1. İMHA POLİTİKASI’NIN NİTELİĞİ VE AMACI
    • GİRİŞ

İşbu imha politikası SAZCILAR OTOMOTİV SANAYİ TİCARET VE ANONİM ŞİRKETİ (kısaca ‘’Sazcılar’’) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz        kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (kısaca KVKK) ve ilgili mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Sazcılar tarafından uygulanacak usul ve esasları belirlemek amacıyla hazırlanmıştır.

  • TANIMLAR
TANIM AÇIKLAMA
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili biyometrik ve genetik verileri
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kurul Kişisel Verileri Koruma Kurulu
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü kayıt ortamı
İmha Kişisel verilerin, silinmesi yok edilmesi veya anonim hale getirilmesi
Kişisel Verilerin İşlenmesi ve Korunması Politikası www.sazcilar.com.tr adresinden ulaşılabilecek, Sazcılar’ın elinde bulunan kişisel verilerin yönetilmesine yönelik usul ve esasların belirlendiği politika.
Veri Kayıt Sistemi (VERBİS) Kişisel Verilerin belirli kriter ve kategorilere göre yapılandırılarak işlendiği kurumun kayıt sistemi

ifade etmektedir.

  1. KİŞİSEL VERİ ORTAMLARI VE GÜVENLİK TEDBİRLERİ
    • KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Kişisel Verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıdaki tabloda sayılmıştır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülükler nedeniyle burada gösterilen ortamlardan farklı ortamlarda tutulabilir. Sazcılar her durumda veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri kanuna, KVKK Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.

Fiziksel Basılı Ortamlar Kâğıt ve benzeri baskı yapılabilecek her türlü belge, dosya üzerine verilerin basılarak saklandığı ortam
Yerel Dijital Ortamlar Sazcılar bünyesinde yer alan sunucular(Exchange server, bordro programı, file server,) sabit ya da taşınabilir diskler
Bulut Dijital Ortamlar Sazcılar bünyesinde yer almayan, Sazcıların kullanımında olan kriptografik olarak şifrelenmiş internet tabanlı sunucular ve diğer alanlar

  

  • KİŞİSEL VERİLERİN İŞLENDİĞİ ORTAM GÜVENLİĞİNİN SAĞLANMASI

Kişisel Verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde, Sazcılar tarafından alınmış olan tüm teknik ve idari tedbirler aşağıda sayılmıştır.

  • İdari Tedbirler
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlamıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
    • Teknik Tedbirler
  • Veri kaybı önleme yazılımları kullanılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Şifreleme yapılmaktadır.
    • Şirket İçi Denetim
  • Sazcılar, kanunun 12. Maddesi uyarınca kanun hükümlerinin ve işbu Politikanın hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde eksik ya da kusurlar giderilir. Denetim sırasında Sazcılar, bünyesinde bulunan verinin kanuni olmayan yollarla dışarı çıkması durumunu tespit etmesi halinde derhal kurula haber verir. 
  1. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Veri sahiplerine ait kişisel veriler, Sazcılar tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası ile müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veya elektronik ortamlarda güvenli, KVKK ve diğer mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir;

  • Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması.
  • Kişisel verilerin bir hakkın tesisi, korunması veya kullanılması amacı olması nedeniyle saklanması.
  • Kişisel Verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Sazcıların meşru menfaatleri için saklamasının zorunlu olması.
  • Sazcıların hukuki yükümlülüğünü yerine getirmesi.
  • Mevzuatta kişisel verilerin saklanmasının açıkça ön görülmesi.
  • Veri sahiplerinin açık rızasının alınması gereken durumlarda saklama faaliyetleri çerçevesinde veri sahibinin açık rızasının bulunması.

Sazcılar, Kanuna sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişinin talebi üzerine veya işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içerisinde doğrudan siler veya anonim hale getirir.

İmhayı gerektiren sebepler aşağıdaki gibidir;

  • Kişisel verilerin işlenmesine veya saklanmasına ilişkin esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi.
  • Kişisel Verilerin işlenmesini ve saklanmasını gerektiren sebep ve amaçların ortadan kalkması.
  • Kanunun 5. Ve 6. Maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
  • Kişisel verileri işlemenin açık rızaya dayanması ve ilgili kişinin açık rızasını geri alması.
  • İlgili kişinin, kanunun 11. Maddesindeki hakları çerçevesinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu Sazcılar tarafından kabul edilmesi.
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
  • Veri sorumlusunun, ilgili kişi tarafından yapılan, verinin silinmesi, yok edilmesi, anonim hale getirilmesi başvurusunun ardından, veri sorumlusunun bu başvuru gerekli açıklamayı yeterli bulmaması, reddetmesi veya kanunda ön görülen sürede cevap vermemesi durumunda kurula şikâyette bulunulması ve bu talebin kurul tarafından onaylanması, uygun bulunması.
  1. KİŞİSEL VERİ İMHA VE ANONİMLEŞTİRME YÖNTEMLERİ
Matbu Ortamda, Fiziksel Olarak Basılı, Yazılı Tutulan Verinin Silinmesi
 

 

Karartma, Karalama

Karartma, karalama işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde mürekkep, kalem kullanılarak görünmez, okunamaz hale getirmektir.
Fiziksel Yok Etme Fiziksel olarak tutulan belgeler, evrak imha makineleri ile bir daha bir araya gelemeyecek şekilde yok edilir.
Bulut ve Dijital Ortamda Bulundurulan Kişisel Verinin Silinmesi
 

Yazılımdan Silme

Bulut ortamında ya da yerel dijital ortamda barındırılan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.
 

