Çağrı Merkezi 222 236 84 74
1.GİRİŞ
Veri sorumlusu olarak ROCA TR BANYO ANONİM ŞİRKETİ (“Şirket”) müşterilerinin, çalışanlarının ve ilişki içerisinde olduğu diğer gerçek kişilerin kişisel verilerinin korunmasına büyük önem vermektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası ile hedeflenen amaç; ilişki içerisinde olduğumuz tüm gerçek kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu Kapsamda 6698 Sayılı Kanun ve ilgili yasal mevzuat gereğince kişisel verilerin işlenmesi ve korunması için gereken tüm idari ve teknik tedbirleri almaktayız.
Bu Politika’da kişisel verilerin işlenmesi süreçlerinde Şirketimizin benimsediği aşağıda yazılı temel prensipler açıklanacaktır:
- Kişisel verilerin rızaya dayalı olarak işlenmesi,
- Kişisel verilerin hukuka uygun biçimde işlenmesi,
- Kişisel verileri doğru ve güncel tutma,
- Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
- Kişisel verileri amaçla bağlantılı ve sınırlı işleme,
- Kişisel verileri işlendikleri amaç için gerekli olan süre boyunca muhafaza etme,
- Kişisel veri sahiplerini bilgilendirme
- Kişisel verilerin korunması için gerekli tedbirleri alma,
- Kişisel verilerin işlenmesinde, saklanmasında ve üçüncü kişilere aktarılmasında ilgili mevzuata ve Kişisel Verilerin Korunması Kurulu’nun yapmış olduğu düzenlemelere uygun davranma,
- Özel nitelikli kişisel verilerin işleme ve koruma hususlarının ayrıca düzenlenmesi.
2.TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.
Çalışan Adayı: Herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini açmış olan gerçek kişiler.
İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri: Her türlü iş ilişkisi içerisinde bulunulan kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
İş Ortağı: Ticari faaliyetlerini yürütürken bizzat veya Grup Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteri, personel, bayi çalışanı.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, T.C. kimlik numarası, e-posta, adres, doğum tarihi, telefon numarası vb.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Tedarikçi: Ticari faaliyetlerini yürütürken emir ve talimatlarına uygun, sözleşme temelli olarak hizmet sunan taraflar
Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler (Örneğin; aile bireyleri, eski çalışanlar).
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin; bayiler, verilerini tutan bilişim firması vb.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
Verilerin Silinmesi: Şirket içindeki tüm ilgili kullanıcıların, kişisel veriye erişimin engellenecek şekilde şifrelenmesi ve sadece veri koruma sorumlusunun bu şifreye sahip olması durumunu ifade etmektedir.
Verilerin Yok (İmha) edilmesi: Kişisel verinin bir daha geri döndürülemeyecek bir biçimde fiziksel olarak veya teknolojik yöntemlerle tamamen ortadan kaldırılması durumunu ifade etmektedir.
Ziyaretçi: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket internet sitesini ziyaret eden gerçek kişiler.
3. POLİTİKA’NIN AMACI
Bu Politika’nın amacı Şirketimiz tarafından hukuka uygun biçimde işlenen ve işlenecek olan kişisel verilerinizin işlenmesinde ve korunmasında hangi yöntemleri benimsediğimiz konusunda açıklamalarda bulunarak müşterilerimizi, çalışanlarımızı, çalışan adaylarımızı ve ilişki içerisinde olduğumuz tüm gerçek kişileri bilgilendirerek şeffaflık sağlamaktır.
4. POLİTİKA’NIN KAPSAMI
Bu Politika müşterilerimizi, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin ve ilişki içinde olduğumuz tüm gerçek kişilerin otomatik olan ya da otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
5. POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen işbu Politika 01.01.2020 tarihinde yürürlüğe girmiştir. Kişisel Verilerin Korunması ve İşlenmesi Politikamız, Şirketimizin internet sitesinde yayımlanır ve ilgililerin erişimine sunulur.
