinde imha edilir ve imha tutanakları 3 yıl süreyle saklanır.
| hizmet süresi ve ücretlere ilişkin bildirimler. | |
| Müşteri Bilgileri | Türk Ticaret Kanunu'nun 82. maddesi gereğince ticari defter ve kayıtlara esas olan yatırımların düzenlenmesine esas teşkil eden C bilgileri anılan kanuna göre 10 yıl süre ile muhafaza edilmekte ve bu bilgilere ilişkin Müşteri Bilgileri, işlendikleri amaç için gerekli olan süre. |
| Ticari ilişkiye dayalı sözleşmeler ve bunların verileri | 6098 Sayılı C Yükümlülükleri ve diğer mevzuat hükümlerine göre 10 yıl |
| Çalışanların Kişisel Sağlık Dosyaları | İş Sağlığı ve Güvenliği mevzuatına göre kişisel sağlık dosyalarının 1 gün süreyle saklanması zorunludur. |
| Çalışan Adayı Bilgileri | Tükenene kadar en fazla 2 yıl saklanır. |
| Ziyaretçi Bilgileri | 2 yıl saklandı |
| Ortak ve Danışman Bilgileri | Şirket ile ilişki süresince ve Türk Borçlar Kanunu'nun 146. maddesi uyarınca 10 yıl süreyle saklanır. |
| Şirketlerin Şirketle Paylaştığı Bilgiler | Şirket ile ilişki süresince ve Türk Borçlar Kanunu'nun 146. maddesi uyarınca 10 yıl süreyle saklanır. |
| Müşteri | Müşteri tarafından satın alınan her bir ürün/hizmet, Türk Kanunu Borçlar md.146 ve Türk Ticaret Kanunu uyarınca 10 yıl süreyle |
| Müşteri/Potansiyel Müşteri İstek ve Şikayetleri | Şikayet talebi tarihinden itibaren 10 yıl süre ile saklanır. |
| İlgili kişisel veriler Türk Ceza Kanunu veya diğer cezai hükümler kapsamında suç teşkil etmektedir. | Zamanaşımı süresi boyunca |
| Günlük Takip Sistemleri | 10 yıl |
| Donanım ve Yazılım Erişim Süreçlerinin Yürütülmesi | 2 yıl |
| Ziyaretçilerin ve Toplantı Katılımcılarının Kayıtları | Herhangi bir sözleşme ilişkisi yoksa olaydan itibaren 2 yıl |
| Çalışan olmayan kursiyer, kursiyer bilgileri | Şirket ile eğitim ve diğer faaliyetler süresince ve ilişkilerin bitiminden itibaren 1 yıl boyunca |
| Çalışan adaylarından alınan kişisel veriler | Adaylık başvurusunun olumsuz sonuçlanması halinde en yakın imha süresine kadar. |
Yukarıdaki açıklamalar ışığında VERBİS Envanter kaydında yer alan veri kategorileri için imha süreleri aşağıdaki gibidir;
| Veri Kategorisi | Veri Saklama Süresi |
| 1-Kimlik | Diğer Hukuki İlişkinin Sona Ermesinden Sonra 10 Yıl Sonra İmha Süresi |
| 2-İletişim | Diğer Hukuki İlişkinin Sona Ermesinden Sonra 10 Yıl Sonra İmha Süresi |
| 3-Konum | Başka Bir Sözleşmesel İlişkiye Dayanmayan Veriler İçin 2 Yıl Karşılık İlişkisi Halinde 10 Yıl Sonra İlk İmha Dönemi |
| 4-Kişilik | Diğer Hukuki İlişkilerin Sona Ermesinden Sonra 15 Yıl Sonra İmha Süresi |
| 5-Yasal İşlem | Diğer Hukuki İlişkinin Sona Ermesinden Sonra 10 Yıl Sonra İmha Süresi |
| 6-Müşteri İşlemi | Diğer Hukuki İlişkinin Sona Ermesinden Sonra 10 Yıl Sonra İmha Süresi |
| 7-Fiziksel Alan Güvenliği | Diğer mevzuatta öngörülen süreler kadar olmakla birlikte her halükarda |
| 8-İşlem Güvenliği | Diğer Web ve Log Kayıtları için 2 Yıl / Kurumsal Uygulama için 10 Yıl Sonra En Yakın İmha Süresi |
| 9-Risk Yönetimi | Başka Bir Sözleşmesel İlişkiye Dayanmayan Veriler İçin 2 Yıl Karşılık İlişkisi Halinde 10 Yıl Sonra İlk İmha Dönemi |