 

Fiziksel Yok Etme

Kişisel veri içeren optik ve manyetik medyanın, eritilmesi, yakılması, kırılması, toz haline getirilmesi gibi fiziksel olarak yok edilmesidir. Medya cihazının yakılması, kırılması eritilmesi veya bir metal öğütücüden geçirilmesi verilerin erişilemez olmasını sağlar.
Üzerine Yazma Özel yazılımlar aracılığıyla manyetik medya ve yeniden okunabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkansızlaştırır.
Anonimleştirme Yöntemleri
 

Değişkenleri Çıkarma

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir veya birkaçının çıkarılmasıdır.
 

Bölgesel Gizleme

Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi.
 

Genelleştirme

Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
 

Veri Karma ve Bozma

Kişisel Veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybeder.

 

Sazcılar, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre yukarıda sayılan yöntemlerden bir veya birkaçını kullanabilir.

KVKK’nın 28. Maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi ve kişisel verilerin adli resmi merciler tarafından incelenmesi durumunda bu durum kanun kapsamı dışında kalacak ve açık rıza temini gerektirmeyecektir.

  1. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
Veri Sahibi Veri Kategorisi Saklama Süresi
 

 

Çalışan

İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen, hizmet süresine ve ücrete dair esas bildirimler. Hizmet akdinin devam etmesiyle tutulur ve hizmet akdinin son bulmasıyla 10 yıl muhafaza edilerek geçerli süre dolduktan sonra silinir.
 

 

Çalışan

Üst kategoride yazan veriler haricinde tutulan özlük verileri. Hizmet akdinin devam etmesiyle tutulur ve hizmet akdinin son bulmasıyla 10 yıl muhafaza edilerek geçerli süre dolduktan sonra silinir.
 

 

Çalışan

İş yeri kişisel sağlık dosyası, Özel Nitelikli Kişisel Verileri ve İSG Verileri Hizmet akdinin devam etmesiyle tutulur ve hizmet akdinin son bulmasıyla 10 yıl muhafaza edilerek geçerli süre dolduktan sonra silinir.
 

İş Ortağı / Çözüm Ortağı / Danışman

İş Ortağı / Çözüm Ortağı / Danışman ile Sazcılar arasındaki ticari ilişkinin yürütülmesine dair kimlik bilgileri, iletişim bilgileri, finansal bilgiler, iş ortağı / çözüm ortağı / danışman çalışanı verileri İş Ortağı/Çözüm Ortağı/Danışmanın, Sazcılarla olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
 

Ziyaretçiler

Sazcılar’a ait tüm fiziksel mekâna girişte alınan ziyaretçi, adı, soyadı, T.C. Kimlik No, araç plakası, kamera kayıtları, ses kayıtları 1 yıl süreyle saklanır.
 

İnternet Sitesi Ziyaretçi Verileri

www.sazcilar.com.tr internet sitesinde dolaşan ziyaretçinin hareket verileri ve site içerisinde bulunan formları doldurarak Sazcılar’a ilettiği tüm veriler 1 yıl süreyle saklanır.
 

Çalışan Adayı

Çalışan Adayına ait özgeçmiş ve başvuru formunda yer alan tüm veriler İlgili departmanın inisiyatifinde en fazla 1 yıl süreyle saklanır.
Sazcılar’ın iş birliği içinde olduğu kurum/firmalar (Tedarikçi, Fason Üretici, Bayi/Franchise) Sazcılar’ın İş birliği İçinde Olduğu Kurum/Firmalar ile Sazcılar arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Sazcılar’ın İş birliği İçinde Olduğu Kurum/Firma çalışanı verileri Sazcılar’ın İş birliği İçinde Olduğu Kurum/Firmaların, Sazcılar’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

*İlgili mevzuatlar uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

  1. SAKLAMA VE İMHA SÜRELERİ TABLOSU

Sazcılar tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde(*) kategori bazında belirtilmiştir.

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesi ve veri sahibinin başvurusundan itibaren 30 gün içerisinde
Personel ile ilgili mahkeme/icra bilgi taleplerinin karşılanması Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
İşe alım dokümanları Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
İş Sağlığı ve Güvenliği Uygulamaları Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
Active Directory Sazcılar ile ilişkisinin sona ermesine müteakip 1 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
Log/Kayıt/Takip Sistemleri Sazcılar ile ilişkisinin sona ermesine müteakip 1 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
İş Kazası Raporları Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
Toplantı Tutanakları Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
Bordrolama ve Ödeme İşlemleri Sazcılar ile ilişkisinin sona ermesine müteakip 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde
İhale/İş Yeri Açma/ Bakanlıklar/Müsteşarlıklar ile ilgili süreçler 10 yıl Saklama süresinin bitmesinden itibaren 30 gün içinde

(*) Kişisel Veri Envanteri yalnızca Sazcılar’ın KVKK dokümanları içerisinde bulunmaktadır. Envanter detaylarını görmek isteyen veri sahibinin Sazcılar’a bu konuda başvuru yapma hakkı vardır.

  1. GÜNCELLEME VE UYUM

Sazcılar, kanunda yapılan değişiklikler nedeniyle, kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

 

SAZCILAR OTOMOTİV A.Ş. 

GENEL MÜDÜR