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasanın 20. maddesine ve Kişisel Verilerin Korunması Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun, doğru ve güncel, açık ve meşru amaçlarla sınırlı olarak kişisel verilerinizi işlemektedir. Şirketimiz çalışanlarına, çalışan adaylarına, ziyaretçilere ve müşterilerine ait kişisel verileri işlerken Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak kişisel veri sahiplerini aydınlatmakta, bilgilendirmekte ve gerektiğinde rızalarını talep etmektedir.
Şirketimiz kişisel verileri işlerken aşağıda yer alan kriterleri esas almaktadır:
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
- Kişisel Verilerin Doğru ve Güncel Olması
- Belirli, Açık ve Meşru Amaçlarla İşleme
- -İşlendikleri Amaçla Sınırlı ve Ölçülü Olma
- Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Uygun Olan Süre Kadar Saklama
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaç ve koşullar şunlardır:
- Kimlik teyidi,
- İletişimin sağlanması,
- Hizmet kalitesini arttırmak amacıyla çalışmalar yapmak,
- Soru ve şikayetlere cevap verilebilmesi,
- Veri güvenliğini sağlamak amacıyla gerekli idari ve teknik tedbirlerin alınabilmesi,
- Resmi merciler tarafından talep edilmesi durumunda paylaşılabilmesi,
- Bilgilerin tutarlılığına ilişkin denetimlerin yapılabilmesi,
- Müşteri memnuniyetinin ölçülebilmesi,
- Çalışanlar bakımından özlük dosyasının oluşturulması, işin gerekliliklerine uygun olarak sürekli değiştirilebilmesi,
- Şirket kapsamında yapılacak etkinlikler.
8. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket olarak Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktayız. Bu kapsamda Şirketimiz veri sorumlusu olarak kişisel verileri hangi amaçlarla işleyeceğimizi, işleyeceğimiz kişisel verileri kimlere hangi amaçlarla aktarabileceğimiz, kişisel verileri toplama yöntemimiz ve hukuki sebebi ile kişisel veri sahiplerinin sahip olduğu haklar konusunda aydınlatma yapmaktadır. Bu kapsamda hazırlamış olduğumuz aydınlatma metinleri ile ziyaretçilerimizi, müşterilerimizi, çalışan adaylarımızı ve diğer gerçek kişileri süreç hakkında bilgilendirmekteyiz.
9. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine aydınlatma beyanları ile bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel veri sahiplerine yol göstermektedir.
Kişisel veri sahipleri aşağıda yer alan haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
- Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
10. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
Şirket, Kişisel Verileri Koruma Kanunu’nun 13. Maddesi uyarınca ilgililerin taleplerine karşı veri sorumlusu olarak cevap vermekle yükümlüdür. Bu yükümlülük gereğince Şirket’e yapılacak yazılı başvurulara verilecek yanıtlar için hukuki ve sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin Şirketin 75. Yıl Mah. Organize Sanayi Bölgesi 20. Cad. No:9 Odunpazarı / ESKİŞEHİR adresine veya Şirket’in info@tr.roca.com e-posta adresine yazılı başvuruda bulunmaları halinde Şirket, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin işlenme süreçleri, amaçları ve aktarımı da dahil Kişisel Verilerin Korunması Kanunu’nun ilgili maddesindeki tüm hakları talep edebileceklerdir.
11. ŞİRKET ÇALIŞANLARININ KİŞİSEL VERİ İŞLEME SÜRECİ HAKKINDA BİLGİLENDİRİLMESİ
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafaza edilmesine yönelik farkındalığın artırılması için tüm çalışanlarına gerekli eğitimlerin verilmesini sağlamaktadır.
12. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve işlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla birtakım tedbirler almakta ve denetimler yapmaktadır.
12.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için şirketin teknolojik imkanlarına ve uygulama maliyetine göre teknik ve idari tüm tedbirleri almaktadır.
12.1.1. Teknik Tedbirler
Şirketimiz bünyesinde kişisel veri işleme faaliyetleri, kurulan teknik sistemler vasıtasıyla denetlenmektedir.