| 10-Finans | Diğer Hukuki İlişkinin Sona Ermesinden Sonra 10 Yıl Sonra İmha Süresi |
| Veri Kategorisi | Veri Saklama Süresi |
| 11-Mesleki Deneyim | Diğer İlişkinin Bitişinden 10 Yıl Sonra Yıkım Dönemi |
| 12-Pazarlama | Sözleşmesel İlişkinin Diğer Sözleşmesel İlişkisine Dayanmayan Veriler İçin 5 Yıl, 10 Yıl Sonra İlk İmha Dönemi |
| 13-Görsel ve Ses Kayıtları | Sözleşmesel İlişkinin Diğer Sözleşmesel İlişkisine Dayanmayan Veriler İçin 2 Yıl, 10 Yıl Sonra İlk İmha Dönemi |
| 17-Kılık ve Kılık Değiştirme | Diğer İlişkinin Bitişinden 10 Yıl Sonra Yıkım Dönemi |
| 21-Sağlık Bilgileri | Diğer İlişkinin Bitişinden 15 Yıl Sonra Yıkım Dönemi |
| 23-Ceza Mahkûmiyeti ve Güvenlik Tedbirleri | Diğer İlişkinin Bitişinden 10 Yıl Sonra Yıkım Dönemi |
| 26-Diğer Bilgiler-Çalışan Aile Bilgileri | Diğer İlişkinin Bitişinden 10 Yıl Sonra Yıkım Dönemi |
| 26-Diğer Bilgiler-İmza ve Diğer Yazı Bilgileri | Diğer İlişkinin Bitişinden 10 Yıl Sonra Yıkım Dönemi |
Şirketimiz tarafından Temmuz ve Ocak ayları imha dönemleri olarak seçilmiş olup, saklama süresi dolan veriler en yakın imha dönemi olan ayda imha edilerek kayıt altına alınacaktır. Söz konusu raporda TR veya İsim kısmından bazı harf veya rakamlar çıkarılacaktır.
kişi bilgilerine ve bilgilerine net bir tespite imkan vermeyecek şekilde yer verilecektir. Söz konusu tutanaklar 3 yıl süreyle saklanacaktır.
İlgili kişi Kanunun 13 üncü maddesi gereğince SÜMER ULUSLARARASI SANAYİ VE TİCARET A.Ş. şirkete başvurarak kişisel verilerinin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verilerin işlenmesine ilişkin tüm koşullar ortadan kalkmışsa; Şirket, talebin kendisine ulaştığı günden itibaren 30 (otuz) gün içinde nedenini açıklayarak talebe konu kişisel verileri uygun imha yöntemiyle siler, yok eder veya anonim hale getirir. Şirketin talebi almış sayılabilmesi için ilgili kişinin talebi Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekmektedir. Her halükarda şirket ilgili kişiyi işlem hakkında bilgilendirir.
- Kişisel verilerin işlenmesine ilişkin tüm şartlar ortadan kalkmamışsa bu talep Şirket tarafından Kanun'un 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve bu durum ilgili kişiye yazılı veya elektronik ortamda bildirilir. en geç otuz gün içinde. İlgilinin kuruma şikayet hakkı saklıdır. Bu kapsamda ilgililer, taleplerinin reddedildiğini öğrendikten sonra 60 (altmış) gün içinde Kurula başvurabilirler.
- Bu kapsamda Şirketimize "yazılı" olarak yapılacak başvurular,
- Başvuru Sahibinin kişisel başvurusu ile;
- noter aracılığıyla,
- Başvuru Sahibi tarafından 5070 Sayılı Elektronik İmza Kanunu'nda tanımlanan "güvenli elektronik imza" ile imzalanarak
Firmanın kayıtlı e-posta adresine gönderilerek tarafımıza iletilebilir. Bu hakkı kullanmak için iletişim bilgilerimiz aşağıdaki gibidir:
Ünvanı : SÜMER ULUSLARARASI SANAYİ VE TİCARET A.Ş.
Mersis No / Vergi No: 7860018595
E-posta Adresi:info@sumeras.com
Posta Adresi: BAŞKENT OSB MAHALLESİ BAŞKENT BULVARI NO:81 SİNCAN/ANKARA
Tel: 03124184129