YASAL UYARI
Bu Politika metninde yer alan tüm içeriklerin, bireysel- akademik kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.
1.1 Amaç
İş bu politika Sevgi Özel Veterinerlik Danışmanlık Denetim Eğitim Belgelendirme İlaç Hizmetleri Gıda İthalat İhracat Sanayi ve Ticaret Anonim Şirketi’nin gerçekleştirmekte olduğu kişisel veri saklama ve imha faaliyetlerine ilişkin usul ve esasları düzenlemek amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK olarak anılacaktır) ve Kişisel Verileri Koruma Kurulu Kararlarına uygun olarak hazırlanmıştır.
Şirket; şirket çalışanlarının, çalışan adaylarının, tedarikçilerin, stajyerlerin, ziyaretçilerin, hizmet sağlayıcıların ve diğer üçüncü kişilerin kişisel verilerinin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını, kişisel verileri işlenen ilgili kişilerin haklarının etkin bir şekilde korunmasını sağlama amacıyla hareket etmektedir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak bir şekilde gerçekleştirilir.
1.2 Kapsam
Şirket çalışanları, çalışan adayları, stajyerler, tedarikçiler, ziyaretçiler, hizmet sağlayıcıları başta olmak üzere diğer üçüncü kişilere ait olup şirketin sahip olduğu ya da şirket tarafından yönetilen kişisel verilerin işlenmesi ve kaydedilmesine yönelik faaliyetlerde iş bu politika uygulanır.
1.3 Kısaltmalar ve Tanımlar
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Çalışan/Personel/İşçi | Sevgi Özel Veterinerlik Danışmanlık Denetim Eğitim Belgelendirme İlaç Hizmetleri Gıda İthalat İhracat Sanayi ve Ticaret Anonim Şirketi’nin sigorta ve iş sözleşmesi kapsamında, gözetim ve denetimi altındaki çalışanı. |
EBYS | Elektronik Belge Yönetim Sistemi |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Hizmet Sağlayıcı | International Veterinary Hospital ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Kişisel Verileri Saklama ve İmha Politikası. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
Veri Sorumluları Sicil Bilgi Sistemi | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Veri Korumu Kurulu Başkanlı tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi. |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Şirketin tüm birim ve çalışanları, iş bu politika ve KVK uyum süreci kapsamında alınmakta olan idari ve teknik tedbirlerin gereği gibi uygulanmasında sorumlu birimlere destek vermekle yükümlüdür. Bu kapsamda; şirket çalışanlarının eğitimi ve farkındalığının artırılması, izlenmesi, denetimi; kişisel verilere hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi; kişisel verilerin hukuka uygun olarak saklanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere destek verir. Şirket’in bünyesinde istihdam edilmesi imkânı olmayan hâllerde, Şirket, hizmet sağlayıcılar aracılığıyla söz konusu destekleri verir.
Unvan | Görev Tanımı |
Kişisel Veri Birimi Yöneticisi | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yapmak/yaptırmak/yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
KVK Hukuki Uyum Uzmanı | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerine ilişkin hukuki uyumdan; Kişisel Veri Birimi Yöneticisi ve KVK Teknik ve İdari Uygulama Uzmanı’nın Kanuna uygun hareket etmesinden sorumludur. |
KVK Teknik ve İdari Uygulama Uzmanı | Saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; KVK Hukuki Uyum Uzmanı’nın hukuki uyum hususunda talimatlarına uygun bir şekilde teknik ve idari denetimlerin yapılmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
3.1. OTOMATİK VERİ SAKLAMA YÖNTEMLERİ |
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2. FİZİKİ KAYIT YÖNTEMİ |
Arşiv, Fiziki Kayıt, Manuel Kayıt
Şirket tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler, Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:
4.1 SAKLAMAYA İLİŞKİN AÇIKLAMALAR
“Kişisel verilerin işlenmesi” kavramı KVKK m. 3/e’de tanımlanmıştır. KVKK m. 4’t ise kişisel verilerin ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğini ve kişisel verilerin işlenmesinde uyulması gereken genel ilkeleri düzenlemektedir. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 5 ve 6. maddelerinde sayılmıştır. Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır. Saklama sürelerine ilişkin bilgileri, Veri Sorumlusuna başvuru yoluyla talep edebileceğiniz gibi VERBİS sistemi üzerinden de görüntüleyebilirsiniz.