12.1.2. İdari Tedbirler
- Şirket çalışanlarımız kişisel verilerin hukuka uygun işlenmesi ve korunması konusunda bilgilendirilmekte ve çalışanlarımıza eğitimler verilmektedir.
- Yetkisiz kişilerin kişisel verilere erişimi engellenmektedir.
- Şirketimizin yürütmekte olduğu kişisel veri işleme faaliyetleri, tüm iş birimlerimizin detaylı şekilde analiz edilmesi sonucu oluşturulmuş kişisel veri envanterine uygun olarak yürütülmektedir.
- Şirketimiz bünyesinde yürütmekte olduğumuz kişisel veri işleme faaliyetleri ve yasal mevzuatın aradığı şartlara uygunluğun sağlanması için yerine getirilecek yükümlülüklerimiz, şirketimiz tarafından yazılı politika ve prosedürlere bağlanmış olup her iş birimimiz bu hususta bilgilendirilmiştir.
- Kişisel verilerin hukuka uygun şekilde işlenmesi faaliyetlerimiz kapsamında iş birimlerimiz bazında belirlediğimiz hukuksal gerekliliklerin sağlanması için çalışanlarımıza iç eğitimler verilmektedir.
- Şirketimiz ile çalışanları arasındaki hizmet sözleşmeleri ve ilgili belgelere kişisel veriler ile ilgili bilgilendirme ve ek hükümler koyulmaktadır.
- Şirketimiz, çalışanlarından gizlilik taahhütnameleri almaktadır.
12.2. Kişisel Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilere yetkisiz kişilerce erişilmesini ve kişisel verilerin yetkisiz kişilere aktarılmasını önlemek için korunacak verinin niteliği, teknolojik imkanlar ve uygulama maliyetine göre teknik ve idari tedbirleri almaktadır.
12.2.1. Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek amacıyla alınan başlıca teknik tedbirler aşağıdaki gibidir:
- Teknolojik gelişmeler takip edilerek siber güvenlik alanında teknik önlemler alınmakta, alınan önlemler periyodik olarak yenilenmektedir.
- Şirket bünyesindeki her birim özelinde belirlenen kişisel verilere hukuki uyum gereksinimleri çerçevesinde erişim ve yetkilendirme yapılmaktadır.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak kontrol edilmektedir. Eski çalışanlarımızın hesapları kapatılarak kişisel verilere erişimi engellenmektedir.
- Alınan teknik önlemler ilgili kullanıcılara raporlanmakta, böylece risk teşkil eden hususlar gözden geçirilerek çözüm üretilmektedir.
- Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarları içeren yazılımlar ve donanımlar kullanılmaktadır.
- Teknik konularda uzman personel istihdam edilmektedir.
12.2.2. İdari Tedbirler
- Özellikle kişisel veri işleyen kullanıcılar ve tüm çalışanlarımız kişisel verilere hukuka aykırı erişimi engellemek için alınacak idari tedbirler konusunda eğitilmektedir.
- Şirketimizdeki her birim özelinde, hukuki uyumu sağlamak amacıyla kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.
- Şirketimiz ile çalışanlarımız arasında imzalanan sözleşmelerde hukuka uygun kişisel veri işleme faaliyetinin kapsamı anlatılmakta ve bu hususlara uygun davranılacağına dair taahhütler alınmaktadır.
- Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile; kişisel verilerin aktarıldığı kişilerin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içerek ek sözleşme yapılmaktadır.
12.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Dış denetim firmalarınca Şirket içinde alınan idari ve teknik tedbirlerin denetimi yapılmaktadır.
13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Kişisel Verilerin Korunması Kanunu’nda birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde ilgililerin mağduriyetine sebep olabilme riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz, Kişisel Verilerin Korunması Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen kişisel verilerin korunmasında son derece hassasiyet göstermektedir. Bu kapsamda Şirket tarafından kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesindeki denetimler titizlikle yapılmaktadır.
