BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1.VERİ SORUMLUSUNUN KİMLİĞİ VE POLİTİKA KAPSAMI

BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ Kişisel Verileri Saklama ve İmha Politikası (kısaca “POLİTİKA” olarak anlatılacaktır), Veri sorumlusu sıfatını taşıyan BENLİ GERİ DÖNÜŞÜM MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ (kısaca “Benli” olarak anılacaktır) tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

Benli; şirket çalışanları, çalışan adayları, mal ve hizmet sağlayıcıları ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (kısaca “KVKK” olarak anılacaktır) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlanmayı öncelik olarak belirlemiştir.

2.TANIMLAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer dini inançları, kılık ve kıyafeti, dernek vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri Sahibi/ İlgili Kişi: Kişisel verisi işlenen gerçek kişi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Kişisel Verilerin Silinmesi: Kişisel Verilerin Silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırarak işlendiği kayıt sistemi

Kurum: Kişisel Verileri Koruma Kurumu

Kurul: Kişisel Verileri Koruma Kurulu

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazate yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

3.VERİ İŞLEME FAALİYETLERİNİN HUKUKİ GEREKÇELERİ

İşletme faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süreler çerçevesinde muhafaza edilir. Bu kapsamda işlenen veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 4857 sayılı İş Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlerine İlişkin Yönetmelik
• Arşiv Hizmetleri Hakkında Yönetmelik
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde işlenmektedir.

4.SORUMLULUK

Benli’ nin tüm birimleri ve çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun aklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

5. VERİ İŞLEME AMAÇLARI

Benli, iş faaliyetleri çerçevesinde kişisel verileri aşağıdaki amaçlar doğrultusunda işler:

• İnsan kaynakları süreçlerini yürütmek
• Kurumsal iletişimi sağlamak
• Şirket güvenliğini sağlamak
• İstatiksel çalışmalar yapabilmek
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak
• Şirket ile iş ilişkisi içinde bulunan gerçek/tüzel kişilerle irtibat sağlamak
• Yasal raporları yapmak
• Çalışanların iş ilişkisinden, mal ve hizmet satılanların ya da alınanların ticari ilişkiden doğan fiili ve hukuki süreçlerini sözleşme şartlarına ve mevzuat hükümlerine uygun şekilde yürütebilmek ve yönetebilmek

6.KAYIT ORTAMLARI

• Kişisel bilgisayarlar
• Mobil cihazlar
• Manyetik ve optik kayıt ortamları
• Taşınabilir bellekler
• Sunucular
• Yazılımlar
• Bilgi güvenliği cihaz ve yazılımları
• Ses ve görüntü kaydedici
• Belge üretim ve kopyalama cihazları
• Yazılı basılı görsel materyaller

7. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

Benli, tarafından elde edilen kişisel veriler, aşağıdaki tabloda belirtilen süreler çerçevesinde saklanmakta ve muhafaza edilmektedir.

8. PERİYODİK İMHA SÜRESİ

Benli, Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

9. KİŞİSEL VERİLERİN SİLİNMESİ

Benli tarafından işlenen kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi veya yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak her hangi bir şartın mevcut olmaması,

koşulları gerçekleştiğinde silinir, yok edilir, anonim hale getirilir.

10. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

10.1 TEKNİK TEDBİRLER

Benli tarafından işlenilen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

• Bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemleri güvenliğinin sağlanması için, donanımsal önlemler alınmaktadır.
• Kişisel verilerin bulunduğu ortamlara erişim, güvenlik politikaları aracılığı ile belirlenmekte ve sınırlanmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik kontroller yapılmaktadır.
• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
• Güvenlik açıkları takip edilerek bilgi sistemleri güncel halde tutulmaktadır.
• Özel nitelikli kişisel verileri işleme süreçlerinde yer alan özel çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş ve çıkışlar engellenmektedir.

10.2 İDARİ TEDBİRLER

Benli tarafından işlenilen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

• Çalışanlarının niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması ile 6698 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
• Yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmesi imzalatılmaktadır.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
• Kişisel veri işlemeye başlamadan önce, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Periyodik ve rasgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimi verilmektedir.

11. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHASI

Elektronik ortamda kayıtlı olan kişisel veriler saklanmasını gerektiren süre sona erdiğinde ilgili kullanıcılar için hiçbir suretle erişilemez ve kullanılamaz hale getirilir.

Fiziksel ortamda kayıtlı olan kişisel veriler, saklanmasını gerektiren süre sona erdiğinde kâğıt kırpma makinelerinde geri dönülmeyecek şekilde yok edilir.

12.DİĞER HUSUSLAR

Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır ve internet sayfasında kamuya açıklanır.

KVKK ve ilgili mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikli KVKK ve ilgili mevzuat hükümleri uygulanacaktır.

Politika, Benli kurumsal internet sitesinde yayınlanarak ilgili kişilere duyurulur.

Politikada güncelleme yapılması durumunda, yeni politika belgesi aynı yolla ilan edilerek ve yayınlanarak yürürlüğe girer.