4.1.1 Saklamayı Gerektiren Hukuki Sebepler
Şirket, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
4.1.2 Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
4.2 İMHAYI GEREKTİREN SEBEPLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1 Teknik Tedbirler
5.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Şirket tarafından işlenmekte olan kişisel veriler; işlendikleri amaç için gerekli olan ya da ilgili mevzuatta öngörülen saklama süresinin sonunda, ilgili kişinin başvurusu üzerine veya Şirket tarafından re’sen imha edilir. İmha işlemi yine ilgili mevzuat hükümlerine uygun bir şekilde aşağıda belirtilen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi yollarından birinde açıklanan tekniklerle imha edilmektedir.
6.1 KİŞİSEL VERİLERİN SİLİNMESİ
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılmak suretiyle silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.2 KİŞİSEL VERİLERİN YOK EDİLMESİ
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada, Taşınabilir Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin öncelikle silinmesi, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yeniden bir araya getirilemeyecek şekilde yok edilmesi işlemi uygulanır. |
6.3 KİŞİSEL VERİLERİN ANONİM HÂLE GETİRİLMESİ
Kişisel verilerin anonim hâle getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Kişisel verilerin anonim hâle getirilmesi, kişisel verilerin veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi veya başka verilerle eşleştirilmesi yöntemleri de dahil olmak üzere, kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanımı ile kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemez hâle getirilmesinin sağlanması ile mümkündür. Bu suretle Şirket, kişi ile ilişkilendirilebilmesi mümkün bir veya birkaç bilgi ile gerçek kişiye ve onun diğer kişisel verilerine ulaşılmasını engeller.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi gerekir. Bu nedenle, uygulamada kişisel verilerin anonimleştirilmesi amacıyla kullanılan “karartma”, “kimliksizleştirme”, “kişiyle bağlantı kurulmasını kesme ve engelleme” yöntemleri aracılığıyla veri setleri “geri dönüştürülemez” hâle getirilmektedir. Verilerin anonimleştirilmesiyle birlikte Şirket, bir veya birkaç bilgi ile gerçek kişinin verilerine ulaşılmasını engeller.
Şirket tarafından, Şirketin faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Kurul İşlemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmelerin hazırlanması | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket İletişim Faaliyetlerinin İcrası | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçleri | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takip Sistemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi ve Toplantı, Katılımcılarının Kaydı | Etkinliğin sona ermesini takiben 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları | 27 gün | Saklama süresinin bitiminde otomatik olarak ve takip eden ilk periyodik imha süresinde |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olduğu yıl Aralık ayında, takip eden her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirir.
Herkes, Kanun’un öngördüğü sınırlar çerçevesinde, kişisel verilerinin ne şekilde işlendiğine, saklandığına, güvenlik önlemlerine ve imha politikalarına ilişkin bilgi edinme hakkına sahiptir. Bu nedenle Şirketimizden hizmet alan tüm kişi ve kişi grupları, Şirketimizin “Veri İşleme Politikası” ve “Veri Saklama ve İmha Politikası’na ulaşabilir. Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket’in Arşiv Belgelendirme Sisteminde kayıt altında tutulur.
Politika, veri güvenliğinin sağlanması ve Veri Koruma Kurulu’nun kararları doğrultusunda düzenli aralıklarla gözden geçirilir ve gerekli olan bölümler güncellenir.
İş bu politika, Şirket’in internet sitesinde yayınlanmakla yürürlüğe girer. Şirketin politika hakkında değiştirme, güncelleme ya da yürürlükten kaldırma gibi hususlarda karar alması durumunda; Politika’nın ıslak imzalı eski nüshalarına Şirket tarafından “iptal” kaşesi vurularak veya el yazısı ile “iptal” yazılarak imzalanır.
Veri sorumlusuna yapılan başvuru, Veri Koruma Kurulu’nun denetimi, talebi veya soruşturması hâllerinde Kurula sunulmak üzere en az 5 (beş) yıl süre ile Şirket Arşiv Belgelendirme Sisteminde kayıt altında tutulur.