Şirket bünyesinde işyeri hekimliği hizmeti sebebiyle, çalışanların sağlık verileri işlenmekte olup; bu verilere erişebilen personele gerekli eğitimler verilmekte ve bu personelin erişim yetkisi, kapsam ve süreleri belirlenmekte ve denetimler yapılmakta, bu personellerden gizlilik taahhütnamesi alınmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziken saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece revir personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
14. KİŞİSEL VERİLERİN AKTARILMASI
Şirket olarak hukuka uygun olan veri işleme amaçlarımız doğrultusunda, gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini Kanunun gerektirdiği hallerde ve / veya kişinin açık rızasıyla üçüncü kişilere aktarabileceğiz.
Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu tespit edilip ilan edilen yabancı ülkelere veya yeterli koruma olmaması halinde Türkiye’deki veri sorumlularının yeterli korumayı yazılı olarak taahhüt ettiği ve Kişisel Verilerin Korunması Kurulu’nun izin verdiği yabancı ülkelere kişisel veriler aktarılabilmektedir. Aktarım sebeplerimiz aşağıda açıklanmıştır:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması ve korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
- Kişisel veri sahibinin yurt dışı aktarıma ilişkin onayı varsa
Şirketimiz Kişisel Verileri Koruma Kanunu’nun 10. Maddesine uygun olarak kişisel verilerin aktarıldığı üçüncü kişi gruplarını kişisel veri sahibine bildirmektedir. Aşağıda yer alan üçüncü kişi gruplarına kişisel veri aktarımı yapmaktayız:
- İş ortaklarımız
- Banka ve sigorta şirketleri
- Seyahat acentaları
- Çalışanlara sağlık hizmeti sağlayan kurum ve kuruluşlar
- Oteller
- Eğitim firmaları
- Hukuken yetkili kamu kurum ve kuruluşlarına
- Hissedarlar
Kişisel veriler, sadece gerekli durumlarda aktarılması zorunlu verilerle sınırlı olmak üzere Şirketin yükümlülüklerinin yerine getirilmesi amacıyla aktarılmaktadır.
16. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz ilgili mevzuatta öngörülmesi durumunda kişisel verileri bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca işlenmesi gerektiğine dair mevzuatta açık bir hüküm bulunmadığı takdirde Şirketimiz, kişisel verinin niteliğine, veri işleme faaliyetine bağlı olarak ve sektörün teamüllerine uygun olarak veriyi saklamaktadır. Daha sonra verinin niteliği gereği Şirketimiz tarafından oluşturulmuş işbu Politika uyarınca kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Verileri Saklama ve İmha Politikası1-KONU
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla ROCA TR BANYO ANONİM ŞİRKETİ (“Şirket”) tarafından hazırlanmıştır.
2-TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
3-İLKELER
Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya uygun hareket edilmektedir.
- Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 2 (iki) yıl süreyle saklanmaktadır.
- Kurul tarafından aksine bir karar verilmediği sürece, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
- Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
4- SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Saklamayı gerektiren sebepler aşağıdaki gibidir:
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
- Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5- SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.
- Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
- Saklama süresi dolan kişisel veriler, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklanır.
6-KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER
Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler, Kanun’a uygun usullerle işlenecektir.
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
A-İdari Tedbirler:
Şirket idari tedbirler kapsamında;
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik taahhütnamesi imzalar veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
B-Teknik Tedbirler:
Şirket idari tedbirler kapsamında;
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi süreçlerini yürütür.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
- Bilgi teknolojileri birimi, çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korur.
- Dijital ortamda gerçekleşen işlem kayıtlarının güvenli olarak loglanmasını sağlar.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
- Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yapar.
- Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresi kullanılarak aktarılmasını,
- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak aktarmanın sağlanmasını,
7-POLİTİKANIN YÜRÜRLÜĞE GİRMESİ, İHLAL DURUMLARI VE YAPTIRIMLAR
- İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
- Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
- Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.