1.1- Amaç
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Bima Kahve Sanayi ve Dış Ticaret Limited Şirketi (“Rincon Coffee”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin süreçleri ve usul ve esasları belirlemek amacıyla hazırlanmıştır.
Rincon Coffee; çalışanları, çalışan adayları, tedarikçileri ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı KVKK ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin şekilde kullanabilmesini amaçlamaktadır.
Politika kapsamındaki temel kavramlar aşağıdadır:
- Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiler.
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
- Anonim Hale Getirme: Kişisel verilerin kimliği belirli/belirlenebilir kişiyle ilişkilendirilemeyecek hale getirilmesi.
- İmha: Silme, yok etme veya anonim hale getirme.
- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
- Yönetmelik: 28.10.2017 tarihli “Silme, Yok Etme veya Anonim Hale Getirme” yönetmeliği.
Bu Politika; otomatik olan ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Rincon Coffee tarafından kişisel verileri işlenen kişiler için hazırlanmıştır. Tüzel kişi verilerine uygulanmaz.
Politika kapsamındaki kişi grupları örnek olarak:
- Çalışanlar
- Yönetim Kurulu Üyeleri
- Çalışan Adayları
- Tedarikçiler
- Ziyaretçiler ve Üçüncü Kişiler
Şirket içerisindeki erişim yetkisine sahip tüm birimler ve çalışanlar; teknik/idarî tedbirlerin uygulanması, eğitim ve farkındalık faaliyetleri ve sürekli denetim kapsamında sorumludur.
| Pozisyon | Birim | Görev |
|---|---|---|
| İnsan Kaynakları Müdürü | İnsan Kaynakları | Çalışan ve çalışan adaylarının kişisel verilerinin Politikaya uygun saklanması ve işlenmesini sağlamak. |
| Finans Müdürü | Finans | Çalışan ve çalışan adaylarının mali verilerinin Politikaya uygun saklanması ve işlenmesini sağlamak. |
| Bilgi İşlem | Bilgi İşlem | Şirket bilişim ortamındaki verilerin Politikaya uygun saklanması ve işlenmesini sağlamak. |
Kişisel veriler, aşağıdaki ortamlarda hukuka uygun olarak güvenli şekilde saklanabilir:
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|---|---|
| Sunucular (domain, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.) | Kağıt |
| Yazılımlar (ofis, portal vb.) | Manuel veri kayıt sistemleri (Veri Bilgilendirme Formları) |
| Bilgi güvenliği cihazları (FW, IDS/IPS, log, antivirüs vb.) | Basılı kağıt dosyalama sistemleri |
| Kişisel bilgisayarlar / mobil cihazlar / çıkarılabilir bellekler | Diğer yazılı/basılı/görsel ortamlar |
4.1- Saklamaya İlişkin Açıklamalar
Rincon Coffee, kişisel verileri işleme amaçlarına uygun sürelerle ve ilgili mevzuatın öngördüğü sürelerle sınırlı olarak saklar.
4.1.1- Saklamayı Gerektiren Hukuki Sebepler
- 6698 sayılı KVKK
- 6098 sayılı Türk Borçlar Kanunu
- 4857 sayılı İş Kanunu
- 6102 sayılı Türk Ticaret Kanunu
- 213 sayılı Vergi Usul Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- Diğer ikincil düzenlemeler ve zamanaşımı süreleri
4.1.2- Saklamayı Gerektiren İşleme Amaçları (özet)
- İnsan kaynakları süreçlerinin yürütülmesi
- İletişimin sağlanması
- Sözleşme/protokol yükümlülüklerinin ifası
- Yasal yükümlülüklerin yerine getirilmesi
- Hukuki uyuşmazlıklarda delil olarak ispat
4.2- İmhaya İlişkin Açıklamalar
4.2.1- İmhayı Gerektiren Sebepler
- İşlenme sebebinin ortadan kalkması
- İşlenme/saklama amacının ortadan kalkması
- Açık rızanın geri alınması (yalnızca açık rızaya dayalı haller)
- KVKK m.11 kapsamında silme/yok etme başvurusunun kabulü
- Kurul kararı gereği
- Azami saklama süresinin dolması
5.1- Teknik Tedbirler (özet)
- Erişim ve yetki matrisi, kullanıcı hesap yönetimi
- Ağ güvenliği, uygulama güvenliği, şifreleme
- Saldırı tespit ve önleme sistemleri
- 5651 kapsamı log kayıtları, yedekleme
- Fiziksel güvenlik önlemleri
- Silinen verilerin tekrar kullanılamaz hale getirilmesi
- İhlal bildirimi için sistem/altyapı
5.2- İdari Tedbirler (özet)
- Çalışan eğitimleri ve farkındalık
- Gizlilik sözleşmeleri
- Disiplin prosedürleri
- Aydınlatma yükümlülüğünün yerine getirilmesi
- Veri işleme envanteri
- Periyodik ve rastgele denetimler
6.1- Silme
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Sunucularda Yer Alan Veriler | Süre dolanlar için ilgili kullanıcı erişimi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortam | Veri tabanı yöneticisi hariç diğer çalışanlar için erişilemez/tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortam | Evrak arşivinden sorumlu yönetici hariç erişim sınırlandırılır; karartma işlemi uygulanabilir. |
6.2- Yok Etme
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Fiziksel Ortam | Kâğıt kırpma makineleri veya yakma yöntemi ile geri döndürülemeyecek şekilde yok edilir. |
6.3- Anonim Hale Getirme
Kişisel verilerin anonimleştirilmesi; başka verilerle eşleştirilse dahi kimliği belirli/belirlenebilir kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Veri bazında süreler “Kişisel Veri İşleme Envanteri”nde; veri kategorileri bazında süreler VERBİS kaydında; süreç bazında süreler ise bu Politikada açıklanır.
| Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
| İnsan Kaynakları iş Başvuruları | İstihdam yoksa, iş başvurusunu takip eden ilk imha periyodunda | Saklama bitimini takip eden ilk periyodik imhada |
| İnsan Kaynakları Süreçleri | 10 yıl | Saklama bitimini takip eden ilk periyodik imhada |
| Tedarik Sözleşmeleri | 2 yıl | Saklama bitimini takip eden ilk periyodik imhada |
| İletişim | Çalışma süresi boyunca | Saklama bitimini takip eden ilk periyodik imhada |
| Sağlık Dosyası | İstihdam süresine ek 10 yıl (mevzuat aksi değilse) | Saklama bitimini takip eden ilk periyodik imhada |
| Denetim süreçleri (ehliyet/belge) | İstihdam süresine ek 2 yıl | Saklama bitimini takip eden ilk periyodik imhada |
| Kamera Kayıtları | Kayıt sonrası 60 gün | Kayıt tarihinden 60 gün sonra imha |
Periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre yılda Mart ve Ekim aylarında periyodik imha gerçekleştirilir.
9- Politikanın Yayınlanması ve Saklanması: Islak imzalı ve elektronik ortamda yayımlanır.
10- Güncellenme Periyodu: İhtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.
11- Yürürlük: Şirket içinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılırsa eski nüshalar iptal edilerek en az 5 yıl saklanır.